Analecto

13 de abril de 2013

Melancolia do “javascript”.

Tails recebeu atualizações críticas. Por acaso, este também é o mês de atualização do Ubuntu. Só que, diferente do Ubuntu, Tails não atualiza automaticamente, o que é escusável. Portanto, tenho que arrumar a nova versão e começar tudo de novo. Me pergunto se, já que não estou realmente usando o volume de persistência, manter a imagem num disco ao invés de um pen drive não seria a melhor opção. Além do mais é o recomendado.

Descobri hoje que a equipe do Tor na verdade recomenda que você deixe o javascript habilitado. Isso é muito suspeito, tão suspeito que o pessoal configura máquinas virtuais para acessar a rede Tor. Afinal, javascript executado localmente pode revelar seu traseiro no Toonface. De acordo com um par de pessoas num fórum obscuro, Noscript, a ferramenta usada pelo Tor Browser para desabilitar javascript, é útil mesmo quando não desabilita javascript globalmente ou mesmo quando não se faz uso da lista branca (isto é, permitindo javascript) porque, supostamente, a extensão ainda bloqueia o uso “impróprio” do javascript mesmo quando habilitado globalmente. Eu nunca ouvi falar disso antes.

Tenho pesquisado um pouco o Noscript visto que a explicação da equipe do Tor não colou muito. De acordo com eles, um nó de saída ou um servidor qualquer é capaz de identificar e separar grupos de usuários ao detectarem que javascript está desabilitado. Assim, eles criam bases de usuários agregados nesse critério, ou seja, fazem dois grupos: os que usam javascript e os que não usam. Tecnicamente, isso te faz “menos anônimo”. Bom, é verdade, mas o meu IP não está escondido, isto é, o nó de saída (por exemplo) não verá o IP do retransmissor imediatamente anterior (ou nenhum IP, se o pedido tiver vindo de um pseudomínio)? O problema seria o script entrar na sua máquina e enviar o IP para um servidor (sem usar o Tor), o que parece ser uma preocupação maior, visto que sua localização seria certamente identificada, algo pior do que ser enquadrado num grupo de usuários cujos IPs podem ser apenas especulados pelos administradores de um servidor ou nó de saída. Ou talvez eu tenha entendido tudo errado. De toda forma, enquanto digito isto, vi que o ícone do Noscript está com um sombreamento diferente e cliquei pra ver o que era. Mesmo com javascript não desabilitado globalmente, ele ainda bloqueou o Google Analytics. Isso significa que, mesmo sem bloquear scripts globalmente, ele ainda bloqueia scripts de terceiros, permitindo apenas os scripts da página atual. Ainda assim…

Como dito, fiz umas pesquisas relacionadas ao Noscript e vi que, no Tor Browser, nem todos os elementos são permitidos mesmo. Ao “bloquear scripts globalmente”, o que você na verdade está fazendo é marcando várias caixas nas configurações. Mesmo sem bloquear globalmente, algumas coisas decisivas são bloqueadas:

  1. <A PING>
  2. XSLT
  3. Java
  4. Flash
  5. Silverlight
  6. <AUDIO>
  7. <VIDEO>

E essas coisas estão bloqueadas até mesmo nos sites ditos confiáveis, que não são muitos (a lista branca padrão é minúscula). Então, as configurações padrão do Noscript no Tor Browser na verdade podem ser resumidas como “javascript permitido, mas outras coisas que o tornam perigoso não”. A permissão “global” tem várias exceções.

Uma coisa interessante é que o Tails traz um suporte básico a outra rede de anonimato parecida com o Tor: o I2PMuito me atrai o fato de haver um cliente de blog experimental que trabalha com essa rede. Claro que não faz muita diferença visto que neste momento estou digitando pelo Tor, mas eu resolvi tentar só pra ver como é. Tor ainda é meu favorito porque eu posso configurar todo o meu tráfego para passar por ele, ao passo que parece que I2P é mais orientado à clientes.

Por último, não menos importante, perdi o trabalho do professor. Dane-se esta droga; dei meu melhor e não acho o livro que tenho que pesquisar em português (só em latim).

Anúncios

Deixe um comentário »

Nenhum comentário ainda.

RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: