OnionShare is een open-source programma waarmee gebruikers anoniem bestanden kunnen verzenden en ontvangen, websites kunnen hosten of kunnen chatten via het Tor-netwerk. OnionShare voert services lokaal uit op de computer van een gebruiker en maakt ze vervolgens beschikbaar voor anderen met behulp van Onion Services.
Standaard zijn OnionShare webadressen beveiligd met een willekeurig wachtwoord. Een typisch OnionShare adres kan er ongeveer zo uitzien:
http://wavqqa7xslpew5q.onion/renewal-mongoose - voor versie 1.3.2
http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion - voor versie 2.3.2
Je bent verantwoordelijk voor het veilig delen van die URL via een communicatiekanaal naar keuze, zoals een versleuteld chatbericht, of iets minder veilig zoals onversleutelde e-mail, afhankelijk van je bedreigingsmodel. De mensen naar wie je de URL stuurt kopiëren en plakken deze in hun Tor Browser om toegang te krijgen tot de OnionShare service.
Omdat je eigen computer de webserver is, heeft geen enkele derde partij toegang tot wat er ook gebeurt in OnionShare, zelfs de ontwikkelaars van OnionShare niet. Het is volledig privé. En omdat OnionShare ook is gebaseerd op Tor onion services, beschermt het ook je anonimiteit.
OnionShare versie 1.3.2 is standaard geïnstalleerd op Whonix- en Tails-systemen. Deze versie staat alleen het delen van bestanden toe. De nieuwste versie is 2.3.2. Naast het delen van bestanden kun je ook bestanden ontvangen, een website hosten en anonieme chat organiseren. Deze versie is beschikbaar voor Windows / Mac / Linux. Laten we eens kijken hoe beide versies werken.
In versie 2.3.2 moet je het tabblad Bestanden delen openen.
De volgende parameters kunnen nuttig zijn in de programma-instellingen:
1. "Stop delen na de eerste download". Als u deze optie uitschakelt, kunnen de bestanden een onbeperkt aantal keren worden gedownload en blijven ze beschikbaar zolang het programmavenster geopend is. In versie 2.3.2 heet de optie "Stop delen nadat bestanden zijn verzonden" en als deze is uitgeschakeld, kunnen ontvangers afzonderlijke bestanden downloaden in plaats van één groot archief.
2. "Timer voor automatisch stoppen gebruiken". Door deze optie in te schakelen, kun je de datum en tijd instellen waarop de bestanden automatisch worden verwijderd.
3. In versie 2.3.2 kun je bestanden altijd delen en zijn ze beschikbaar vanaf het moment dat je het programma start. Om dit te bereiken, moet u "Dit tabblad opslaan en automatisch openen wanneer ik OnionShare open" inschakelen.
Alle volgende functies zijn alleen beschikbaar in versie 2.3.2.
Je kunt het verzenden van berichten weigeren als je alleen bestanden wilt ontvangen door de bijbehorende optie te selecteren. Of het uploaden van bestanden weigeren als je alleen berichten wilt uitwisselen. Op deze manier kun je bijvoorbeeld een anonieme vorm voor communicatie maken.
Het is ook mogelijk om meldingen te versturen als iemand je bestanden stuurt. Dit doe je met de optie "Use notification webhook". Wanneer OnionShare verbonden is, zal het een HTTP POST verzoek sturen naar de opgegeven URL wanneer iemand bestanden download of een bericht verstuurt.
Om de OnionShare service te starten en te beginnen met het ontvangen van bestanden, klik je simpelweg op de "Start Receive Mode" knop. Iedereen die dit adres in zijn Tor Browser laadt zal bestanden kunnen uploaden naar je computer. Je kunt ook op het pictogram "↓" in de rechterbovenhoek klikken om de geschiedenis en voortgang weer te geven van mensen die bestanden naar je sturen.
Wanneer iemand bestanden uploadt naar uw ontvangstservice, worden ze standaard opgeslagen in een map genaamd OnionShare in de thuismap op uw computer, automatisch georganiseerd in afzonderlijke submappen op basis van de tijd waarop de bestanden zijn geüpload.
Als je je eigen anonieme e-mail moet hosten voor het ontvangen van documenten, is het aanbevolen om dit te doen op een aparte computer die permanent is aangesloten en die niet wordt gebruikt voor normaal werk.
Als bescherming bij het werken met verdachte documenten kun je Tails OS gebruiken, maar je kunt ook binnen de virtuele machine Qubes of Whonix werken.
Het is echter altijd veilig om berichten te openen die via OnionShare zijn verzonden.
Als je een index.html bestand toevoegt, zal dit worden weergegeven wanneer iemand je website laadt. U moet ook alle andere HTML-bestanden, CSS-bestanden, JavaScript-bestanden en afbeeldingen die deel uitmaken van de website toevoegen.
Merk op dat OnionShare alleen statische websites ondersteunt. Het kan geen websites hosten die code uitvoeren of databases gebruiken. Je kunt dus bijvoorbeeld geen WordPress gebruiken. Als je geen index.html bestand hebt, zal het in plaats daarvan een directory listing tonen en mensen die het laden kunnen door de bestanden kijken en ze downloaden.
Standaard helpt OnionShare je website te beveiligen door een strikte Content Security Police header in te stellen. Dit voorkomt echter dat inhoud van derden in de webpagina wordt geladen.
Als je inhoud van websites van derden wilt laden, zoals assets of JavaScript-bibliotheken van CDN's, vink dan het vakje "Stuur geen Content Beveiligingsbeleid header (staat je website toe om bronnen van derden te gebruiken)" aan voordat je de service start.
Als u een website voor de lange termijn wilt hosten met OnionShare (dus niet iets om even snel iemand iets te laten zien), is het aan te raden om dit te doen op een aparte, speciale computer die altijd aan staat en verbonden is met het internet, en niet op de computer die u regelmatig gebruikt. Sla het tabblad op (zie Tabbladen opslaan) zodat u de website met hetzelfde adres kunt hervatten als u OnionShare afsluit en later weer opent. Als uw website bedoeld is voor het publiek, moet u deze uitvoeren als een openbare dienst (optie Geen wachtwoorden gebruiken).
Wanneer iemand zich aansluit bij de chatroom, krijgen ze een willekeurige naam toegewezen. Ze kunnen hun naam wijzigen door een nieuwe naam in te typen in het vak aan de linkerkant en op Enter te drukken. Omdat de chatgeschiedenis nergens wordt opgeslagen, wordt deze helemaal niet weergegeven, zelfs als anderen al in de kamer aan het chatten waren. In een OnionShare chatroom is iedereen anoniem. Iedereen kan zijn naam in iets veranderen en er is geen manier om iemands identiteit te bevestigen.
Als u echter een OnionShare-chatruimte maakt en het adres alleen veilig verzendt naar een kleine groep vertrouwde mensen met behulp van versleutelde berichten, kunt u er redelijk zeker van zijn dat de mensen die de chatruimte binnengaan degenen zijn die u daar wilt hebben.
Maar hoe kan OnionShare chatten nuttig zijn als we al berichtenapps hebben met een versleutelde chatoptie? Het ding is dat OnionShare geen sporen achterlaat.
Als je bijvoorbeeld een bericht naar een Signal- of Telegram-groep stuurt, belandt een kopie van je bericht op elk apparaat (de apparaten en computers als ze Signal of Telegram Desktop hebben ingesteld) van elk lid van de groep. Zelfs als berichten verdwijnen is ingeschakeld, is het moeilijk om te bevestigen dat alle kopieën van de berichten daadwerkelijk zijn verwijderd van alle apparaten, en van alle andere plaatsen (zoals meldingen databases) waar ze kunnen zijn opgeslagen. OnionShare chatrooms slaan nergens berichten op, dus het probleem wordt tot een minimum beperkt.
OnionShare chatruimtes kunnen ook nuttig zijn voor mensen die anoniem en veilig met iemand willen chatten zonder accounts te hoeven aanmaken. Een winkel kan bijvoorbeeld contact opnemen met een werknemer: stuur een OnionShare-adres met behulp van een wegwerp e-mailadres en wacht vervolgens tot de journalist zich aansluit bij de chatroom, allemaal zonder hun anonimiteit aan te tasten.
Standaard zijn alle OnionShare services beveiligd met de gebruikersnaam onionshare en een willekeurig gegenereerd wachtwoord. Als iemand 20 keer verkeerd gokt naar het wachtwoord, wordt uw onion service automatisch gestopt om een brute force aanval tegen de OnionShare service te voorkomen. Soms wil je misschien dat je OnionShare service toegankelijk is voor het publiek, bijvoorbeeld als je een OnionShare ontvangstservice wilt opzetten, zodat het publiek je veilig en anoniem bestanden kan sturen. In dit geval is het aanbevolen om het wachtwoord uit te schakelen door de optie "Gebruik geen wachtwoord" te selecteren.
Als mensen de OnionShare pagina in de Tor browser openen, zien ze standaard de naam van de service. De standaard chat titel is bijvoorbeeld "OnionShare Chat". Als je je eigen titel voor de service wilt opgeven, gebruik dan de instelling "Aangepaste titel" voordat je de service start.
1. Je kunt de Tor versie gebruiken die met OnionShare wordt meegeleverd. Dit is de eenvoudigste, meest betrouwbare, standaard manier om OnionShare te verbinden met het Tor netwerk, en wordt aanbevolen voor de meeste gebruikers.
2. Als de Tor browser al geïnstalleerd is op je computer en je wilt liever geen tweede parallelle processor opstarten, dan kun je de processor gebruiken die bij de Tor browser hoort. Hiervoor moet de Tor browser op de achtergrond draaien voor de gehele duur van het gebruik van OnionShare.
3. Het systeemproces tor gebruiken. Configuratie vereist relatief geavanceerde vaardigheden, zoals het bewerken van configuratiebestanden en het beheren van het besturingssysteem. In OS Tails en Whonix wordt OnionShare op deze manier geconfigureerd.
Je kunt de ingebouwde obfs4 pluggable transporten gebruiken, de ingebouwde meek_lite (Azure) pluggable transporten, of aangepaste bridges, die je kunt verkrijgen van Tor's BridgeDB. Als je een bridge moet gebruiken, probeer dan eerst de ingebouwde obfs4 bridges.
Standaard zijn OnionShare webadressen beveiligd met een willekeurig wachtwoord. Een typisch OnionShare adres kan er ongeveer zo uitzien:
http://wavqqa7xslpew5q.onion/renewal-mongoose - voor versie 1.3.2
http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion - voor versie 2.3.2
Je bent verantwoordelijk voor het veilig delen van die URL via een communicatiekanaal naar keuze, zoals een versleuteld chatbericht, of iets minder veilig zoals onversleutelde e-mail, afhankelijk van je bedreigingsmodel. De mensen naar wie je de URL stuurt kopiëren en plakken deze in hun Tor Browser om toegang te krijgen tot de OnionShare service.
Omdat je eigen computer de webserver is, heeft geen enkele derde partij toegang tot wat er ook gebeurt in OnionShare, zelfs de ontwikkelaars van OnionShare niet. Het is volledig privé. En omdat OnionShare ook is gebaseerd op Tor onion services, beschermt het ook je anonimiteit.
OnionShare versie 1.3.2 is standaard geïnstalleerd op Whonix- en Tails-systemen. Deze versie staat alleen het delen van bestanden toe. De nieuwste versie is 2.3.2. Naast het delen van bestanden kun je ook bestanden ontvangen, een website hosten en anonieme chat organiseren. Deze versie is beschikbaar voor Windows / Mac / Linux. Laten we eens kijken hoe beide versies werken.
Bestanden versturen.
Om anoniem en veilig bestanden of mappen naar andere mensen te sturen, moet je ze naar het geopende venster van het OnionShare programma slepen of toevoegen met behulp van de knop "Toevoegen" en vervolgens op de knop "Delen starten" klikken. Daarna wordt er een unieke link gegenereerd die naar de ontvanger kan worden gestuurd. De link kan alleen worden geopend via de Tor Browser en de ontvanger zal deze volgen naar de pagina waar hij het archief met de bestanden kan downloaden. Na een succesvolle download worden de pagina en de bestanden verwijderd.In versie 2.3.2 moet je het tabblad Bestanden delen openen.
De volgende parameters kunnen nuttig zijn in de programma-instellingen:
1. "Stop delen na de eerste download". Als u deze optie uitschakelt, kunnen de bestanden een onbeperkt aantal keren worden gedownload en blijven ze beschikbaar zolang het programmavenster geopend is. In versie 2.3.2 heet de optie "Stop delen nadat bestanden zijn verzonden" en als deze is uitgeschakeld, kunnen ontvangers afzonderlijke bestanden downloaden in plaats van één groot archief.
2. "Timer voor automatisch stoppen gebruiken". Door deze optie in te schakelen, kun je de datum en tijd instellen waarop de bestanden automatisch worden verwijderd.
3. In versie 2.3.2 kun je bestanden altijd delen en zijn ze beschikbaar vanaf het moment dat je het programma start. Om dit te bereiken, moet u "Dit tabblad opslaan en automatisch openen wanneer ik OnionShare open" inschakelen.
Alle volgende functies zijn alleen beschikbaar in versie 2.3.2.
Bestanden ontvangen.
U kunt OnionShare gebruiken om mensen anoniem bestanden rechtstreeks naar uw computer te laten uploaden, waardoor het in wezen een anonieme dropbox wordt. Open een "Receive tab" en stel de gewenste instellingen in. Je kunt kiezen waar je de ontvangen bestanden en berichten wilt opslaan.Je kunt het verzenden van berichten weigeren als je alleen bestanden wilt ontvangen door de bijbehorende optie te selecteren. Of het uploaden van bestanden weigeren als je alleen berichten wilt uitwisselen. Op deze manier kun je bijvoorbeeld een anonieme vorm voor communicatie maken.
Het is ook mogelijk om meldingen te versturen als iemand je bestanden stuurt. Dit doe je met de optie "Use notification webhook". Wanneer OnionShare verbonden is, zal het een HTTP POST verzoek sturen naar de opgegeven URL wanneer iemand bestanden download of een bericht verstuurt.
Om de OnionShare service te starten en te beginnen met het ontvangen van bestanden, klik je simpelweg op de "Start Receive Mode" knop. Iedereen die dit adres in zijn Tor Browser laadt zal bestanden kunnen uploaden naar je computer. Je kunt ook op het pictogram "↓" in de rechterbovenhoek klikken om de geschiedenis en voortgang weer te geven van mensen die bestanden naar je sturen.
Wanneer iemand bestanden uploadt naar uw ontvangstservice, worden ze standaard opgeslagen in een map genaamd OnionShare in de thuismap op uw computer, automatisch georganiseerd in afzonderlijke submappen op basis van de tijd waarop de bestanden zijn geüpload.
Als je je eigen anonieme e-mail moet hosten voor het ontvangen van documenten, is het aanbevolen om dit te doen op een aparte computer die permanent is aangesloten en die niet wordt gebruikt voor normaal werk.
Mogelijke risico's.
Net als met kwaadaardige e-mailbijlagen, is het mogelijk dat iemand probeert uw computer aan te vallen door een kwaadaardig bestand te uploaden naar uw OnionShare-service. OnionShare voegt geen veiligheidsmechanismen toe om uw systeem te beschermen tegen schadelijke bestanden.Als bescherming bij het werken met verdachte documenten kun je Tails OS gebruiken, maar je kunt ook binnen de virtuele machine Qubes of Whonix werken.
Het is echter altijd veilig om berichten te openen die via OnionShare zijn verzonden.
Website hosting.
Om een statische HTML-website te hosten met OnionShare, opent u een website-tabblad, sleept u de bestanden en mappen die de statische inhoud vormen daarheen en klikt u op "Delen starten" wanneer u klaar bent.Als je een index.html bestand toevoegt, zal dit worden weergegeven wanneer iemand je website laadt. U moet ook alle andere HTML-bestanden, CSS-bestanden, JavaScript-bestanden en afbeeldingen die deel uitmaken van de website toevoegen.
Merk op dat OnionShare alleen statische websites ondersteunt. Het kan geen websites hosten die code uitvoeren of databases gebruiken. Je kunt dus bijvoorbeeld geen WordPress gebruiken. Als je geen index.html bestand hebt, zal het in plaats daarvan een directory listing tonen en mensen die het laden kunnen door de bestanden kijken en ze downloaden.
Standaard helpt OnionShare je website te beveiligen door een strikte Content Security Police header in te stellen. Dit voorkomt echter dat inhoud van derden in de webpagina wordt geladen.
Als je inhoud van websites van derden wilt laden, zoals assets of JavaScript-bibliotheken van CDN's, vink dan het vakje "Stuur geen Content Beveiligingsbeleid header (staat je website toe om bronnen van derden te gebruiken)" aan voordat je de service start.
Als u een website voor de lange termijn wilt hosten met OnionShare (dus niet iets om even snel iemand iets te laten zien), is het aan te raden om dit te doen op een aparte, speciale computer die altijd aan staat en verbonden is met het internet, en niet op de computer die u regelmatig gebruikt. Sla het tabblad op (zie Tabbladen opslaan) zodat u de website met hetzelfde adres kunt hervatten als u OnionShare afsluit en later weer opent. Als uw website bedoeld is voor het publiek, moet u deze uitvoeren als een openbare dienst (optie Geen wachtwoorden gebruiken).
Anonieme chat.
U kunt OnionShare gebruiken om een privé, beveiligde chatruimte op te zetten die niets logt. Open gewoon een chat-tabblad en klik op "Chatserver starten". Nadat u de server hebt gestart, kopieert u het OnionShare-adres en stuurt u het naar de mensen met wie u wilt chatten. Als het belangrijk is om precies te beperken wie kan meedoen, gebruik dan een versleutelde berichtenapp om het OnionShare-adres te versturen. Mensen kunnen zich bij de chatruimte aansluiten door het OnionShare-adres in Tor Browser te laden. De chatroom vereist JavaScript, dus iedereen die wil deelnemen moet zijn Tor Browser beveiligingsniveau hebben ingesteld op "Standard" of "Safer", in plaats van "Safest".Wanneer iemand zich aansluit bij de chatroom, krijgen ze een willekeurige naam toegewezen. Ze kunnen hun naam wijzigen door een nieuwe naam in te typen in het vak aan de linkerkant en op Enter te drukken. Omdat de chatgeschiedenis nergens wordt opgeslagen, wordt deze helemaal niet weergegeven, zelfs als anderen al in de kamer aan het chatten waren. In een OnionShare chatroom is iedereen anoniem. Iedereen kan zijn naam in iets veranderen en er is geen manier om iemands identiteit te bevestigen.
Als u echter een OnionShare-chatruimte maakt en het adres alleen veilig verzendt naar een kleine groep vertrouwde mensen met behulp van versleutelde berichten, kunt u er redelijk zeker van zijn dat de mensen die de chatruimte binnengaan degenen zijn die u daar wilt hebben.
Maar hoe kan OnionShare chatten nuttig zijn als we al berichtenapps hebben met een versleutelde chatoptie? Het ding is dat OnionShare geen sporen achterlaat.
Als je bijvoorbeeld een bericht naar een Signal- of Telegram-groep stuurt, belandt een kopie van je bericht op elk apparaat (de apparaten en computers als ze Signal of Telegram Desktop hebben ingesteld) van elk lid van de groep. Zelfs als berichten verdwijnen is ingeschakeld, is het moeilijk om te bevestigen dat alle kopieën van de berichten daadwerkelijk zijn verwijderd van alle apparaten, en van alle andere plaatsen (zoals meldingen databases) waar ze kunnen zijn opgeslagen. OnionShare chatrooms slaan nergens berichten op, dus het probleem wordt tot een minimum beperkt.
OnionShare chatruimtes kunnen ook nuttig zijn voor mensen die anoniem en veilig met iemand willen chatten zonder accounts te hoeven aanmaken. Een winkel kan bijvoorbeeld contact opnemen met een werknemer: stuur een OnionShare-adres met behulp van een wegwerp e-mailadres en wacht vervolgens tot de journalist zich aansluit bij de chatroom, allemaal zonder hun anonimiteit aan te tasten.
Hoe werkt de versleuteling?
Omdat OnionShare vertrouwt op Tor onion services, zijn verbindingen tussen de Tor Browser en OnionShare allemaal end-to-end versleuteld (E2EE). Wanneer iemand een bericht plaatst in een OnionShare chatroom, sturen ze het naar de server via de E2EE onion verbinding, die het vervolgens doorstuurt naar alle andere leden van de chatroom met behulp van WebSockets, via hun E2EE onion verbindingen. OnionShare implementeert zelf geen chat encryptie. In plaats daarvan vertrouwt het op de Tor onion service's encryptie.Enkele geavanceerde functies.
Je kunt elke OnionShare service persistent maken. Je kunt bijvoorbeeld een website hosten die hetzelfde adres heeft, zelfs nadat je je pc opnieuw hebt opgestart. Selecteer hiervoor de optie "Sla dit tabblad op en open het automatisch wanneer ik OnionShare open".Standaard zijn alle OnionShare services beveiligd met de gebruikersnaam onionshare en een willekeurig gegenereerd wachtwoord. Als iemand 20 keer verkeerd gokt naar het wachtwoord, wordt uw onion service automatisch gestopt om een brute force aanval tegen de OnionShare service te voorkomen. Soms wil je misschien dat je OnionShare service toegankelijk is voor het publiek, bijvoorbeeld als je een OnionShare ontvangstservice wilt opzetten, zodat het publiek je veilig en anoniem bestanden kan sturen. In dit geval is het aanbevolen om het wachtwoord uit te schakelen door de optie "Gebruik geen wachtwoord" te selecteren.
Als mensen de OnionShare pagina in de Tor browser openen, zien ze standaard de naam van de service. De standaard chat titel is bijvoorbeeld "OnionShare Chat". Als je je eigen titel voor de service wilt opgeven, gebruik dan de instelling "Aangepaste titel" voordat je de service start.
Verbinding maken met Tor.
Kies een manier om OnionShare met Tor te verbinden door te klikken op het "⚙" pictogram rechtsonder in het OnionShare venster om bij de instellingen te komen.1. Je kunt de Tor versie gebruiken die met OnionShare wordt meegeleverd. Dit is de eenvoudigste, meest betrouwbare, standaard manier om OnionShare te verbinden met het Tor netwerk, en wordt aanbevolen voor de meeste gebruikers.
2. Als de Tor browser al geïnstalleerd is op je computer en je wilt liever geen tweede parallelle processor opstarten, dan kun je de processor gebruiken die bij de Tor browser hoort. Hiervoor moet de Tor browser op de achtergrond draaien voor de gehele duur van het gebruik van OnionShare.
3. Het systeemproces tor gebruiken. Configuratie vereist relatief geavanceerde vaardigheden, zoals het bewerken van configuratiebestanden en het beheren van het besturingssysteem. In OS Tails en Whonix wordt OnionShare op deze manier geconfigureerd.
Tor bruggen gebruiken.
Als je toegang tot het internet wordt gecensureerd, kun je OnionShare configureren om verbinding te maken met het Tor netwerk met behulp van Tor bridges. Als OnionShare verbinding maakt met Tor zonder bridge, hoef je geen bridge te gebruiken. Om bridges te configureren klik je op het "⚙" icoon in OnionShare.Je kunt de ingebouwde obfs4 pluggable transporten gebruiken, de ingebouwde meek_lite (Azure) pluggable transporten, of aangepaste bridges, die je kunt verkrijgen van Tor's BridgeDB. Als je een bridge moet gebruiken, probeer dan eerst de ingebouwde obfs4 bridges.
Last edited by a moderator: