Τέρμα στα Windows και τη JavaScript συμβουλεύει το TOR Project

Η πρόσφατη επίθεση που δέχτηκε το δίκτυο TOR από το FBI οδήγησε το TOR Project στο να προτείνει το εξής απλό: σταματήστε να χρησιμοποιείτε Windows και Javascript.tor project logo

Με άλλα λόγια, όσο μα όσο δίκιο και αν έχουν οι υπεύθυνοι του TOR Project, αυτό που λένε, στην πράξη, είναι “σταματήστε να χρησιμοποιείτε το δημοφιλέστερο λειτουργικό του πλανήτη, που βρίσκεται στο, πόσο, 80% των υπολογιστών του πλανήτη, και τη δημοφιλέστερη γλώσσα δημιουργίας δυναμικών εφαρμογών, που επίσης χρησιμοποιείται στο, πόσο, 90% των sites του πλανήτη, και υιοθετήστε άλλες, ασφαλέστερες λύσεις”.

Όπως, να υποθέσουμε, μια κακοσχεδιασμένη, ασταθή και προβληματική διανομή του Linux, που μπορεί να μην τρέχει ό,τι και τα Windows, μπορεί να μην κάνει ό,τι και τα Windows, μα θα έχει να μας παρουσιάσει τουλάχιστον πέντε όμορφα wallpapers που η Γραφίστρια Κατίνα, ξαδέλφη του δημιουργού της διανομής, αντέγραψε με το Gimp από το Mac OS – αλλά στο πιο περδικαλί τους. Α, ναι: και το Flash αντί της JavaScript.

Ή, μάλλον, όχι: ΚΑΙ το Flash το έχουν κράξει πως είναι ανασφαλές (δικαιολογημένα), οπότε η λύση είναι να παρατήσουμε, γενικώς, τις “δυναμικές εφαρμογές” στο web και τα αλληλεπιδραστικά sites, και να επιστρέψουμε στην εποχή της Geocities. “Για να είμαστε ασφαλείς”.

Μήπως θα ήταν καλύτερο να ξεκουνηθούν οι υπεύθυνοι του project και να αρχίσουν ΑΥΤΟΙ να συνεργάζονται στενότερα με projects όπως ο Firefox της Mozilla, αφού μέσω αυτού του συνδυασμού, Firefox-με-TOR, δυο κατά τα άλλα open source projects, εμφανίστηκε το πρόβλημα που εκμεταλλεύτηκε το FBI για να “τσιμπήσει” τα στοιχεία του δικτύου τους, ώστε να εξαφανιστούν τέτοια προβληματάκια, αντί να προτείνει να επιλέξουμε ΕΜΕΙΣ εναλλακτικές λύσεις “για να έχουμε περισσότερη ασφάλεια”;

Όταν επιλέγουμε συνειδητά μια λύση σαν τη δική τους “για να μας παράσχει ασφάλεια” και αυτό ΔΕΝ γίνεται, και η δικαιολογία τους είναι “ααα, φταίνε τα άλλα που χρησιμοποιείς, αυτά που χρησιμοποιείς και εσύ και όοοολος ο άλλος κόσμος εδώ και 15 χρόνια, άλλαξε τα”, αυτό που θα κάνει ο κόσμος δεν είναι να τα αλλάξει. Θα είναι να ξεχάσει το TOR, που standard θα είδε σημαντική μείωση χρηστών μετά από αυτό το τελευταίο φιάσκο.

Με άλλα λόγια, η λογική είναι η εξής απλή: ή θα βρει το TOR Project έναν τρόπο να συνεργάζεται με αυτά που ήδη έχει και ήδη χρησιμοποιεί ο κόσμος, είτε ας μας αδειάσει τη γωνιά. Διότι όσο δίκιο και αν έχουν στο ότι “τα Windows και η JavaScript είναι ανασφαλή”, εκατομμύρια χρήστες και επιχειρήσεις στον κόσμο βασίζονται σε αυτά, και όχι, δεν θα ακυρώσουν τα πάντα και θα επανεφεύρουν τον τροχό επειδή οι διαχειριστές του TOR Project βαριόντουσαν να μιλήσουν με τους διαχειριστές του Firefox και “φόρτωσαν” το πρόβλημα αποκλειστικά στη JavaScript και τα Windows.

Και, για να το θέσουμε διαφορετικά πριν μας κράξουν οι οπενσωρσάδες τις παρέας, ο Chrome ΓΙΑΤΙ δεν είχε πρόβλημα; Ο Opera; Κάποιος άλλος browser; Εκείνοι ΔΕΝ τρέχουν σε Windows; ΔΕΝ υποστηρίζουν JavaScript;

Ody's thoughts

Και με αυτό, το TOR Project μόλις έπεσε κατά 9 μονάδες (από τις 10) στα μάτια μου. “Μπού-χου, μαμάααα, φταίνε οι άαααλλοι, όχι εγώ”.

Update

Ένα λάθος κλικ και ΤΣΟΥΠ! Το άρθρο “ανέβηκε” χωρίς εικόνες. Sorry. Διορθώθηκε.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.
  • galacticusX

    Μπορεί να μην είναι τόσο απλά τα πράγματα, ας πούμε θέμα συνεργασίας δύο ομάδων. Και μην ξεχνάμε ότι δεν είναι καινούριο το δίκτυο, είναι καμια δεκαριά χρόνια και νομίζω ήταν θέμα χρόνου μέχρι να βρουν τρόπο να το “σπάσουν”. Ίσως να συμβαίνει και το άλλο, να έψαχναν αφορμή να αποκηρύξουν επίσημα τα Windows που δεν ταιριάζουν στη φιλοσοφία τους. Δηλαδή εντάξει, Windows και Javascript, τα μεγαλύτερα τρυπητήρια, πως να τα στεγανώσεις 100%;; Νομίζω ότι στο εγγύς μέλλον, αν θέλεις να προστατεύεις τα δεδομένα σου στο web θα πρέπει να έχεις όλα τα components, δεν μπορείς να μείνεις στα commercial OS. Πρέπει ΟΛΗ η υποδομή σου να είναι από το Α μέχρι το Ω “μη ελεγχόμενη”. Εκεί που θα πρέπει να ανησυχούμε είναι τι θα γίνει αν αύριο μεθαύριο σπάνε και τα άλλα components του TOR, έξω από τα WIn, και αν αποδειχθεί ότι υπάρχει τρόπος να γίνεται εύκολο tracking μέσα στο Onion; Τα παρατάμε, ή πάμε για κάτι ασφαλέστερο;

  • ducklord

    Και έχεις δίκιο. Απόλυτο δίκιο.

    Το γελοίο είναι πως “το να έχεις έλεγχο ΣΕ ΟΛΑ `τα components`”, όπως τα περιγράφεις, θα πει “να έχεις έλεγχο ΚΑΙ στο hardware σου”.

    UEFI, κανείς; Ποιός εγγυάται πως δεν θα υπάρχει ένα κρυμμένο wake-on-lan πάντα ενεργό, κάπου, κάπως, που π.χ. να ενεργοποιείται μια συγκεκριμένη στιγμή, για κάποιο άλφα χρονικό διάστημα, περιμένοντας την κάθε NSA να συνδεθεί remotely στο PC σου, να “τσεκάρει κάτι” και μετά να το ξανακλείσει;

    Και στην περίπτωση που είσαι ξύπνιος στις 3 τα ξημερώματα και το δεις να συμβαίνει, το πιθανότερο να θεωρήσεις πως “έφαγε κάποια φρίκη το PC”.

    Ναι, είμαι υπερβολικός, αλλά όταν συζητάμε για την πιθανή παρακολούθηση μας, καλό είναι να συμπεριφερόμαστε ΑΚΡΙΒΩΣ όπως ο Mel Gibson στα “παιχνίδια συνομωσίας”. Μα, ΑΚΡΙΒΩΣ, ρε παιδάκι μου.

  • galacticusX

    ΟΚ, πες πως έχουμε και το hardware ή κατεβάζουμε από το πατάρι τον 486 και την Α500 των παιδικών μας χρόνων. Και τι θα κάνουμε, αν δεν υπάρχει software να κάνουμε τη δουλειά μας; Κι αν βγει φιρμάνι ότι απαγορεύεται οποιοδήποτε hardware πέρα από τα “προβλεπόμενα” για λόγους “ασφαλείας” (ναι, ξέρεις καλά ποια εικόνα θα ξαναβάλω στο τέλος του comment…) τί κάνουμε; Το παίζουμε Άρης Βελουχιώτης; Δηλαδή “αντιστασιακοί”; Με “laser beams”; (θα σου σπάσω τα ούμπαλα απόψε)

  • ducklord

    Μα, ΓΙΑ ΑΥΤΟ παλεύουν κάποιοι να δημιουργήσουν “open source hardware”. Αν δεν απατώμαι, έχουν καταφέρει να φτιάξουν το αντίστοιχο ενός 486, που τρέχει κάτι-σε-Linux αλλά με τραγικά μικρότερο υποσύνολο λογισμικού. ΑΝ θυμάμαι καλά.

    Οπότε, όχι, ούτε καν αυτό δεν παίζει σαν επιλογή. Μόνη λύση, τα χωράφια. Τα λάχανα δεν “σε καρφώνουν στον Ομπάμα”. Όχι ακόμα, τουλάχιστον.

  • Μπα, δεν είναι πρώτα θέμα hardware. Στο software είναι η σημασία.
    Όσο ξέρω υπήρχε (και υπάρχει;) συνεργασία των ομάδων (Tor & Mozilla).
    Δε νομίζω πάντως πως υπάρχει συνωμοσία για την αποκήρυξη των Windows, μα το συγκεκριμένο κενό που επικαλούνται, ίσως δε μπορεί να καλυφθεί πλήρως.
    Υπάρχει το obsfproxy για να την κάνεις με ελαφρά από τους κόμβους, μα εδώ ήταν εντελώς άχρηστο, καθώς χρησιμοποιηθηκε άλλο κενό.

    Η απάντηση στο γιατί δεν συμβαίνει σε άλλους browsers, είναι πως συμβαίνει, μα στην ουσία, με τον FF μπαίνεις στο onion.
    Μπορείς και με Opera, μα ποιος το κάνει;

    Στην ουσία το όλο θέμα αφορά πρωτίστως αυτό που αποκαλούμε DeepWeb.
    Αυτό είναι πρόβλημα από πολύ παλιά και ένας από τους πρώτους στόχους του τότε Echellon, νυν Prism.

    Μάλλον πρέπει να γίνει συνείδηση πως η χρήση πλέον θα πρέπει να γίνεται μέσω live Linux usb, με unmount τα πάντα από τον υπολογιστή που μπαίνουμε καθώς και με χρήση αλλων DNS και MacAndress.

  • ducklord

    Ναι βρε συ, μα “δεν παίζει”. Για αυτό λέω και όσα λέω στο ποστάκι: ΥΠΑΡΧΟΥΝ λύσεις με τις οποίες μπορεί κανείς να έχει μεγαλύτερη ασφάλεια, μα αυτό που λες είναι αντίστοιχο με αυτό που λένε οι υπεύθυνοι του TOR Project: “ξεβόλεμα”.

    Δεν είμαι, δα, και κανένας εγκληματίας. Αν είναι “για να έχω ασφάλεια” να πρέπει, όποτε θέλω να ψάξω κάτι στο web, να πρέπει “να κάνω ρηστάρτ και να μπουτάρω από φλασάκι χωρίς να έχω πρόσβαση σε ΚΑΝΕΝΑ από τα αρχεία μου”… Να το χέσω! Πες πως θέλω να μπω για να ΚΑΤΕΒΑΣΩ ένα αρχείο. Τι κάνω; Θα έχω και έναν άλλο, κενό δίσκο, “για τα προσωρινά downloads”, και θα κάνω συνέχεια restart, πότε ασφαλές Linux με TOR και πρόσβαση στο web, πότε “απλό” Linux για καθημερινή χρήση – χωρίς δίκτυο, πότε Windows – χωρίς δίκτυο, κάνοντας συνέχεια αντιγραφές αρχείων ανάμεσα τους και συνδέοντας – αποσυνδέοντας δίσκους και φλασάκια;

    Και με τα tablets και τα smartphones, τι γίνεται; Offline και αυτά, χάνοντας το 80% της λειτουργικότητας τους; Ή να ενισχύσω το “Ubuntu Edge”, με… τρεις μισθούς, μπας και δούμε μια άσπρη μέρα;!

    Ντέν έκομε ελπίντα, φίλτατε.

    Υ.Γ.: Το hardware είναι μεγαλύτερη “τρύπα” από ό,τι φαντάζεσαι. Σκέψου, π.χ., hardware keyloggers, και μετά πες μου “α, αυτά δεν πιάνουν στο Linux” (πιάααανουν, και commodore 64 να έχεις, πιάαααανουν!).

  • MaxPanos

    Σεβαστες οι αποψεις σου.Θανατος στα Windows και στην javascript.

  • ducklord

    Θάνατοστ. Ψήσ’τα και τα δυο. Και γύρνα στην εποχή της Geocities – ή, ακόμη καλύτερα, στην εποχή των ένδοξων μαχών σε BBS μέσα από modems στα 1200 Baud.

    Υ.Γ.: Δεν είναι “άποψη” το ότι αν εξαφανιστεί, εδώ-και-τώρα, η JavaScript, θα δεις να εξαφανίζονται τα μεγαλύτερα sites και υπηρεσίες του πλανήτη – GMail, twitter, Facebook, YouTube, Vimeo… Και με την ευκαιρία, το ήξερες πως το Gnome εμπεριέχει ως ένα σημείο και υποστήριξη για ανάπτυξη desktop εφαρμογών με JavaScript; Όχι; Μάθε το. “Άχρηστη” my ass.

  • ha’la’tha

    Από την εμφάνιση της V8 και μετά έχουν επενδυθεί πολλά, πάρα πολλά χρήματα για να κάνουν την JS γρήγορη για σχεδόν κάθε είδους εφαρμογή. Η διαδικασία όμως που θέλει την JS παντού (στον server με node.js, στο linux desktop με gnome, σε smartphones με sensa touch κ.λ.π.) έχει αρχίσει ακόμα νωρίτερα με το Rhino project.
    Η JS δεν πάει που-θε-νά!
    Το πρόβλημα δεν είναι η ίδια η γλώσσα, αλλά το πως χρησιμοποιείται στον browser που εχμ… δεν είναι το πιο ασφαλές περιβάλλον.

  • ducklord

    Ενώ ΔΕΝ ξέρω προγραμματισμό (πέρα από τα βασικά σε HTML-CSS – που, όχι, ΔΕΝ είναι “προγραμματισμός” με την κανονική έννοια, μα… “συγγραφή δομημένων κειμένων”), νομίζω πως η ταχύτητα της JS παραμένει πρόβλημα όσον αφορά σε πιο απαιτητικές εφαρμογές. Ναι, μας καλύπτει για τις περισσότερες χρήσεις, μα ΔΕΝ είναι και η γλώσσα στην οποία θα έγραφε κανείς, π.χ., ένα αντίστοιχο του Painter (που φημίζεται για την καρα-smooth engine σχεδίασης του).

    Μιλάμε για μια γλώσσα που compiled, για να λειτουργεί “με την πατέντα της Mozilla” (που ξεχνάω το όνομα της, “εκείνη η καρα-optimized, μη-αναγνώσιμη από απλούς θνητούς, έκδοση της JavaScript), πετυχαίνει, στην καλύτερη, “δυο φορές πιο αργές επιδόσεις από τον native κώδικα”. Δηλαδή, σαν να παίρνεις έναν επεξεργαστή στα 2GHz και να σου τρέχει στο 1GHz (το υπερ-απλουστεύω για τον Μπάμπη της παρέας).

    Επιπλέον, ακόμη, από όσο γνωρίζω, δεν υπάρχουν standards π.χ. για το “πώς να γράψεις κώδικα που να εκμεταλλεύεται τα υπάρχοντα APIs ενός υπολογιστή” – υπάρχουν πολλές, εναλλακτικές, διαφορετικές μέθοδοι για να κάνεις τα ιδια πράγματα, με κάποιες να υπερτερούν στο Α, κάποιες στο Β, άλλες στο Γ, καμία “σε όλα”.

    Για να κλείνω: είναι, κατά βάση, “γλώσσα” SCRIPTING. Και μπορεί να είναι ευέλικτη, μα ήταν, είναι και θα παραμείνει, για πάντα, στον αιώνα τον άπαντα, πιο αργή από τον native κώδικα. Διότι στην καλύτερη, με κάποια τρελή, εξωγήινη τεχνολογία, άντε να καταφέρουν “να τη μεταφράζουν σε native κώδικα” με ΜΟΝΟ ένα 10% να χάνεται σε επιδόσεις (για την ώρα, χάνεται κατά μέσο όρο ένα 50%). ΚΑΙ ΠΑΛΙ θα είναι “10% πιο αργή” – διότι πάντα, μα πάντα, άγραφος κανόνας, ΔΕΝ είναι δυνατόν μια “μετάφραση” να είναι 100% πανομοιότυπη με ένα “original κείμενο γραμμένο εξαρχής στη μητρική γλώσσα ενός συγγραφέα” – και το ίδιο ισχύει ΚΑΙ για τον κώδικα σε διαφορετικές γλώσσες. Πάντα, μα πάντα, κάτι “χάνεται στη μετάφραση”.

  • ha’la’tha

    H “πατέντα της mozilla” που λες είναι η asm.js και είναι σε πολύ πρώιμο στάδιο, λογικά θα έχουμε σημαντικές βελτιώσεις.
    Με την V8, αν δεν κάνω λάθος, η javascript είναι γρηγορότερη από τις python και ruby, ενώ δεν μιλάμε καν για την php. Με άλλα λόγια ναι, έχεις ένα penalty σημαντικό σε σχέση με native code που προέρχεται από C/C++, αλλά και πάλι είναι ταχύτερη από τις γλώσσες στις οποίες είναι γραμμένο το μισό web και σίγουρα ικανή για πολλές εφαρμογές.
    Η έλλειψη APIs (στον browser) είναι γεγονός, αν και η κατάσταση βελτιώνεται συνεχώς.
    Ακόμα κι έτσι όμως, δεν εξαρτώνται όλες οι εφαρμογές που μπορεί να γραφτούν σε JS από το πόσο γρήγορη είναι η ίδια! Σε ένα in-browser game που μπορεί να εκμεταλλευτεί πλήρως το hw του υπολογιστή, ο κώδικας που είναι κυρίως υπεύθυνος για την απόδοση δεν είναι σε JS…. είναι native και υπάρχει είτε στον browser, είτε στο λειτουργικό.
    Το ίδιο ισχύει και για τις άλλες “scripting” γλώσσες. Για παράδειγμα, o torrent client deluge είναι “γραμμένος σε python”. Για την core λειτουργία του όμως χρησιμοποιεί την libtorrent, που είναι γραμμένη σε… C++, για το gui χρησιμοποιεί gtk (άρα C) και πάει λέγοντας.
    Αυτή η συμβίωση γλωσσών είναι πολύ διαδεδομένη σε games, στα οποία εδώ και χρόνια ότι δεν έχει σχέση με την ίδια την engine (low-level) είναι γραμμένο σε κάποια scripting language (συνήθως lua).
    Κάτι τέτοιο βλέπω και για το μέλλον της js :)
    (Ναι, καθάρισα πρόσφατα την κρυστάλλινη σφαίρα μου).
    Η διαφορά με τις άλλες είναι… ότι είναι η de facto γλώσσα ανάπτυξης για τον browser και μάλιστα σε τέτοιο βαθμό που να έχουμε ένα σωρό “μεταφραστές” άλλων γλωσσών σε αυτήν.