Re: [DFRI-listan] Flash-proxy
On 06/27/2013 07:03 AM, Linus Nordberg wrote: > Hej listan! [snip] > Här är ett utkast till svensk text som förklarar vad det går ut > på. Förbättringsförslag? Hejsan! Några saker som jag undrar, som man kanske ska lägga till en blurb om: 1) hur mycket trafik reläas genom din browser, såsom "mycket"/"lite"? 2) hur hårt lastar det din browser, såsom "mycket"/"lite"? 3) NAT blev jag inte klok på igår, funkar/funkar inte? 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt plötsligt släpper in "vem som helst" i min browser? Fast är det inget problem kanske man inte ska ta upp det? Mvh, -- Stefan Petersen Ciellt AB Läckövägen 23 SE-121 50 Johanneshov, SWEDEN Tel: +46-733-627526 Web: http://spe.ciellt.se/
Re: [DFRI-listan] I serien "verklighetens" Internet TM
On Jun 27, 2013, at 1:30 AM, Jonas Sissokho wrote: > Hej listan! Jag har en obefintlig wordpress-baserad "musikblogg/hemsida". Jag > tittade till den precis nu och jag hade 1500 auto-genererade > SPAM-kommentarer. Det är ytterligare ett (bot-nets?) problem. Standardmetoden för att filtrera Wordpress-kommentarer är Akismet. Jag tror den fungerar bra, men andra på listan kanske har andra erfarenheter? För DFRI:s webbsida diskuterar vi just nu huruvida vi ska släppa på medlemmarna eller allmänheten som Wordpress-användare, och eventuellt öppna upp för kommentarer. Men jag tror vi väljer att inte ha kommentarer för allmänheten påslaget just pga spam-problematiken.
Re: [DFRI-listan] Flash-proxy
Stefan Petersen wrote Thu, 27 Jun 2013 11:15:25 +0200: | On 06/27/2013 07:03 AM, Linus Nordberg wrote: | > Hej listan! | [snip] | > Här är ett utkast till svensk text som förklarar vad det går ut | > på. Förbättringsförslag? | | Hejsan! | | Några saker som jag undrar, som man kanske ska lägga till en blurb om: Tack för synpunkter! | 1) hur mycket trafik reläas genom din browser, såsom "mycket"/"lite"? | 2) hur hårt lastar det din browser, såsom "mycket"/"lite"? Ja du, det vet jag inte. Baserat på den mängd trafik jag ser på dom bryggor jag kör: Inte mycket på någon. Men jag kan höra med David (skaparen av detta magiska ting) och om du har lust att testa lite så vore det ju fantastiskt! | 3) NAT blev jag inte klok på igår, funkar/funkar inte? Browsern kopplar upp sig mot Tor-klienten så det räcker med att den kan göra utgående TCP-connections. | 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt plötsligt | släpper in "vem som helst" i min browser? Fast är det inget problem | kanske man inte ska ta upp det? Risken för att bli ägd genom browsern är nog större när du rendrerar en sida med bilder (säger jag utan att ha läst koden! :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy isf. ;-)
Re: [DFRI-listan] Flash-proxy
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 2013-06-27 11:32, Linus Nordberg wrote: > Stefan Petersen wrote Thu, 27 Jun 2013 11:15:25 > +0200: >> 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt >> plötsligt släpper in "vem som helst" i min browser? Fast är det >> inget problem kanske man inte ska ta upp det? > > Risken för att bli ägd genom browsern är nog större när du > rendrerar en sida med bilder (säger jag utan att ha läst koden! > :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy > isf. ;-) Men det är inte så att gigantiskt säkerhetsproblem (flash) + potentiellt säkerhetsproblem (flashproxy) <= gigantiskt hål in i din dator (flash ensamt) så jag tycker inte frågan kan slängas bort helt. Även om jag håller med dig till fullo just i det här exemplet. Finurlig liten pryl det där! Vill testa jag med men för stunden får det ligga på högen av saker jag verkligen vill göra. // jwalck -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQIcBAEBAgAGBQJRzA5VAAoJEFwg9i9GDX+nXS0P/iSXbu3QZH9dgz7VphJclI+V +3v3to+h1WLjr4HfyEFUjhl01Z18ktJg4t3RYXeLWHzEYizjYURNuJ88CEkEkArY uyPz2EbCTwJqqLViXfNg6bVkJ9SGY0bcV2rcr8JLsNwdaUoS90VAfe1xKeHa61e3 lCcAKAFBINJR4g6LMIp+eYGIY3K8wB5g0vWYPm8cAshQ7rmv4PMoIC1jG3EpFPxr Q94DnWT9NKq9WBvcbzf9Zqt3EpZboQfqOGLnOgNbgbbiPki0zIxd5z5UILQkDwOq 2xN6xWgl3ClLQnJnz0TS9sKY0NpTwFrWmqy+JfK6HJQph6MMqCmrfsMRum02Vet5 xehuGnirolxO+0vr8CnRacOJMwzWsMUuM7YU+SzcnBV5wdd9452QKNXWGEedL+5p 1A5DFhYA1KUIRqh4gfhkjoPPxS00wmtEmlEuLhIE58C/00zL5hQZi5eJt21+jU7E BhefCvrt1Ypph1melWodkJ+kUTd4ziRgAYICAGksxjG521mUlhoEauJgjNUpo5mA Q+iaQIKrv5dI3pFRCSb4huqlqFfdsx2w6wb5/66AWw3EhwV6o/JOgfbmH1RpPw14 3bZv3xABldj2v6B+me21xY6hYOWfPcjCdIwWJCePHxkKheMiM98JEK+Rmsr9+SZU FtIxAFjarcxpkCFXyGfm =+yd/ -END PGP SIGNATURE-
Re: [DFRI-listan] Flash-proxy
Jonatan Walck wrote Thu, 27 Jun 2013 12:05:09 +0200: | On 2013-06-27 11:32, Linus Nordberg wrote: | > Stefan Petersen wrote Thu, 27 Jun 2013 11:15:25 | > +0200: | >> 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt | >> plötsligt släpper in "vem som helst" i min browser? Fast är det | >> inget problem kanske man inte ska ta upp det? | > | > Risken för att bli ägd genom browsern är nog större när du | > rendrerar en sida med bilder (säger jag utan att ha läst koden! | > :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy | > isf. ;-) | | Men det är inte så att gigantiskt säkerhetsproblem (flash) + potentiellt | säkerhetsproblem (flashproxy) <= gigantiskt hål in i din dator (flash | ensamt) så jag tycker inte frågan kan slängas bort helt. Även om jag | håller med dig till fullo just i det här exemplet. OK, låt oss droppa Adobe Flash från diskussionen. Och alla andra plugins/addons också. Vi försöker oss på en lista över skillnader och likheter mellan att köra flashproxy mot att surfa dn.se. Endast aspekter på säkerheten i Firefox beaktas. Det här resonemanget baserar sig på en webläsare utan skydd mot besök på tredjepartssidor (typ RequestPolicy för Firefox). Jag kan egentligen ingenting om det här med surf som alla verkar vara så förtjusta i så hjälp till att fylla på! Skillnader mellan att köra flashproxy mot att surfa dn.se: - dn.se joggar din rendreringsmotor, flashproxy dina websockets Likheter mellan att köra flashproxy och att surfa dn.se: - någon annan väljer vilka IP-adresser din browser besöker
[DFRI-listan] What to expect when running Flash proxy
Hi David, (CC a publicly archived list with DFRI people on it.) We're discussing a couple of things regarding Flash proxy as part of deciding what to tell our users about it. One question that has popped up is how much bandwidth and CPU load one should expect to be consumed by running it. Another one is what security issues there could be as a result of running a flash proxy. Grateful for any insight on these. We need to let our users make an informed decision. Thanks, Linus
Re: [DFRI-listan] Flash-proxy
Jag tror att det kan vara en smart detalj att nämna att flashproxy använder sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap kommer att dra associationen till Adobe Flash... Appropå säkerheten i det - med tanke på att det är rå JavaScript så är det tio gånger större risk att inte använda NoScript än att köra Flashproxy, då alla eventuella säkerhetshål som utnyttjas isåfall är delar av HTML-standarden. När man läser om flashproxy på W3C ( http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att största risken är just XSS (cross site scripting) och det är ju just den detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan. Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar enormt mycket pengar på säkerhet och har väldigt mycket att förlora på öppna säkerhetshål i sina webbläsare. Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är bara knappt större än med Skype/surfning/BitTorrent egentligen. -- Emil Tullstedt 2013/6/27 Linus Nordberg > Jonatan Walck wrote > Thu, 27 Jun 2013 12:05:09 +0200: > > | On 2013-06-27 11:32, Linus Nordberg wrote: > | > Stefan Petersen wrote Thu, 27 Jun 2013 11:15:25 > | > +0200: > | >> 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt > | >> plötsligt släpper in "vem som helst" i min browser? Fast är det > | >> inget problem kanske man inte ska ta upp det? > | > > | > Risken för att bli ägd genom browsern är nog större när du > | > rendrerar en sida med bilder (säger jag utan att ha läst koden! > | > :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy > | > isf. ;-) > | > | Men det är inte så att gigantiskt säkerhetsproblem (flash) + potentiellt > | säkerhetsproblem (flashproxy) <= gigantiskt hål in i din dator (flash > | ensamt) så jag tycker inte frågan kan slängas bort helt. Även om jag > | håller med dig till fullo just i det här exemplet. > > OK, låt oss droppa Adobe Flash från diskussionen. Och alla andra > plugins/addons också. > > Vi försöker oss på en lista över skillnader och likheter mellan att köra > flashproxy mot att surfa dn.se. Endast aspekter på säkerheten i Firefox > beaktas. > > Det här resonemanget baserar sig på en webläsare utan skydd mot besök på > tredjepartssidor (typ RequestPolicy för Firefox). Jag kan egentligen > ingenting om det här med surf som alla verkar vara så förtjusta i så > hjälp till att fylla på! > > > Skillnader mellan att köra flashproxy mot att surfa dn.se: > > - dn.se joggar din rendreringsmotor, flashproxy dina websockets > > > Likheter mellan att köra flashproxy och att surfa dn.se: > > - någon annan väljer vilka IP-adresser din browser besöker > > >
Re: [DFRI-listan] Flash-proxy
Emil Tullstedt wrote Thu, 27 Jun 2013 13:24:31 +0200: | Jag tror att det kan vara en smart detalj att nämna att flashproxy använder | sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap | kommer att dra associationen till Adobe Flash... Tack. Lade till --8<---cut here---start->8--- Namnet till trots så har flash-proxy inget med Adobe Flash att göra. Webläsaren behöver alltså inte Adobe Flash för att flash-proxy skall fungera. Däremot måste den ha stöd för JavaScript med Websockets. --8<---cut here---end--->8--- | Appropå säkerheten i det - med tanke på att det är rå JavaScript så är det | tio gånger större risk att inte använda NoScript än att köra Flashproxy, då | alla eventuella säkerhetshål som utnyttjas isåfall är delar av | HTML-standarden. | | När man läser om flashproxy på W3C ( | http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att | största risken är just XSS (cross site scripting) och det är ju just den | detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan. | | Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, | Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar | enormt mycket pengar på säkerhet och har väldigt mycket att förlora på | öppna säkerhetshål i sina webbläsare. | | Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser | till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är | bara knappt större än med Skype/surfning/BitTorrent egentligen. Hur menar du?
Re: [DFRI-listan] Flash-proxy
2013/6/27 Linus Nordberg > > | Appropå säkerheten i det - med tanke på att det är rå JavaScript så är > det > | tio gånger större risk att inte använda NoScript än att köra Flashproxy, > då > | alla eventuella säkerhetshål som utnyttjas isåfall är delar av > | HTML-standarden. > | > | När man läser om flashproxy på W3C ( > | http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att > | största risken är just XSS (cross site scripting) och det är ju just den > | detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan. > | > | Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, > | Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar > | enormt mycket pengar på säkerhet och har väldigt mycket att förlora på > | öppna säkerhetshål i sina webbläsare. > | > | Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser > | till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är > | bara knappt större än med Skype/surfning/BitTorrent egentligen. > > Hur menar du? Att risken är extremt liten tror jag är slutsatsen och att största risken är att någon råkar få tag på din IP-adress och försöker leta efter säkerhetshål i din router typ.. -- Emil Tullstedt
Re: [DFRI-listan] Flash-proxy
On 06/27/2013 01:33 PM, Linus Nordberg wrote: > Emil Tullstedt wrote > Thu, 27 Jun 2013 13:24:31 +0200: > > | Jag tror att det kan vara en smart detalj att nämna att flashproxy använder > | sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap > | kommer att dra associationen till Adobe Flash... > > Tack. > > Lade till > > --8<---cut here---start->8--- > Namnet till trots så har flash-proxy inget med Adobe Flash att > göra. Webläsaren behöver alltså inte Adobe Flash för att flash-proxy > skall fungera. Däremot måste den ha stöd för JavaScript med > Websockets. > --8<---cut here---end--->8--- Bra skrivet i övrigt och bra med extra förtydligande i detta fall. Vi får se vad han som skrivit prylen säger, det ska bli intressant. En del av mina frågor var jag som undrade och en del var som jag tänkte att potentiella "andra användare" skulle kunna ställa sig. Jag ska se om jag kan provköra lite flashproxy nån kväll när jag har "riktigt internet" (dvs != 3G). Mvh, -- Stefan Petersen Ciellt AB Läckövägen 23 SE-121 50 Johanneshov, SWEDEN Tel: +46-733-627526 Web: http://spe.ciellt.se/
