パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Torによる匿名インターネット接続機能を内蔵したルーターを安価に作るプロジェクト」記事へのコメント

  • 生IPアドレスが特定されないきちんとした匿名環境を作るためには、「匿名インターネット接続機能を内蔵したルーター」といったハードウェアの導入だけでなく、Tor 専用パソコン(少なくとも仮想PC)が絶対必要 なので注意して下さい。

    Tor の通信は、あまりにも遅く(低容量)、不安定(情報伝達の確実性が無い)なので、常に Tor 経由だけでインターネットに接続するのは現実的ではありません。そのため、状況に応じて、Tor 経由と直接接続を切り替えている人が多いかと思います。

    しかし、Canvas Fingerprinting [bpsinc.jp] などの環境に依存した特徴を探す手法による、コンピュータ環境の指紋のようなものから、生IPアドレスでの接続時と一致した環境であることが特定される恐れがあります。

    事実、私自身、Tor経由での掲示板荒らしを行う人物の生IPアドレスを、こうした手法や、もっと原始的な Flash Cookie を使った方法、特殊なスキームを使用した所謂「厨房ほいほい」などで特定したことが何度もあります。掲示板荒らしは、そのサイトを荒らそうと考える前に生IPアドレスで接続している場合が殆どですので、同じ「指紋」のコンピュータを特定し、そこから生IPアドレスを得ることができるわけです。(言うまでもありませんが、冤罪には十分に注意する必要があります)

    Torプロジェクトが作っている Tor Browser を使えば安心と考えるのも間違いで、これは、コンピュータの「指紋」を調べる新たに利用・発表される方法について、場当たり的な対策をアップデートで繰り返しているにすぎません。現状、そのソフトウェアの品質もそこまで高くありません。Tor Browser の最新版では Canvasの画素データにアクセスするとき警告が表示されるようになりましたが、それ以外にも「指紋」を特定する方法は山のように存在します。JavaScript でできることが多すぎる上、最近では JavaScript を無効にしたら殆どのサイトが利用できなくなるというのも困りものです。

    仮想PC(Virtual PC, VMware など)を使って、そのゲストPCをTor専用にすればだいぶ安全にはなりますが、仮想環境の高速化のために直接的にハードウェアにアクセスして処理される動作もありますから、ホストOSとの同一の「指紋」を特定できる可能性が残されています。(極端な話、ブラウザからマイクへのアクセスを許可すれば、ハードウェア特有のノイズから「指紋」が発見される恐れがあります)

    そのため、Tor を利用して匿名でインターネット通信をしたいのならば、Tor 専用パソコンを購入することをお勧めします。ただし、それでもなお、ブラウザ上でのマウスの動き、キーボードタイプの癖などから「個人」の特徴を見出す手法もあります。

    また、Tor には様々な利用目的がありますが、本当にその目的に Tor が必要かどうかも、よく検討すべきだと思います。日本人が仕事で中国に滞在し、日本国内では特に問題とならないが中国では検閲されたり政府によって自らが危険に晒されるインターネット通信をしたいなどの目的では、Tor より VPN の方が、一般に安全でしょう。検閲する側の立場からしても、日本人が仕事で会社のネットワークに接続する際に日本国内の会社のVPNサーバに接続するのは、ごく自然な行動だからです。

    • >ブラウザ上でのマウスの動き、キーボードタイプの癖などから「個人」の特徴を見出す手法もあります。

      キーボードロガーとか事前に仕込まないと無理っぽいけど、最近のブラウザには入力やクリックのlog採取って標準装備なんだっけ。
      マウスジェスチャーとか入れてたらlog取られてても不思議じゃないか。

      「ハードウェア特有のノイズ」ってなんだろう。
      周りの環境音やらマシン本体の固有振動数みたいなもんだとしてそんなもん検知して記録してるlogがあるんすかね。

      管理下のマシンで、内部温度が上がりやすいとか、Disk#3に故障予兆がでやすいとか、月一のリキャリブレーション後BBUディスチャージ/チャージが一回で成功しないとかそういうマシン固有のハード異常(?)傾向はあるけど、そういうのがハードウェア特有のノイズなのかな。
      もしそれだとしたら個別にきっちりlogを精査しないとわからないと思うけど、めんどくさそう。

      犯罪とかなにかあった場合にぎっちり調べるならその辺の情報は確実に抑えられそうだけど、それだけで特定するのも骨が折れそう。

      親コメント
    • by Anonymous Coward

      普段はGoogleなどの主要サイト以外はJavaScript無効で、JavaScriptが必要な機能を使いたいときだけ有効にするくらい、大した手間では無いのでは。
      広告ブロックから漏れる邪魔なコンテンツを消し去れるというメリットもあるし。

      • by Anonymous Coward

        いまどきのブラウザなのにJavaScriptが有効じゃないというだけで十分すぎるくらいユニーク情報になります。

        • by Anonymous Coward

          それをいうならTor使う時点でも同程度にユニークだと思うが>JavaScript無効

          • by Anonymous Coward

            だからみんなに使わせようというのだろ

          • by Anonymous Coward

            Torを使っていることをどうやって識別するのかな?

    • by Anonymous Coward

      割合緩いといわれてる上海からでも日本へのVPN接続はばつばつ切れたよ。
      党大会があった時の前後1週間なんて、まったく繋がらない日もあった。
      そんな日でもUnicomの香港ローミングの3GでFacebookも見れたし、
      北米本社のVPNには繋がってた。
      日本向けの接続がすぐ切れたり接続できない理由は本社のITチームもお手上げだったよ。

      何が言いたいかっていうと、彼らは日本へのVPN接続を北米よりも自然と
      思っていないと思うし、快くも思っていないとだろうってこと。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...