Helemaal mee eens. Het totaalplaatje is zeker eng.

Ik ga ook maar weer eens spelen met tor om mijn dns en https eroverheen te gooien. Maar mijn http ga ik er dus echt niet overheen gooien. Ik heb geen zin om alle informatie die ik intyp te delen met een willekeurig tor-eindpunt.

Je hebt je punt gemaakt

Wat mij betreft gaat het erom dat er niet op een centrale plaats geregistreerd wordt wat ik allemaal op internet doe en met wie ik per email, messenger of chat communiceer.

Als je dat combineert met het feit dat ze me via mijn mobiele telefoon kunnen lokaliseren en afluisteren en dingen als rekeningrijden en de OV-chipkaart, krijg je een heel eng totaalplaatje.

Nu zullen veel mensen zeggen dat ze toch niets te verbergen hebben, maar is dat wel waar? Ik ben geen terrorist en ook geen crimineel, maar er zijn genoeg dingen waarvan ik niet wil dat iedereen dat van me weet.

Ook jou heb ik niet zien zitten in de zaal

Ik snap het algemene idee van het project. Ik vind het ook een goed idee om privacy makkelijker te maken voor mensen en om awareness te kweken.

Maar tor maakt afluisteren van verkeer makkelijker op eindpunten tenzij het versleuteld verkeer betreft. En aangezien veel mensen niet door hebben dat ze beter geen webmail via een onversleutelde http verbinding kunnen gebruiken kunnen deze mensen er in effect op achteruit gaan.

Als tor automatisch alleen wordt gebruikt voor beveiligde https verbindingen en dns ook automatisch door tor heen wordt gestuurd dan gaan de mensen erop voor uit aangezien nu hun ip wordt geanoniemiseerd door tor.

Groetjes,

Roald (ubuntu_demon)

Je hebt inderdaad gelijk dat dingen als tor geen perfecte anonimiteit garanderen, maar dat is ook niet het idee achter Brenno’s project.

Het is een beetje te vergelijken met het per post versturen van een brief: die doe je in een envelop, zodat niet iedereen die de brief onderweg in handen krijgt hem ook kan lezen. Die envelop is geen garantie dat dat niet gebeurt, maar het maakt het wel moeilijker.

We vinden het vanzelfsprekend dat brieven onderweg niet worden opengemaakt (we hebben immers briefgeheim), maar voor email geldt dat blijkbaar niet. Die mag door iedereen gelezen worden en dat het 18 maanden bewaard wordt door de internetproviders is ook prima…

Ik heb je niet zien zitten in de zaal. Ik heb wel eens met tor gespeeld maar ik besloot het (nog?) niet permanent te gaan gebruiken. Want zoals ik al probeerde op te merken tijdens het praatje : tor verhult alleen je ip en dus is tor alleen zinnig bij compleet versleuteld verkeer zoals https. Of als je nooit informatie invult in je browser dus alleen passief informatie leest maar niemand gebruikt het internet meer op deze manier.

Iedereen kan namelijk een tor-eindpunt opzetten ook mensen die interesse kunnen hebben in wat je allemaal doet zoals overheiden. Op tor-eindpunten komt het verkeer uit het tor netwerk en wordt het niet meer door tor versleuteld. Als je dus een onversleutelde data-stream opzet bijvoorbeeld met een website dan kan dit nu juist makkelijker afgeluisterd worden (ze weten weliswaar je ip niet maar bijvoorbeeld wel je password, emailadres en wat je voor de rest allemaal intypt op een website).

Dus heeft tor alleen zin als je ervoor zorgt dat de hele data stream versleuteld wordt zoals bijvoorbeeld met https voor websites. De meeste websites gebruiken geen https. Veel mensen doen zelfs webmail via http waardoor het gebruik van tor deze mensen in een veel onveiligere positie plaatst dan het niet gebruiken van tor.

Op deze manier zijn al eens veel emailadressen met bijbehorende passwords openbaar gemaakt als een soort proof-of-concept (wel een beetje asociaal) :

Tor Used To Collect Embassy Email Passwords
http://it.slashdot.org/article.pl?sid=07/09/11/1730258

Vergeet ook niet je dns verkeer over tor heen te laten gaan anders bereik je helemaal niks door tor te gebruiken. De dns pakketjes vertellen naar welk ip (bijvoorbeeld van een website) je op zoek bent en deze moeten dus ook door tor heen gaan. Zie :

https://wiki.torproject.org/noreply/TheOnionRouter/TorifyHOWTO#head-e7ecbba74aafc3e03f76804478ab2ffdb5048b17

http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29#DNS_leaks

Het zou leuk zijn als alle websites standaard via https gaan maar dit zal niet snel gaan gebeuren. Ik denk dat de voornaamste redenen hiervoor zijn :

* veel mensen maken hun website bij hun internet provider of op myspace,hyves,facebook. Dit gaat nooit via https
* https kost meer computerkracht voor de webserver en kost dus meer geld
* certificaten die nodig zijn voor https verkeer zijn duur. self-signed-certificaten zijn onveiliger en veroorzaken een waarschuwing waar gebruikers bang van worden.
* veel mensen weten niet dat http onveilig is. gelukkig weten wel veel mensen dat je een slotje moet zijn in je browser bij internetbankieren (dit betekent dat https wordt gebruikt).

Al met al duurt het nog even voordat het zinnig wordt om tor te gebruiken.

Ik heb me nooit echt verdiept in freenet maar dit kan een alternatief zijn voor klokkenluiders. http://en.wikipedia.org/wiki/Freenet
Voor de meeste mensen is freenet volgens mij geen goed alternatief omdat ze hun favoriete websites niet kunnen bereiken op freenet. Misschien dat freenet wat wordt als iedereen inziet dat overheiden mensen willen afluisteren en dat http verkeer onveilig is. Maar er is een hele hoop awareness nodig voordat het zover is.