Interessante Diskussion. Das hat doch gleich mal meine Neugier geweckt und ich wollte unbedingt nachschauen, was da wo konkret wie gemacht wird.

Erstmal: "Cane" hat Recht, die Befürchtungen von "Aufgedeckt" sind weitgehend unbegründet. Wenn ich das richtig sehe, müsste der zentrale Teil dieser Funktion unter

http://svn.jondos.de/svn/anonlib/anonlib/trunk/src/main/java/anon/proxy/HTTPProxyCallback.java

implementiert sein (Funktion "redirect"). Es ist also so, dass nach dem Abruf einer stets kleiner werdenden Zahl von HTML-Seiten bzw. auch mit einer gewissen Zufälligkeit die Meldung kommt. Dies geschieht, indem die dann jeweils aktuell übertragene HTML-Seite als temporär verschoben gekennzeichnet wird und zwar auf http://premium-??. Dadurch fordert der Browser statt der vom Nutzer geforderten HTML-Seite ersatzweise den Premium-Hinweis an und die Meldung erscheint (der Squid-Proxy am Ende der Kaskade liefert bei dieser Domain eine lokal hinterlegte Website aus). Die Mixe müssen dafür nichts tun oder wissen, es ist eine reine Client-Lösung.


So weit, so gut, könnte man meinen. Alles in Butter? Naja. Also der Anonymität zuträglich ist diese Lösung ganz sicher nicht, die Frage ist, ob sie abträglich sein kann.


Ich denke, wir sind uns einig, dass eine solche Meldung eine sehr charakteristische Signatur an übertragenen Paketen zwischen Client und erstem Mix der Kaskade darstellt (zeitliche Abfolge, Paketanzahl). Was kann man damit anfangen? Wenn man sich den Quellcode anschaut, sieht man, dass für den maßgeblichen Zähler dieser Meldung nur bestimmte HTTP-Anforderungen zählen:

1. Es muss ein HTTP-GET-Request sein.
2. Dieser muss vom angesteuerten Webserver mit HTTP OK (200) beantwortet werden.
3. Es wird Content-Type "text/html" übertragen.

Nur wenn alle 3 Bedingungen erfüllt sind, wird der Zähler erhöht und man rückt dem Premium-Hinweis einen Schritt näher. Wenn man nun aber sagt, dass der Premium-Hinweis mit großer Wahrscheinlichkeit eine charakteristische Paketfolge erzeugen wird, dann kann nun man an deren Häufigkeit ungefähr abschätzen, was ein Benutzer machen könnte. Wer viele HTML-Seiten aufruft, bei dem kommt häufig (und zunehmend) diese Paketfolge vor, wer dagegen z. B. auf XHTML-Seiten unterwegs ist oder ganz andere Dinge macht (die z. B. mehr POST-Requests beinhalten), der bekommt die Meldung und damit auch die charakteristische Paketfolge selten bis nie.

Gut, man könnte jetzt natürlich darüber fachsimpeln, ob nicht allgemein die Paketfolgen für bestimmte Aktivitäten schon recht charakteristisch sind. Aber besser wird es mit der Meldung diesbezüglich definitiv nicht.


Aber auch am anderen Ende der Kaskade - nämlich am Proxy-Server - ist diese Meldung nicht ganz harmlos. Je nachdem, wie häufig der Premium-Hinweis dort angefordert wird, kann man nämlich (wenn auch nur sehr grob) Rückschlüsse darauf ziehen, wie sich die regulären Requests auf die Nutzer verteilen. Wird z. B. die Meldung praktisch nie abgerufen, dann bedeutet das, dass sich die letzten Requests auf recht viele Nutzer verteilen müssen. Sieht man dagegen dann plötzlich vorübergehend einen zunehmenden Abruf, dann weiß man, dass eine größere Zahl der Requests in dieser Zeit von einem oder einer kleinen Gruppe von Nutzern erzeugt werden, so dass dort der Client entsprechend häufiger die Meldung abruft.


Das ist natürlich nun alles nicht direkt ein richtig guter Brecher der Anonymität. Aber in meinen Augen leidet die Anonymität zumindest in einem gewissen Maße. Ich halte es nicht für existentiell, aber es sollte trotzdem erwähnt sein.


EDIT: Mir ist beim Brainstorming noch was eingefallen, was man mit dieser Meldung anfangen kann. Es ist ja so, dass ein bereits erfolgter Request modifiziert wird. Die eigentliche Website ist also bereits abgerufen, der Jondo-Client modifiziert die Antwort aber, indem er die Seite als verschoben kennzeichnet, um so den Browser zu einem Abruf der Premium-Meldung zu bringen.

Man kann damit als Websitebetreiber feststellen, wie viele Websites ein Jondo-Besucher vorher bereits besucht haben muss. Denn wenn der Premium-Hinweis kommt, muss der Nutzer die im Hintergrund eigentlich schon abgerufene Seite nochmal abrufen. Als Websitebetreiber sieht man also zwei Abrufe in Folge (wenn man das Caching untersagt, damit der Squid-Proxy der Kaskade da nicht eingreift) und zwar in einem charakteristischen Muster entsprechend wie viele Websites der Benutzer vorher schon besucht hat (am Anfang sind die Doppelabrufe noch selten, wenn der Benutzer schon viele Websites abgerufen hat, sind sie entsprechend häufiger).

Damit kann man also feststellen, ob der Benutzer nur für die eigene Website "paranoid" ist, oder ob er vielleicht generell so surft oder von einer anderen Website derartig hergeleitet wurde.

Mal sehen, ob mir noch ein paar Ideen kommen, was man mit der Meldung noch so machen kann... Vielleicht fällt auch anderen was ein.

@Feritko Eine rein clientbasierte Lösung ist es nicht, da die Auslieferung über den letzten Mix stattfindet. Damit das passieren kann muss der von dir beschriebene Vorgang ausgeführt werden. Das kritische dabei ist u.a. der sich verändernde Zeitintervall. Den kann man messen und mit einiger Kreativität und Aufwand die Quelle kompromittieren. Das von dir angesprochene "indem die dann jeweils aktuell übertragene HTML-Seite als temporär verschoben gekennzeichnet wird" habe ich noch gar nicht berücksichtigt. Das muss ebenfalls auf dem Mix geschehen. Damit lässt sich sogar eine Verbindung zwischen der Zwangsseite, also der genutzten Kaskade, und der urspünglich aufgerufenen Seite herstellen. Das macht es noch gefährlicher. Läge die Zwangsseite auf dem Client, wäre das was anderes, mal davon abgesehen dass man dann immernoch die urspünglich angeforderte Seite erneut aufrufen würde und darüber Rückschlüsse möglich wären.

"Ich denke, wir sind uns einig, dass eine solche Meldung eine sehr charakteristische Signatur an übertragenen Paketen zwischen Client und erstem Mix der Kaskade darstellt (zeitliche Abfolge, Paketanzahl)."

Das würde ich auch sagen, aber den anderen scheint das unklar zu sein. Ich verstehe nicht warum, es ist so offensichtlich.

Zu den von dir genannten Bedingungen muss es noch mindestens eine weitere geben. Wenn man sich auf zu Jondos gehörenden Seiten bewegt läuft zwar der Zähler, die Zwangsseite wird aber nicht angezeigt, bis man die Jondos-Seiten verlässt und andere aufruft. Jondos-Seiten müssen also erkannt werden.

Zu den Rückschlüssen über die Anzeige der Zwangsseite hätte ich auch noch einen Ansatz. Es gab vor einiger Zeit irgendwas mit einem Social Network, wo anhand von Ladezeiten herausgefunden wurde was man macht, ich weiß es nicht mehr genau. Nehmen wir mal an jemand ruft eine Folge von ähnlichen Seiten auf, bei großen Magazinen gibt es solche Bilderserien. Ausgehend von einer einigermaßen gleichbleibenden Geschwindigkeit der Verbindung und Zeit fürs ansehen ergibt sich daraus ein charakteristisches Muster. Berücksichtigt man dazu den sich verändernden Zeitintervall, lässt sich das Muster begrenzt zuordnen.

Auch ich halte es nicht für einen existentiellen Fehler, aber immerhin für eine Gefährdung und einen realistischen Angriffspunkt, wovon es mehrere gibt deren Aufdeckung ähnlich abgewehrt wird, auf den man hätte verzichten sollen. Die Ursache ist meiner Meinung nach dass man der Sicherheit, im Sinne von hoher und möglichst nicht angreifbarer Anonymität, keine Priorität einräumt und bei dem Versuch die Einnahmen zu erhöhen etwas unbeholfen und undurchdacht vorgeht.

georg koppen "Skepsis gegenüber JonDos finde ich aus Nutzersicht durchaus nicht schlecht, schließlich sitzen wir als Anbieter eines Anonymisierungsdienstes sozusagen an delikater Stelle. Wenn Sie der Meinung sind, dass es bei uns an Fachwissen fehlt, dann kann ich sie nur einladen, dieses fehlende Wissen im Forum oder auf anderen Kanälen mitzuteilen, so dass alle etwas davon haben. Ich würde Sie auch nicht als Eindringling bezeichnen, geschweige denn lächerlich machen wollen. Wozu auch."

Sie offensichtlich nicht. Aber cane und die Build-in-Trolle, wobei ich inzwischen den Verdacht habe dass es da Verbindungen gibt, scheinen das als ihre Hauptaufgabe anzusehen. Nein, Wissen über das Forum teilen werde ich nicht mehr, man sieht ja wohin das führt. Allgemeines nicht, weil man sofort angemacht wird. Spezielles schon gar nicht, weil wenn das allgemeine schon deratigen Widerstand hervorruft, was wäre das dann erst bei speziellem Wissen, wofür das Forum ohnehin der falsche Ort wäre?

Wozu auch ist eine gute Frage. Stellen sie sie doch mal cane und den anderen. Auf Wiedersehen.

Wer die höchstmögliche Anonymität nutzen möchte, würde wahrscheinlich die Premium-Dienste nutzen. Dort gibt es auch keine Werbeeinblendungen.

Wie schön, wir ignorieren ein bestehendes und selbstgeschaffenes Problem, weil es nicht auf allen Kaskaden auftritt.

Die kostenpflichtigen Kaskaden haben andere Probleme, aber diese Diskussion werde ich nicht aufmachen. Denn wenn sie dieses einfache Problem, das nur ihre eigenen Systeme und fremde Zielwebserver betrifft, nichtmal verstehen, dann gehen die Probleme auf den kostenpflichtigen Kaskaden weit über ihre Verständnismöglichkeiten hinaus. Von höchstmöglicher Anonymität kann auch auf den kostenpflichtigen Kaskaden keine Rede sein, das ist noch viel höher möglich.

Zunächst zu "Aufgedeckt":



Nein, das wird vollständig auf dem Client gemacht. Der modifiziert die eigentlich richtige Antwort der angefragten Seite, indem er sie praktisch überschreibt und sagt, die Seite wäre jetzt unter http://premium-?? zu finden, was den Browser veranlasst, dann diese Seite an Stelle der ursprünglichen abzurufen.



Ja, das wird gefiltert. Aber auch das passiert vollständig auf dem Client, wie man dem Quellcode entnehmen kann.



Stopp, das habe ich mit Absicht nicht so ausgeführt. Das liegt praktisch außerhalb des Angreifermodells von Jondos. Ich sage es mal kurz und knapp: Wer vor dem ersten Mix und hinter dem letzten Mix einer Kaskade die Verbindungen abhören kann, kann mit großer Wahrscheinlichkeit Zuordnungen an Hand von Zeitmustern und übertragenen Datenmengen vornehmen. Das ist bekannt, lässt sich leider aus praktischen Gründen bei solchen Diensten nicht vermeiden.

Und das ist letztlich das Modell, was du hier indirekt auch beschreibst: Wenn man eine Datenbank mit üblichen Abrufmustern von Webseiten hat (das ist hier praktisch das "Abhören hinter dem letzten Mix", auch wenn es kein direktes Abhören ist) und die Verbindungen vorm ersten Mix überwachen kann, dann kann man Jondo brechen. Aber das ist nichts Neues. Praktisches Beispiel: Wenn du auf den Webseiten deines eigenen Internetproviders mit Jondo surfst, könnte er es theoretisch bemerken, dass du es bist, weil er sowohl deine Verbindung zum ersten Mix sieht als auch den Webserver kontrolliert, den du ansurfst.

Was nun neu ist: Man kann jetzt allein an Hand des Abrufmusters der Premium-Werbeseite Rückschlüsse auf den Rest ziehen, den du machst, einfach indem man nur deine Verbindung zu Jondo überwacht ohne hinter den letzten Mixen nochmal zugreifen zu müssen.


Jetzt zu "Cane":



Ganz ehrlich: Diese Art der Herangehensweise macht mir doch ein paar Bauchschmerzen, genauso wie die ersten Kommentare zur Funktionsweise dieser Einblendungen, die wenig erhellend waren (und das in meinen Augen unbegründet, denn die meisten Benutzer werden fertige Pakete nehmen, so dass auch das genaue Wissen um die Implementierung dort nichts am Erfolg der Einblendungen ändert - wer sich dagegen einigermaßen mit Java auskennt, der wird, wenn er will, Mittel und Wege zum Deaktivieren der Funktion finden, da muss man auch nichts verheimlichen; ich hätte mir da also einen etwas souveräneren Umgang gewünscht, auch wenn der TE sicher nicht den freundlichsten Umgangston angeschlagen hat und man vielleicht etwas genervt war).

Es ist klar, dass die JonDos-Mitarbeiter von etwas leben müssen und dass man Geld mit Premium-Konten verdienen muss. Und es ist auch klar, dass man auf Grund des Ansturms und der Kosten für Mixserver und Traffic, die kostenlosen Kaskaden kurz halten muss und nur eine begrenzte Datenübertragungsrate anbieten kann - die Anonymität auf Grund der Kaskadenlänge eventuell also auch nicht ganz so hoch sein kann wie auf kostenpflichtigen Kaskaden. Aber es ist in meinen Augen ein Unterschied, ob ich auf Grund der Umstände kostenlosen Benutzern nur eine gewisse Anonymität anbieten kann oder ob ich eine - sagen wir - "Werbefunktion" zusätzlich integriere, die zumindest das Potential hat, die Anonymität darüber hinaus zu schädigen, obwohl das so nicht sein müsste (außer zur durchaus nötigen Umsatzgenerierung).

Auch wenn die Leute von Tor auf dem 28C3 recht dick aufgetragen haben mögen: Es gibt Leute in Ländern, deren zumindest körperliche Unversehrtheit davon abhängt, dass der Anonymitätsdienst ihres Vertrauens sicher ist. Und diese Leute werden nicht in allen Fällen bezahlen können - weil sie es sich nicht leisten können, weil für sie keines der Zahlungsverfahren wirklich handhabbar ist oder weil sie einfach Angst haben, dass damit vielleicht irgendwelche persönlichen Informationen zuordenbar sind (auch wenn das unbegründet sein mag). Insoweit finde ich oben zitierten Satz sehr unsensibel. Wenn es - vielleicht auch gezwungenermaßen - so sehr ums Geld geht, dass die Anonymität nicht mehr im Mittelpunkt stehen kann, sollte man genau nachdenken...

Das ist uns bekannt.

Die finanzielle Situation von JonDos ist ernst, die Geschäftsführung sagt "sehr ernst". Die Mitarbeiter nehmen seit Jahren dauerhaft massive Gehaltseinschränkungen verglichen mit branchenüblichen Einkommen in Kauf. Ich denke, wir leisten unseren Beitrag für die Leute "in jenen Ländern".

Wenn sich die finanzielle Situation von JonDos nicht verbessert, dann kann kann dieser Dienst dauerhaft nicht mehr bestehen. Das hilft den Leuten in "jenen Ländern" am wenigsten.

Derzeit finanzieren 5% der Nutzer den Dienst. Ich denke, wir sind uns darüber einig, dass die Aussage "weil sie es sich nicht leisten können" nicht auf 95% unserer Nutzer zutrifft. Wenn 50% der Nutzer den Dienst finanzieren würden, könnten wir einerseits die Preise deutlich senken und anderseits die Qualität der kostenfreien Dienste verbessern sowie weitere Entwicklerkapazitäten (z.B. für Verbesserungen der Anti-Zensur Techniken einkaufen/einstellen).

Wir haben in letzter Zeit die Angebote auf den Premium-Diensten erweitert: der anonyme Datenspeicher ist hinzu gekommen, das AnonJabber-Projekt, wir haben mehr als 20.000 kostenlose Testgutscheine verteilt. Das wurde bisher wenig honoriert.

Um das Verhältnis von kostenfreien zur Premium-Usern zu verbessern, sind wir offenbar gezwungen, bei den kostenfreien Diensten anzusetzen? Das macht keinem von uns Spaß! Ohne Idealismus wären wir nicht hier.

Ideen zu diesem sehr wesentlichem Problem sind auch gerne willkommen. Danke.

Ideen zu einer verbesserten Version der Werbeeinblendung werden wir auch prüfen und Freundlichkeit in der Frage ist eine Grundvorraussetzung für eine freundliche Antwort.

Es gibt einige Forschungsarbeiten zu diesem Thema:

- Website Fingerprinting: Attacking Popular Privacy Enhancing Technologies with the Multinomial Naïve-Bayes Classifier (Hermann, Wendolsky, Federrath) http://epub.uni-regensburg.de/11919/

- Website Fingerprinting in Onion Router based Networks
http://lorre.uni.lu/~andriy/papers/acmc ... inting.pdf

(Falls sich jemand damit befassen möchte.)

Ich schweife jetzt mal kurz vom eigentlichen Kern der Diskussion hier ab (wobei: vielleicht ist das ja auch der wirkliche Kern):



OK, ist denke ich den meisten hier klar.



Ist ein Argument.



Hier will ich doch mal etwas weiter ausholen. Denn in meinen Augen stellt sich hier die ganz entscheidende Frage, ob das überhaupt realistische Vorstellungen sein können. Ich bin in den letzten Tagen (dummerweise weiß ich nicht mehr wo) auf einen Artikel zu Free-to-Play MMOs gestoßen. In dem war von einem Anteil zahlender Spieler (über die Item-Shops) in solchen Spielen von 2 - 3 % die Rede. Ich habe jetzt nochmal geschaut (leider halten sich die Anbieter dieser Spiele zu solchen Zahlen aber sehr bedeckt): 5 - 10 % wird oft als branchenüblich dargestellt, Anteile zahlender Spieler über 10 % gelten als hervorragend und sind sehr selten.

Auch wenn es bei JonDo nicht um ein Spiel geht: Das Grundmodell ist recht ähnlich. Man kann es kostenlos nutzen, für einen besseren Service (mehr Bandbreite, SOCKS) und längere Kaskaden mit Mixen in unterschiedlichen Ländern muss man aber zahlen. Ich sehe deshalb durchaus das Potential gewisse Parallelen zu ziehen. Und da würde ich 50 % zahlende Nutzer doch in gewissem Maße als utopisch betrachten. Insbesondere, und ohne jetzt eine Grundsatzdiskussion auslösen zu wollen, muss man in dem Zusammenhang ebenfalls bedenken, dass es ja auch noch Tor gibt...

Lange Rede, kurzer Sinn: Ich habe zwar die Zahlen nicht, wie sich die Werbeeinblendung auf den Verkauf von Premium-Konten auswirkt, aber ich bezweifle, dass man mit einer Erhöhung des "Nervfaktors" den Anteil zahlender Kunden derartig explodieren lassen kann (gut, wenn man ausreichend Gratis-Kunden vergrault, die zahlenden Nutzer aber bleiben würden, dann kommt man auch auf 50 % - aber das hilft euch, denke ich, nicht wirklich weiter). Am Ende kann es sein, dass man zwar der Anonymität geschadet hat, aber trotzdem nicht mehr zahlende Kunden hat - also insgesamt schlechter als vorher da steht.


Wenn die Werbeeinblendung hilft, dann sollte zumindest nochmal überlegt werden, ob es Wege gibt, sie anonymitätsverträglicher zu gestalten. Denn wie ich oben gezeigt habe, wird momentan ein gewisser Anteil des Benutzerverhaltens (wie dramatisch man das einschätzt, ist natürlich eine Bewertungsfrage) sogar durch die Kaskade hindurch bis zu den Websitebetreibern getragen.

Wie ich bereits geschrieben habe, gibt es für die Werbung keinen Websitebetreiber. Die Einblendung wird durch den Exit-Mix bereit gestellt. Das hat konzeptionell unter anderem den Grund, keine zentrale, Kaskaden-übergreifende Sammelstelle zu haben. Es gibt uns aber die Möglichkeit, durch Updates die Seiten gelegentlich zu modifizieren oder zu verbessern.

Vorschläge sind aber willkommen.

Ich auch. War nur ein spontane Zahl "aus dem Affekt".

Die Spielebranche kann einen erheblichen Teil ihrer Einnahmen aus Werbung für Dritte erzielen (um bei dem Beispiel zu bleiben).

Würden Sie Werbeeinbelendungen für Dritte im JonDonym System tolerieren? Wobei sich wieder die Frage stellt, wie man diese Werbeeinblendungen privacy-freundlich realisiert. Die aktuelle Diskussion zeigt, dass diese Form mit dem Payment-Reminder erst einmal eine Grenze erreicht hat.

Context-sensitive Werbung ist nicht machbar, die Klickraten bei nicht-Context-sensitiver Werbung ohne Kenntnisse über den User sind einfach unterirdisch schlecht - wir würden wahrscheinlich kaum Werbe-Partner finden.

Die kostenfreien Dienste sind in der Regel ausgelastet (abgesehen von frühen Morgenstunden). Siehe Status: https://www.anonym-surfen.de/status/

Neukunden haben damit kaum die Möglichkeit, unseren Dienst auszuprobieren, sie bekommen (ohne Premium Test Coupon) erst einmal einen schlechten Eindruck. Vor 4 Monaten habe ich gelegentlich 5-10 Minuten(!) für den Aufbau einer Verbindung zu den kostenfreien Mixen warten müssen (als "Neukunde" mit "leerer" JonDo Konfiguration). Das hat sich sehr verbessert.

Wir brauchen also mehr Platz auf den freien Kaskaden und wenn einige absolut Zahlungs-unwillige Benutzer zu Tor abwandern, dann ist das vielleicht ein Vorteil für neue Kunden und für "jene Leute" die unbedingt darauf angewiesen sind? Schwer zu sagen.

Da jetzt erwartungsgemäß der Vorschlag kommen wird, einfach mehr kostenfreie Kaskaden bereit zu stellen, will ich auch darauf kurz antworten:

Das haben wir versucht. Vor 2 Jahren bauten wir die Kapazität im kostenfreien Beraich massiv aus und hatten zeitweise eine Kapazität von 7700 kostenfreien Slots (ohne "Dresden", siehe beiliegenden Screenshot von März 2010) verbunden mit einem Rückgang der finanziellen Einnahmen. Das war nicht nur ärgerlich für JonDos sondern hat auch den Mixbetreibern nicht gefallen.

Hier haben wir uns glaube ich etwas missverstanden. Dass das so funktioniert, ist mir klar. Es war hier der nachträglich eingefügte Edit-Teil in meinem ersten Post gemeint.

Ich kann als Websitebetreiber aus der Häufigkeit der Doppelabrufe feststellen, ob ein JonDo-Besucher vorher schon auf anderen Seiten war oder ob er extra nur für meine Seite JonDo anwirft.

Ich kann ferner feststellen, ob der Besucher parallel noch auf anderen Seiten surft. Wenn ich am Anfang nämlich ein großes Intervall der Doppelabrufe sehe und plötzlich wird das Intervall viel kleiner, dann muss der Benutzer noch parallel auf anderen Seiten unterwegs sein.