• XSS.stack #1 – первый литературный журнал от юзеров форума

нужна помощь с onion

Отслеживать

Dart

RAM
Пользователь
Регистрация
23.12.2022
Сообщения
117
Реакции
43
клиент (браузер) должен зафетчить дату с onion ресурса.
tor binary вряд ли можно тривиальным способом вкорячить в браузер, если вообще возможно.
использовать внешние прокси не удобно, нужно держать отдельный хост с запущенным тором.
можно использовать паблик gateway, например *.onion.foundation - удобно, но все запросы логируются и просматриваются.
мб есть возможность замутить какой-то хитрый dns lookup и слать запросы без прокси? что-то подобное
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Что мешает использовать в браузере прокси тора 127.0.0.1:9050?
 
int3 сказал(а):
Что мешает использовать в браузере прокси тора 127.0.0.1:9050?
тор нужен только для протекции апи. сайт находится в клире, следовательно клиент тоже, следовательно он не может взять и зафетчить тор. вынуждать клиента использовать тор не хочется, отсюда вся пляска
 
То есть в любом случае у тебя клирнет, потому что пользователь не хочет ставить тор.

Ты можешь установить тор на этот же сервер и выкачивать им данные с онион-ресурсов хоть курлом (только сокс пропиши). Данные можно и потоком сразу отдавать пользователю, то я это не рекомендую делать, потому что сеть крайне не стабильная. Лучше в 2 этапа: скачать с тора по запросу клиента, а потом отдать ему скачанный файл.
 
darkmode_code сказал(а):
То есть в любом случае у тебя клирнет, потому что пользователь не хочет ставить тор.

Ты можешь установить тор на этот же сервер и выкачивать им данные с онион-ресурсов хоть курлом (только сокс пропиши). Данные можно и потоком сразу отдавать пользователю, то я это не рекомендую делать, потому что сеть крайне не стабильная. Лучше в 2 этапа: скачать с тора по запросу клиента, а потом отдать ему скачанный файл.
забыл уточнить: веб сервера нет. статика.. ну.. можно сказать в cdn. то есть в точке соприкосновения с юзером нет возможности что-то дополнительно сделать. есть только браузер клиента
 
Dart сказал(а):
есть только браузер клиента
в таком случае нужно добавлять дополнительный сервер, на котором будет установлен тор и который будет ходить через него на целевой хайден сервис и сохранять полученные данные в бд. На этот сервер добавить обработчики запросов от фронта, находящего в cdn, а на сам фронт, соответственно, код, который позволяет делать запросы к созданному ранее серверу
 
HostBost сказал(а):
в таком случае нужно добавлять дополнительный сервер, на котором будет установлен тор и который будет ходить через него на целевой хайден сервис и сохранять полученные данные в бд. На этот сервер добавить обработчики запросов от фронта, находящего в cdn, а на сам фронт, соответственно, код, который позволяет делать запросы к созданному ранее серверу
понимаю, спасибо. но тема создана в надежде услышать какой-то способ избежать необходимости в подобном прокси сервере. для этого есть веские причины
 
Игры с DNS точно не помогут, это тупо разные технологии onion routing и DNS.

Навскидку, задача решения не имеет. Если овчинка прямо стоит выделки, можно попытаться найти реализацию onion роутинга средствами js в браузере, но мне готовых решений не попадалось, парочка старых и сырых. Очень старых и очень сырых.

Но скорее всего, как обычно, что не решается программно, приходится решать организационно. Либо ищем способ попасть на API мимо тора (договариваемся с владельцами, чтобы дали доступ напрямую при условии какой-то авторизации клиента, токены/куки/рефереры/хз-что-еще), либо проксируем и притворяемся какой-нибудь гугл-статистикой. Под проксированием я подразумеваю любые tor2web решения.
 
allinone сказал(а):
Игры с DNS точно не помогут, это тупо разные технологии onion routing и DNS.

Навскидку, задача решения не имеет. Если овчинка прямо стоит выделки, можно попытаться найти реализацию onion роутинга средствами js в браузере, но мне готовых решений не попадалось, парочка старых и сырых. Очень старых и очень сырых.

Но скорее всего, как обычно, что не решается программно, приходится решать организационно. Либо ищем способ попасть на API мимо тора (договариваемся с владельцами, чтобы дали доступ напрямую при условии какой-то авторизации клиента, токены/куки/рефереры/хз-что-еще), либо проксируем и притворяемся какой-нибудь гугл-статистикой. Под проксированием я подразумеваю любые tor2web решения.
спасибо за ответ. да, есть js имплементации тор протокола, но hidden service'ы они не поддерживают. решил в итоге паблик гейтвей использовать с дополнительным уровнем шифрования
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх