Brave es un navegador que se ha querido distinguir por su acérrima defensa de la privacidad gracias a un menor rastreo y menos anuncios, ahora tiene su propio servicio .onion, lo que brinda un acceso seguro a la descarga del navegador desde Tor.
#3 Pues no. Brave ha hecho cosas que por mucho menos se han cancelado a empresas.
#4 No es por que los certificados cuesten dinero (de hecho letsencrypt es gratis) sino porque la red onion ya tiene una capa de cifrado y añadir el https es redundante, además de que por cada certificado hay que hacer una petición fuera de tor a la CA. De todas maneras, esto a mi modo de ver es bastante temerario, por que eso solo es valido para las direcciones .onion que se resuelven dentro de tor y algunos usuarios pueden pensar que navegar por http en paginas de fuera de tor es seguro y en realidad es todo lo contrario.
#10 Sí, eso ya lo se. Letsencrypt es gratis gracias a la FSF, soy uno de los muchos que lo usan y por eso no olvido que es gracias a una fundación y no gracias a las autoridades de dominio, ni gracias a los diseñadores de internet, sino gracias a una fundación. Los certificados de Letsencrypt son gratis gracias a una fundación, no olvidemos eso.
Lo que quería transmitir es que Tor no recomienda usar certificados en sitios onion precisamente porque su protocolo viene a sustituir la vieja práctica de cobrar por los certificados y de tener autoridades de certificación (entre otras soluciones que aporta Tor al actual diseño de internet).
#13 A ver, creo que te confundes. La FSF no tiene nada que ver con letsencrypt. Imagino que la estás confundiendo con la EFF, que es uno de sus patrocinadores más importantes. Letsencrypt fue creado por la ISRG.
Y luego a Tor el hecho de que los certificados se cobren o no le da igual. No lo recomienda simplemente porque consideran que la propia seguridad por capas de la red onion es suficientemente fuerte como para que no sea necesario usar https.
#15 Tienes razón, confundí una fundación con otra, pero eso no invalida mi argumento, son fundaciones que con su dinero pagan esos certificados para nosotros. Ellos pagan porque es obligatorio pagar por un dominio en internet mientras que en Tor son gratis.
Y no lo recomiendan solamente por lo que dices, algo que ya se, sino que también Tor es una alternativa al diseño actual de Internet, y en el enlace que puse sobre el https dicen que es por las dos cosas, por diseño y por seguridad. Con diseño se refieren a pagar, lo pone en el enlace del proyecto Tor:
Against: Tor's .onion handshake basically gives you all of that for free, so by encouraging people to pay Digicert we're reinforcing the CA business model when maybe we should be continuing to demonstrate an alternative.
#25 A ver, porque entramos en bucle. La página que estás citando es de 2014. Letsencrypt se lanzó en 2016 por lo que el argumento de que el certificado cuesta dinero pues como que no es valido.
Y aprovechando que la página es de 2014 me voy a tirar un poco a la piscina. ¿El onion de facebook sigue siendo solo http?
Cítame una fuente oficial de Tor donde digan lo contrario. No entiendo que importancia tiene la fecha de una información si esta sigue siendo real y no hay otra más moderna que la contradiga.
por lo que el argumento de que el certificado cuesta dinero pues como que no es valido
El certificado cuesta dinero, otra cosa es que el coste económico lo asuma un tercero, en este caso una fundación.
¿El onion de facebook sigue siendo solo http?
No uso facebook. Puedes comprobarlo visitando el onion de facebook.
#32 Tiene importancia porque con el paso de los años han ido saliendo ataques a la red Tor que la han hecho más vulnerable.
En 2018 el coste por certificado según leo era de 0,02$, haciendo un gasto total de 2,9M$, que no lo sufraga una fundación, lo sufragan todos los patrocinadores que tiene, que son bastantes y la mayoría son empresas. Yo creo que las fundaciones lo que están poniendo es gente de la comunidad que quiera ayudar al proyecto de forma desinteresada.
He probado facebook por tor (facebookwwwcorei.onion) y lo que ocurre cuando entras por http es que te eleva a https. Es decir, para facebook, el mero hecho de entrar por tor sin otra capa de cifrado dejó de ser seguro, y eso es por lo que dije de los ataques, hay grupos que pueden llegar a envenenar la red tor de tal forma que tienen control sobre un porcentaje de nodos suficientemente grande como para que ellos controlen la conexión de extremo a extremo y si eso ocurre la confidencialidad está rota.
#33 No es mi intención alargar la conversación, no hay una fuente más reciente que contradiga lo que he pegado antes, y que se resume en que Tor es una alternativa al sistema de pago de las entidades certificadoras, y los argumentos sobre los ataques a Tor no cambian ese principio. Se trata de un principio ético de la fundación Tor. Uno de sus pilares principales es ser abierto y libre.
Que existan ataques (muchos de ellos teóricos o que necesitan cientos de miles de dólares para llevarse a cabo) contra el protocolo de Tor no invalida nada, igual que los ataques contra GPG no invalidan su seguridad y sigue siendo de facto el sistema de cifrado de correos más seguro, además de libre y gratuito.
#34 Pero a ver, que te veo encabezonado en la idea. Tor solicitó (draft: https://datatracker.ietf.org/doc/rfc7686/) a la IETF que el TLD .onion estuviera disponible. Esto lo hicieron por un único motivo, que se pudieran ofrecer, por las CA, certificados para dominios .onion. O sea, Tor no se opone para nada a que Digicert u otros hagan negocio con eso, de hecho es que ellos mismos junto a Facebook hicieron la solicitud para hacer esto posible.
Y es que tampoco puedo estar de acuerdo en que el uso de SSL es sustituble por el cifrado de Tor a nivel de transporte. El cifrado de Tor no te va a proteger contra phising ni contra MiTM, cosa que un certificado si que lo hace.
Y claro que el cifrado de Tor no lo han roto, ni lo van a romper a corto o medio plazo, pero cuando alguien es capaz de poner un numero considerable de sistemas a funcionar en la red de tor puede vulnerar la confidencialidad de las comunicaciones. Y como dices, ahí tienes razón, son muy costosos, y lo serían aún más si fueran tan masivos como para ser dirigidos a una persona en concreto. Pero lo que hacen los que atacan la red tor es tirar el anzuelo y ver que pescan, no van a por alguien determinado, van a ver que encuentran y como lo pueden aprovechar.
Y bueno, sobre sslstrip yo lo use hace la tira de años. Hoy en día yo diría que está prácticamente obsoleto porque aunque su técnica funciona dudo que haya un solo navegador que no te suelte una advertencia de seguridad sobre la legitimidad del certificado, además de que hoy en día todo el mundo hace upgrade automatico cuando detecta que te conectas por http te va a redireccionar a https, lo que se conoce como HSTS, y que se le dio mucho bombo hace unos años.
#35Y es que tampoco puedo estar de acuerdo en que el uso de SSL es sustituble por el cifrado de Tor a nivel de transporte. El cifrado de Tor no te va a proteger contra phising ni contra MiTM, cosa que un certificado si que lo hace.
Si no sales de Tor sí te protege. Diferenciemos usar Tor de proxy a usar Tor con sitios onion. Dentro de Tor hasta donde yo se solamente funciona el phising (si no compruebas el dominio claro).
Y bueno, sobre sslstrip yo lo use hace la tira de años. Hoy en día yo diría que está prácticamente obsoleto
Te acabo de poner un enlace de una noticia reciente, de un ataque a Tor, usando sslstrip. Es bastante actual (creo que de hace 2 meses).
Y lo que dices respecto a Tor solicitando el registro del TLD .onion no tiene nada que ver con https, sino con tener el dominio superior registrado, y asociado a su fundación.
Pero eso no quiere decir que Tor no tenga un fin, y ese fin es ser una alternativa a la internet actual ya que en esta no hay un cifrado por defecto, y en la que si quieres criptografía tienes que pagar. La fundación también educa al FBI y otras policías sobre Tor, eso no quiere decir que estén en contra del anonimato, igualmente que estar a favor del anonimato no quiere decir que estén a favor de la delincuencia.
Tor no es solamente un software sino una filosofía, aunque la mayoría solamente aprecian la parte del software.
Por último decirte que me gustaría escribir más sobre Tor aquí en menéame contando con tu ayuda, y la de otros. Pienso que se debería hablar más de Tor por aquí. Y que es un placer poder hablar contigo, aunque tengamos opiniones diferentes. Siempre me parece productivo hablar sobre tecnología con alguien que controla un poco. No me veas como un "encabezonado" sino como alguien que quiere aprender y que sabe algo, aunque sea poco, sobre Tor, y que tiene en igual estima la criptografía como el motivo de ofrecerla públicamente y de manera gratuita, y al que le gusta hablar de este tema de manera incansable.
Brave viene con una versión de Metamask, lo cual no debería ser problema alguno ya que era código libre. El tema es que brave no te lo ponía fácil para deshabilitar su Metamask y poner el plugin de Metamask oficial, lo cual es una cerda bastante grande.
A raíz de eso, Metamask ha dejado de ser software libre para impedirles hacer eso (sigue siendo código abierto).
#29 Era la única forma de evitar que Brave se aprovechase de ello a la vez que ponía pegas para instalar la extensión original.
El código sigue siendo abierto y la licencia permite que hagas modificaciones como individuo, pero limita las modificaciones a empresas más grandes como Brave, que tendrán que negociar una licencia.
#30 Me sigue pareciendo una mala idea. Brave no se aprovechará del código nuevo (hasta el momento que lo has cerrado, puede usarlo), pero estás limitando los forks del software en un futuro. El futuro no es Brave.
Añado a esto que el proyecto fue fundado por Brendan Eich, conocido (a parte de por inventar el infame lenguaje Javascript) por haber sido CEO de Mozilla (iniciando su deriva autodestructiva durante su mandato), y por sus posturas homófobas.
Comentarios
¿Soy al único que Brave le da grima? No me fio ni un pelo.
#3 no
#3 #6 Esto es de 2019, pero ayuda:
https://spyware.neocities.org/articles/brave.html
#3 Pues a mí me gusta,pero no soy experto.
#3 Pues no. Brave ha hecho cosas que por mucho menos se han cancelado a empresas.
#4 No es por que los certificados cuesten dinero (de hecho letsencrypt es gratis) sino porque la red onion ya tiene una capa de cifrado y añadir el https es redundante, además de que por cada certificado hay que hacer una petición fuera de tor a la CA. De todas maneras, esto a mi modo de ver es bastante temerario, por que eso solo es valido para las direcciones .onion que se resuelven dentro de tor y algunos usuarios pueden pensar que navegar por http en paginas de fuera de tor es seguro y en realidad es todo lo contrario.
#10 Sí, eso ya lo se. Letsencrypt es gratis gracias a la FSF, soy uno de los muchos que lo usan y por eso no olvido que es gracias a una fundación y no gracias a las autoridades de dominio, ni gracias a los diseñadores de internet, sino gracias a una fundación. Los certificados de Letsencrypt son gratis gracias a una fundación, no olvidemos eso.
Lo que quería transmitir es que Tor no recomienda usar certificados en sitios onion precisamente porque su protocolo viene a sustituir la vieja práctica de cobrar por los certificados y de tener autoridades de certificación (entre otras soluciones que aporta Tor al actual diseño de internet).
#13 A ver, creo que te confundes. La FSF no tiene nada que ver con letsencrypt. Imagino que la estás confundiendo con la EFF, que es uno de sus patrocinadores más importantes. Letsencrypt fue creado por la ISRG.
Y luego a Tor el hecho de que los certificados se cobren o no le da igual. No lo recomienda simplemente porque consideran que la propia seguridad por capas de la red onion es suficientemente fuerte como para que no sea necesario usar https.
#15 Tienes razón, confundí una fundación con otra, pero eso no invalida mi argumento, son fundaciones que con su dinero pagan esos certificados para nosotros. Ellos pagan porque es obligatorio pagar por un dominio en internet mientras que en Tor son gratis.
Y no lo recomiendan solamente por lo que dices, algo que ya se, sino que también Tor es una alternativa al diseño actual de Internet, y en el enlace que puse sobre el https dicen que es por las dos cosas, por diseño y por seguridad. Con diseño se refieren a pagar, lo pone en el enlace del proyecto Tor:
Against: Tor's .onion handshake basically gives you all of that for free, so by encouraging people to pay Digicert we're reinforcing the CA business model when maybe we should be continuing to demonstrate an alternative.
#25 A ver, porque entramos en bucle. La página que estás citando es de 2014. Letsencrypt se lanzó en 2016 por lo que el argumento de que el certificado cuesta dinero pues como que no es valido.
Y aprovechando que la página es de 2014 me voy a tirar un poco a la piscina. ¿El onion de facebook sigue siendo solo http?
#26 La página que estás citando es de 2014
Cítame una fuente oficial de Tor donde digan lo contrario. No entiendo que importancia tiene la fecha de una información si esta sigue siendo real y no hay otra más moderna que la contradiga.
por lo que el argumento de que el certificado cuesta dinero pues como que no es valido
El certificado cuesta dinero, otra cosa es que el coste económico lo asuma un tercero, en este caso una fundación.
¿El onion de facebook sigue siendo solo http?
No uso facebook. Puedes comprobarlo visitando el onion de facebook.
#32 Tiene importancia porque con el paso de los años han ido saliendo ataques a la red Tor que la han hecho más vulnerable.
En 2018 el coste por certificado según leo era de 0,02$, haciendo un gasto total de 2,9M$, que no lo sufraga una fundación, lo sufragan todos los patrocinadores que tiene, que son bastantes y la mayoría son empresas. Yo creo que las fundaciones lo que están poniendo es gente de la comunidad que quiera ayudar al proyecto de forma desinteresada.
He probado facebook por tor (facebookwwwcorei.onion) y lo que ocurre cuando entras por http es que te eleva a https. Es decir, para facebook, el mero hecho de entrar por tor sin otra capa de cifrado dejó de ser seguro, y eso es por lo que dije de los ataques, hay grupos que pueden llegar a envenenar la red tor de tal forma que tienen control sobre un porcentaje de nodos suficientemente grande como para que ellos controlen la conexión de extremo a extremo y si eso ocurre la confidencialidad está rota.
#33 No es mi intención alargar la conversación, no hay una fuente más reciente que contradiga lo que he pegado antes, y que se resume en que Tor es una alternativa al sistema de pago de las entidades certificadoras, y los argumentos sobre los ataques a Tor no cambian ese principio. Se trata de un principio ético de la fundación Tor. Uno de sus pilares principales es ser abierto y libre.
Que existan ataques (muchos de ellos teóricos o que necesitan cientos de miles de dólares para llevarse a cabo) contra el protocolo de Tor no invalida nada, igual que los ataques contra GPG no invalidan su seguridad y sigue siendo de facto el sistema de cifrado de correos más seguro, además de libre y gratuito.
Además, ningún ataque ha conseguido romper el cifrado, lo que hacen es correlación del tráfico, o si usas Tor de proxy pueden usar herramientas como sslstrip: https://unaaldia.hispasec.com/2020/08/ataque-sslstrip-en-tor-destinado-al-robo-de-bitcoins.html
#34 Pero a ver, que te veo encabezonado en la idea. Tor solicitó (draft: https://datatracker.ietf.org/doc/rfc7686/) a la IETF que el TLD .onion estuviera disponible. Esto lo hicieron por un único motivo, que se pudieran ofrecer, por las CA, certificados para dominios .onion. O sea, Tor no se opone para nada a que Digicert u otros hagan negocio con eso, de hecho es que ellos mismos junto a Facebook hicieron la solicitud para hacer esto posible.
Y es que tampoco puedo estar de acuerdo en que el uso de SSL es sustituble por el cifrado de Tor a nivel de transporte. El cifrado de Tor no te va a proteger contra phising ni contra MiTM, cosa que un certificado si que lo hace.
Y claro que el cifrado de Tor no lo han roto, ni lo van a romper a corto o medio plazo, pero cuando alguien es capaz de poner un numero considerable de sistemas a funcionar en la red de tor puede vulnerar la confidencialidad de las comunicaciones. Y como dices, ahí tienes razón, son muy costosos, y lo serían aún más si fueran tan masivos como para ser dirigidos a una persona en concreto. Pero lo que hacen los que atacan la red tor es tirar el anzuelo y ver que pescan, no van a por alguien determinado, van a ver que encuentran y como lo pueden aprovechar.
Y bueno, sobre sslstrip yo lo use hace la tira de años. Hoy en día yo diría que está prácticamente obsoleto porque aunque su técnica funciona dudo que haya un solo navegador que no te suelte una advertencia de seguridad sobre la legitimidad del certificado, además de que hoy en día todo el mundo hace upgrade automatico cuando detecta que te conectas por http te va a redireccionar a https, lo que se conoce como HSTS, y que se le dio mucho bombo hace unos años.
#35 Y es que tampoco puedo estar de acuerdo en que el uso de SSL es sustituble por el cifrado de Tor a nivel de transporte. El cifrado de Tor no te va a proteger contra phising ni contra MiTM, cosa que un certificado si que lo hace.
Si no sales de Tor sí te protege. Diferenciemos usar Tor de proxy a usar Tor con sitios onion. Dentro de Tor hasta donde yo se solamente funciona el phising (si no compruebas el dominio claro).
Y bueno, sobre sslstrip yo lo use hace la tira de años. Hoy en día yo diría que está prácticamente obsoleto
Te acabo de poner un enlace de una noticia reciente, de un ataque a Tor, usando sslstrip. Es bastante actual (creo que de hace 2 meses).
Y lo que dices respecto a Tor solicitando el registro del TLD .onion no tiene nada que ver con https, sino con tener el dominio superior registrado, y asociado a su fundación.
Pero eso no quiere decir que Tor no tenga un fin, y ese fin es ser una alternativa a la internet actual ya que en esta no hay un cifrado por defecto, y en la que si quieres criptografía tienes que pagar. La fundación también educa al FBI y otras policías sobre Tor, eso no quiere decir que estén en contra del anonimato, igualmente que estar a favor del anonimato no quiere decir que estén a favor de la delincuencia.
Tor no es solamente un software sino una filosofía, aunque la mayoría solamente aprecian la parte del software.
Por último decirte que me gustaría escribir más sobre Tor aquí en menéame contando con tu ayuda, y la de otros. Pienso que se debería hablar más de Tor por aquí. Y que es un placer poder hablar contigo, aunque tengamos opiniones diferentes. Siempre me parece productivo hablar sobre tecnología con alguien que controla un poco. No me veas como un "encabezonado" sino como alguien que quiere aprender y que sabe algo, aunque sea poco, sobre Tor, y que tiene en igual estima la criptografía como el motivo de ofrecerla públicamente y de manera gratuita, y al que le gusta hablar de este tema de manera incansable.
#3 https://spyware.neocities.org/articles/brave.html
#3 Bastante, pero por otros motivos.
Brave viene con una versión de Metamask, lo cual no debería ser problema alguno ya que era código libre. El tema es que brave no te lo ponía fácil para deshabilitar su Metamask y poner el plugin de Metamask oficial, lo cual es una cerda bastante grande.
A raíz de eso, Metamask ha dejado de ser software libre para impedirles hacer eso (sigue siendo código abierto).
#23 Un poco feo también por parte de Metamask dejar de hacer software libre, porque no lo usan como quieren.
#29 Era la única forma de evitar que Brave se aprovechase de ello a la vez que ponía pegas para instalar la extensión original.
El código sigue siendo abierto y la licencia permite que hagas modificaciones como individuo, pero limita las modificaciones a empresas más grandes como Brave, que tendrán que negociar una licencia.
A efectos prácticos esto solo afecta a Brave.
#30 Me sigue pareciendo una mala idea. Brave no se aprovechará del código nuevo (hasta el momento que lo has cerrado, puede usarlo), pero estás limitando los forks del software en un futuro. El futuro no es Brave.
#3 A mi tampoco me da buena espina.
Es un peliculón, lo recomiendo.
Va de una pelirroja
#1 Ah sí, Brave el cerdito valiente. Muy buena.
#7 le gasto esa broma a mi hijo cada vez que tengo ocasión, pero no lo pilla.
Y me niego a ponerle la película del gorrino. Bastante tengo con la pepapig
#12 Renuévate y broméale con "Brave...heart".
La película del cerdito era muy buena y divertida, y su banda sonora, repleta de temas de compositores clásicos del XIX, una maravilla.
Mis hijos también veían PepaPig. Ya son veinteañeros y a saber qué guarradas verán ahora...
#14 ¿Otras cerdas que no se llamen Pepa, quizás?
#1 y con una Milf furra
#1 ¡Anda, mi colonia!
Onion versión 2, una pena porque están obsoletas hace tiempo: https://blog.torproject.org/v2-deprecation-timeline
La dirección: brave5t5rjjg3s6k.onion
Usan https lo cual no está recomendado por Tor (básicamente porque Tor es libre y los certificados dependen de autoridades y cuestan dinero): https://blog.torproject.org/facebook-hidden-services-and-https-certs
Yo use Brave una temporada y me salio un bulto en los huevos como a Hugo Chavez, lo cambié y el bulto se marcho.
Desaconsejo ese navegador.
Yo ya llevo tiempo acaparando BATs
https://coinmarketcap.com/es/currencies/basic-attention-token/
Veo una noticia del navegador Brave y voto spam.
si realmente te importa la privacidad en tu móvil, usa como navegador ddg
https://play.google.com/store/apps/details?id=com.duckduckgo.mobile.android&hl=en_US&gl=US
Bravo
Lo he probado, y tiene algo de amargor.
#2 A mí Amarcord y Brave no se me parecen en nada.
Bueno sí, en la pelirroja
Recordemos que Brave no está libre de polémica:
- https://coinlist.me/es/noticias/brave-polemica-por-enlaces-afiliados-a-sitios-cripto/
Añado a esto que el proyecto fue fundado por Brendan Eich, conocido (a parte de por inventar el infame lenguaje Javascript) por haber sido CEO de Mozilla (iniciando su deriva autodestructiva durante su mandato), y por sus posturas homófobas.