¿Hay algún problema con la Política del mismo origen (SOP) con direcciones TOR o * .onion?
Estoy pensando en
- cookies
- Complementos (Silverlight, Flash, Java, etc.)
- Javascript
¿Hay algún problema con la Política del mismo origen (SOP) con direcciones TOR o * .onion?
Estoy pensando en
No he examinado realmente Tor, pero teóricamente no hay ningún problema con ninguna política del mismo origen. Tampoco encuentro fácilmente que se mencionen problemas en la práctica.
Aquí hay un bosquejo de la teoría. La política del mismo origen está ligada a tres valores. Primero está el protocolo de la capa de aplicación en la forma del esquema del protocolo URI, como "http" o "https", que combina HTTP con el cifrado mediante SSL / TLS. El siguiente es otro protocolo de capa de aplicación, el DNS del sistema de nombres de dominio, en la forma del nombre de host. El último es un pequeño valor del protocolo TCP de la capa de transporte, específicamente el número de puerto. Puede usar Internet durante años sin darse cuenta de que los números de puerto están en uso porque la mayoría de los sitios usan el número de puerto "bien conocido" para cada protocolo de capa de aplicación. Los números de puertos conocidos incluyen el puerto 80 para http y el puerto 443 para https.
En la abstracción denominada Modelo OSI, un protocolo de capa de transporte transporta cualquier tráfico de capa de aplicación sin que ninguna de las dos se preocupe mucho por los detalles de lo que sucede en la otra capa. En realidad, TCP realmente no se ajusta al modelo OSI, pero para los propósitos actuales es lo suficientemente cercano. Tor funciona a nivel de TCP, un protocolo de capa de transporte, por lo que es casi todo lo que tenemos que decir al respecto.
El software cliente que realiza la conexión a un nodo Tor crea una conexión proxy SOCKS. SOCKS es un protocolo de capa de aplicación que puede llevar un protocolo de capa de transporte, específicamente TCP. Eso es todo lo que tenemos que decir al respecto. Pero voy a escribir más de todos modos.
Para reforzar nuestra intuición, aquí hay una breve descripción de lo que sucede a continuación. Con la conexión de proxy SOCKS en su lugar, el software cliente de la red puede enviar el tráfico TCP normal a través de esa conexión y a la red enrutada por cebolla. Cuando el tráfico TCP ingresa a la red de enrutamiento de cebolla, el manual de Tor dice que Tor negocia un circuito virtual, una ruta de red TCP que es persistente (a corto plazo). El circuito virtual permite que el tráfico TCP normal del software normal del cliente pase a través de él, excepto por el hecho importante de que el enrutamiento de la cebolla se envuelve y desenvuelve a su alrededor en el camino. En el nodo de salida de la red con enrutamiento de cebolla, se produce el importante efecto de ventriloquismo. A cualquier persona del lado opuesto de la red con enrutamiento de cebolla le parece que el software del usuario Tor está enviando y recibiendo en el nodo de salida.
El software del lado del cliente Tor recomendado, que se llama Tor Browser Bundle, ayuda a preservar el anonimato al hacer que el software del lado del cliente de cada usuario de Tor sea prácticamente el mismo. El paquete proporciona la extensión NoScript para Firefox. Esta copia de NoScript está configurada explícitamente no para evitar que los sitios ejecuten JavaScript en el navegador. Eso me da más confianza de que se espera que JavaScript funcione y, por lo tanto, que hay poca o ninguna dificultad con la política del mismo origen. La política del mismo origen (SOP) de JavaScript es en realidad un poco más restrictiva que la SOP para otras funciones de cliente web como cookies y complementos, por lo que confío en que también funcionen bien.
El navegador no puede saber si .onion es un tld "especial" o "normal", por lo que no hay razón para que cambie su SOP.
Es como preguntar si hay un comportamiento diferente con * .com que con * .us;)
Si usas Tor como proxy, es como un proxy de calcetines "normal". Los sitios deberían funcionar como se espera sin ningún cambio.
Al navegar por la Web y, en general, navegar por Internet con Tor, Tor es su ISP "virtual" (con los problemas habituales de confianza WRT su ISP: podría alterar el tráfico). Esto es lo mismo con una VPN.
Así que no hay un problema especial aquí.
Lea otras preguntas en las etiquetas web-browser privacy cookies tor same-origin-policy