<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Oct 4, 2016 at 4:15 AM, Jeff Burdges <span dir="ltr"><<a href="mailto:burdges@gnunet.org" target="_blank">burdges@gnunet.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, 2016-10-03 at 20:28 +0100, John Graham-Cumming wrote:<br>
</span><span class="">> 1. Benign GET / repeated 1000 times per second. That's a DoS on<br>
> the server<br>
<br>
</span>Is this going to work over Tor anyways?  I suppose your concern would be<br>
PHP, etc. that falls over much faster than the web server calling it,<br>
no?<br></blockquote><div><br></div><div>It turns out that does work over a Tor. We see this type of DoS happen across the Tor network. The network has quite a lot of capacity and certainly enough to knock over smaller web sites. A related tool is "Tor's Hammer" which performs DoS using a slightly different method over Tor.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
> 2. Shellshock. Looks like a benign GET / but nasty payload in<br>
User-Agent header<br>
> 3. Simple GET but with SQLi in the URI<br>
<br>
</span>I suppose you're not worried about targeted attack per se here, as they<br>
can always solve the current CAPTCHA, but automated attackers who<br>
attempt attacks on many servers, no?<br></blockquote><div><br></div><div>Right. For example the popular sqlmap tool for finding SQLi vulnerabilities in a web site has a --tor option to run through the Tor network. Running attack tools via Tor is very common.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Are these serious concerns?  I suppose they're more serious than the DoS<br>
concerns, so that sounds bad from the token stockpiling perspective.*</blockquote><div><br></div><div>Yes, these are serious concerns. If they weren't I would have just dropped CAPTCHA for Tor exit nodes and be done with it. We know from watching attacks come through Tor that to do so would expose people's web sites.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
* If this becomes an issue, there is an approach that might work : Just<br>
use multiple signing keys, one system wide key C for all CloudFlare<br>
sites, and individual site keys for each site CloudFlare protects.  If<br>
you solve a CAPTCHA then you withdraw a moderate stack of C tokens.  If<br>
you visit site X then you spend an X token if you have one, but if you<br>
do not then you spend a single C token to withdraw tens of thousands of<br>
X tokens.  So solving a CAPTCHA is worth hundreds of thousands of page<br>
loads, but only across a moderate number of sites.  We could've separate<br>
Cbig and Csmall keys such that first it withdraws with Csmall, but if<br>
the users blows through that quickly then it withdraws with Cbig.<br></blockquote><div><br></div><div>I'll let the crypto-heads explore that. </div></div></div></div>