OnionShare je program s otevřeným zdrojovým kódem, který umožňuje uživatelům anonymně odesílat a přijímat soubory, hostovat webové stránky nebo chatovat pomocí sítě Tor. OnionShare spouští služby lokálně v počítači uživatele a poté je zpřístupňuje ostatním pomocí služby Onion Services.
Ve výchozím nastavení jsou webové adresy služby OnionShare chráněny náhodným heslem. Typická adresa služby OnionShare může vypadat takto:
http://wavqqa7xslpew5q.onion/renewal-mongoose - pro verzi 1.3.2
http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion - pro verzi 2.3.2
V závislosti na modelu ohrožení jste zodpovědní za bezpečné sdílení této adresy URL pomocí komunikačního kanálu podle vaší volby, například v šifrované chatové zprávě, nebo pomocí něčeho méně bezpečného, například nešifrovaného e-mailu. Lidé, kterým adresu URL pošlete, ji pak zkopírují a vloží do svého prohlížeče Tor Browser, aby získali přístup ke službě OnionShare.
Protože webovým serverem je váš vlastní počítač, žádná třetí strana nemá přístup k ničemu, co se v OnionShare děje, dokonce ani vývojáři služby OnionShare. Je to zcela soukromé. A protože je služba OnionShare založena také na službě Tor onion, chrání také vaši anonymitu.
OnionShare verze 1.3.2 je ve výchozím nastavení nainstalován v systémech Whonix a Tails. Tato verze umožňuje pouze sdílení souborů. Nejnovější verze je 2.3.2. Kromě sdílení souborů umožňuje přijímat soubory, hostovat webové stránky a organizovat anonymní chat. Tato verze je k dispozici pro Windows / Mac / Linux. Podívejme se, jak obě verze fungují.
Ve verzi 2.3.2 je třeba otevřít kartu Sdílení souborů.
V nastavení programu se mohou hodit následující parametry:
1. "Zastavit sdílení po prvním stažení". Pokud tuto možnost zakážete, soubory lze stahovat neomezeněkrát a budou k dispozici, dokud je okno programu otevřené. Ve verzi 2.3.2 se tato možnost nazývá "Zastavit sdílení po odeslání souborů" a pokud je zakázána, příjemci budou moci stahovat jednotlivé soubory místo jednoho velkého archivu.
2. "Použít časovač automatického zastavení". Povolením této možnosti můžete nastavit datum a čas, kdy budou soubory automaticky odstraněny.
3. Ve verzi 2.3.2 můžete soubory sdílet neustále a budou k dispozici od okamžiku spuštění programu. Abyste toho dosáhli, musíte povolit možnost "Uložit tuto kartu a automaticky ji otevřít, když otevřu OnionShare".
Všechny následující funkce jsou k dispozici pouze ve verzi 2.3.2.
Pokud chcete pouze přijímat soubory, můžete odesílání zpráv odmítnout výběrem příslušné možnosti. Nebo zakázat odesílání souborů, pokud si chcete pouze vyměňovat zprávy. Tímto způsobem můžete například vytvořit anonymní formulář pro komunikaci.
Je také možné nastavit zasílání oznámení, pokud vám někdo pošle soubory. To se provádí pomocí možnosti "Use notification webhook" (Použít oznamovací webový háček). Po připojení OnionShare odešle požadavek HTTP POST na zadanou adresu URL, když někdo stáhne soubory nebo odešle zprávu.
Chcete-li spustit službu OnionShare a začít přijímat soubory, stačí kliknout na tlačítko "Start Receive Mode". Každý, kdo načte tuto adresu do prohlížeče Tor Browser, bude moci do vašeho počítače odesílat soubory. Můžete také kliknout na ikonu "↓" v pravém horním rohu a zobrazit historii a průběh odesílání souborů lidmi.
Když někdo nahraje soubory do vaší přijímací služby, ve výchozím nastavení se uloží do složky OnionShare v domovské složce ve vašem počítači, která je automaticky uspořádána do samostatných podsložek podle času, kdy byly soubory nahrány.
Pokud potřebujete hostovat vlastní anonymní e-mail pro příjem dokumentů, doporučujeme k tomu použít samostatný, trvale připojený počítač, který se nepoužívá k běžné práci.
Jako ochranu při práci s podezřelými dokumenty můžete používat operační systém Tails OS a také pracovat uvnitř virtuálního počítače Qubes nebo Whonix.
Otevírání zpráv zaslaných prostřednictvím služby OnionShare je však vždy bezpečné.
Pokud přidáte soubor index.html, bude se vykreslovat, když někdo načte vaše webové stránky. Měli byste také zahrnout všechny ostatní soubory HTML, soubory CSS, soubory JavaScript a obrázky, které tvoří webovou stránku.
Všimněte si, že služba OnionShare podporuje pouze hostování statických webových stránek. Nemůže hostovat webové stránky, které spouštějí kód nebo používají databáze. Nemůžete tedy například používat WordPress. Pokud nemáte soubor index.html, zobrazí se místo něj výpis adresářů a lidé, kteří jej načítají, si mohou soubory prohlédnout a stáhnout.
Ve výchozím nastavení pomáhá služba OnionShare zabezpečit vaše webové stránky nastavením přísné hlavičky Content Security Police. To však zabraňuje načítání obsahu třetích stran uvnitř webové stránky.
Pokud chcete načítat obsah z webových stránek třetích stran, například aktiva nebo knihovny JavaScriptu z CDN, zaškrtněte před spuštěním služby políčko "Neodesílat hlavičku Content Security Police (umožňuje vaší webové stránce používat zdroje třetích stran)".
Pokud chcete pomocí služby OnionShare hostovat dlouhodobé webové stránky (tedy ne něco, co chcete někomu rychle ukázat), doporučujeme to provést na samostatném, vyhrazeném počítači, který je vždy zapnutý a připojený k internetu, a ne na tom, který používáte pravidelně. Uložte kartu (viz Uložení karet), abyste mohli pokračovat v práci na webové stránce se stejnou adresou, pokud OnionShare zavřete a později znovu otevřete. Pokud jsou vaše webové stránky určeny pro veřejnost, měli byste je provozovat jako veřejnou službu (volba Nepoužívat hesla).
Když se někdo připojí k chatovací místnosti, je mu přiděleno náhodné jméno. Své jméno si může změnit tak, že do pole v levém panelu napíše nové jméno a stiskne klávesu Enter. Protože se historie chatu nikam neukládá, vůbec se nezobrazuje, a to ani v případě, že v místnosti již chatovali jiní. V chatovací místnosti OnionShare jsou všichni anonymní. Kdokoli si může změnit jméno na cokoli a neexistuje žádný způsob, jak potvrdit něčí totožnost.
Pokud však vytvoříte chatovací místnost OnionShare a bezpečně odešlete adresu pouze malé skupině důvěryhodných lidí pomocí šifrovaných zpráv, můžete si být dostatečně jisti, že lidé, kteří se do chatovací místnosti připojí, jsou ti, které tam chcete mít.
Jak je ale chatování OnionShare užitečné, když už máme aplikace pro zasílání zpráv s možností šifrovaného chatování? Jde o to, že OnionShare nezanechává žádné stopy.
Pokud například odešlete zprávu do skupiny Signal nebo Telegram, kopie vaší zprávy skončí v každém zařízení (zařízeních a počítačích, pokud si nastaví Signal nebo Telegram Desktop) každého člena skupiny. I když je zapnuto mizení zpráv, je těžké potvrdit, že všechny kopie zpráv jsou skutečně odstraněny ze všech zařízení a z dalších míst (například databází oznámení), kam mohly být uloženy. Chatovací místnosti OnionShare nikam žádné zprávy neukládají, takže tento problém je omezen na minimum.
Chatovací místnosti OnionShare mohou být také užitečné pro lidi, kteří chtějí s někým anonymně a bezpečně chatovat, aniž by museli vytvářet nějaké účty. Například obchod může kontaktovat zaměstnance: pošle adresu OnionShare pomocí jednorázové e-mailové adresy a pak počká, až se novinář připojí k chatovací místnosti, a to vše bez narušení své anonymity.
Ve výchozím nastavení jsou všechny služby OnionShare chráněny uživatelským jménem onionshare a náhodně vygenerovaným heslem. Pokud někdo dvacetkrát špatně uhodne heslo, služba OnionShare se automaticky zastaví, aby se zabránilo útoku hrubou silou na službu OnionShare. Někdy můžete chtít, aby vaše služba OnionShare byla přístupná veřejnosti, například pokud chcete nastavit službu OnionShare pro příjem, aby vám veřejnost mohla bezpečně a anonymně posílat soubory. V takovém případě doporučujeme vypnout heslo výběrem možnosti "Nepoužívat heslo".
Ve výchozím nastavení se lidem při otevření stránky OnionShare v prohlížeči Tor zobrazí výchozí název služby. Například výchozí název chatu je "OnionShare Chat". Pokud chcete zadat vlastní název služby, použijte před spuštěním služby nastavení "Vlastní název".
1. Můžete použít verzi Tor, která je součástí služby OnionShare. Jedná se o nejjednodušší, nejspolehlivější a výchozí způsob připojení služby OnionShare k síti Tor, který se doporučuje většině uživatelů.
2. Pokud již máte v počítači nainstalován prohlížeč Tor a nechcete spouštět druhý paralelní procesor, můžete použít procesor spojený s prohlížečem Tor. K tomu je třeba, aby prohlížeč Tor běžel na pozadí po celou dobu používání služby OnionShare.
3. Použití systémového procesu tor. Konfigurace vyžaduje poměrně pokročilé dovednosti, jako je úprava konfiguračních souborů a správa operačního systému. V operačních systémech Tails a Whonix se OnionShare konfiguruje tímto způsobem.
Můžete použít vestavěné zásuvné transporty obfs4, vestavěné zásuvné transporty meek_lite (Azure) nebo vlastní mosty, které můžete získat z databáze BridgeDB Toru. Pokud potřebujete použít most, vyzkoušejte nejprve vestavěné mosty obfs4.
Ve výchozím nastavení jsou webové adresy služby OnionShare chráněny náhodným heslem. Typická adresa služby OnionShare může vypadat takto:
http://wavqqa7xslpew5q.onion/renewal-mongoose - pro verzi 1.3.2
http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion - pro verzi 2.3.2
V závislosti na modelu ohrožení jste zodpovědní za bezpečné sdílení této adresy URL pomocí komunikačního kanálu podle vaší volby, například v šifrované chatové zprávě, nebo pomocí něčeho méně bezpečného, například nešifrovaného e-mailu. Lidé, kterým adresu URL pošlete, ji pak zkopírují a vloží do svého prohlížeče Tor Browser, aby získali přístup ke službě OnionShare.
Protože webovým serverem je váš vlastní počítač, žádná třetí strana nemá přístup k ničemu, co se v OnionShare děje, dokonce ani vývojáři služby OnionShare. Je to zcela soukromé. A protože je služba OnionShare založena také na službě Tor onion, chrání také vaši anonymitu.
OnionShare verze 1.3.2 je ve výchozím nastavení nainstalován v systémech Whonix a Tails. Tato verze umožňuje pouze sdílení souborů. Nejnovější verze je 2.3.2. Kromě sdílení souborů umožňuje přijímat soubory, hostovat webové stránky a organizovat anonymní chat. Tato verze je k dispozici pro Windows / Mac / Linux. Podívejme se, jak obě verze fungují.
Odesílání souborů.
Chcete-li anonymně a bezpečně odeslat soubory nebo složky jiným osobám, musíte je přetáhnout do otevřeného okna programu OnionShare nebo přidat pomocí tlačítka "Přidat" a poté kliknout na tlačítko "Spustit sdílení". Poté se vygeneruje jedinečný odkaz, který lze odeslat příjemci. Odkaz lze otevřít pouze prostřednictvím prohlížeče Tor Browser a příjemce se po něm dostane na stránku, kde si může stáhnout archiv se soubory. Po úspěšném stažení se stránka i soubory odstraní.Ve verzi 2.3.2 je třeba otevřít kartu Sdílení souborů.
V nastavení programu se mohou hodit následující parametry:
1. "Zastavit sdílení po prvním stažení". Pokud tuto možnost zakážete, soubory lze stahovat neomezeněkrát a budou k dispozici, dokud je okno programu otevřené. Ve verzi 2.3.2 se tato možnost nazývá "Zastavit sdílení po odeslání souborů" a pokud je zakázána, příjemci budou moci stahovat jednotlivé soubory místo jednoho velkého archivu.
2. "Použít časovač automatického zastavení". Povolením této možnosti můžete nastavit datum a čas, kdy budou soubory automaticky odstraněny.
3. Ve verzi 2.3.2 můžete soubory sdílet neustále a budou k dispozici od okamžiku spuštění programu. Abyste toho dosáhli, musíte povolit možnost "Uložit tuto kartu a automaticky ji otevřít, když otevřu OnionShare".
Všechny následující funkce jsou k dispozici pouze ve verzi 2.3.2.
Přijímání souborů.
Pomocí služby OnionShare můžete lidem umožnit anonymní nahrávání souborů přímo do vašeho počítače, čímž se v podstatě promění v anonymní dropbox. Otevřete kartu "Receive" a nastavte požadovaná nastavení. Můžete si vybrat, kam chcete ukládat přijaté soubory a zprávy.Pokud chcete pouze přijímat soubory, můžete odesílání zpráv odmítnout výběrem příslušné možnosti. Nebo zakázat odesílání souborů, pokud si chcete pouze vyměňovat zprávy. Tímto způsobem můžete například vytvořit anonymní formulář pro komunikaci.
Je také možné nastavit zasílání oznámení, pokud vám někdo pošle soubory. To se provádí pomocí možnosti "Use notification webhook" (Použít oznamovací webový háček). Po připojení OnionShare odešle požadavek HTTP POST na zadanou adresu URL, když někdo stáhne soubory nebo odešle zprávu.
Chcete-li spustit službu OnionShare a začít přijímat soubory, stačí kliknout na tlačítko "Start Receive Mode". Každý, kdo načte tuto adresu do prohlížeče Tor Browser, bude moci do vašeho počítače odesílat soubory. Můžete také kliknout na ikonu "↓" v pravém horním rohu a zobrazit historii a průběh odesílání souborů lidmi.
Když někdo nahraje soubory do vaší přijímací služby, ve výchozím nastavení se uloží do složky OnionShare v domovské složce ve vašem počítači, která je automaticky uspořádána do samostatných podsložek podle času, kdy byly soubory nahrány.
Pokud potřebujete hostovat vlastní anonymní e-mail pro příjem dokumentů, doporučujeme k tomu použít samostatný, trvale připojený počítač, který se nepoužívá k běžné práci.
Možná rizika.
Stejně jako v případě škodlivých e-mailových příloh je možné, že se někdo pokusí napadnout váš počítač nahráním škodlivého souboru do služby OnionShare. Služba OnionShare nepřidává žádné bezpečnostní mechanismy, které by váš systém chránily před škodlivými soubory.Jako ochranu při práci s podezřelými dokumenty můžete používat operační systém Tails OS a také pracovat uvnitř virtuálního počítače Qubes nebo Whonix.
Otevírání zpráv zaslaných prostřednictvím služby OnionShare je však vždy bezpečné.
Hostování webových stránek.
Chcete-li pomocí služby OnionShare hostovat statickou webovou stránku HTML, otevřete kartu webové stránky, přetáhněte na ni soubory a složky, které tvoří statický obsah, a až budete připraveni, klikněte na tlačítko "Start sharing".Pokud přidáte soubor index.html, bude se vykreslovat, když někdo načte vaše webové stránky. Měli byste také zahrnout všechny ostatní soubory HTML, soubory CSS, soubory JavaScript a obrázky, které tvoří webovou stránku.
Všimněte si, že služba OnionShare podporuje pouze hostování statických webových stránek. Nemůže hostovat webové stránky, které spouštějí kód nebo používají databáze. Nemůžete tedy například používat WordPress. Pokud nemáte soubor index.html, zobrazí se místo něj výpis adresářů a lidé, kteří jej načítají, si mohou soubory prohlédnout a stáhnout.
Ve výchozím nastavení pomáhá služba OnionShare zabezpečit vaše webové stránky nastavením přísné hlavičky Content Security Police. To však zabraňuje načítání obsahu třetích stran uvnitř webové stránky.
Pokud chcete načítat obsah z webových stránek třetích stran, například aktiva nebo knihovny JavaScriptu z CDN, zaškrtněte před spuštěním služby políčko "Neodesílat hlavičku Content Security Police (umožňuje vaší webové stránce používat zdroje třetích stran)".
Pokud chcete pomocí služby OnionShare hostovat dlouhodobé webové stránky (tedy ne něco, co chcete někomu rychle ukázat), doporučujeme to provést na samostatném, vyhrazeném počítači, který je vždy zapnutý a připojený k internetu, a ne na tom, který používáte pravidelně. Uložte kartu (viz Uložení karet), abyste mohli pokračovat v práci na webové stránce se stejnou adresou, pokud OnionShare zavřete a později znovu otevřete. Pokud jsou vaše webové stránky určeny pro veřejnost, měli byste je provozovat jako veřejnou službu (volba Nepoužívat hesla).
Anonymní chat.
Pomocí služby OnionShare můžete zřídit soukromou zabezpečenou chatovací místnost, která nic nezaznamenává. Stačí otevřít kartu chatu a kliknout na tlačítko "Spustit chatovací server". Po spuštění serveru zkopírujte adresu OnionShare a pošlete ji lidem, se kterými plánujete chatovat. Pokud je důležité přesně omezit, kdo se může připojit, použijte k rozeslání adresy OnionShare aplikaci pro šifrované zprávy. Lidé se mohou k chatovací místnosti připojit načtením její adresy OnionShare v prohlížeči Tor Browser. Chatovací místnost vyžaduje JavaScript, takže každý, kdo se chce zapojit, musí mít v prohlížeči Tor Browser nastavenou úroveň zabezpečení na "Standardní" nebo "Bezpečnější", nikoli na "Nejbezpečnější".Když se někdo připojí k chatovací místnosti, je mu přiděleno náhodné jméno. Své jméno si může změnit tak, že do pole v levém panelu napíše nové jméno a stiskne klávesu Enter. Protože se historie chatu nikam neukládá, vůbec se nezobrazuje, a to ani v případě, že v místnosti již chatovali jiní. V chatovací místnosti OnionShare jsou všichni anonymní. Kdokoli si může změnit jméno na cokoli a neexistuje žádný způsob, jak potvrdit něčí totožnost.
Pokud však vytvoříte chatovací místnost OnionShare a bezpečně odešlete adresu pouze malé skupině důvěryhodných lidí pomocí šifrovaných zpráv, můžete si být dostatečně jisti, že lidé, kteří se do chatovací místnosti připojí, jsou ti, které tam chcete mít.
Jak je ale chatování OnionShare užitečné, když už máme aplikace pro zasílání zpráv s možností šifrovaného chatování? Jde o to, že OnionShare nezanechává žádné stopy.
Pokud například odešlete zprávu do skupiny Signal nebo Telegram, kopie vaší zprávy skončí v každém zařízení (zařízeních a počítačích, pokud si nastaví Signal nebo Telegram Desktop) každého člena skupiny. I když je zapnuto mizení zpráv, je těžké potvrdit, že všechny kopie zpráv jsou skutečně odstraněny ze všech zařízení a z dalších míst (například databází oznámení), kam mohly být uloženy. Chatovací místnosti OnionShare nikam žádné zprávy neukládají, takže tento problém je omezen na minimum.
Chatovací místnosti OnionShare mohou být také užitečné pro lidi, kteří chtějí s někým anonymně a bezpečně chatovat, aniž by museli vytvářet nějaké účty. Například obchod může kontaktovat zaměstnance: pošle adresu OnionShare pomocí jednorázové e-mailové adresy a pak počká, až se novinář připojí k chatovací místnosti, a to vše bez narušení své anonymity.
Jak funguje šifrování?
Protože služba OnionShare spoléhá na služby Tor onion, jsou všechna spojení mezi prohlížečem Tor a službou OnionShare šifrována od konce ke konci (E2EE). Když někdo napíše zprávu do chatovací místnosti OnionShare, odešle ji serveru prostřednictvím cibulového spojení E2EE, který ji pak odešle všem ostatním členům chatovací místnosti pomocí WebSocketů prostřednictvím jejich cibulových spojení E2EE. Služba OnionShare sama o sobě neimplementuje žádné šifrování chatu. Místo toho se spoléhá na šifrování služby Tor onion.Některé pokročilé funkce.
Jakoukoli službu OnionShare můžete učinit trvalou. Můžete například hostovat webovou stránku, která bude mít stejnou adresu i po restartování počítače. Toho dosáhnete výběrem možnosti "Uložit tuto kartu a automaticky ji otevřít, když otevřu službu OnionShare".Ve výchozím nastavení jsou všechny služby OnionShare chráněny uživatelským jménem onionshare a náhodně vygenerovaným heslem. Pokud někdo dvacetkrát špatně uhodne heslo, služba OnionShare se automaticky zastaví, aby se zabránilo útoku hrubou silou na službu OnionShare. Někdy můžete chtít, aby vaše služba OnionShare byla přístupná veřejnosti, například pokud chcete nastavit službu OnionShare pro příjem, aby vám veřejnost mohla bezpečně a anonymně posílat soubory. V takovém případě doporučujeme vypnout heslo výběrem možnosti "Nepoužívat heslo".
Ve výchozím nastavení se lidem při otevření stránky OnionShare v prohlížeči Tor zobrazí výchozí název služby. Například výchozí název chatu je "OnionShare Chat". Pokud chcete zadat vlastní název služby, použijte před spuštěním služby nastavení "Vlastní název".
Připojení k síti Tor.
Způsob připojení služby OnionShare k síti Tor zvolíte kliknutím na ikonu "⚙" v pravém dolním rohu okna služby OnionShare, čímž se dostanete do jejího nastavení.1. Můžete použít verzi Tor, která je součástí služby OnionShare. Jedná se o nejjednodušší, nejspolehlivější a výchozí způsob připojení služby OnionShare k síti Tor, který se doporučuje většině uživatelů.
2. Pokud již máte v počítači nainstalován prohlížeč Tor a nechcete spouštět druhý paralelní procesor, můžete použít procesor spojený s prohlížečem Tor. K tomu je třeba, aby prohlížeč Tor běžel na pozadí po celou dobu používání služby OnionShare.
3. Použití systémového procesu tor. Konfigurace vyžaduje poměrně pokročilé dovednosti, jako je úprava konfiguračních souborů a správa operačního systému. V operačních systémech Tails a Whonix se OnionShare konfiguruje tímto způsobem.
Použití mostů Tor.
Pokud je váš přístup k internetu cenzurován, můžete službu OnionShare nakonfigurovat tak, aby se připojovala k síti Tor pomocí mostů Tor. Pokud se služba OnionShare připojuje k síti Tor bez ní, nemusíte most používat. Chcete-li nakonfigurovat mosty, klikněte v aplikaci OnionShare na ikonu "⚙".Můžete použít vestavěné zásuvné transporty obfs4, vestavěné zásuvné transporty meek_lite (Azure) nebo vlastní mosty, které můžete získat z databáze BridgeDB Toru. Pokud potřebujete použít most, vyzkoušejte nejprve vestavěné mosty obfs4.
Last edited by a moderator: