Die Tor-Funktionen von Trezor sind entweder unsicher oder schlecht implementiert. Was denkst du?
- Dieses Thema hat 4 Antworten sowie 1 Teilnehmer und wurde zuletzt vor vor 1 Jahr, 9 Monaten von
aktualisiert.
-
Beiträge
-
-
Trezor hatte gerade seine CoinJoin-Funktion für seine Suite-Software veröffentlicht und kürzlich auch die Tor-Funktionen freigegeben. Das hat meine Aufmerksamkeit und mein Interesse geweckt, weiter zu recherchieren, angefangen bei den Tor-Funktionen.
Um Tor-Funktionen zu nutzen, muss er [official page from Trezor](https://trezor.io/learn/a/tor-in-trezor-suite-app) sagt, dass man das Tor Browser Bundle (TBB) konfigurieren soll:
1. Setze network.proxy.no\_proxies\_on auf [127.0.0.1:21325](https://127.0.0.1:21325)
2. Setzen Sie network.http.referer.hideOnionSource auf false
3. Deaktivieren Sie das NoScript-AddonEs ist **rätselhaft**, denn: damit der Verkehr durch Tor geht, muss man nur den TBB starten und die Trezor-Suite so einstellen, dass sie den Verkehr über [127.0.0.1:](https://127.0.0.1:21325)9150. Also, warum:
1. Warum ist es notwendig, TBB so einzustellen, dass es mit „network.proxy.no\_proxies\_on“ auf Port 21325 lauscht, um die Verwendung von Proxies zu vermeiden? (Ich bin mir nicht sicher, wie der TBB den Datenverkehr behandelt, wenn er ihn über diese Option empfängt).
2. Wenn Sie „network.http.referer.hideOnionSource“ auf false setzen, werden die Referrer-Informationen an die Trezor-Suite übermittelt. Warum will die Trezor-Suite den Referrer für den Onion-Traffic wissen?
3. NoScript“ ist im Tor-Browser aktiviert, um die Ausführung von JavaScript zu verhindern, wenn eine Webseite geladen wird. Ich nehme an, dass dies nur relevant ist, wenn eine Webseite innerhalb eines TBB-Browserfensters geladen wird.
1. Ich dachte, die gesamte Verarbeitung und Handhabung von Daten und Datenverkehr erfolgt innerhalb der Trezor-Suite. Warum ist es also notwendig, die Ausführung von JavaScript im TBB zuzulassen?
2. Wenn ein Benutzer den TBB aktiv zum Surfen nutzt, kann die Deaktivierung dieser Funktion zu mehr Schwachstellen und Sicherheitsproblemen führen, wenn sie versehentlich und unbeabsichtigt deaktiviert bleibt.Ehrlich gesagt, verwende ich Trezor mit Tor-Funktionen im Moment nicht. Es ist entweder verdächtig oder einfach schlecht implementiert. Ich hoffe, dass jemand das oben genannte erklären/kommentieren kann. Ich habe andere Software benutzt, die über Tor läuft, und alles, was man braucht, um es zu konfigurieren, ist, den SOCKS-Proxy auf „[127.0.0.1:9150](https://127.0.0.1:9150)“ zu setzen und natürlich TBB zu starten und offen zu halten.
Danke!
-
allow me to do a guided reading of the page you yourself link to:
> Tor is now supported natively in Trezor Suite. Enable it by clicking the Tor icon in the top-right hand corner of the app
so not sure what are you even doing configuring TBB
but perhaps this…?
> Using the web version of Trezor Suite
in that case maybe you can answer your own question here? this one?
> The „NoScript“ is enabled in Tor browser to prevent JavaScript from running when a web page is loaded. I suppose this is only relavant only when a web page is loaded inside a TBB browser window.
because, see, you would be opening the suite webpage in the Tor browser window?
…anyway, moving on. you ask:
> Why is it necessary to set TBB to listen on port 21325 with „network.proxy.no_proxies_on“ which is to skip using proxies?
and the webpage answers:
> When using Trezor Suite with Firefox (which is a base for Tor Browser), you cannot use WebUSB (like in Chrome), but instead must use Trezor Bridge
> (…)
> Tor Browser routes all traffic via Tor by default, and Trezor Suite cannot directly contact Trezor Bridge. Luckily, we can add an exceptionas for your question 2, that isn’t directly answered, so I’ll add to that: it’s Trezor Bridge that requires knowing the referer; without it, it will reject traffic. This is a security measure so that any random website can’t start talking to Bridge, and must go through Trezor Connect.
-
-
Firstly, you can avoid all this if you use the desktop app. It has built in Tor functionality.
> Why is it necessary to set TBB to listen on port 21325
Since Tor browser is based on Firefox, WebUSB is not supported, then Trezor Bridge is required for device communication. Trezor Bridge operators on port 21325: https://www.speedguide.net/port.php?port=21325
> Why does the Trezor suite wants to know the referrer for the onion traffic?
Trezor Bridge will only communicate with domains it trusts (*.trezoriovpjcahpzkrewelclulmszwbqpzmzgub37gbcjlvluxtruqad.onion and *.trezor.io), otherwise any site on the internet could speak to you Trezor. Source: https://github.com/trezor/trezord-go/blob/cde24695535f71de36837d667355855f870ab921/server/api/api.go#L232-L236
> So, why is it necessary to allow JavaScript to run within TBB?
Trezor Suite is a JavaScript application, it needs JavaScript to run.
> If a user is actively using TBB for browsing, then disabling this can increase vulnerabilities and security issues when it is accidentally and unintentionally left disabled.
I’m sure you can tweak NoScript enough to just allow Trezor Suite to work, though for someone using something like [Tails](https://tails.boum.org/), they want the least amount of fiddling.
If you are that privacy conscious, have your Tor browser in default settings and install Trezor Suite for desktop.
-
-
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.