Hidden Services need some love

Je suis plus écologique que Facebook (ou plus parano, question sécurité), la version oignon de mon site a la première adresse trouvée : ▻http://7j3ncmar4jm2r3e7.onion

bravo @stephane pour cette position de principe.

Par contre il semble que facebook ait cherché 8 lettres, n fois, jusqu’à trouver quelque chose qui puisse convenir. On ne serait donc pas sur une recherche de 4 milliards d’années d’équivalent calcul, mais de n fois 25 jours. Ce qui est sans doute déjà trop tout le monde en conviendra, pour un site que personne n’utilise.
▻https://www.quora.com/How-did-Facebook-manage-to-create-the-vanity-URL-Page-on-facebookcorewwwi-oni

@fil Pardon, Facebook en .onion semble très utilisé ▻https://www.facebook.com/notes/facebook-over-tor/1-million-people-use-facebook-over-tor/865624066877648

Ce que je ne comprends pas : à quoi ça sert d’accéder à Facebook anonymement si ensuite Facebook oblige à utiliser son vrai nom (ok on peut contourner.... mais quand même) ?

Par exemple cette réponse publiée le 13 janvier 2016

Marie Dubois Équipe d’aide Facebook

Bonjour Béa,

Facebook est une communauté dans laquelle les gens communiquent en utilisant leur identité authentique. Nous demandons à chaque personne de fournir le nom qu’elle utilise dans la vraie vie. Ainsi, chacun sait avec qui il communique. Cela aide à garantir la sécurité de notre communauté.

Pour en savoir plus sur les noms autorisés sur Facebook ainsi que les pièces d’identité acceptées par Facebook pour confirmer votre identité, n’hésitez pas à consulter nos Pages d’Aide :

▻https://www.facebook.com/help/community/question/?id=1654639598137050

Confirmé sur cette page :

Autres points à garder à l’esprit :

Le nom de votre profil doit correspondre à votre nom usuel, dans la vie courante. Ce nom doit également figurer sur une pièce d’identité ou un document de notre liste de pièces d’identité.

Les surnoms peuvent être utilisés au lieu d’un prénom ou comme deuxième prénom s’il s’agit d’une variante de votre nom authentique (comme JP pour Jean-Pierre).

Vous pouvez également ajouter un autre nom à votre compte (par exemple, un nom de jeune fille, un surnom ou un nom professionnel).

Les profils sont destinés à un usage personnel. Vous pouvez créer une Page pour une entreprise, une organisation ou une idée.

Il est interdit de se faire passer pour quelqu’un d’autre.

▻https://www.facebook.com/help/112146705538576?ref=related%2F%3Fref%3Du2u

@Sandburg Attention, le Facebook en .onion n’est pas nécessaire pour « accéder à Facebook dans des zones géographiques où il est interdit ». En effet, un accès Tor ordinaire (le Tor Browser, vers ►https://www.facebook.com ) suffirait.

L’intérêt du .onion est multiple (merci aux experts Tor qui m’ont fourni la liste) :

– limiter les attaques par mesure du temps écoulé ▻https://security.stackexchange.com/questions/81620/is-there-any-difference-between-visiting-facebook-via-their-
– cela permet de s’assurer de l’identité du site (autrement, le nœud de sortie Tor peut t’emmener où il veut). Bon, si on utilise HTTPS, cela ne sert pas trop.
– cela sert à contourner la sécurité de Facebook qui peut bloquer automatiquement un compte s’il se connecte depuis plusieurs adresses IP différentes.
– cela permet d’aller plus vite (la plupart des nœus de sortie sont surchargés)

@apichat Le but n’est pas de se protéger de Facebook (qui verra de toute façon tout) mais de se protéger du FAI et de la police locale.

@apichat ne parle pas de se protéger de facebook. Si tu es dessus avec ton vrai nom obligatoire, bah t’es pas vraiment protégé de ta police locale, quand même.

en parlant d’energie, on parle des +/%£ de gifs ?

Apparement @fil a raison, ils n’ont pas lancé la génération jusqu’à attendre cette suite alphanumérique si géniale.

Comme en témoigne Alec Muffett :

Hi - My name’s Alec, I work for Facebook and am the team lead for Facebook over Tor.

Long story short: details will come out later, but we just did the same thing as everyone else: generated a bunch of keys with a fixed lead prefix ("facebook") and then went fishing looking for good ones.

I feel that we got tremendous lucky.

- alec

Hi, Alec here. Basically yes. Most of the candidates we were initially looking for were of the form “facebookwww1a2b3”* with five random-ish characters at the end.

Then we cast the net a bit wider and asked “what if it just has ’www’ anywhere in the string?”, grepped the results so-far and found the one astounding-looking one that we eventually chose.

The backronym was just a moment of inspiration. :-)

not literally, of course; you can’t have a 1 in a onion address

Source ▻https://lists.torproject.org/pipermail/tor-talk/2014-October/035413.html

Pour le reste, ça s’appelle du backronyme (rétroacronymie en fr), c’est à dire donner un sens à une chaîne texte existante.
▻https://en.wikipedia.org/wiki/Backronym

Et en plus, ça suit la règle des petname :
▻https://en.wikipedia.org/wiki/Petname
(Zooko’s triangle = global, secure, and memorable) à part que Facebook n’est pas très décentralisé, ahah.

Discussion assez vieille ici :
▻https://www.reddit.com/r/TOR/comments/2kvl8r/facebook_now_officially_available_as_a_tor_hidden

Donc ils ont cherché 11 caractères, dont 3 non placés. Ça fait toujours plus de 40 ans de calculs… ils ont de bonnes machines.

Hors sujet : petite ode aux services cachés, Hidden services need love :
▻https://blog.torproject.org/blog/hidden-services-need-some-love

@supergeante C’est gourmand un Gif ? Ça date des années 90, j’aurais presque apparenté ça à des low-tech. Y’a du nouveau ?