[Strumenti] [Web] [Privacy] [Sicurezza] C’è un browser “sicuro”?

marcat90 · 27 Agosto 2019, 6:35pm

Comunque capisco l’origine di tor che non è un browser, ma non sapevo da quanto tempo c’è il browser, lo dico sinceramente pensavo ci fosse da più tempo, non pensavo che il browser fosse una cosa " recente"…

Comunque ripeto la domanda principale:

[quote=“marcat90, post:1, topic:3457”] dovete settare un Laptop made by PP, quale browser predefinito impostereste?[/quote]

Cal · 27 Agosto 2019, 6:36pm

Firefox, tranquillo. Con privacy badger.

marcat90 · 27 Agosto 2019, 6:45pm

Però a sto punto sono curioso, l’ho scaricato adesso sul cell, come vedete il browser di tor?

Poi lo proverò sul pc, comunque qualcuno l’ha provato? che ne pensate?

Sul cell sembra lentino, ma ancora ci devo smanettare.

Cal · 27 Agosto 2019, 7:12pm

È normale che sia lento. Perché non è un browser normale. È un browser che usa Tor.

marcat90 · 27 Agosto 2019, 7:32pm

Ma.in poche parole tu non lo usi proprio tor giusto?

Riguardo il discorso vpn dell’altro thread che ho aperto, non usi nulla in accoppiata a Mozilla+privacy badger?

Shamar · 27 Agosto 2019, 7:37pm

Tecnicamente nessuno dei browser maggiori è “sicuro” in assoluto.

Per esempio Tor Browser ti garantisce anonimato se lo usi sui domini .onion ma esegue JavaScript automaticamente esponendoti a potenziali attacchi.

Firefox nella configurazione predefinita è ancora più insicuro.

Per esempio l’autocompletamento di termini di ricerca (che se ricordo bene è abilitata nella configurazione predefinita) comunica al motore di ricerca predefinito (Google!!!) i termini delle tue ricerche anche se tu poi decidi di non cercare: non vogliono perdersi nessun bit di informazione, errori grammaticali inclusi!

Non credo che avremmo le competenze per produrre una distribuzione “sicura” (e non è banale definire cosa questo significhi in modo rigoroso: si parla infatti di threat model e non è possibile essere sicuri contemporaneamente contro tutti gli attacchi ideabili) e credo che il browser sarebbe uno dei punti più deboli… dopo l’utente.

Infatti, esattamente come per la sicurezza sul lavoro (ma in molto più rilevante), la sicurezza informatica dipende anzitutto dalla comprensione che l’utente ha del sistema che utilizza e dei possibili attacchi che può subire.

Un hacker che conosco lavora per una organizzazione internazionale di giornalisti che si batte contro la corruzione e le mafie. Buona parte del suo tempo lo spende in formazione informatica a questi giornalisti (perché effettivamente talvolta qualcuno si è fatto localizzare e ci ha rimesso la vita con i familiari).

Cal · 27 Agosto 2019, 7:42pm

Tor lo uso quando ha senso usarlo. Di default, no.

Diossina · 28 Agosto 2019, 1:48pm

brave come ti sembra?

Shamar · 28 Agosto 2019, 2:14pm

Il fatto che si basi su Ethereum li rende poco credibili.
Il business model mi sembra poco sostenibile in questo momento, ma hanno ottimi finanziamenti.

Dal punto di vista tecnico è un chromium con una sorta di blocklist centralizzate.
Non lo considererei un browser “sicuro” per nessuna definizione di “sicuro” che mi viene in mente.

Diossina · 28 Agosto 2019, 2:28pm

molto interessante. Quali sono i punti di forza che deve avere un browser per essere considerato sicuro?

Shamar · 28 Agosto 2019, 4:05pm

Bella domanda.

Per cominciare potrebbe adottare le misure di sicurezza che ho proposto a Mozilla e Chromium e che mitigherebbero il rischio di attacchi come quelli che il governo russo sta conducendo (attento a dove clicchi! ).

Su questo forum ne abbiamo parlato qui.

Undetectable Remote Arbitrary Code Execution Attacks through JavaScript and HTTP headers trickery

Page Refresh though META tag and JavaScript are disabled by default. Both can be enabled on a per website basis,

No script or CSS is requested with Cookies or other HTTP headers

Each script and CSS is requested through a dedicated TCP connection

SubResource Integrity is made mandatory (at least for JavaScript)

For each URI, record the SRI of last downloaded contents and warn the user if a page propose a different SRI for that same URI

Warn the user about scripts served with suspect HTTP headers

On browser exit, remove from the cache all resources downloaded by pages that have Meta Refresh and/or JavaScript enabled.

View Page Source should never fetch new versions of the page from the server (whatever the HTTP Headers provided with the page are)

Obviously all this leaves the door open for pages that:

are visited only once

are visited for the first time

thus I would also mark as “Not Secure” web pages visited for the first time that require JavaScript or WebAssembly.

Inoltre dovrebbe implementare correttamente standard più semplici e studiati con maggiore attenzione alla sicurezza ed alla privacy dell’utente. Ma questo non dipende da un singolo browser: si tratta di un problema complesso, da affrontare a livello politico e tecnologico.

Diossina · 29 Agosto 2019, 12:36pm

Grazie mille! Ho cercato di capirne il più possibile, in quanto non ne so andare molto in profondità in merito alla sicurezza informatica.

Brave se non erro non blocca già in automatico tutti i cookie di tracciamento, non tiene cache e fa buona parte dei consigli indicati? Mi interessa molto approfondire perchè girando molto in africa, usando connessioni quasi sempre non sicure, e utilizzando un sacco carte di credito e home banking mi preoccupa non poco. Se ho capito bene, mozilla o chromium, settati come da descrizione riescono a dare una sicurezza maggiore? Altra domanda: ma disabilitando java script su browser non si bloccherebbe la visualizzazione di quasi tutti i siti? Scusa per le domande sicuramente ripetitive. Mi sto leggendo anche la discussione linkata per capirci qualcosa in più

Shamar · 29 Agosto 2019, 11:19pm

Scusa il ritardo, ma avevo il bookmark su un’altra macchina.

Qui puoi trovare una guida passo passo su come configurare Firefox in modo che sia un po’ più decente dal punto di vista di privacy e sicurezza.

Quando voglio un proxy anonimo (ovvero se non mi devo autenticare ad alcun servizio o voglio bypassare un firewall) uso anche Tor Browser, disabilitando JS by default in NoScript (vedi primo metodo qui) che quelli di Tor lasciano abilitato nonostante distribuiscano NoScript.

Attenzione: non si tratta di una configurazione SICURA ™, ma è almeno un’ordine di grandezza migliore di quella predefinita.

Meno di quanto si possa immaginare.

Molti siti ricchi di contenuti (ad esempio blog, riviste e giornali) funzionano perfettamente o quasi senza JavaScript. Personalmente lo considero un segno di professionalità.

Onestamente non l’ho mai provato.
Come ho scritto in precedenza… non mi convince particolarmente.

Dubito comunque che abbia adottato le mitigazioni che ho proposto a Mozilla e Chromium, in quanto basato su Chromium stesso (che le ha rifiutate, come Mozilla).

Purtroppo quanto ho descritto non può essere impostato a livello di configurazione: si tratta di modifiche al codice del browser che deve fare chi lo sviluppa. Sono modifiche relativamente semplici (per chi sviluppa browser) ma molto impattanti a livello di immagine per loro e di sviluppo per il Web.

Da un lato significa ammettere di essere stati per anni o incompetenti o in mala fede.
Dall’altro significa che tutti i siti Web, non potendo più contare sulla certezza di avere JS abilitato sul browser, sarebbero costretti ad una gara per diventare più semplici e leggeri.

Non ti scusare mai per le domande che fai. Non con un hacker.

@marcat90 avresti obiezioni se rinominassi il thread con “[Strumenti] Esiste un browser sicuro?”

marcat90 · 30 Agosto 2019, 2:01pm

[strumenti] intendi il cambiamento di sezione? non ci sono problemi…
vedi ora, nel titolo ho messo sicuro fra parentesi, credo possa andare…

Shamar · 30 Agosto 2019, 2:09pm

No scusa mi sono spiegato male: sto cercando di mantenere ordinata la categoria del GdL Informatica usando dei “tag” fra parentesi quadre nei titoli.

In questo modo è più facile trovare contenuti collegati: per esempio qui trovi i [Testi].

Grazie alle tue domande e a quelle di @Diossina questo thread è diventato potenzialmente utile a chiunque voglia ragionare di strumenti (ed in effetti di privacy e di sicurezza del web).

Riformulo la richiesta: che ne pensi di un titolo come

[Strumenti] [Web] [Privacy] [Sicurezza] C’è un browser “sicuro”?

marcat90 · 30 Agosto 2019, 2:16pm

guarda che se vuoi creare un post da zero, non ci sono problemi, per me si può anche racchiudere in futuro il tutto in un unico post per poterlo utilizzare come materiale “didattico”…non voglio nemmeno essere citato per farti capire

comunque fai ciò che ritieni più opportuno, ti consiglio solo di aspettare qualche altro giorno, in caso mi venissero nuove domande, o arrivassero nuove domande o nuove risposte

Diossina · 30 Agosto 2019, 11:21pm

ma scherzi? figurati! Grazie a te per il “tutorial” Mi sono scaricato firefox e nonostante le lacune ho iniziato a settarlo passo passo. Domanda: come mai in firefox il link mi da “runtime error” e non lo apre?

TOR l’ho utilizzato qualche volta per girovagare con hiddenwiki ma non avevo idea del javascript. Grazie mille Curiosità; è normale che sia lentissimo e quasi tutte le pagine di hiddenwiki siano irrangiungibili? Mi sa che non sono sceso molto in profondità vero?

Una cosa che ho notato. Facebook ora su firefox mi fa loggare 2 volte prima di entrare nel profilo, e continua a martellarmi con avvisi di accettare cookie e non mi visualizza la home da loggato. E’ perchè devo dargli delle eccezioni vero?

Afferrato… forse… quindi mantengono queste “porte aperte” per “semplificare” la vita di molti siti già in essere? [edit] no, non ho afferrato. Sto leggendo la discussione Undetectable Remote Arbitrary Code Execution Attacks through JavaScript and … e la cosa è molto peggio da quanto mi sembra di capire

Grazie mille per tutto!

Shamar · 31 Agosto 2019, 11:51pm

Non mi è chiaro: quale link ti da “runtime error”?

Ti dico un trucchetto: i browser moderni dispongono di uno strumento di debug integrato accessibile cliccando F12. Noi sviluppatori lo usiamo per debuggare le tonnellate di JavaScript che vomitiamo sul mondo ogni giorno. Può esserti utile per capire cosa stia andando storto.

Se ti può interessare, qui trovi la documentazione in proposito.

Sì, è probabile.

Facebook però è una brutta bestia. E’ l’emblema del capitalismo di sorveglianza statunitense.
Se proprio non puoi farne a meno, ti consiglio di installare l’estensione chiamata Facebook Container.

Ricorda che:

Da cosa NON sono protetto usando Facebook Container?
È importante ricordare che questa estensione non impedisce a Facebook di usare i dati che ha già raccolto (o a cui è già stato dato il permesso di accedere). Facebook avrà ancora accesso a tutto ciò che fai quando visiti facebook.com, inclusi commenti di Facebook, foto, Mi piace, dati condivisi con app collegate a Facebook ecc.

Anziché sospendere l’uso dei servizi che ritieni utili, pensiamo che dovresti avere gli strumenti per limitare i dati che altri possono raccogliere. Questa estensione si concentra sul limitare il tracciamento svolto da Facebook, ma altre reti pubblicitarie potrebbero tentare di collegare le tue attività su Facebook e le tue abitudini di navigazione. Oltre a questa estensione, puoi modificare le impostazioni del tuo profilo Facebook, sfruttare la navigazione in incognito, bloccare tracker e cookie di terze parti, e usare l’estensione Multi-Account Containers di Firefox per ridurre ulteriormente la tracciabilità dei tuoi dati.

Potresti anche installare il sistema di multi-account containers tenendo presente che

Con queste estensioni puoi ridurre la tua futura profilazione (ciò che hanno già raccolto ormai è andato) anche da parte di Google dedicandogli un container, riducendo la loro capacità di manipolarti.

Sì.

Ma non temere. Ogni giorno che passa sono più responsabili per non aver fatto nulla.
Prima o poi la cosa esploderà.

lynX · 3 Settembre 2019, 8:00am

È recente che sono riusciti a fare un tor browser per Android. Per computer esiste circa dai tempi di Snowden. In linea di massima si, è il browser da raccomandare, ma dato che è un po’ radicale riguardo alla privacy, certi siti non funzionano. Il modo come è ottimizzato per i dissidenti politici nei paesi sorvegliati purtroppo lo rende ottimale anche per i criminali e meno per i cittadini comuni.

Avevamo parlato sul come velocizzare la configurazione di Tor, qui:

Strategia di difesa dal traffico dei dati Cyberwarfare

Per prima cosa bisogna capire dove risiede un file chiamato torrc e capire come modificare la configurazione in esso. Sui PC dovrebbe essere fattibile… mentre in Android è difficile sul serio. Probabilmente devi passare per f-droid.org a scaricare dei navigatori del file system. Usi Tor e poi vai ad un nextcloud, un servizio cryptpad o banalmente http://piratanibanankoc.onion (in tal caso dando totale fiducia a @solibo riguardo ai dati che inserisci per esempio in messaggi privati a te stesso ;)) — Ho capito bene la domanda? Hai descritto come mi sento ogni volta che ho le mie ragazze in casa… Si chiama cryptpad. L’ha sviluppato un mio amico, Caleb. Intendi se qualcuno riesce ad entrare nel Pi e da lì attaccare il LAN, vero? Io ho un wifi interno ed uno esterno, di mezzo ci sta il Tor router. Perciò se qualcuno entra in un mio serverino vede solo il LAN esterno, non quello interno. E i computer interni non possono accedere all’Internet senza passare per Tor. Quanto riguarda …

La comprensione non basta perché è impossibile visualizzare tutti i possibili scenari d’abuso dei compromessi ai quali scendi. Alla fine non ti fanno prendere il mutuo a comprare la casa perché gli hai permesso di sorvegliare i tuoi movimenti del mouse. Oppure perché non glielo hai permesso. Non c’è trasparenza. È un ambiente totalitario — ma per fortuna Google si occupa anche di diritti civili, vero?

Tra Berlino e Londra ne abbiamo due di queste organizzazioni. Conosco persone in entrambi, dato che un tempo ero nella cerchia interna del progetto Tor.

Solo che praticamente non esistono più situazioni nelle quali ha senso non proteggere i propri metadati, ma anche chi è nato e cresciuto sulla Rete non necessariamente si rende conto…

Sei sceso troppo in profondità. L’intenzione primaria di Tor è di proteggere i tuoi metadati. I siti onion sono legittimi in quanto proteggono i metadati meglio di quelli normali e la loro identità non è falsificabile mentre i siti normali https lo sono, ma non a caso si è formata una “darknet” di contenuti illeciti appunto perché risulta più difficile rintracciarli ed eliminarli. Ma non è quella la ragione per la quale dovresti installare Tor. Usa Tor per accedere a piratanibanankoc.onion. Usa Tor per accedere a facebookcorewwwi.onion… usalo per non rivelare sempre a tutti dove sei e quali siti visiti, anche se su Facebook non potrai nascondere chi sei…

Diossina · 3 Settembre 2019, 11:09am

il link a vikingvpn, ma credo fosse un problema di connessione temporaneo, perchè me l’ha fatto un paio di volte anche su brave quando l’ho aperto.

Urca! qui scendiamo troppo nel dettaglio, ma molto interessante, non ne avevo idea

purtroppo lo utilizzo per lavoro e non posso abolirlo. Ho sempre usato le precauzioni massime nelle mie mani per evitare un’eventuale profilazione… Queste dritte sono oro, grazie mille

ops

grazie mille! questi 2 link non li conoscevo per nulla