TOR är blockat - ingen verkar bry sig

Då är det inte en donation, utan en tjänst.
Det är den riktningen som andra plattformar börjat använda mer och mer.


Det beror på att det är enklare att hantera DDoS-attacker, spam-attacker och en mängd andra liknande angrepp ifall vi blockerar trafiken varifrån majoriteten av dessa kommer. Ifall vi exkluderar DDoS-attackerna så kommer dessa mer eller mindre uteslutande från Tor.

Som jag skrivit innan så planerar vi att även vara tillgängliga från Tor, men ifall resurserna är begränsade så behöver vi fokusera på det som är viktigast. Exempelvis att se till att forumet är tillgängligt.

admin

Ja och vad stoppar dig från att göra samma sak? Vad är alternativet? Starta krig mot uBlock Origin och fortsätta hoppas på att donationerna ska ökas?

Att jag inte tror att det är något som gynnar forumet.
Jag ser medlemmarna som en tillgång, inte som en intäkt.
Dessa behöver inte vara i motsatsförhållande, men funktionerna som man isf skulle betala för tror jag är bättre att kunna erbjuda gratis. Om detta är möjligt.

Tror dessutom att upplägget funkar bättre på vissa andra plattformar. Att upplägget vore olyckligt på Flashback betyder m.a.o. inte att det är en dålig idé för Meta Platforms. Tror tvärtom att de tänker helt rätt här, utifrån deras egna intressen.


Att minska kostnaderna.


Vem har startat krig mot uBlock Origin? En av orsakerna till att vi lanserade donationerna från början var just pga att de som blockerade annonser önskade att ge donationer istället. Om vi önskade att fler gav donationer så skulle sidan då och då innehålla kampanjer för just detta, likt de som du ser på Wikipedia och Internet Archive.

Jag tror att mer eller mindre alla som besöker Flashback förstår att sidan bara har två intäkter, från annonsering och donationer. Om någon väljer att både blockera annonserna och avstå från att ge donationer så är det inte mycket vi kan göra åt detta. För tre år sedan gick forumet back under flera år, men under de två senaste åren så har vi gått plus. Vilket är orsaken till att forumet är kvar. Givetvis kan vi önska att många saker förbättrades, och att problem åtgärdades snabbare, men det viktigaste för de flesta är att forumet är kvar.

Det finns väldigt många tjänster och plattformar som finansieras via donationer, så att inte fler ger bidrag är inte så konstigt. Det finns en gräns för hur många saker man kan finasniera via frivilliga bidrag. De som blockerar annonserna förstår i vissa fall inte att denna handling skadar forumet, och i ärlighetens namn gör en person inte så stor skillnad. Problemet är om fler börjar blockera annonserna. Men detta är bara att acceptera. Men för att återgå till trådens frågeställning så finns det inga planer på att blockera Tor för alltid. På samma sätt som vi ogärna vill blockera någon annan trafik. Men just nu är detta det minst dåliga alternativet.

admin

Tack för denna precisering av problemet. Jag tolkar det du skriver som att problemet med TOR inte i första hand är att det används för DDoS-attacker, utan för det du kallar för "spam-attacker och liknande angrepp". Alltså attacker där någon loggar in på Flashback med nyskapade konton och sedan skitpostar eller sprider reklam.

I så fall finns det bättre sätt att bekämpa skitpostarna än att totalblockera TOR. Två möjligheter:

1. Begränsa möjligheterna för nyskapade och oanvända konton att posta inlägg och starta nya trådar. Exempel: tillåt bara ett inlägg om dagen tills dess man har skrivt 10 inlägg, och ingen rätt att starta nya trådar för den som inte har varit med minst en månad och skrivit minst 50 inlägg.

2. Låt bara användare "in good standing" (förslagsvis medlemmar med Laidbackstatus) logga in från TOR-adresser.

Båda metoderna borde vara lätta att implementera. Metod 1 kommer åt även de skitpostare som inte använder TOR, men drabbar också många oskyldiga. Metod 2 är mer selektiv, och därför enligt min mening bättre. Rätten att använda TOR blir ett privilegium för dem som sköter sig, precis som rätten att att starta omröstningar och skriva i Laidback.

Flashback måste ju i så fall fortfarande hantera och tillåta TOR anslutningar i det stora hela. (Jag ansluter ju inte med mitt flashback ID, utan med TOR.)

Korrekt. Det var just det som var poängen med mitt förslag.

Om problemet i första hand är att spammare och andra forummarodörer använder TOR för att logga in med ständigt nya konton kan man ju hindra dessa (nya konton) från att logga in från TOR-adresser, utan att blockera all TOR-trafik överhuvud taget.

Med denna enkla åtgärd skulle de användare som sköter sig (dvs. de allra flesta) återigen kunna få vara anonyma på Flashback om de så önskar.

Det är omöjligt att exkludera medlemmar som har exempelvis Laidback-status då du isf redan måste vara inloggad.


Helt korrekt. Jag delar din åsikt.


Att de problemanvändare du lyfter ovan uteslutande använder Tor betyder inte att det saknas annan elakartad aktivitet mot forumet. Att jag i mitt tidigare inlägg valde att exkludera DDoS-attacker innebär inte att dessa inte görs via Tor, utan att de är vanliga även via andra uppkopplingar. Det finns dessutom en hel del annan aktivitet som vi vill angripa. Dumt att göra en lista över alla problem, men de är betydligt fler än de två exempel du nämner ovan.


Om du loggar in utan Tor-uppkloppling så är du väl inte mer anonym än du är idag?
Diskussionen handlar väl främst om att de som är uppkopplade via Tor inte kommer åt forumet. Väljer du att istället använda dig av olika VPN och liknande för att skydda dig så får du idag samma skydd som det du föreslår. Målsättningen bör istället vara att tillåta Tor, och inte bara för vissa utvalda.

admin

Det är inte alls omöjligt utan tvärtom lätt att implementera om bara viljan finns.

Jag talar alltså om ett filter i inloggningskoden. Så fort en användare som försöker logga in trycker på "Logga in"-knappen vet Flashback två saker:

1. Vem som försöker logga in.
2. Från vilken IP-adress inloggningsförsöket sker.

Filtret kollar Laidbackstatus för användaren och er blocklista över TOR-noder. Om en användare utan Laidbackstatus försöker logga in via TOR stoppas inloggningsförsöket innan lösenordet verifierats.


Jag har förstått att det finns flera olika problem. Vad gäller DDoS-attacker, så är TOR som jag påpekade i ett tidigare inlägg mindre lämpat för dessa av flera skäl (låg bandbredd, lång latenstid, entrynoderna skulle uppfatta DDoSare som ett angrepp mot dem själva och snabbt blockera dessa). Om det trots allt förekommer DDoS-attacker mot Flashback via TOR kan jag naturligtvis inte uttala mig om, men jag tvivlar på att er blockering av TOR gör någon större skillnad för det totala DDoSandet.

De andra "elakartade aktiviteter" som du nämner kan jag naturligtvis inte heller uttala mig om eftersom du (av fullt begripliga skäl) inte vill diskutera dessa. Jag tolkar dock det du skriver som att dessa angrepp sker innan eller utan fullbordad inloggning. Om det handlar om försök att hacka konton finns det ju anledning att även av det skälet se över inloggningskoden.


Det är precis det som är min poäng. Så länge ni blockerar TOR kan ingen användare vara rimligt säker på att få vara anonym på Flashback. Tillståndet idag är ett hot mot alla användare som av någon anledning vill vara anonyma. Syftet med de "elakartade aktiviteter" som du talar om kan mycket väl vara just detta: att förhindra folk att vara anonyma på Flashback genom att tvinga er att blockera TOR. Något som de i så fall lyckats med. Mission accomplished.


Det fetade är inte korrekt. VPN kan aldrig ge samma skydd som TOR, av flera skäl. VPN är mer sårbart för trafikanalys, VPN-leverantören vet i de flesta fall vem du är och om du betalt för tjänsten, vilket de flesta som använder VPN gör, kan du glömma allt vad anonymitet heter. Alla betalningar utom möjligen kontanter (även Bitcoin) kan spåras i dagens kontrollsamhälle. I bästa fall är du pseudonym med VPN.

TOR har sina brister, men det är idag det minst dåliga alternativ som vanligt folk kan använda för att skydda sin identitet på nätet. Bäst är att använda TOR i kombination med VPN (TOR över VPN) så att entrynoden för TOR inte heller kan se vem du är.

Vad gäller din ovilja att premiera "vissa utvalda" så är ju användare med Laidbackstatus redan premierade på olika sätt. Men sätt gärna ribban lägre än Laidbackstatus om du oroar dig för detta. Det viktiga som jag ser det är att blockera de spammare och återkommande 1.07-troll som använder nyregistrerade konton i kombination med TOR. Något som är möjligt utan att blockera TOR för alla användare.

P.S. Jag håller med om att det bästa vore att återigen tillåta TOR för alla, om det är möjligt. Men nu har det redan gått två månader utan att ni lyckats fixa problemen. Två månader när användare varit utsatta för onödiga risker på grund av detta. Det bästa får inte bli det godas fiende.

Du har, som vanligt, många bra tankar om dessa ämnen. Det där med Laidback-kravet är riktigt smart. Det borde man kunna använda vid alla större attacker, som en tillfällig handbroms. Oavsett om det gäller TOR eller inte.

Tor är lågprioriterat, och ska vi tillåta Tor så bör vi göra detta för samtliga.
Att lägga ner massor av tid för att skapa specialfunktioner som dessutom går att missbruka vore ett enormt slöseri med resurser. Det betyder inte att det är oviktigt, men i relation till andra saker som också bör hanteras så är det inget vi arbetar på just nu. Detta är något vi hoppas kunna åtgärda i framtiden.

För att sätta det hela i ett större sammanhang så finansieras forumet genom donationer och annonser. Ifall vi tittar på hur många som ger donationer så är det i genomsnitt mindre än en person per dygn som ger ett bidrag. Tittar vi på bidragen under det senaste kvartalet så är det mindre än 100 kronor per dygn. Så vi är därför beroende av betydligt högre annonsintäkter. På senare tid har priserna på annonser minskat dramatiskt, vilket inte på något sätt är unikt för Flashback. Plattformar som Twitter har mer än halverat sina intäkter, och samma sak gäller Facebook och etablerade medier.

Med få medlemmar som är villiga att ge donationer, en annonsmarknad som under det senaste året minskat radikalt, så behöver vi bli mera försiktiga med våra prioriteringar. De större planer som vi haft har nästan alla avvecklats då dessa kräver fler som ger donationer, och detta intresse saknas. Men i dagsläget så är även annonsmarknaden påverkad, och då behöver vi fokusera på det allra viktigaste. Om vissa vill sänka forumet och se till att vi försvinner så bör fokus ligga på att åtgärda detta. Att blockera Tor är den billigaste lösningen. Utan större donationer, och där en stor mängd av besökarna t.o.m. blockerar annonserna, så är detta vår verklighet.

Vi kommer inte kräva att någon ger donationer, och vi kommer inte att blockera annonsblockerare. Men om våra resurser minskar, så tvingas vi också göra prioriteringar. Att blockera Tor är inte någon bra lösning, men en bra prioritering utifrån den befintliga situationen.

Dessutom så är inte Tor så säkert som vissa tror. Den som önskar vara anonym, och vill ha mer anonymitet än VPN, rekommenderas att skapa betydligt säkrare upplägg än Tor.

admin

Tack för det raka beskedet. Jag tror att ni gör en felprioritering om ni sätter användarnas möjlighet att vara anonyma på undantag, men jag förstår att ni måste göra en del svåra val om det ekonomiska läget är så allvarligt som du framställer det.


Att TOR långtifrån är perfekt påpekade jag ju själv ovan, men det är icke desto mindre det minst dåliga verktyg som vanligt folk kan använda för att skydda sin identitet på nätet.

Hyrtrollen som idag tyvärr dominerar debatten på Flashbacks politiska fora har säkert tillgång till ännu bättre (och dyrare) lösningar, men om du känner till någon metod som är bättre än TOR och som en vanlig användare med begränsade tekniska kunskaper och små ekonomiska resurser kan använda för att skydda sig tror jag att fler än jag är nyfikna på vad du egentligen syftar på. Särskilt då om metoden går att använda på Flashback.

Jag är fel person att ge svar på den frågan. Tror du får bäst svar i forumet (FB) IT-säkerhet
Bristerna med Tor känner du redan till, och tydligen finns det sätt att använda VPN på som är betydligt säkrare. Men vill man garantera sig ordentligt så krävs viss teknisk kunskap. Hur stor denna behöver vara låter jag vara osagt. Men kan vara värt att lyfta frågan om svaret inte redan finns där. Man behöver helst ha en egen server för att exkludera viss insyn i trafiken.

Och som jag skrev innan, så finns det inget motstånd från min sida att erbjuda Tor. Så länge vi har rimliga resurser för att hantera denna trafik. Förstår helt klart argumentet med att det även behöver vara förhållandevis enkelt att hantera. Så mitt svar innan är inte till syfte att flytta ansvaret, utan förklara varför vi befinner oss i den befintliga situationen, och ge svar på vilka alternativ som finns.

admin