Як працює OnionShare

Вебсервери локально запускаються на вашому комп’ютері та стають доступними для інших людей як Tor onion служби.

Типово, вебадреси OnionShare захищено випадковим паролем. Типова адреса OnionShare може виглядати приблизно так:

http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion

Ви відповідальні за безпечний доступ до цієї URL-адреси за допомогою вибраного вами каналу зв’язку, як-от у зашифрованому повідомленні чату, або за використання менш захищеного повідомлення, як от незашифрований електронний лист, залежно від вашої моделі загрози.

Люди, яким ви надсилаєте URL-адресу, повинні копіювати та вставити її до Tor Browser, щоб отримати доступ до служби OnionShare.

Якщо ви запустили OnionShare на ноутбуці, щоб надіслати комусь файли, а потім зупинили його роботу перед надсиланням файлів, служба буде недоступна, доки роботу ноутбука не буде поновлено і він знову з’єднається з інтернетом. OnionShare найкраще працює під час роботи з людьми в режимі реального часу.

Оскільки ваш власний комп’ютер є вебсервером, ніхто сторонній не може отримати доступ до будь-чого, що відбувається в OnionShare, навіть розробники OnionShare. Це цілком приватно. Оскільки OnionShare теж базується на onion службах Tor, вашу анонімність також захищено. Докладніше про це у статті про побудову безпеки.

Надсилання файлів

Ви можете користуватися OnionShare, щоб безпечно та анонімно надсилати файли та теки людям. Просто відкрийте вкладку спільного доступу, перетягніть файли та теки, якими хочете поділитися і натисніть «Почати надсилання».

_images/share.png

Після додавання файлів з’являться налаштування. Перед надсиланням, переконайтеся, що вибрано потрібні налаштування.

_images/share-files.png

Як тільки хтось завершив завантажувати ваші файли, OnionShare автоматично зупиняє сервер, вилучивши вебсайт з Інтернету. Якщо ви хочете дозволити кільком людям завантажувати ці файли, приберіть позначку біля пункту «Закрити доступ, коли файли надіслано (приберіть позначку, щоб дозволити завантаження окремих файлів)».

Також, якщо прибрати цю позначку, користувачі зможуть завантажувати окремі файли, які ви надсилаєте, а не одну стиснуту версію всіх файлів.

Коли ви будете готові поділитися, натисніть кнопку «Почати надсилання». Ви завжди можете натиснути «Зупинити надсилання» або вийти з OnionShare, щоб негайно вимкнути вебсайт. Ви також можете натиснути піктограму «↑» у верхньому правому куті, щоб побачити журнал та поступ надсилання файлів.

_images/share-sharing.png

Тепер, коли у вас є OnionShare, копіюйте адресу та надішліть людині, якій ви хочете надіслати файли. Якщо файли повинні бути захищеними або особа піддається небезпеці, скористайтеся застосунком зашифрованих повідомлень.

Потім ця особа повинна завантажити адресу в Tor Browser. Після входу за випадковим паролем, який міститься у вебадресі, вони зможуть завантажити файли безпосередньо з вашого комп’ютера, натиснувши посилання «Завантажити файли» в кутку.

_images/share-torbrowser.png

Отримання файлів і повідомлень

Ви можете користуватися OnionShare, щоб дозволити людям анонімно надсилати файли та повідомлення безпосередньо на ваш комп’ютер, по суті, перетворюючи їх на анонімний буфер. Відкрийте вкладку отримання та виберіть потрібні налаштування.

_images/receive.png

Можете вибрати теку для збереження доставлених повідомлень і файлів.

Можете позначити «Вимкнути надсилання тексту», якщо хочете дозволити лише завантаження файлів, а також можете позначити «Вимкнути вивантаження файлів», якщо ви хочете дозволити надсилання лише текстових повідомлень, як для анонімної контактної форми.

Ви можете позначити «Застосовувати мережні обробники сповіщень», а потім вибрати URL-адресу обробника, якщо хочете отримувати сповіщення, коли хтось надсилає файли або повідомлення до вашої служби OnionShare. Якщо ви увімкнете цю функцію, OnionShare робитиме запит HTTP POST на цю URL-адресу, коли хтось надсилає файли або повідомлення. Наприклад, якщо ви хочете отримати зашифровані текстові повідомлення в програмі обміну повідомленнями Keybase, ви можете почати розмову з @webhookbot, введіть !webhook create onionshare-alerts, і він відповідатиме через URL-адресу. Застосовуйте її URL-адресою вебобробника сповіщень. Якщо хтось вивантажить файл до служби отримання, @webhookbot надішле вам повідомлення на Keybase, яке сповістить вас, як тільки це станеться.

Коли все буде готово, натисніть кнопку «Запустити режим отримання». Це запустить службу OnionShare. Всі хто завантажить цю адресу у своєму браузері Tor зможе надсилати файли та повідомлення, які завантажуватимуться на ваш комп’ютер.

_images/receive-sharing.png

Також можна клацнути піктограму «↓» у верхньому правому куті, щоб побачити журнал і перебіг надсилання файлів.

Ось як це виглядає для тих, хто надсилає вам файли та повідомлення.

_images/receive-torbrowser.png

Коли хтось надсилає файли або повідомлення до вашої служби отримання, типово вони зберігаються до теки OnionShare у домашній теці на вашому комп’ютері та автоматично впорядковуються в окремі підтеки залежно від часу передавання файлів.

Служби отримання OnionShare корисні для журналістів та інших осіб, яким потрібно безпечно отримувати документи від анонімних джерел. Користуючись таким чином OnionShare як легкою, простішою, але не настільки безпечною версією SecureDrop, системи подання таємних повідомлень викривачів.

Використовуйте на власний ризик

Як і у випадку зі шкідливими вкладеннями електронної пошти, можливо, хтось спробує зламати ваш комп’ютер, завантаживши шкідливий файл до вашої служби OnionShare. Вона не додає жодних механізмів безпеки для захисту вашої системи від шкідливих файлів.

Якщо ви отримали документ Office або PDF-файл за допомогою OnionShare, ці документи можна перетворити на PDF-файли, які можна безпечно відкрити за допомогою Dangerzone. Ви також можете захистити себе під час відкриття недовірених документів, відкривши їх у одноразових віртуальних машинах Tails або в Qubes.

Однак, відкривати текстові повідомлення, надіслані через OnionShare, завжди безпечно.

Поради щодо запуску служби отримання

Якщо ви хочете розмістити свою власну анонімну скриньку за допомогою OnionShare, радимо робити це на окремому виділеному комп’ютері, який завжди ввімкнено та під’єднано до Інтернету, а не на тому, яким ви користуєтеся регулярно.

Якщо ви маєте намір розмістити адресу OnionShare на своєму вебсайті або в профілях суспільних мереж, вам слід зберегти вкладку (докладніше Збереження вкладок) і запустити її загальнодоступною службою (докладніше Власні заголовки).

Розміщення вебсайту

Для розміщення статичного вебсайту HTML за допомогою OnionShare відкрийте вкладку вебсайту, перетягніть файли та теки, що є статичним вмістом і натисніть кнопку «Почати надсилання», коли будете готові.

_images/website.png

Якщо ви додасте файл index.html, коли хтось завантажить ваш вебсайт, він покаже цю сторінку. Слід також включити будь-які інші файли HTML, файли CSS, файли JavaScript та зображення, що складають вебсайт. (Зуважте, що OnionShare підтримує розміщення лише статичних вебсайтів. Він не може розміщувати вебсайти, які виконують код або використовують бази даних. Тож ви не можете, наприклад, використовувати WordPress.)

Якщо у вас немає файлу index.html замість нього буде показано список каталогів, а люди, які завантажують його, зможуть оглядати файли та завантажувати їх.

Після додавання файлів з’являться налаштування. Перед надсиланням, переконайтеся, що вибрано потрібні налаштування.

_images/website-files.png

Політика безпеки вмісту

Типово OnionShare допоможе захистити ваш вебсайт, встановивши надійний заголовок Content Security Police. Однак, це запобігає завантаженню сторонніх матеріалів на вебсторінку.

Якщо ви хочете завантажити вміст зі сторонніх вебсайтів, як-от активи або бібліотеки JavaScript із CDN, то перед запуском служби потрібно встановити позначку «Не надсилати заголовок політики безпеки вмісту (дозволяє вебсайту застосовувати сторонні ресурси)».

Поради щодо запуску служби розміщення вебсайту

Якщо ви хочете розмістити постійний вебсайт за допомогою OnionShare (це не просто для того, щоб швидко комусь щось показати), радимо робити це на окремо виділеному комп’ютері, який завжди ввімкнено та під’єднано до Інтернету, а не на той, яким ви користуєтеся регулярно. Вам також слід зберегти вкладку (подробиці про Збереження вкладок), щоб ви могли відновити вебсайт з тією ж адресою, якщо закриєте OnionShare і знову відкриєте його пізніше.

Якщо ваш вебсайт призначено для загального перегляду, вам слід запустити його як загальнодоступну службу (подробиці Вимкнення паролів).

Спілкуйтеся таємно

Ви можете застосовувати OnionShare для створення цілком анонімної, захищеної кімнати чату, яка нічого не реєструє. Просто відкрийте вкладку чату та натисніть «Запустити сервер чату».

_images/chat.png

Після запуску сервера копіюйте адресу OnionShare і надішліть її людям, які приєднаються до цієї анонімної кімнати чату. Якщо важливо обмежити коло учасників, ви повинні скористатися застосунком обміну зашифрованими повідомленнями для надсилання адреси OnionShare.

_images/chat-sharing.png

Люди можуть приєднатися до чату, завантаживши його адресу OnionShare у Tor Browser. Для чату потрібен JavasScript, тому всі, хто хоче взяти участь, повинні встановити рівень безпеки на «Стандартний» або «Безпечніший» замість «Найбезпечніший».

Коли хтось приєднується до чату, йому присвоюється випадкове ім’я. Вони можуть змінити своє ім’я, ввівши нове ім’я у полі на панелі ліворуч та натиснувши ↵. Попередні повідомлення взагалі не з’являться, навіть якщо інші вже спілкувалися в чаті, оскільки історія чату ніде не зберігається.

_images/chat-torbrowser.png

У чаті OnionShare всі анонімні. Будь-хто може змінити своє ім’я на яке завгодно і жодного способу підтвердження особи не існує.

Однак, якщо ви створюєте чат OnionShare і безпечно надсилаєте адресу лише невеликій групі надійних друзів за допомогою зашифрованих повідомлень, то ви можете бути обґрунтовано впевнені, що люди, які приєднуються до чату, є вашими друзями.

Чим це корисно?

Якщо вам потрібно застосовувати програму обміну зашифрованим повідомленнями, то який сенс спілкування в OnionShare? Він залишає менше слідів.

Наприклад, якщо ви надсилаєте повідомлення до групи в Signal, копія повідомлення потрапляє на кожен пристрій (телефони та комп’ютери, якщо на них встановлено Signal для комп’ютерів) кожного з учасників групи. Навіть якщо ввімкнено зникання повідомлень, важко впевнитися, що всі копії повідомлень було фактично видалено з усіх пристроїв та з будь-яких інших місць (наприклад, баз даних сповіщень), до яких вони могли бути збережені. Кімнати чатів OnionShare ніде не зберігають жодних повідомлень, тож проблему мінімізовано.

Кімнати чатів OnionShare також можуть бути корисними для людей, які хочуть анонімно та безпечно спілкуватися з кимось, не створюючи жодних облікових записів. Наприклад, джерело може надіслати журналісту адресу OnionShare за допомогою одноразової адреси електронної пошти, а потім зачекати, поки журналіст приєднається до чату і все це без шкоди для їхньої анонімности.

Як працює шифрування?

Оскільки OnionShare покладається на onion служби Tor, з’єднання між Tor Browser та OnionShare захищено наскрізним шифруванням (E2EE). Коли хтось публікує повідомлення в кімнаті чату OnionShare, він надсилає його на сервер через E2EE onion з’єднання, який потім надсилає його всім іншим учасникам чату за допомогою WebSockets через їхні E2EE onion з’єднання.

OnionShare самостійно не здійснює жодне шифрування чату. Натомість він покладається на шифрування служби onion служби Tor.