Aanvullend:

Dit topic is gisteren voor 2300 geüpload en niet geplaatst, maar pas vandaag na herhaald verzoek wèl geplaatst.
Het 'vandaag' in de starttekst is dus gisteren.

Aanvullend, het is op zich belend dat een SSL strip op een exitnode kan voorkomen maar ik heb het in jaren niet meegemaakt / gezien. Geen reden tot paniek maar wel een reden om goed te blijven opletten.
Een advies dat per definitie geldt omdat een SSL strip ook kan voorkomen met een andere browser en je bijvoorbeeld gebruik maakt van een publieke 'terras'-wifi.
Het is tenslotte zomer en lekker weer nietwaar?

Goed blijven opletten in het algemeen en dus ook met Torbrowser.
En houdt desgewenst de genoemde exitnode maar extra in het oog als ze toevallig voorbij komt in je verbindingslijst.

Groet t.s.


@ redactie dank voor het alsnog plaatsen van het topic omdat het een belangrijke waarschuwing betreft.

Wat een onsamenhangend verhaal... Wat bedoel je nu precies?

Wat een geneuzel. En waarvoor wil je een slotje / https zien ? Laat je hier persoonsgegevens achter ? Verricht je betalingen via deze website ? Ben je bang dat mensen je posts of reacties kunnen lezen, voordat deze publiek staat ? Of meen je dat alles op internet HTTPS moet zijn ? Wil je ook HTTPS wanneer je naar www.nu.nl gaat, of www.uitzendinggemist ?

Ik zou zeggen, denk eens in risico analyses, op basis waarvan je bepaalt welke maatregelen al dan niet nodig zijn.

Security.nl biedt al jaren de site alleen maar aan over https : daarom.

SSL gaat over security, wanneer die security gebroken wordt is dat relevant voor een security site als deze: punt.

Waarom zou je Security.nl via tor benaderen.
Ik snap dat niet.

Omdat de tussenliggende partij dan allerlei nare javascripts kan inserten bijvoorbeeld?

Onsamenhangend verhaal deze post. Ik heb geen idee waar je het nou precies over hebt, wat je wil bereiken, en hoe je eventueel een probleem oplost.

Hoe kun je dat zien?

Dat is inderdaad goed om rekening mee te houden.

In Tails, waar Tor-Browser een onderdeeltje van is, kun je bijv. de security op "medium" zetten, zodat er i.g.v. http in ieder geval geen javascript kan worden uitgevoerd.

Ik zie wel vaak "Unexpected failure" bij Preview of Reageren.

Die tor exit node in Roubaix is inderdaad verdacht, zoals hier gemeld met brute force attacks via SSH: http://blackhat.directory/ip/94.23.173.249

Franse mail hackers: http://botscout.com/ipcheck.htm?ip=94.23.173.249

Tevens ander soort brute force aanvallen, aanvallen op Word Press en Magento.
OVH SAS misbruik us, dat daar plaats heeft: https://www.abuseipdb.com/check/94.23.173.249

Geen MiM, maar Brute Force log-in pogingen.

Kijk waar je met tor er op gaat en waar eraf, liever daar waar de tor dienst het minst gecompromitteerd wordt, toch?

Frankrijk is een niet erg anonimiseringsvriendelijke tor-omgeving, vrij restrictieve overheid.

Nee.

Maak er niet weer een OS discussie van svp.

Het lag aan de exitnode.
Drie keer verbinding met deze site vernieuwd bleef een verbinding op normale http geven.
Na het vernieuwen van het Tor-netwerk cricuit en het hebben van een andere exitnode was het probleem weer over.
De verbinding was weer over https.

Wanneer iets wel als theoretisch risico bestaat kan je toch verbaasd zijn als het na jaren een keer in de praktijk voorkomt.
Reden om er extra op te attenderen, een attentie die geldt voor andere browser gebruikers en met name ook Torbrowser gebruikers.
Ik ben namelijk vast niet de enige die dit verder een hele prettige browser vindt omdat ze super easy je privacy beschermt en ook veilig is.

Maar niets is 100% veilig en alles vraagt om aandacht, altijd.
Dat lijken we nog wel eens te vergeten.
Een SSL strip kan je dus overkomen en als je niet oplet vervelende gevolgen hebben.
Opletten dus.

Blijven opletten valt overigens op sommige https sites niet mee door de afleidende elementen, maar dat is weer voer voor een ander topic.

Ahah
Ze is in ieder geval niet geblacklisted hier
http://www.blutmagie.de/

De enige die wel geblacklisted is is een node van Kaspersky Lab.
Kaspersky is geen aanhanger van Tor, dat is bekend.
Maar om daar nou actief gevolg aan te geven?

Benieuwd om als iemand de Tjechische node nog een keer voorbij ziet komen tijdens het browsen daar nog gemelde hinder van ondervindt.
Vinger aan de urlbar-pols.

En wat dacht je hier van? https://www.abuseipdb.com/check/94.23.173.249
Daarbij: een tsjechisch node gehost in Frankrijk... Ook niet iets wat je onmiddellijk verwacht.
Is het in dit geval dan geen Franse exit node?

O ja, nog even een vraagje: overkwam je dit nog met Tails 3.0 of was je al over naar Tails 3.0.1.
Bekend is dat de Tor versie in Tails 3.0 niet helemaal koosjer was met afscherm-nodes en exit-nodes.
En geen automatische update gedaan he? Want daarvan is ook al bekend dat je problemen krijgt.

Nee dat lag niet aan Tails.

Wat denk ik wel belangrijk is om te onderscheiden is of de eigenaar van de exit node rare dingen doet of dat er anderen zijn die rare dingen doen en dat dat verkeer (al dan niet toevallig, dus wel of niet bewust gekozen) over deze exit node ging.

Aangaande dat laatste maken blauwe petjes nog wel eens een vergissing, houden ze de eigenaar van de exitnode aan of nemen de exitnode server in beslag terwijl alleen verkeer van anderen er tijdelijk overheen ging.
Fout verkeer kan over alle exitnodes gaan maar het lijkt erop dat sommigen bewust alleen bepaalde exitnodes kiezen die in bepaalde landen liggen.

Maar het onderbreken van een beveiligde verbinding op een bepaald punt, de exitnode, dat lijkt me een kwestie van de beheerder zelf (of iemand die toegang heeft tot het beheer van die server).

Maar ik beheer geen exitnode en weet ook niet hoe je een ssl verbinding openbreekt, dus wie het beter weet mag het zeggen.

Maar van dat IP (in de kwaliteit van exit-node of niet) had dus of heeft nog misbruik plaatsgevonden.

Je gaat geen Word Press sites of Magento webshops lopen log-in brute-forcen....

dan is een blacklisting een logisch gevolg en volkomen op zijn plaats.

OVH is een grote goedkope Franse hoster met veel internationale klanten. Een OVH IP adres op zich is niet vreemd.

Misschien had iemand een dekmantel nodig voor activiteiten die het daglicht niet kunnen verdragen en dacht dat een exitnode daarvoor zou kunnen dienen.

Je kunt de locatie van entry en exitnodes configureren. Nodes kunnen ook worden uitgesloten. Als je dat doet wordt het mogelijk wel trager.

Iemand schreef op http://blackhat.directory/ip/94.23.173.249: "This Exit node does MitM on torbrowser connections by SSL stripping HTTPS traffic and changing them to insecure HTTPS!" De laatste HTTPS moet HTTP zijn?

VPN?...

Normaal gesproken heb je als Nederlandse surfer bij een Nederlandse website daar niet zo veel kans op, maar als
je via Tor gaat werken wordt dat een heel ander verhaal natuurlijk. Dat is in feite een uitnodiging om je eens goed in
de tang te nemen.

Link is totaal niet relevant bij elk OS systeem kan je de boel decrypten en opnieuw encrypten.
Als je de inhoud van mail of webverkeer wil inspecteren dan heb je die technische mogelijkheid, staat los van OS .
De beruchte https://en.wikipedia.org/wiki/Morris_worm (1988) ander OS. Internet is gewoon ontworpen zonder security zonder session awareness of wat dan ook. Het zij zou we zitten nu met het pleisterwerk. Het veiligere SNA (IBM) zou ik je niet aanraden als alternatief, het heeft het niet voor niets afgelegd.

Security en dan security by design privacy by desing is wezenlijker, moet je wel doosjes loslaten.

https://www.security.nl/ stuurt een HSTS header mee naar jouw browser, ook bekend als Strict Transport Security, met "max-age=31536000" in seconden. Met 86400 seconden in 24 uur is dat 365 dagen.

Als jij zo'n HSTS site bezoekt worden de domeinnaam (www.security.nl) plus de datum en tijd van jouw laatste bezoek in jouw persoonlijke browserprofiel opgeslagen of bijgewerkt.

Elke keer dat je een website opent zal jouw browser checken of daar een HSTS registratie voor bestaat in jouw profiel (t.g.v. een eerder bezoek). Als dat zo is (en de datum/tijd info niet verlopen zijn) zal jouw browser weigeren om http verbindingen te maken (uitsluitend https toestaan dus).

Dus wat jij schrijft kan niet - tenzij (of, of etc.):
- Jouw browser geen HSTS ondersteunt (een Tor "feature" wellicht om te voorkomen dat jij identificeerbaar bent? [1]);
- Jij, met die browser + opgslagen en hergebruikt gebruikersprofiel de afgelopen 365 dagen security.nl niet hebt bezocht;
- Het jou niet eerder is opgevallen dat jij met die browser + profiel nooit https://www.security.nl/ hebt gezien;
- Jouw gebruikersprofiel (met daarin HSTS data) niet wordt bewaard, bijv. omdat je steeds van een read-only medium opstart;
- De datum en tijd op jouw computer meer dan 365 dagen fout staat;
- De domeinnaam in de URL die jij zag slechts leek op de ASCII karakters www.security.nl (maar dan moet je op een foute link hebben geklikt).

Als 1 (of meer) van die issues spelen zou ik me eens goed afvragen of ik wel goed bezig ben, en niet beter een minder paranoïde setup kan gebruiken.

[1] http://www.radicalresearch.co.uk/lab/hstssupercookies/ (lees in elk geval onderaan)

Je mag wel anoniem bezig zijn met tor..Maar als je zo bezorgd bent over een man in the middle attack, waarom gebruik je dan een Tor browser, aangezien,een man in the middle attack daarmee vereenvoudigd wordt. En het bekend is dat de meeste exit nodes in handen zijn van "criminelen / overheidsinstanties". Denk dat als je Tor gebruikt, je je juist in een hoek duwt, waardoor je voor andere interessant wordt.

Anyway in dit geval, had je geen tor gebruikt, was er ook geen Man in the middel attack (Bij security.nl.. )

@ 'HSTS'wiper

https://www.torproject.org/projects/torbrowser/design/

Ook interessant
https://www.torproject.org/docs/faq.html.en

Verder hebben lang niet alle websites die https gebruiken ook HSTS geïmplementeerd.
Kijk maar naar de banken die daar met zijn allen toch ook langer dan een jaar over hebben gedaan.
En dan hebben we nog de vele lets encrypt gebruikers die net een stapje op weg zijn.

De onderliggende boodschap van dit topic blijft dus van kracht. : blijven opletten op je url bar
(juist bij sites waarvan je gewend bent dat ze een slotje hebben)

Suggestieve onzin

Ga je maar eens inlezen, dat is wat nuttiger dan maar wat roepen
https://www.torproject.org/projects/torbrowser/design/
https://www.torproject.org/docs/faq.html.en

Sterker nog, misschien is het binnenkort wel beter om Nederlandse entry en exitnodes helemaal te gaan mijden.
Torproject heeft geen zin om daarvoor een systeem op te tuigen maar het wordt onderhand wel een interessantere gedachte.
Nederland gaat namelijk proberen het internetverkeer in haar geheel te monitoren.

BigData analyses doen dan de rest en dan komen analyses op tijd gevaalijk in de buurt van welke geanonimiseerde wie wat bezoekt.

Nee, de tijd dat wij belerend wijzen naar anderen landen (Chine ed.) is niet meer houdbaar.

Het is eigenlijk wel apart. Je gebruikt TOR om aan de overheid monitoring te ontkomen, maar daarna vertrouw we je wel op een exit node die je eigenlijk helemaal niet kent. Dus eigenlijk ook niet te vertrouwen is.

Zijn dat dit 2 tegen strijdigheden?

Nee,

Omdat je aanname niet klopt en niet snapt hoe waar Torbrowser voor bedoeld is en waar het je wèl en waar het je niet tegen kan beschermen.

Ik gebruik geen Torbrowser om aan de overheid te ontkomen.
Ik gebruik die aangepaste ESR Firefox browser omdat ze op een heel simpele en heel doeltreffende gratis manier is om mijn privacy te bewaken tegenover een wereldwijde tracking industrie.

Dat het ook vrij goed beschermt tegen hitsige andere meekijkers met een embleempje van het een of het ander is mooi meegenomen (privacy is privacy) maar op zich niet waarvoor ik het gebruikte.
Er zijn echter landen waar je leven wel afhangt van je privacy (interesse) bescherming en waar jouw genoemde gebruik zeker wel van toepassing is.
Maar hier is het nog niet zover.
Hier gaat het niet over leven en dood, hooguit over een zeker comfort rondom mogelijk te genieten voordeel of nadeel.

Verder kan je het beste op de uitlegpagina's terecht van Torproject maar ik wil er best wat over zeggen.
Torbrowser beschermt jou privacy op een iets andere manier dan je gewend bent.

Bij privacy kan je denken: niemand krijgt bepaalde informatie.
Maar je kan ook denken: niemand kan die informatie aan een bepaalde persoon koppelen.
In beide gevallen is globaal gezegd je privacy beschermd.

In principe is het zo dat Torproject je aanraad om zoveel als mogelijk alleen https websites te bezoeken, dan is jouw informatie van begin tot eind beschermd omdat ze helemaal versleuteld is.
Wanneer dat verkeer dan toch onderweg wordt opengebroken dan zie je dat ook, dat is ook de uitzondering waar dit topic over gaat en waarvoor ik in algemene zin ook wilde waarschuwen.

Bij niet versleutelde http verbindingen is vanaf de exitnode waar jouw verkeer vanaf Tornetwerk het wereldwijde web opgaat niet meer versleuteld en dus onderweg mee te lezen.
Maar het is niet bekend bij wie die informatie hoort, dat wil zeggen wie die pagina bezoekt want het eerste deel van de route vanaf jou computer over het Tornetwerk is versleuteld en geanonimiseerd.

Het is dus niet tegenstrijdig om Torbrowser te gebruiken om je privacy te gebruiken.
Maar je moet je wel aan een aantal basisregels houden.
De belangrijkste staan onderaan de download pagina van Torproject.
https://www.torproject.org/download/download-easy.html.en

Sommige mensen zeggen, je moet nooit onder je eigen naam iets doen met Torbrowser want anders heeft het geen zin.
Dat is niet helemaal waar.
Facebook heeft bijvoorbeeld ook een website op het Tornetwerk (wat sommigen met veel bangmakende tamtam het donkere web noemen)
https://www.facebookcorewwwi.onion/
Mensen riepen in het begin dat dat onzin was omdat Facebook toch wel wist wie jij was.
Dat klopt helemaal, maar het idee erachter was niet om je identiteit voor Facebook af te schermen maar voor overheden die niet graag zien dat hun burgers Facebook bezoeken.

Als er gevangenisstraf of erger staat op het bezoeken van Facebook, dan is zon adres dus heel erg nuttig en functioneel; je beschermt je privacy tegenover een overheid die jou bepaalde rechten niet gunt.

Over rechten voor burgers kan je discussiëren en twisten.
Sommige overheden willen daar helemaal niet over discussiëren en willen dat graag zelf bepalen.

Dat risico gaan we hier in zekere zin ook lopen, een overheid die je straks bij alles probeert te volgen en je hebt geen idee wat dat nationaal of internationaal voor consequenties heeft.
Daar hoef je echt geen actievoerder voor te zijn die onderweg naar Hamburg ineens bij de grens (eh die waren toch open?) wordt aangehouden (niet dat ik voor rellen ben en niet dat deze mensen relschoppers waren, dat weet ik niet. Wel jammer dat de kleinste groep het voor de grootste verpest. 100.000 mensen die wel nadenken, kom daar in nl nog maar eens om.).
Aangehouden straks omdat je privacy niet wordt gerespecteerd, omdat men stiekem van alles op de achtergrond heeft verzameld door alles te tappen. Aangehouden om computerbepaalde redenen die niet eens hoeven te worden gaan genoemd : computer says no.

Dus het is op zich heel begrijpelijk als meer mensen in de nabije toekomst voor de super eenvoudige oplossing van Torbrowser gaan kiezen om niet alleen de reclame industrie een hak te zetten maar ook om op te komen voor een recht op privacy.
En daarbij is het op zich ook een heel prettige ontwikkeling dat steeds meer websites over gaan op https want dan is dus ook het verkeer vanaf de exitnode versleuteld.

Maar zoals met alles kan techniek je niet voor stommiteiten of ongelukken behoeden, een deel van security zal altijd mede afhangen van je eigen oplettende houding.
Sommigen noemen dat ook wel eigen verantwoordelijkheid.

WTF onderliggende boodschap? Subject is "MitM op security.nl !!" en de TS heeft het nergens over andere sites.

Gebruik een fatsoenlijke browser, problem fixed.

Als je MiTM kan uitvoeren, dan kan je ook web injecten ;) Dus heel erg gevaarlijk

Zowel met tor als vpn Success: https://amiunique.org (sorry voor de schrik die je nu mogelijk krijgt).

En post je werkelijk zulke vreemde dingen dat de beheerders niet mogen zien dat iemand mogelijk meerdere Posts doet?

Als een site HSTS gebruikt en jij een fatsoenlijke browser, waarmee je niet al te lang geleden die site hebt bezocht, moet een aanvaller heel veel moeite doen om een geslaagde MitM aanval uit te voeren en/of content te injecteren zonder dat jij een certificaatwaarschuwing krijgt - zonder HSTS is dat een koud kunstje.

@ Bitwiper,

Daarom alleen al zou men werk moeten maken van het invoeren van Security Headers.
Zie test hier: https://observatory.mozilla.org/analyze.html?host=www.security.nl

De trackers en profilers zijn inmiddels al zo veel verder dan degenen die ertegen dienen te beveiligen,
zie bijvoorbeeld een issue als Keyboard Privacy, zo veel manieren om je uniek te fingerprinten
en api sleutels etc. etc.

We voeren een achterhoedegevecht, maar sommigen zoals jij zijn al wel alert.
Hier dragen we deze kennis uit, maar hoe lang duurt tot het gemeengoed worden kan.

lauferek

Headers helpen niet bij een dergelijke MITM bij de exit node. (even afgezien of dat wel mogelijk is; het lijkt me sterk)
Maar stel dat het mogeliujk is, dan ben je al geMitMt voordat jouw websitebezoekrequest bij www.security.nl aankomt.

Wie zou er toch weer een abuse reportje hebben ingediend over deze draad?
Wie hebben er belang bij dat een dergelijke IP niet direct wordt geblokkeerd?

Zoek maar op het IP adres en je ziet deze security.nl abuse melding bij de zoekresultaten.

Meer geven Ip op als de bron van een heleboel misbruik, bulk spam en zelfs tor exit node spam: https://www.stopforumspam.com/ipcheck/94.23.173.249
Als frauduleus IP: https://www.maxmind.com/en/high-risk-ip-sample/94.23.173.249
Als bulk spambot adres: https://cleantalk.org/blacklists/94.23.173.249
Geblacklist door 20 websites: https://www.ip-finder.me/94.23.173.249/
Als geblokkeerde spam tor exit node: https://www.webiron.com/abuse_feed/94.23.173.249
Ook interessant is de bulk list hier: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=94.23.173.249&port=80

So "look before you leap, folks!"

lauferek

Waarschijnlijk niemand.
Die abuse link bestaat nu eenmaal, en die domme zoekmachines pikken hem dan automatisch op.

@ anoniem van 21:13

Dat is dan een pak van mijn hart. Je voelt je op het Internet inderdaad steeds meer gevolgd.
En Google kan je af en toe al lekker bang maken, anders social media wel.

Voor de site hier kon ik het volgende vaststellen:

HTTP Strict Transport Security (HSTS) header set to a minimum of six months (15768000) zie:
https://observatory.mozilla.org/analyze.html?host=www.security.nl

In Iridium browser, kan ik hier checken: "chrome://net-internals/#hsts" of het ondersteund wordt (HSTS nml.).

static_sts_domain:
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains:
static_sts_observed:
static_pkp_domain:
static_pkp_include_subdomains:
static_pkp_observed:
static_spki_hashes:
dynamic_sts_domain: security.nl
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: false
dynamic_sts_observed: 1499632401.287811
dynamic_pkp_domain:
dynamic_pkp_include_subdomains:
dynamic_pkp_observed:
dynamic_spki_hashes:

Hoe belangrijk is dit voor firefox binnen tor?

Ja, als het de eerste keer is dat je met die webbrowser + profiel security.nl bezoekt door zelf met een http URL te beginnen.

Nee, als je met die webbrowser + profiel eerder, doch niet langer dan 365 dagen geleden, een succesvolle (zonder certificaatfouten) verbinding met security.nl hebt gehad: het maakt dan niet uit of je met https of http begint (jouw webbrowser zal dan elk http verzoek van jou automatisch in https omzetten voordat het verbindingsverzoek wordt uitgestuurd).

Bij een https verbinding met www.security.nl krijg je ALTIJD een certificaatfoutmelding als die verbinding wordt geMitMed of als je door DNS manipulatie op een andere server dan de Cloudflare front end server voor security.nl site uitkomt. Hier zijn uitzonderingen op (in elk geval gestolen of gelekte private key, onterecht uitgegeven certificaat, kwaadaardige rootcert in jouw browser of OS of anders gemanipuleerde browser, kraakbare ciphers en andere TLS issues) maar de kans daarop is erg klein. En nog eens extra klein als mijn vermoeden, dat noch geheime diensten, noch cybercriminelen, baat hebben bij het MitMen van verbindingen met security.nl.

HSTS is TOFU (Trust On First Use) met beperkte tijdsduur voor het https protocol. Een klein beetje vergelijkbaar met ssh: de eerste keer dat je met een specifieke client een verbinding maakt met een server is die eenvoudig te MitMen (tenzij je via een ander kanaal hebt vastgesteld wat de getoonde fingerprint moet zijn). Daarna kom je daar als aanvaller niet meer tussen zonder dat jij een waarschuwing te zien krijgt dat de fingerprint is gewijzigd.

Lees je eens in in HSTS. Dat is iets dat m.i. elke https website zou moeten ondersteunen, juist omdat het een eenvoudig maar heel krachtig middel is tegen MitM aanvallen tegen onwetende gebruikers die als URL "security.nl" (zonder https ervoor) invoeren.

PS ik begrijp niet dat er tor gebruikers bestaan die zodanig security-unaware zijn dat ze niet eerst https intikken voor elke site die ze bezoeken (naast het dubbelchecken op spelfouten in de domeinnaam). Als https niet werkt kun je altijd nog handmatig http proberen (tenzij eerder verkregen HSTS data jou dat onmogelijk maakt), maar dan weet je in elk geval zeker dat er meegekeken en/of gemanipuleerd kan worden.

Bedankt Bitwiper voor je waardevolle informatie en het onderstrepen van de betekenis van HSTS ondersteuning op websites. Ik ga me verder inlezen en ben dankbaar dat ik hier met zo veel waardevolle info de weg wordt gewezen.
We staan steeds op elkanders shouders.

lauferek