Hur OnionShare fungerar

Webbservrar startas lokalt på datorn och görs tillgängliga för andra som ”Tor <https://www.torproject.org/>”_ ”onion-tjänster <https://community.torproject.org/onion-services/>”_.

By default, OnionShare web addresses are protected with a private key.

OnionShare addresses look something like this:

http://oy5oaslxxzwib7fsjaiz5mjeyg3ziwdmiyeotpjw6etxi722pn7pqsyd.onion

And private keys might look something like this:

K3N3N3U3BURJW46HZEZV2LZHBPKEFAGVN6DPC7TY6FHWXT7RLRAQ

You’re responsible for securely sharing that URL and private key using a communication channel of your choice like in an encrypted chat message, or using something less secure like unencrypted email, depending on your threat model.

The people you send the URL to then copy and paste it into their Tor Browser to access the OnionShare service. Tor Browser will then prompt for the private key, which the people can also then copy and paste in.

_images/private-key.png

If you run OnionShare on your laptop to send someone files, and then suspend it before the files are sent, the service will not be available until your laptop is unsuspended and on the internet again. OnionShare works best when working with people in real-time.

Eftersom din egen dator är webbservern kan * ingen tredje part komma åt något som händer i OnionShare *, inte ens utvecklarna av OnionShare. Det är helt privat. Och eftersom OnionShare också är baserat på Tor-onion-tjänster skyddar det också din anonymitet. Mer information finns i security design.

Dela filer

Du kan använda OnionShare för att skicka filer och mappar till personer, säkert och anonymt. Öppna en delningsflik, dra in de filer och mappar som du vill dela och klicka på ”Börja dela”.

_images/share.png

När du har lagt till filer visas några inställningar. Se till att du väljer den inställning du är intresserad av innan du börjar dela.

_images/share-files.png

As soon as someone finishes downloading your files, OnionShare will automatically stop the server, removing the website from the internet. To allow multiple people to download them, uncheck the ”Stop sharing after files have been sent (uncheck to allow downloading individual files)” box.

Om du avmarkerar den här rutan kommer människor också att kunna ladda ner de enskilda filerna du delar snarare än en enda komprimerad version av alla filer.

När du är redo att dela klickar du på knappen ”Börja dela”. Du kan alltid klicka på ”Sluta dela”, eller avsluta OnionShare, omedelbart ta ner webbplatsen. Du kan också klicka på ikonen ”↑” i det övre högra hörnet för att visa historiken och aktuellt förlopp för personer som laddar ner filer från dig.

_images/share-sharing.png

Now that you have a OnionShare, copy the address and the private key and send it to the person you want to receive the files. If the files need to stay secure, or the person is otherwise exposed to danger, use an encrypted messaging app.

That person then must load the address in Tor Browser. After logging in with the private key, the files can be downloaded directly from your computer by clicking the ”Download Files” link in the corner.

_images/share-torbrowser.png

Receive Files and Messages

You can use OnionShare to let people anonymously submit files and messages directly to your computer, essentially turning it into an anonymous dropbox. Open a receive tab and choose the settings that you want.

_images/receive.png

You can browse for a folder to save messages and files that get submitted.

You can check ”Disable submitting text” if want to only allow file uploads, and you can check ”Disable uploading files” if you want to only allow submitting text messages, like for an anonymous contact form.

You can check ”Use notification webhook” and then choose a webhook URL if you want to be notified when someone submits files or messages to your OnionShare service. If you use this feature, OnionShare will make an HTTP POST request to this URL whenever someone submits files or messages. For example, if you want to get an encrypted text messaging on the messaging app Keybase, you can start a conversation with @webhookbot, type !webhook create onionshare-alerts, and it will respond with a URL. Use that as the notification webhook URL. If someone uploads a file to your receive mode service, @webhookbot will send you a message on Keybase letting you know as soon as it happens.

When you are ready, click ”Start Receive Mode”. This starts the OnionShare service. Anyone loading this address in their Tor Browser will be able to submit files and messages which get uploaded to your computer.

_images/receive-sharing.png

Du kan också klicka på ikonen ”↓” längst upp till höger för att visa historiken och förloppet för personer som skickar filer till dig.

Here is what it looks like for someone sending you files and messages.

_images/receive-torbrowser.png

When someone submits files or messages to your receive service, by default they get saved to a folder called OnionShare in the home folder on your computer, automatically organized into separate subfolders based on the time that the files get uploaded.

Att skapa en OnionShare-mottagningstjänst är användbart för journalister och andra som säkert behöver ta emot dokument från anonyma källor. När onionshare används på detta sätt är det ungefär som en lätt, enklare, inte riktigt lika säker version av SecureDrop, visselblåsarens inlämningssystem.

Använd på egen risk

Just like with malicious email attachments, it’s possible someone could try to attack your computer by uploading a malicious file to your OnionShare service. OnionShare does not add any safety mechanisms to protect your system from malicious files.

Om du får ett Office-dokument eller en PDF via OnionShare kan du konvertera dessa dokument till PDF-filer som är säkra att öppna med Dangerzone. Du kan också skydda dig själv när du öppnar otillförlitliga dokument genom att öppna dem i Tails eller i en Qubes disposableVM.

However, it is always safe to open text messages sent through OnionShare.

Tips för att köra en mottagningstjänst

If you want to host your own anonymous dropbox using OnionShare, it’s recommended you do so on a separate, dedicated computer always powered on and connected to the internet, and not on the one you use on a regular basis.

If you intend to put the OnionShare address on your website or social media profiles, save the tab (see Spara flikar) and run it as a public service (see Turn Off Private Key). It’s also a good idea to give it a custom title (see Custom Titles).

Vara värd för en webbplats

Om du vill vara värd för en statisk HTML-webbplats med OnionShare öppnar du en webbplatsflik, drar dit filerna och mapparna som utgör det statiska innehållet och klickar på ”Börja dela” när du är redo.

_images/website.png

Om du lägger till en ”index.html-fil” återges den när någon laddar din webbplats. Du bör också inkludera andra HTML-filer, CSS-filer, JavaScript-filer och bilder som utgör webbplatsen. (Observera att OnionShare endast stöder hosting * statiska * webbplatser. Det kan inte vara värd för webbplatser som kör kod eller använder databaser. Så du kan till exempel inte använda WordPress.)

Om du inte har en ’’index.html’’ visar den en kataloglista istället, och personer som laddar den kan titta igenom filerna och ladda ner dem.

När du har lagt till filer visas några inställningar. Se till att du väljer den inställning du är intresserad av innan du börjar dela.

_images/website-files.png

Säkerhetsprincip för innehåll

By default OnionShare helps secure your website by setting a strict Content Security Policy header. However, this prevents third-party content from loading inside the web page.

If you want to load content from third-party websites, like assets or JavaScript libraries from CDNs, you have two options:

  • You can disable sending a Content Security Policy header by checking the ”Don’t send Content Security Policy header (allows your website to use third-party resources)” box before starting the service.

  • You can send a custom Content Security Policy header.

Tips för att köra en webbplatstjänst

If you want to host a long-term website using OnionShare (meaning not just to quickly show someone something), it’s recommended you do it on a separate, dedicated computer that is always powered on and connected to the internet, and not on the one you use on a regular basis. Save the tab (see Spara flikar) so you can resume the website with the same address if you close OnionShare and re-open it later.

If your website is intended for the public, you should run it as a public service (see Turn Off Private Key).

Chatta anonymt

Du kan använda OnionShare för att skapa ett privat, säkert chattrum som inte loggar någonting. Öppna bara en chattflik och klicka på ”Starta chattserver”.

_images/chat.png

After you start the server, copy the OnionShare address and private key and send them to the people you want in the anonymous chat room. If it’s important to limit exactly who can join, use an encrypted messaging app to send out the OnionShare address and private key.

_images/chat-sharing.png

Personer kan gå med i chattrummet genom att ladda sin OnionShare-adress i Tor Browser. Chattrummet kräver JavasScript, så alla som vill delta måste ha sin Tor Browser-säkerhetsnivå inställd på ”Standard” eller ”Säkrare”, istället för ”Säkrast”.

När någon går med i chattrummet tilldelas de ett slumpmässigt namn. De kan ändra sitt namn genom att skriva ett nytt namn i rutan på den vänstra panelen och trycka på ↵. Eftersom chatthistoriken inte sparas någonstans visas den inte alls, även om andra redan chattade i rummet.

_images/chat-torbrowser.png

I ett OnionShare-chattrum är alla anonyma. Vem som helst kan ändra sitt namn till vad som helst, och det finns inget sätt att bekräfta någons identitet.

Men om du skapar ett OnionShare-chattrum och skickar adressen säkert, till endast en liten grupp betrodda vänner, med krypterade meddelanden, kan du vara ganska säker på att de personer som går med i chattrummet är dina vänner.

Hur är detta användbart?

Om du behöver använda en krypterad meddelandeapp, vad är poängen med ett OnionShare-chattrum till att börja med? Det lämnar mindre spår.

If you for example send a message to a Signal group, a copy of your message ends up on each device (the smartphones, and computers if they set up Signal Desktop) of each member of the group. Even if disappearing messages is turned on, it’s hard to confirm all copies of the messages are actually deleted from all devices, and from any other places (like notifications databases) they may have been saved to. OnionShare chat rooms don’t store any messages anywhere, so the problem is reduced to a minimum.

OnionShare chat rooms can also be useful for people wanting to chat anonymously and securely with someone without needing to create any accounts. For example, a source can send an OnionShare address to a journalist using a disposable email address, and then wait for the journalist to join the chat room, all without compromosing their anonymity.

Hur fungerar krypteringen?

Eftersom OnionShare förlitar sig på Tor-onion-tjänster är anslutningar mellan Tor Browser och OnionShare alla slutpunkt-till-slutpunkt-krypterade (E2EE). När någon publicerar ett meddelande till ett OnionShare-chattrum skickar de det till servern via E2EE-onion-anslutningen, som sedan skickar det till alla andra medlemmar i chattrummet med WebSockets, via sina E2EE-onion-anslutningar.

OnionShare implementerar ingen chattkryptering på egen hand. Den förlitar sig istället på Tor-onion-tjänstens kryptering.