ich fanddiese Informationen auf der Tor-Website:
Sie sollten sehr vorsichtig sein, wenn Sie Dokumente über Tor herunterladen (insbesondere DOC- und PDF-Dateien), da diese Dokumente Internetressourcen enthalten können, die von der Anwendung, die sie öffnet, außerhalb von Tor heruntergeladen werden. Dadurch wird Ihre Nicht-Tor-IP-Adresse offengelegt. Wenn Sie mit DOC- und/oder PDF-Dateien arbeiten müssen, empfehlen wir dringend, entweder einen nicht verbundenen Computer zu verwenden, die kostenlose VirtualBox herunterzuladen und sie mit einem virtuellen Maschinenabbild mit deaktivierter Netzwerkverbindung zu verwenden oder Tails zu verwenden. Unter keinen Umständen ist es jedoch sicher, BitTorrent und Tor zusammen zu verwenden.
Bilder aus einer externen Quelle können meines Wissens nicht eingebettet werden. Welche Ressourcen sind also gemeint?
Antwort1
Ich denke, der Schlüssel zu Ihrer Frage ist, ob Sie JavaScript in ein PDF einbetten können. Und dieser Artikel scheint diesen Vorgang zu erklären:„So verbessern Sie Ihre PDF-Formulare mit JavaScript“
Sie könnten also Code einbetten, der eine Verbindung zu einem externen Server herstellt, um Daten zwischen der Außenwelt und Ihrem PC auszutauschen.
Ich bin nicht sicher, ob es integrierte Sicherheitsoptionen gibt, die die Möglichkeit einer „Call-Home“-Anmeldung für eine PDF-Datei einschränken. Vielleicht hängt dies auch vom verwendeten PDF-Reader ab.
BEARBEITEN:
Um die Einstellungen in Adobe Reader zu überprüfen, drücken Sie Strg-K und wählen Sie auf der linken Seite „Trust Manager“. In meiner Version werden die folgenden Optionen angezeigt:
Sie können detailliert angeben, welche Websites Ihrer Ansicht nach für die Kontaktaufnahme mit einem PDF akzeptabel sind. Klicken Sie außerdem auf der linken Seite auf JavaScript, wo Sie die Verwendung von Adobe JavaScript ein- oder ausschalten können.
Gemäß dem Kommentar von mgutt weiter unten konnte ich nicht erkennen, warum Sie es nicht zum Laden externer Daten verwenden können sollten, app.media.getURLData()wenn JavaScript verwendet wird, keine anderen Einschränkungen festgelegt sind und die PDF-Anwendung selbstverständlich JavaScript unterstützt.
Antwort2
Sie zeigendies von der Tor-Website:
…diese Dokumente können Internetressourcen enthalten, die von der Anwendung, die sie öffnet, außerhalb von Tor heruntergeladen werden.
Das Schlüsselwort hier lautet „kann“ und die Warnung ist – so wie ich sie verstehe – eine allgemeine „Seien wir da draußen vorsichtig …“-Aussage.
Ich bin mir nicht 100% sicher, was Bilder im Speziellen betrifft, aber es gibt Exploits, Tools und Tutorials, die Methoden zum Einschleusen von Rootkit-Exploits in PDFs beschreiben.wie dieses hier; fettgedruckte Hervorhebung von mir:
Bei diesem Exploit ändern wir eine vorhandene PDF-Datei, die dann auf unserer Website veröffentlicht werden kann.Wenn Freunde oder andere es herunterladen, öffnet es einen Listener (ein Rootkit) auf ihrem System und gibt uns die vollständige Fernkontrolle über ihren Computer.
Und gegen Ende noch deutlicher ausgedrückt; die fette Hervorhebung stammt wiederum von mir:
Kopieren Sie diese Datei einfach auf Ihre Website und laden Sie Besucher ein, sie herunterzuladen. Wenn unser Opfer diese Datei von Ihrer Website herunterlädt und öffnet,öffnet eine Verbindung zu Ihrem System, die Sie zum Ausführen und Besitzen des Computersystems verwenden können.