Ist ein Tor-Browser genauso sicher wie das normale Tor für Mac, dass ich installiere?

[hack08]

Herzlichen DANK FÜR DIESE interessante DISKUSSION HIER! Mal ein logischer Einwand: Woher weiß die Seite Panoptiklick, ob ich 2x auf der Seite war und dafür ein Eintrag generiert werden muss oder ob ich und ein anderer Nutzer mit identischer Configuration die Seite besuchten und somit zwei Einträge in die Datenbank eingehen müssten?

 

[DerW]

Ganz umfangreich wird alles hier im Paper erklärt: https://panopticlick.eff.org/browser-uniqueness.pdf
Relativ einfach ausgedrückt werden unter anderem Cookies gesetzt und es wird außerdem noch ein Algorithmus eingesetzt, der mittels heuristischer Verfahren versucht, bereits bekannte Konfigurationen mit neu auftretenden, aber leicht veränderten, Konfigurationen zu verbinden, um einzelne Benutzer nicht doppelt zu werten. Der Algorithmus wird allerdings nur durchlaufen, wenn die Cookies anzeigen, dass der Benutzer innerhalb der letzten 2 Stunden bereits auf der Seite war.

 

[hack08]

wenn ich also diesen tor-browser benutze, ist für den kundigen webmaster "am anderen ende der leitung" aber sehr leicht zu erkennen, dass ich mich unkenntlich machen - er wieht dass ich den tor-browser benutze...oder?

ist es zumindest theoretisch möglich, dass ich die einstellung des tor-browsers so verändere, dass ich zwar nicht mehr in der masse der tor-nutzer untergehe, aber dafür verhindere, dass der webmaster merkt, dass mir das wichtig ist? mein ziel ist es nämlcih, als momentaner mac-benutzer mit sehr auffälliger konfiguration durch tor ganz einfach zu einem x-beliebigen windows-benutzer mit 08/15 konfiguraion irgendwo in den usa zu werden, der NICHT als auf seine datensicherheit bedachter nutzer zu erspähen ist.

 

[hack08]

mal ein bsp: anstatt der typischen tor-browser-bildschirm-größe, die der webmaster sieht, hätte ich lieber eine, die ein beliebtes smartbook oder wie die dinger heißen, besitzt. diese 300 euro laptops meine ich von asus, sony etc.

nachteil: ich unterscheide mich von den tor-benutzern
vorteil (vorausgesetzt ich schaffe es, alle hinweise auf tor zu verwischen): die webmaster deren seiten ich besuche, denken ich sei ein ganz normaler surfer, der nicht so eine paranoide schutzmauer installiert hat. das könnte in manchen fällen sinnvoller sein, als die größtmögliche anonymität, denke ich.

 

[hack08]

habe den brwoser jetzt mal installiert und panoptiklick angesteuert. und inmeinenm browser die cookies disabled. jetzt bin ich statt 1,34 nur noch 4 bei der cookie-uniqueness, aber dafür hab ich höhere sicherheit weil ich cookies keine chance gebe...

 

[hack08]

...

nun, jetzt hab ich den tor-browser ausprobiert und tatsächlich: statt unique bin ich jetzt einer von 300.

ABER: eine IP-suche ergab, dass ich einen deutschen standort habe. so hatte ich mir das ja nicht vorgestellt. schön weit weg sollte der sein, im land der unbegrenzten möglichkeiten, mit 250 mio surfern!

 

[Chromatin]

ABER: eine IP-suche ergab, dass ich einen deutschen standort habe. so hatte ich mir das ja nicht vorgestellt. schön weit weg sollte der sein, im land der unbegrenzten möglichkeiten, mit 250 mio surfern!

Das ist "lediglich" der sog. Exit-Node.

Üblicherweise durchlaufen die Datenpakete eine ganze Reihe von TOR Proxys um dann an einem solchen Node auszutreten.

 

[DerW]

Kleiner Tipp am Rand: Doppel- oder sogar Vierfachposts werden i.d.R. nicht so gerne gesehen, dafür gibt es den Bearbeiten-Button unter dem Beitrag .

Zur Frage: TOR versucht nicht, zu verbergen, dass du TOR benutzt (normalerweise, man kann es zwar so einstellen, aber das sollte man wirklich nur machen, wenn TOR-Verbindungen blockiert werden, weil die Verbindung noch einiges langsamer und unstabiler wird, als ohnehin schon). Stattdessen tauchst du in einer großen Gruppe unter, die klar anzeigt, dass sie TOR benutzt, aber bei der man nicht ohne größeren Aufwand herausfinden kannst, wer genau du davon bist.
Wenn du deine Bildschirmgröße einstellen möchtest, spricht nichts dagegen, einfach das Browser-Fenster entsprechend zu vergrößern/verkleinern .
Ja, die TOR-Endknoten, durch die deine Verbindung dann letztlich geht, sind über die ganze Welt verteilt, also auch innerhalb von Deutschland. Wenn du auf keinen Fall eine deutsche IP haben möchtest (aus welchen Gründen auch immer), müsste sich das aber in der torrc (die Konfigurationsdatei) folgendermaßen einstellen lassen:

ExludeExitNodes{de}

 

[hack08]

Kleiner Tipp am Rand: Doppel- oder sogar Vierfachposts werden i.d.R. nicht so gerne gesehen, dafür gibt es den Bearbeiten-Button unter dem Beitrag .

Zur Frage: TOR versucht nicht, zu verbergen, dass du TOR benutzt (normalerweise, man kann es zwar so einstellen, aber das sollte man wirklich nur machen, wenn TOR-Verbindungen blockiert werden, weil die Verbindung noch einiges langsamer und unstabiler wird, als ohnehin schon). Stattdessen tauchst du in einer großen Gruppe unter, die klar anzeigt, dass sie TOR benutzt, aber bei der man nicht ohne größeren Aufwand herausfinden kannst, wer genau du davon bist.
Wenn du deine Bildschirmgröße einstellen möchtest, spricht nichts dagegen, einfach das Browser-Fenster entsprechend zu vergrößern/verkleinern .
Ja, die TOR-Endknoten, durch die deine Verbindung dann letztlich geht, sind über die ganze Welt verteilt, also auch innerhalb von Deutschland. Wenn du auf keinen Fall eine deutsche IP haben möchtest (aus welchen Gründen auch immer), müsste sich das aber in der torrc (die Konfigurationsdatei) folgendermaßen einstellen lassen:

also, deine ausführungen bringen mich weiter als alle anderen zusammen. danke dafür schonmal!

habe jetzt über das vidalia fenster die torrc-datei offen:

p, li { white-space: pre-wrap; } AvoidDiskWrites 1
ControlPort auto
ControlPortWriteToFile ../Resources/Data/Tor/port.conf
...

p, li { white-space: pre-wrap; } Log notice stdout
SocksListenAddress 127.0.0.1
SocksPort auto


so sehen anfang und ende aus. insgesamt ca. 10 zeilen. kann ich deine zeile jetzt einfach anhängen und speichern?

 

[hack08]

TOR versucht nicht, zu verbergen, dass du TOR benutzt (normalerweise, man kann es zwar so einstellen, aber das sollte man wirklich nur machen, wenn TOR-Verbindungen blockiert werden, weil die Verbindung noch einiges langsamer und unstabiler wird, als ohnehin schon). Stattdessen tauchst du in einer großen Gruppe unter, die klar anzeigt, dass sie TOR benutzt

gibt es denn eine alternative zu TOR, zB vpn oder was ganz anderes, oder ne kombination aus mehreren mitteln, mit der ich es schaffe dass man NICHT sieht, dass ich anonym bleiben will, ich einfach einen x-beliebigen windows-nutzer aus USA simulieren kann? - dabei habe ich nur die website-betreiber der angesurften seiten im blick - mein provider, die polizei oder die anbieter der anonymisierungsdienste dürfen das natürlich wissen, dass ich anonym bleiben möchte und sogar sehen, von mir aus, welche daten ich abrufe - denn illegales habe ich nicht im sinne.

 

[hack08]

ExludeExitNodes{de}

hab mal ein leerzeichen zw nodes und die klammer gesetzt. so sieht das aus wie die anderen befehle. wenn ich speichere, sagt er "unknown option. failing." was muss ich verändern?

 

[DerW]

Ja, die Zeile solltest du einfach anhängen können. Wenn du die Datei aus Vidalia heraus geöffnet hast, kannst du auch direkt auswählen, dass die neue Konfiguration direkt übernommen und für die Zukunft gespeichert werden soll.
Wenn dir deine Anonymität nur gegenüber einem einzelnen Webseitenbetreiber wichtig ist, du also keine starke Anonymität brauchst, aber gleichzeitig nicht als Nutzer eines Proxys erkannt werden möchtest, wäre es vielleicht noch am einfachsten für dich, dir irgendwo in den Staaten einen günstigen vServer zu mieten und dort ein Proxy-Programm, wie z.B. Squid (achte dabei darauf, dass du den Proxy nicht transparent konfigurierst!) oder du kannst auch OpenSSH benutzen.
Die meisten öffentlich zugänglichen Proxys sind logischerweise auch öffentlich bekannt, daher wirst du da selten einen finden, der nicht recht schnell als Proxy-Server identifiziert werden kann (siehe dazu z.B. diese Seite hier: Advanced Proxy Check). Wenn du dir hingegen selbst einen Proxy-Server aufsetzt, müsste der eigentlich erst einmal unerkannt sein (sofern du ihn nicht teilst natürlich), allerdings habe ich das selbst noch nie ausprobiert, da ich daran keinen Bedarf hatte .

Edit: Ich sehe gerade deinen letzten Beitrag. Das wundert mich ein wenig, die Option ist zmdst. korrekt: https://www.torproject.org/docs/faq#ChooseEntryExit, das sollte also eigentlich stimmen. Vielleicht liegt der Fehler in einer der anderen Zeilen?

 

[hack08]

@DerW: das mit dem vServer ist eine gute Idee, allerdings könnte ein Webseitenbetreiber anhand der IP relativ schnell feststellen, ob es sich um eine IP aus dem Pool für Heimanwender-Internetanschlüsse oder Hostingangebote handelt.

und das lässt sich gar nicht umschiffen das problem? indem man einen server-anbieter auswählt der IPs mit "privatem anstrich" hat?

 

[hack08]

Wenn dir deine Anonymität nur gegenüber einem einzelnen Webseitenbetreiber wichtig ist, du also keine starke Anonymität brauchst, aber gleichzeitig nicht als Nutzer eines Proxys erkannt werden möchtest, wäre es vielleicht noch am einfachsten für dich, dir irgendwo in den Staaten einen günstigen vServer zu mieten und dort ein Proxy-Programm, wie z.B. Squid (achte dabei darauf, dass du den Proxy nicht transparent konfigurierst!) oder du kannst auch OpenSSH benutzen.
Die meisten öffentlich zugänglichen Proxys sind logischerweise auch öffentlich bekannt, daher wirst du da selten einen finden, der nicht recht schnell als Proxy-Server identifiziert werden kann (siehe dazu z.B. diese Seite hier: Advanced Proxy Check). Wenn du dir hingegen selbst einen Proxy-Server aufsetzt, müsste der eigentlich erst einmal unerkannt sein (sofern du ihn nicht teilst natürlich), allerdings habe ich das selbst noch nie ausprobiert, da ich daran keinen Bedarf hatte .

hochinteressant. gibt es hier eine empfehlenswerte anlaufstelle oder starte ich meine recherche jetzt neu bei google mit dem suchwort "vserver"?

was sagst du zu dem einwand deines nachredners? vor dem argument ist wohl kein entkommen, oder?

 

[hack08]

ist es nicht

okay. aber was ist dann der vorteil von nem vserver gegenüber nem TOR-browser? bei beiden ist man zwar pro forma anonym aber mit ein bisschen mühe werden beide als fake enttarnt...

folgende pointe habe ich noch vorzutragen, die das illustriert: ich ging so um die mittagszeit online mit dem TOR-browser - meine IP wurde nicht wie sonst als Hannover, Hamburg oder Hodenhagen angezeigt, sondern als "Hetzner Online AG". Das machte mich stutzig. Ich wollte doch eigentlich eine andere Stadt vortäuschen. Nun gut, das ist wohl der TOR-Ansatz, dachte ich, sie pfeifen auf "realen" Fake-Standort, stattdessen sieht jeder, dass man TOR benutzt. Somit fiel TOR aus meinem Raster als mögliche Lösung.
Dann wurde ich hier auf den vServer-Ansatz aufmerksam gemacht. Eingabe bei google: "vserver compare". was schlägt mir ins gesicht? Hetzner Online AG! So soll das ja nicht laufen! Zumindest auf den ersten Blick will ich doch als Ami durchgehen, sodass sich der Webmaster wenigstens die mühe machen muss, alle seine besucher zu analysieren.

oder willst du etwa andeuten, dass ich auch mit einem vserver von vornherein als nicht-normalo auffalle? anhand meiner IP-zahl??? oder wie sonst? sind die betreffenden IPs unter webmastern etwa so bunte hunde wie in deutschen haushalten die 0190er nummern?

 

[SchwarzeBeere]

Ein vServer ist ein virtueller Server, der auf einem realen Server in einem Rechenzentrum, z.B. von Hetzner, betrieben wird. Ein vServer besitzt eine IP-Adresse, die zurückverfolgbar ist, sofern der vServer dir gehört und du für ihn zahlst. Davon abgesehen brauchst du technisches Hintergrundwissen, wenn du einen vServer betreiben möchtest, und das hast du nicht. Deswegen bleibt TOR deine einzige Möglichkeit, dich zumindest auf technischer Seite als ein Benutzer darzustellen, der seine Identität nicht preisgeben möchte. Wenn du nur dein Land ändern möchtest kannst du auch ein Proxy im jeweiligen Land nutzen. Die sind deutlich langsamer, meistens nach wenigen Minuten wieder offline und loggen in der Regel deine Zugriffe. Die Frage bleibt, wer ist der Webmaster (Privatperson, Behörde, Organisation, ..) und welche Möglichkeiten besitzt er, dich zu identifizieren. Nicht jeder Webmaster erkennt eine IP als TOR-Node...

 

[hack08]

Die Frage bleibt, wer ist der Webmaster (Privatperson, Behörde, Organisation, ..) und welche Möglichkeiten besitzt er, dich zu identifizieren. Nicht jeder Webmaster erkennt eine IP als TOR-Node...

also ich habe definitiv keine angst vor behörden oder organisationen, sondern nur vor privaten schwarzen schafen in der webmaster-szene. was für ein expertise-level bräuchte so ein webmaster denn um eine IP als TOR-exit zu identifizieren? denn hier scheint es ja jeder zu wissen, wie der hase läuft.

kleine UMFRAGE: was schätzt du/ihr, wieviel %

a) aller webmaster in der westlichen welt meine IP als TOR enttarnen können?

b) derjenigen webmaster in der westlichen welt meine IP als TOR enttarnen können, die in der lage sind, meinen IP-standort (zB Hannover) zu identifizieren?

ich denke, damit b) ungleich 100% ist, müsste ich irgendwie vermeiden, dass als exit-node eine firma auftaucht. als ich nämlich TOR ausprobierte, und bei utrace.de meinen IP-standort suchte, kam Hetzner Online AG oder so raus. ohne TOR hingegen stand da immer ein deutscher Ort in Norddeutschland als Standort. Wie schaffe ich es also dass ich als echter Standort-IPler erscheine statt als Firmen-IPler? Mein Standort soll darüber hinaus irgendwo außerhalb deutschlands zu sein scheinen.

 

[SchwarzeBeere]

Eine IP hat technisch gesehen keinen Standort! Eine IP wird einem Unternehmen zugewiesen und dieses Unternehmen hat dann einen oder mehrere Standorte. Wenn bekannt ist, dass bestimmte Adressbereiche nur in bestimmten Gebieten vorkommen (oder durch Routingmechanismen zu einem bestimmten Ort, z.B. in ein bestimmtes Land, zu einem bekannten Router, in ein bekanntes Rechenzentrum, usw.. hingeroutet wird...) kann man z.B. hier mit einer bestimmten Wahrscheinlichkeit auf den Ort schliessen, aber nicht auf den genauen Standort. Wenn du also in Hamburg bist und dein Provider IP Adressen aus einem bestimmten Bereich an Nutzer in Hamburg zuweisst und diese Zuweisungen z.B. aus Erfahrung bekannt sind, dann kann man auf Grundlage deiner IP sagen, dass du aus Hamburg kommst. Weisst dein Provider aber dir aber eine IP aus einem Block zu, der normalerweise an Münchener ausgegeben wird, wirst du als Bewohner Münchens erkannt werden, obwohl du aus Hamburg kommst. Ebenso ist es bei Hetzner: Dort scheint es wohl nicht bekannt zu sein, ob die IP nun einem Server in Nürnberg zugewiesen wurde oder in Falkenstein. Deswegen steht dort auch nur der Unternehmensname, d.h. die Informationen, die bei einem einfachen whois auftauchen.

Weiterhin gibt es Unterschiede, ob ein Webmaster etwas erkennen will oder ob er garnicht wissen möchte, woher seine Besucher kommen, sondern dich nur aussperren will. Daher ist deine Umfrage gelinde gesagt fürn Arsch, denn können tut es jeder, der es will und der über das technische Wissen verfügt, kleine Codefragmente in seine Website einzubauen oder traceroute, whois, usw.. auszuführen.

 

[DerW]

100% Zustimmung meinen Vorrednern .
Allerdings stellt sich mir immer noch die Frage, warum niemand erkennen können soll, dass du TOR benutzt? Es gibt zwar in der Tat einige Webseiten, die das erkennen und dich ggf. sogar dann blocken, aber das sind relativ wenige und für den Rest der Seiten siehst du halt wie ein TOR-Benutzer aus, so what?
Wenn du allerdings vorhast, dich auf per TOR angesurften Seiten zu registrieren, Beiträge zu schreiben etc., solltest du den Gedanken ohnehin lieber wieder verwerfen, denn zum einen bist du dadurch viel leichter identifizierbar (deine E-Mail-Adresse ist nämlich mit ziemlicher Sicherheit nicht anonym, dein Schreibstil ist individuell etc., da hatte Bitmuncher hier mal einen schönen Artikel geschrieben: Anonymitt im Netz gibt es nicht... - Bitmunchers Life).

 

[hack08]

Weiterhin gibt es Unterschiede, ob ein Webmaster etwas erkennen will oder ob er garnicht wissen möchte, woher seine Besucher kommen, sondern dich nur aussperren will.

Unterschiede....hmmmm....mal angenommen der webmaster interessiert die Herkunft seiner User im Allg. gar nicht, warum sollte es auch, und er will mich bloß aussperren - was hieße das dann konkret in bezug auf die von dir erwähnten unterschiede?