Perché disabilitare JavaScript in Tor? [duplicare]

10

Perché non è consigliabile utilizzare JavaScript con Tor? Tuttavia, con JavaScript, non è possibile ottenere l'indirizzo IP dell'utente se non attraverso un sito Web esterno. In che modo l'utilizzo di JavaScript con Tor può esporre la propria identità?

    
posta spyker10 27.07.2015 - 13:01
fonte

3 risposte

16

Non so dove hai ottenuto quell'informazione, ma ovunque tu abbia ottenuto, la documentazione ufficiale è più affidabile:

We configure NoScript to allow JavaScript by default in Tor Browser because many websites will not work with JavaScript disabled.

If you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

Ma diversamente da Firefox e Chrome, il browser Tor non ha implementato WebRTC che consente di effettuare richieste ai server STUN che restituiscono gli indirizzi IP pubblici e locali per l'utente.

    
risposta data 27.07.2015 - 13:18
fonte
3

Esistono numerose vulnerabilità note, che sono state utilizzate, per deanonizzare gli utenti Tor sfruttando JavaScript.

Il primo grande incidente in cui ciò è successo è stato con il sequestro del "Freedom Hosting" dell'FBI. L'FBI ha tenuto i server online, quindi ha installato paylods javascript che hanno sfruttato un exploit zero-day in Firefox. Ciò ha causato il richiamo dei computer a un server FBI dal loro IP reale non anonimo, che ha portato alla decanonimizzazione di vari utenti. Puoi leggere ulteriori informazioni al riguardo in Ars Technica.

In generale, l'abilitazione di JavaScript apre la superficie per molti altri potenziali attacchi contro un browser web. Nel caso di un avversario serio come un'entità sostenuta dallo stato (ad esempio l'FBI), hanno accesso agli exploit zero-day. Se i vettori per questi giorni zero sono disabilitati (ad es. JavaScript), allora potrebbe essere difficile trovare un exploit valido anche se hanno accesso a zero giorni ecc.

L'unica ragione per cui il progetto Tor consente a JavaScript di essere attivo per impostazione predefinita nel browser Tor è l'usabilità. Molti utenti Tor non sono tecnicamente esperti e JavaScript è comunemente usato con HTML5 nei siti Web moderni. La disabilitazione di JavaScript rende molti siti Web inutilizzabili, pertanto è abilitato per impostazione predefinita.

Come best practice, si dovrebbe disabilitare JavaScript nel browser Tor e mantenere NoScript abilitato per tutti i siti, a meno che non si abbia una ragione estremamente convincente per non farlo.

    
risposta data 27.07.2015 - 22:37
fonte
1

Credo che questo sia per fermare "il fingerprinting del browser". Javascript può ottenere molte informazioni, come l'ordine in cui i caratteri sono installati su un computer, le dimensioni dello schermo, ecc; - C'è un buon esempio al link .

Se vai su un altro sito bypassando TOR, sullo stesso computer, i due siti potrebbero essere in grado di confrontare le note e capire che probabilmente sei la stessa persona.

Panopticlick dice che l'85% dei visitatori è identificabile in modo univoco, con il suo metodo. Un altro sito, link , sembra scavare più a fondo - plugin installati, dandogli "precisione del 94%".

Ironia della sorte, dal momento che solo una piccola parte degli utenti fa cose come bloccare i cookie, ecc. farlo in realtà aumenterà la tua unicità e ti renderà più facile identificarti con queste tecniche.

    
risposta data 27.07.2015 - 22:26
fonte

Leggi altre domande sui tag