Принципы работы OnionShare

OnionShare запускает службы локально на компьютере пользователя и затем делает их доступными другим людям при помощи`Tor <https://www.torproject.org/>`_ onion сервисов.

По умолчанию, веб адреса OnionShare защищены случайным паролем. Пример типового адреса OnionShare выглядит так:

http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion

Безопасность передачи этого адреса зависит от пользователя OnionShare. Исходя из модели угрозы, можно использовать либо приложение для обмена зашифрованными сообщениями, либо сервис электронной почты без шифрования.

Чтобы получить доступ к сервисам OnionShare, получатели веб-адреса должны скопировать и вставить его в адресную строку Tor Browser.

Если запуск OnionShare производится на ноутбуке и используется для отправки файлов, то, в случае перехода операционной системы в «спящий режим», сервис OnionShare будет недоступен до тех пор, пока у ноутбука не будет восстановлено соединение с сетью Internet. Рекомендуется использовать OnionShare для взаимодействия с другими людьми в режиме «реального времени».

Поскольку комьютер пользователя является одновременно веб-сервером, никакие третьи лица не имеют доступа к внутренним процессам OnionShare, включая разработчиков. Приложение полностью приватно. И, поскольку работа OnionShare основана на использовании onion сервисов сети Tor, он также защищает анонимность пользователя. Дополнительную информацию можно найти :здесь:`Обеспечение безопасности </security>`.

Отправка файлов

OnionShare позволяет анонимно и безопасно отправлять файлы и директории другим людями. Для этого нужно открыть вкладку «Отправить», «перетащить» в приложение файлы и директории, которые нужно отправить и нажать кнопку «Сделать доступным для скачивания».

_images/share.png

После добавления файлов в OnionShare отобразятся некоторые настройки. Убедитесь, что используете только интересующие Вас настройки перед началом отправки.

_images/share-files.png

Как только завершится первая загрузка файлов, OnionShare автоматически остановит сервер и удалит веб-сайт из сети Internet. Чтобы разрешить нескольким людями загружать Ваши файлы, снимите флажок с настройки «Закрыть доступ к файлам после их отправки (отмените чтобы разрешить скачивание отдельных файлов)».

Также, если этот флажок снят, люди смогут загружать отдельные файлы из раздачи, вместо одного большого сжатого архива.

Если готово к отправкк, нужно нажать кнопку «Сделать доступным для скачивания». В экстренных случаях всегда есть возможность нажть кнопку «Отменить доступ к скачиванию» или выйти из OnionShare чтобы немедленно отключить сайт. Для просмотра истории раздач и прогресса текущих раздач, нажмите кнопку «↑» в правом верхнем углу приложения.

_images/share-sharing.png

Теперь, когда отображается адрес сервиса OnionShare, его нужно скопировать и отправить получателю файлов. Если файлы должны оставаться в безопасности или получатель по той или иной причине находится под угрозой, для передачи адреса используйте приложение для обмена зашифроваными сообщениями.

Получателю нужно перейти по полученному веб-адресу при помощи Tor Browser’а. После того, как получатель пройдёт авторизацию при помощи пароля, включённого в адрес сервиса OnionShare, он сможет загрузить файлы прямо на свой компьютер, нажав на ссылку «Загрузить Файлы».

_images/share-torbrowser.png

Получение файлов и сообщений

Вы можете использовать OnionShare, чтобы дать людям возможность анонимно отправлять файлы и сообщения прямо на ваш компьютер, по сути превращая его в анонимный аналог Dropbox. Откройте вкладку «Получить» и установите желаемые настройки.

_images/receive.png

Вы можете указать папку, куда будут сохраняться полученные файлы и сообщения.

Вы можете запретить отправку сообщений, если хотите только получить файлы. Или запретить загрузку файлов, если хотите только отправлять сообщения. Например, чтобы сделать анонимную форму для связи.

Вы можете установить флажок «Использовать веб-хук для отправки уведомлений» и затем указать URL веб-хука, чтобы получить уведомление, что кто-то загружает файлы и отправляет файлы на ваш сервис приёма OnionShare. При подключени это опции, OnionShare отправит HTTP POST запрос на указанный URL когда кто-либо загрузит файлы или отправит сообщение. Например, чтобы получить зашифрованное сообщение в приложении Keybase <https://keybase.io/>, нужно начать беседу со строки @webhookbot, затем ввести !webhook create onionshare-alerts, и в ответ придёт URL. Используйте этот URL для отправки уведомлений при помощи веб-хука. Когда кто-либо загрузит файл на ваш сервис приёма OnionShare, @webhookbot отправит сообщение в приложение Keybase как только это произойдёт.

Когда вы будете готовы, нажмите «Запустить режим получения». Это запустит службу OnionShare. Любой, кто откроет этот адрес в своём Tor-браузере, сможет отправлять файлы и сообщения, которые будут загружены на ваш компьютер.

_images/receive-sharing.png

Для просмотра истории получения и прогресса текущих загрузок, нажмите кнопку «↓» в правом верхнем углу.

Примерно так выглядит OnionShare когда кто-то вам отправляет файлы.

_images/receive-torbrowser.png

Когда кто-либо загружает файлы или отправляет текстовые сообщения на ваш сервис приёма данных, по умолчанию они (файлы и сообщения) сохраняются в папку OnionShare в домашнией директории компьютера и автоматически распределяются в поддиректории в зависимости от времени загрузки.

Использование OnionShare в качестве сервиса получения файлов может быть полезным, например, для журналистов, в случае если нужно безопасно получить документы от анонимного источника.

Возможные риски

Как и вредоносные приложения к письмам электронной почты, файлы загружаемые на Ваш компьютер при помощи OnionShare могут быть использованы для атаки. OnionShare не содержит какого-либо защитного механизма операционной системы от вредоносных файлов.

Если при помощи OnionShare был получен документ Office или PDF, его можно преобразовать в определённый формат PDF и, затем, безопасно открыть при помощи Dangerzone. Так же, в качестве защиты при работе с подозрительными документами, можно ииспользовать ОС Tails или внутри одноразовой виртуальной машины ОС Qubes.

Тем не менее, открывать сообщения присланные через OnionShare всегда безопасно.

Советы для использования сервиса приёма файлов

Если нужно разместить свой собственный анонимный почтовый язщик для приёма документов, рекомендуется сделать это при помощи отдельного компьютера, постоянно подключённого к сети питания, который не используется для обычной работы.

If you intend to put the OnionShare address on your website or social media profiles, save the tab (see Сохранение вкладок) and run it as a public service (see Отключение паролей). It’s also a good idea to give it a custom title (see Указать заголовок).

Размещение Вебсайта

Чтобы разместить статический HTML сайт при помощи OnionShare, нужно соответствующую вкладку, перетащить файлы и директории со статическим содержимым и, когда всё будет готово, нажать кнопку «Сделать доступным для скачивания».

_images/website.png

Если добавить во вкладку файл index.html, то он отобразится как вебсайт, когда кто-то перейдёт по веб-адресу сервиса OnionShare. Также следует приложить все прочие HTML, CSS JavaScript файлы и изображения из которых состоит вебсайт. (Обратите внимание, что OnionShare поддерживает создание только статических файлов и не может быть использован для размещения веб-приложений или сайтов, использующих базы данных (например, WordPress).)

Если файл index.html отсутствует, то при октрытии адреса OnionShare отобразится список директорий и файлов, которые можно просмотреть и/или загрузить.

После добавления файлов в OnionShare отобразятся некоторые настройки. Убедитесь, что используете только интересующие Вас настройки перед началом отправки.

_images/website-files.png

Политика безопасности контента

По умолчанию OnionShare помогает обезопасить вебсайт пользователя, устанавливая строгую Политикаубезопасности контента . Тем не менее, это исключает возможность загрузки и использования на веб-странице контента из сторонних источников.

Если требуется загрузить и использовать содержимое из сторонних иточников, например активы или библиотеки JavaScript из CDN, то нужно установить флажок «Не отправлять заголовок политики безопасности контента» перед запуском сервиса. Это позволит вебсайту использовать сторонние источники содержимого.

Советы по использованию сервсиа размещения вебсайтов

Чтобы разместить сайт при помощи OnionShare на длительный срок (то есть, не для быстрой демонстрации чего-то кому-то), рекомендуется сделать это при помощи отдельного компьютера, постоянно подключённого к сети питания и Интернету, который не используется для обычной работы. Также, нужно сохранить вкладку (подробнее Сохранение вкладок), чтобы в дальнейшем можно было восстановить доступ к вебсайту с тем же самым адресом, в случае закрытия и повторного запуска OnionShare.

Если планируется сделать сайт общедоступным, рекомендуется отключить проверку паролей (подробнее Отключение паролей).

Анонимный чат

Возможно использование OnionShare в качестве приватного и безопасного чата, который не хранит какие-либо логи. Для этого, нужно открыть вкладку чата и нажать кнопку «Запустить сервер чата».

_images/chat.png

После запуска сервера, нужно скопировать адрес OnionShare и отправить людям, с которыми планируется анонимная переписка. Если нужно ввести ограничить круг участников, используйте для рассылки адреса OnionShare приложение для обмена зашифрованными сообщениями.

_images/chat-sharing.png

Участники могут присодиниться к чату при помощи адреса OnionShare и Tor Browser. Для функционирования чата нужен JavaScript, так что каждому предполагаемому участнику необходимо выставить уровень безопасности «Обычный» или «Высокий», вместо «Высший».

Когда в чате появляется новый участник, ему присваивается случайное имя. В дальнейшем это имя может быть изменено форме на левой панели: нужно ввести новое имя и нажать ↵. Поскольку никакая история переписки не сохраняется, это имя нигде не отбражается, даже если в чате уже были участники.

_images/chat-torbrowser.png

В чате OnionShare всё анонимно. Любой из участников может произвольно изменить своё имя и нет никакого способа определить/подтвердить личность такого участника.

Тем не менее, если при создании чата в OnionShare вдрес будет разослан только небольшой группе проверенных друзей при помощи зашифрованных сообщений, можно быть достаточно уверенным, что в чате присутствуют друзья.

Насколько это полезно?

Какая может быть польза от чата OnionShare при наличии приложений для обмена зашифрованными сообщениями? OnionShare оставляет меньше следов.

Например, если отправить групповое сообщение при помощи мессенджера Signal, копия сообщения появится на всех устройствах (включая компьютеры, на которых установлен Signal Desktop) каждого из участников группы. Даже если включены «исчезающие сообщения», достаточно трудно убедиться, что все копии сообщения были в действительности удалены со всех устройств и каких-либо других мест (например, центров уведомлений), куда они могли быть сохранены. OnionShare не хранит какие-либо сообщения, так что описанная проблема сведена к минимуму.

OnionShare также может быть полезен для людей, которым нужна анонимная и безопасная переписка без создания каких-либо учётных записей. Например, с журналистом может связаться „источник“: прислать адрес OnionShare при помощи временного адреса электронной почты и затем подождать пока журналист, присоединится к чату. При таком сценарии источник не подвергает опасности свою анонимность.

Как работает шифрование?

Работа OnionShare обеспечивается onion сервисами сети Tor, все соединения между Tor Browser и OnionShare зашифровны сквозным шифрованием (E2EE). При отправке в чат OnionShare, сообщение передаётся на сервер через E2EE onion соединение. Далее, сообщение рассылается всем участникам чата при помощи WebSockets, также при использовании E2EE и onion соединений.

OnionShare не производит какое-либо шифрование чата самостоятельно. Шифрование обеспечивается onion сервисами сети Tor.