Як працює OnionShare

Вебсервери локально запускаються на вашому комп’ютері та стають доступними для інших людей як Tor onion служби.

Типово, вебадреси OnionShare захищено випадковим паролем. Типова адреса OnionShare може виглядати приблизно так:

http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion

Ви відповідальні за безпечний доступ до цієї URL-адреси за допомогою вибраного вами каналу зв’язку, як-от у зашифрованому повідомленні чату, або за використання менш захищеного повідомлення, як от незашифрований електронний лист, залежно від вашої моделі загрози.

Люди, яким ви надсилаєте URL-адресу, повинні копіювати та вставити її до Tor Browser, щоб отримати доступ до служби OnionShare.

Якщо ви запустили OnionShare на ноутбуці, щоб надіслати комусь файли, а потім зупинити його роботу перед надсиланням файлів, служба буде недоступна, доки роботу ноутбука не буде поновлено і знову з’явиться в Інтернеті. OnionShare найкраще працює під час роботи з людьми в режимі реального часу.

Оскільки ваш власний комп’ютер є вебсервером, ніхто сторонній не може отримати доступ до будь-чого, що відбувається в OnionShare, навіть розробники OnionShare. Це цілком приватно. Оскільки OnionShare теж базується на onion службах Tor, вашу анонімність також захищено. Докладніше про це у статті про побудову безпеки.

Надсилання файлів

Ви можете використовувати OnionShare, щоб безпечно та анонімно надсилати файли та теки людям. Просто відкрийте вкладку спільного доступу, перетягніть файли та теки, якими хочете поділитися і натисніть «Почати надсилання».

_images/share.png

Після додавання файлів з’являться параметри. Перед надсиланням, переконайтеся, що вибрано потрібний параметр.

_images/share-files.png

Як тільки хтось завершив завантажувати ваші файли, OnionShare автоматично зупиняє сервер, вилучивши вебсайт з Інтернету. Якщо ви хочете дозволити кільком людям завантажувати ці файли, приберіть позначку біля пункту «Закрити доступ, коли файли надіслано (приберіть позначку, щоб дозволити завантаження окремих файлів)».

Також, якщо прибрати цю позначку, користувачі зможуть завантажувати окремі файли, які ви надсилаєте, а не одну стиснуту версію всіх файлів.

Коли ви будете готові поділитися, натисніть кнопку «Почати надсилання». Ви завжди можете натиснути «Зупинити надсилання» або вийти з OnionShare, щоб негайно вимкнути вебсайт. Ви також можете натиснути піктограму «↑» у верхньому правому куті, щоб побачити журнал та поступ надсилання файлів.

_images/share-sharing.png

Тепер, коли у вас є OnionShare, копіюйте адресу та надішліть людині, якій ви хочете надіслати файли. Якщо файли повинні бути захищеними або особа піддається небезпеці, скористайтеся застосунком зашифрованих повідомлень.

Потім ця особа повинна завантажити адресу в Tor Browser. Після входу за випадковим паролем, який міститься у вебадресі, вони зможуть завантажити файли безпосередньо з вашого комп’ютера, натиснувши посилання «Завантажити файли» в кутку.

_images/share-torbrowser.png

Отримання файлів

Ви можете користуватися OnionShare, щоб дозволити людям анонімно завантажувати файли безпосередньо на ваш комп’ютер, по суті, перетворивши його на анонімну скриньку. Відкрийте вкладку «Отримання», виберіть, куди потрібно завантажувати файли, та інші параметри, а потім натисніть «Запустити режим отримання».

_images/receive.png

Запуститься служба OnionShare. Будь-хто, хто завантажить цю адресу в Tor Browser, зможе завантажувати файли на ваш комп’ютер.

_images/receive-sharing.png

Також можна клацнути піктограму «↓» у верхньому правому куті, щоб побачити журнал і перебіг надсилання файлів.

Ось як це виглядає для когось, хто надсилає вам файли.

_images/receive-torbrowser.png

Коли хтось завантажує файли до вашої служби отримання, типово вони зберігаються у теці з назвою OnionShare у вашій домашній теці вашого комп’ютера та автоматично впорядковуються до окремих підтек за часом завантаження файлів.

Параметри служби отримання OnionShare корисні для журналістів та інших осіб, яким потрібно безпечно отримувати документи від анонімних джерел. Використовуючи таким чином, OnionShare як легку, простішу, не настільки безпечну версію SecureDrop, системи подання таємних повідомлень викривачів.

Використовуйте на власний ризик

Як і у випадку зі шкідливими вкладеннями електронної пошти, можливо, хтось спробує зламати ваш комп’ютер, завантаживши шкідливий файл до вашої служби OnionShare. OnionShare не додає жодних механізмів безпеки, щоб захистити вашу систему від шкідливих файлів.

Якщо ви отримали документ Office або PDF-файл за допомогою OnionShare, ці документи можна перетворити на PDF-файли, які можна безпечно відкрити за допомогою Dangerzone. Ви також можете захистити себе під час відкриття недовірених документів, відкривши їх у одноразових віртуальних машинах Tails або в Qubes.

Поради щодо запуску служби отримання

Якщо ви хочете розмістити свою власну анонімну скриньку за допомогою OnionShare, радимо робити це на окремому виділеному комп’ютері, який завжди ввімкнено та під’єднано до Інтернету, а не на тому, яким ви користуєтеся регулярно.

Якщо ви маєте намір рекламувати адресу OnionShare на своєму вебсайті або в профілях соціальних мереж, вам слід зберегти вкладку (докладніше Збереження вкладок) і запустити її як загальнодоступну службу (докладніше Вимкнення паролів).

Розміщення вебсайту

Для розміщення статичного вебсайту HTML за допомогою OnionShare відкрийте вкладку вебсайту, перетягніть файли та теки, що є статичним вмістом і натисніть кнопку «Почати надсилання», коли будете готові.

_images/website.png

Якщо ви додасте файл index.html, коли хтось завантажить ваш вебсайт, він покаже цю сторінку. Слід також включити будь-які інші файли HTML, файли CSS, файли JavaScript та зображення, що складають вебсайт. (Зуважте, що OnionShare підтримує розміщення лише статичних вебсайтів. Він не може розміщувати вебсайти, які виконують код або використовують бази даних. Тож ви не можете, наприклад, використовувати WordPress.)

Якщо у вас немає файлу index.html замість нього буде показано список каталогів, а люди, які завантажують його, зможуть оглядати файли та завантажувати їх.

Після додавання файлів з’являться параметри. Перед надсиланням, переконайтеся, що вибрано потрібний параметр.

_images/website-files.png

Політика безпеки вмісту

Типово OnionShare допоможе захистити ваш вебсайт, встановивши надійний заголовок Content Security Police. Однак, це запобігає завантаженню сторонніх матеріалів на вебсторінку.

Якщо ви хочете завантажити вміст зі сторонніх вебсайтів, як-от активи або бібліотеки JavaScript із CDN, то перед запуском служби потрібно встановити позначку «Не надсилати заголовок політики безпеки вмісту (дозволяє вебсайту застосовувати сторонні ресурси)».

Поради щодо запуску служби розміщення вебсайту

Якщо ви хочете розмістити довгостроковий вебсайт за допомогою OnionShare (це не просто для того, щоб швидко комусь щось показати), рекомендовано робити це на окремому виділеному комп’ютері, який завжди ввімкнено та під’єднано до Інтернету, а не на той, яким ви користуєтеся регулярно. Вам також слід зберегти вкладку (подробиці Збереження вкладок), щоб ви могли відновити вебсайт з тією ж адресою, якщо закриєте OnionShare і знову відкриєте його пізніше.

Якщо ваш вебсайт призначено для загального перегляду, вам слід запустити його як загальнодоступну службу (подробиці Вимкнення паролів).

Спілкуйтеся таємно

Ви можете застосовувати OnionShare для створення цілком анонімної, захищеної кімнати чату, яка нічого не реєструє. Просто відкрийте вкладку чату та натисніть «Запустити сервер чату».

_images/chat.png

Після запуску сервера копіюйте адресу OnionShare і надішліть її людям, які приєднаються до цієї анонімної кімнати чату. Якщо важливо обмежити коло, хто може приєднатися, ви повинні використовувати зашифровані програми обміну повідомленнями для надсилання адреси OnionShare.

_images/chat-sharing.png

Люди можуть приєднатися до чату, завантаживши його адресу OnionShare у Tor Browser. Для чату потрібен JavasScript, тому всі, хто хоче взяти участь, повинні встановити рівень безпеки на «Стандартний» або «Безпечніший» замість «Найбезпечніший».

Коли хтось приєднується до чату, йому присвоюється випадкове ім’я. Вони можуть змінити своє ім’я, ввівши нове ім’я у полі на панелі ліворуч та натиснувши ↵. Попередні повідомлення взагалі не з’являться, навіть якщо інші вже спілкувалися в чаті, оскільки історія чату ніде не зберігається.

_images/chat-torbrowser.png

У чаті OnionShare всі анонімні. Будь-хто може змінити своє ім’я на яке завгодно і жодного способу підтвердження особи не існує.

Однак, якщо ви створюєте чат OnionShare і безпечно надсилаєте адресу лише невеликій групі надійних друзів за допомогою зашифрованих повідомлень, то ви можете бути обґрунтовано впевнені, що люди, які приєднуються до чату, є вашими друзями.

Чим це корисно?

Якщо вам вже потрібно використовувати програму обміну зашифрованим повідомленнями, то який сенс спілкування в OnionShare? Він залишає менше слідів.

Наприклад, якщо ви надсилаєте повідомлення до групи в Signal, копія повідомлення потрапляє на кожен пристрій (телефони та комп’ютери, якщо на них встановлено Signal для комп’ютерів) кожного з учасників групи. Навіть якщо ввімкнено зникання повідомлень, важко впевнитися, що всі копії повідомлень було фактично видалено з усіх пристроїв та з будь-яких інших місць (наприклад, баз даних сповіщень), до яких вони могли бути збережені. Кімнати чатів OnionShare ніде не зберігають жодних повідомлень, тож проблему мінімізовано.

Кімнати чатів OnionShare також можуть бути корисними для людей, які хочуть анонімно та безпечно спілкуватися з кимось, не створюючи жодних облікових записів. Наприклад, джерело може надіслати журналісту адресу OnionShare за допомогою одноразової адреси електронної пошти, а потім зачекати, поки журналіст приєднається до чату і все це без шкоди для їхньої анонімности.

Як працює шифрування?

Оскільки OnionShare покладається на onion служби Tor, з’єднання між Tor Browser та OnionShare захищено наскрізним шифруванням (E2EE). Коли хтось публікує повідомлення в кімнаті чату OnionShare, він надсилає його на сервер через E2EE onion з’єднання, який потім надсилає його всім іншим учасникам чату за допомогою WebSockets через їхні E2EE onion з’єднання.

OnionShare самостійно не здійснює жодне шифрування чату. Натомість він покладається на шифрування служби onion служби Tor.