Joerg-Olaf Schaefers <[EMAIL PROTECTED]> writes: > Mag das bitte mal einer der Crypto-Experten kommentieren?
Dazu braucht es gl�cklicherweise keinen Crypto-Experten, da keine Kryptographie involviert ist. 8-/ Es ist extremst heftig. Alle Nutzer werden pauschal �berwacht. Die URLs in den Requests werden mit einer Liste von regul�ren Ausdr�cken verglichen (beim letzten Mix in der Kette, der den Klartext hat). Bei einer �bereinstimmung wird ein Flag und eine ID in der Antwort gesetzt, der Request wird geloggt. Der erste Mix (�ber den der Nutzer verbunden ist) loggt beim Antreffen des Flags die ID und die IP-Adresse. Damit kann dann die ganze Mix-Kaskade �berbr�ckt werden, und bestimmte URLs k�nnen eindeutig den IP-Adressen der Nutzer zugeordnet werden. Probleme neben der �berwachung an sich: Die TU Dresden kann jetzt jeden ihrer Nutzer ans Messer liefern, und er h�tte wenig M�glichkeiten, sich dagegen zu wehren. Die Logs an sich sind nicht kryptographisch gesichert. Offenbar ist JAP als zentralisierter Dienst deutlich st�rker solchen Angriffen ausgesetzt als der �bliche IP-Verkehr. Dort gibt's jedenfalls keine fl�chendeckende �berwachung nach Ziel-URL.
