Jak działa OnionShare¶
Serwery webowe są uruchamiane lokalnie na Twoim komputerze i udostępniane innym osobom jako usługi cebulowe Tor .
Domyślnie adresy internetowe OnionShare są chronione kluczem prywatnym.
Adresy OnionShare wyglądają mniej więcej tak:
http://oy5oaslxxzwib7fsjaiz5mjeyg3ziwdmiyeotpjw6etxi722pn7pqsyd.onion
A klucze prywatne mogą wyglądać mniej więcej tak:
K3N3N3U3BURJW46HZEZV2LZHBPKEFAGVN6DPC7TY6FHWXT7RLRAQ
Odpowiadasz za bezpieczne udostępnianie tego adresu URL i klucza prywatnego za pomocą wybranego kanału komunikacji, takiego jak zaszyfrowana wiadomość na czacie, lub korzystanie z czegoś mniej bezpiecznego, takiego jak niezaszyfrowana poczta e-mail, w zależności od Twojego modelu zagrożenia.
Osoby, do których wysyłasz adres URL, muszą skopiować go i wkleić do swojej przeglądarki Tor <https://www.torproject.org/>`_, aby uzyskać dostęp do usługi OnionShare. Przeglądarka Tor poprosi ich o klucz prywatny, który również mogą skopiować i wkleić.
Jeśli uruchomisz OnionShare na swoim laptopie, aby wysłać komuś pliki, a następnie uśpisz go przed wysłaniem plików, usługa nie będzie dostępna, dopóki Twój laptop nie zostanie wybudzony i ponownie będzie dostępny w Internecie. OnionShare działa najlepiej podczas pracy z ludźmi w czasie rzeczywistym.
Ponieważ Twój komputer jest serwerem sieciowym, żadna osoba trzecia nie ma dostępu do niczego, co dzieje się w OnionShare, nawet twórcy OnionShare. Jest całkowicie prywatny. A ponieważ OnionShare jest także oparty na usługach cebulowych Tor, chroni również Twoją anonimowość. Zobacz projekt bezpieczeństwa, aby uzyskać więcej informacji.
Udostępnianie plików¶
Możesz użyć OnionShare do bezpiecznego i anonimowego wysyłania plików i folderów do innych osób. Otwórz kartę udostępniania, przeciągnij pliki i foldery, które chcesz udostępnić, i kliknij „Rozpocznij udostępnianie”.
Po dodaniu plików zobaczysz kilka ustawień. Upewnij się, że wybrałeś interesujące Cię ustawienia, zanim zaczniesz udostępniać.
Gdy tylko ktoś zakończy pobieranie twoich plików, OnionShare automatycznie zatrzyma serwer, usuwając witrynę z Internetu. Aby umożliwić pobieranie ich wielu osobom, odznacz pole „Zatrzymaj udostępnianie po wysłaniu plików (odznacz, aby zezwolić na pobieranie pojedynczych plików)”.
Ponadto, jeśli odznaczysz to pole, użytkownicy będą mogli pobierać pojedyncze udostępniane pliki, a nie skompresowaną wersję wszystkich plików.
Gdy będziesz gotowy do udostępnienia, kliknij przycisk „Rozpocznij udostępnianie”. Zawsze możesz kliknąć „Zatrzymaj udostępnianie” lub wyjść z OnionShare, aby natychmiast wyłączyć witrynę. Możesz także kliknąć ikonę „↑” w prawym górnym rogu, aby wyświetlić historię i postępy osób pobierających od Ciebie pliki.
Teraz, gdy uruchomiłeś usługę OnionShare, skopiuj adres i klucz prywatny i wyślij je do osoby, której chcesz udostępnić pliki. Jeśli pliki muszą pozostać bezpieczne lub dana osoba jest w inny sposób narażona na niebezpieczeństwo, użyj szyfrowanej aplikacji do przesyłania wiadomości.
Następnie osoba ta musi załadować adres w przeglądarce Tor. Po zalogowaniu się kluczem prywatnym pliki można pobrać bezpośrednio z Twojego komputera, klikając znajdujący się w rogu link „Pobierz pliki”.
Odbieranie plików i wiadomości¶
Możesz użyć OnionShare, aby umożliwić ludziom anonimowe przesyłanie plików i wiadomości bezpośrednio do twojego komputera, zasadniczo zmieniając go w anonimową skrzynkę. Otwórz kartę odbioru i wybierz żądane ustawienia.
Możesz wybrać folder, w którym zapisywane będą przesłane wiadomości i pliki.
Możesz zaznaczyć „Wyłącz przesyłanie tekstu”, jeśli chcesz zezwolić tylko na przesyłanie plików i możesz zaznaczyć „Wyłącz przesyłanie plików”, jeśli chcesz zezwolić tylko na przesyłanie wiadomości tekstowych, na przykład w przypadku anonimowego formularza kontaktowego.
Możesz zaznaczyć „Użyj webhooka powiadomień”, a następnie wybrać adres URL webhooka, jeśli chcesz otrzymywać powiadomienia, gdy ktoś przesyła pliki lub wiadomości do Twojej usługi OnionShare. Jeśli korzystasz z tej funkcji, OnionShare wyśle żądanie HTTP POST do tego adresu URL za każdym razem, gdy ktoś prześle pliki lub wiadomości. Na przykład, jeśli chcesz otrzymać zaszyfrowaną wiadomość tekstową w aplikacji Keybase, możesz rozpocząć rozmowę z `@webhookbot <https://keybase.io/webhookbot >`_, wpisz !webhook create onionshare-alerts
, a odpowie adresem URL. Użyj go jako adresu URL webhooka powiadomień. Jeśli ktoś prześle plik do Twojej usługi odbiorczej, @webhookbot wyśle Ci wiadomość na Keybase, informując Cię, gdy tylko to nastąpi.
Kiedy będziesz gotowy, kliknij „Rozpocznij tryb odbierania”. Uruchomi to usługę OnionShare. Każdy, kto załaduje ten adres w swojej przeglądarce Tor, będzie mógł przesyłać pliki i wiadomości, które zostaną przesłane na twój komputer.
Możesz także kliknąć ikonę ze strzałką w dół „↓” w prawym górnym rogu, aby wyświetlić historię i postępy osób wysyłających do Ciebie pliki.
Oto, jak wygląda gdy ktoś wysyła Ci pliki i wiadomości.
Gdy ktoś przesyła pliki lub wiadomości do Twojej usługi odbiorczej, domyślnie są one zapisywane w folderze o nazwie „OnionShare” w folderze domowym na komputerze, automatycznie uporządkowane w osobnych podfolderach na podstawie czasu przesłania plików.
Skonfigurowanie odbiorczej usługi OnionShare jest przydatne dla dziennikarzy i innych osób, które muszą bezpiecznie pozyskiwać dokumenty z anonimowych źródeł. Używany w ten sposób, OnionShare jest trochę jak lekka, prostsza, nie aż tak bezpieczna wersja SecureDrop, systemu zgłaszania dla sygnalistów.
Używaj na własne ryzyko¶
Podobnie jak w przypadku złośliwych załączników do wiadomości e-mail, możliwe jest, że ktoś spróbuje zaatakować Twój komputer, przesyłając złośliwy plik do usługi OnionShare. OnionShare nie dodaje żadnych mechanizmów bezpieczeństwa, które chronią Twój system przed złośliwymi plikami.
Jeśli otrzymasz dokument pakietu Office lub plik PDF za pośrednictwem OnionShare, możesz przekonwertować te dokumenty na pliki PDF, które można bezpiecznie otworzyć za pomocą Dangerzone. Możesz także zabezpieczyć się podczas otwierania niezaufanych dokumentów, otwierając je w Tails lub w jednorazowej maszynie wirtualnej Qubes (disposableVM).
Jednak zawsze bezpiecznie jest otwierać wiadomości tekstowe wysyłane za pośrednictwem OnionShare.
Wskazówki dotyczące prowadzenia usługi odbiorczej¶
Jeśli chcesz hostować własną anonimową skrzynkę wrzutową za pomocą OnionShare, zalecamy, abyś zrobił to na oddzielnym, wydzielonym komputerze, który jest zawsze włączony i połączony z Internetem, a nie na tym, z którego korzystasz regularnie.
Jeśli zamierzasz umieścić adres OnionShare na swojej stronie internetowej lub profilach w mediach społecznościowych, zapisz kartę (zobacz Zapisywanie Kart) i uruchom ją jako usługę publiczną (zobacz Wyłączanie obsługi Klucza Prywatnego). Dobrym pomysłem jest również nadanie jej własnego tytułu (zobacz Tytuły Niestandardowe).
Hostowanie strony webowej¶
Aby hostować statyczną witrynę HTML z OnionShare, otwórz kartę witryny, przeciągnij tam pliki i foldery, które tworzą statyczną zawartość i gdy będziesz gotowy, kliknij „Rozpocznij udostępnianie”.
Jeśli dodasz plik index.html
, zostanie on wyświetlony, gdy ktoś załaduje twoją stronę. Powinieneś również dołączyć wszelkie inne pliki HTML, CSS, JavaScript i obrazy, które składają się na witrynę. (Zauważ, że OnionShare obsługuje tylko hosting statycznych stron internetowych. Nie może hostować stron, które wykonują kod lub korzystają z baz danych. Nie możesz więc na przykład używać WordPressa.)
Jeśli nie masz pliku index.html
, zamiast tego zostanie wyświetlona lista katalogów, a osoby wyświetlające ją mogą przeglądać pliki i pobierać je.
Po dodaniu plików zobaczysz kilka ustawień. Upewnij się, że wybrałeś interesujące Cię ustawienia, zanim zaczniesz udostępniać.
Polityka Bezpieczeństwa Treści (Content Security Policy)¶
Domyślnie OnionShare pomaga zabezpieczyć witrynę, ustawiając ścisłą „Politykę Bezpieczeństwa Treści <https://en.wikipedia.org/wiki/Content_Security_Policy>”_. Zapobiega to jednak ładowaniu zawartości stron trzecich na stronie internetowej.
If you want to load content from third-party websites, like assets or JavaScript libraries from CDNs, you have two options:
You can disable sending a Content Security Policy header by checking the „Don’t send Content Security Policy header (allows your website to use third-party resources)” box before starting the service.
You can send a custom Content Security Policy header.
Wskazówki dotyczące prowadzenia serwisu internetowego¶
Jeśli chcesz prowadzić długoterminową witrynę internetową za pomocą OnionShare (czyli nie tylko po to, aby szybko komuś coś pokazać), zaleca się zrobić to na osobnym, dedykowanym komputerze, który jest zawsze włączony i podłączony do internetu, a nie na tym, który używasz regularnie. Zapisz kartę (patrz Zapisywanie Kart), aby móc wznowić witrynę z tym samym adresem, gdy zamkniesz OnionShare i otworzysz ponownie później.
Jeśli twoja strona ma być udostępniona publicznie, powinieneś uruchomić ją jako usługę publiczną (zobacz Wyłączanie obsługi Klucza Prywatnego).
Czatuj anonimowo¶
Możesz użyć OnionShare, aby skonfigurować prywatny, bezpieczny czat, który niczego nie rejestruje. Wystarczy otworzyć zakładkę czatu i kliknąć „Uruchom serwer czatu”.
Po uruchomieniu serwera skopiuj adres OnionShare i klucz prywatny i wyślij je do osób, które chcesz zaprosić do anonimowego pokoju rozmów. Jeśli ważne jest, aby dokładnie ograniczyć liczbę osób, które mogą dołączyć, użyj aplikacji do szyfrowania wiadomości, aby wysłać adres OnionShare i klucz prywatny.
Ludzie mogą dołączyć do czatu, otwierając jego adres OnionShare w przeglądarce Tor. Czat wymaga JavaScript, więc każdy, kto chce uczestniczyć, musi mieć ustawiony poziom bezpieczeństwa przeglądarki Tor na „Standardowy” lub „Bezpieczniejszy”, zamiast „Najbezpieczniejszy”.
Gdy ktoś dołącza do czatu, otrzymuje losową nazwę. Można zmienić swoją nazwę, wpisując nową w polu znajdującym się w lewym panelu i naciskając ↵. Ponieważ historia czatu nie jest nigdzie zapisywana, nie jest w ogóle wyświetlana, nawet jeśli inni już rozmawiali w tym czacie.
W czacie OnionShare wszyscy są anonimowi. Każdy może zmienić swoje imię na dowolne i nie ma żadnej możliwości potwierdzenia czyjejś tożsamości.
Jeśli jednak utworzysz czat OnionShare i bezpiecznie wyślesz adres tylko do niewielkiej grupy zaufanych przyjaciół za pomocą zaszyfrowanych wiadomości, możesz mieć wystarczającą pewność, że osoby dołączające do pokoju rozmów są Twoimi przyjaciółmi.
Jak to jest przydatne?¶
Jeśli musisz już korzystać z aplikacji do szyfrowania wiadomości, jaki jest sens używania czatu OnionShare? Pozostawia mniej śladów.
Jeśli na przykład wyślesz wiadomość do grupy w aplikacji Signal, kopia Twojej wiadomości trafi na każde urządzenie (smartfony i komputery, jeśli posiadają Signal Desktop) każdego członka grupy. Nawet jeśli znikanie wiadomości jest włączone, trudno jest potwierdzić, że wszystkie kopie wiadomości zostały faktycznie usunięte ze wszystkich urządzeń oraz z innych miejsc (takich jak bazy danych powiadomień), w których mogły zostać zapisane. Pokoje rozmów OnionShare nie przechowują nigdzie żadnych wiadomości, więc problem jest zredukowany do minimum.
Pokoje rozmów OnionShare mogą być również przydatne dla osób, które chcą rozmawiać z kimś anonimowo i bezpiecznie bez konieczności tworzenia kont. Na przykład źródło może wysłać dziennikarzowi adres OnionShare przy użyciu jednorazowego adresu e-mail, a następnie czekać, aż dziennikarz dołączy do pokoju rozmów, a wszystko to bez narażania swojej anonimowości.
Jak działa szyfrowanie?¶
Ponieważ OnionShare opiera się na usługach cebulowych Tor, połączenia między przeglądarką Tor a OnionShare są szyfrowane end-to-end (E2EE). Kiedy ktoś publikuje wiadomość na czacie OnionShare, wysyła ją na serwer za pośrednictwem połączenia cebulowego E2EE, które następnie wysyła ją do wszystkich innych uczestników czatu za pomocą WebSockets, za pośrednictwem połączeń cebulowych E2EE.
OnionShare nie implementuje samodzielnie szyfrowania czatu. Zamiast tego opiera się na szyfrowaniu usługi cebulowej Tor.