Dipende. In particolare, dipende dal tipo di dati che stai accedendo e dal tuo modello di minaccia.
Quale protezione fornisce HTTPS con Tor?
Ecco una ripartizione di alcuni potenziali avversari nelle informazioni a loro disposizione in ogni punto. Noterai che HTTPS fornisce solo protezione nel passaggio finale della connessione (tra il nodo di uscita del circuito Tor e il server di destinazione):
-
La tua rete domestica e ISP: Tor offre una crittografia strong all'interno della rete. I potenziali avversari sulla tua rete domestica o sul tuo ISP possono vedere che stai usando Tor, ma non possono vedere i siti web che stai visitando.
-
La rete Tor: il traffico all'interno della rete Tor ha più livelli di crittografia in modo tale che solo l'ultimo nodo (il nodo di uscita) nel tuo circuito Tor può vedere il traffico che invii alla destinazione.
-
Il nodo di uscita: A questo punto, il traffico esce da Tor; può essere monitorato dal nodo Tor stesso o dall'ISP di quel nodo. È qui che HTTPS diventa importante in quanto previene lo snooping sui dati contenuti nella transazione (password, pagine specifiche che visiti, ecc.).
C'è un eccellente diagramma interattivo che riassume quanto sopra. Il diagramma consente di abilitare sia Tor che HTTPS per vedere quali informazioni possono essere nascoste da diversi avversari.
Ho sempre bisogno di HTTPS?
La risposta breve è: no, ma dovresti usarlo se possibile. HTTPS offre una protezione aggiuntiva per i dati trasferiti tra il nodo di uscita e il server di destinazione. Dipende dai dati che stai inviando o accedendo e da chi vuoi impedire di vedere quei dati.
Ad esempio, se stai leggendo un sito Web di notizie senza HTTPS, diventa possibile che il nodo di uscita Tor e il relativo ISP vedano che qualcuno sta leggendo un articolo specifico su un sito Web di notizie specifico. Tuttavia, non sapranno chi sei. Se aggiungi HTTPS, possono vedere il nome del sito Web di notizie che stai visitando, ma non la pagina specifica che stai visitando.
Quindi, se HTTPS non è disponibile su alcuni siti Web, l'esposizione è ancora limitata. Tuttavia, se desideri inviare informazioni come nomi utente, password o altre informazioni di identificazione, assicurati di utilizzare HTTPS.
HTTPS fornisce un'altra protezione?
Sì. C'è un altro punto che deve essere affrontato: HTTPS fornisce protezione contro le modifiche dannose delle pagine.
Quando ci si connette a un sito Web tramite una connessione non crittografata, è possibile per il nodo di uscita, l'ISP del nodo di uscita o alcune agenzie governative con l'accesso necessario per modificare il traffico in transito. Ciò potrebbe consentire loro di iniettare altri contenuti nella pagina inclusi pubblicità o exploit del browser. Potrebbero anche cambiare il contenuto della pagina stessa (notizie false di piante, ecc.)
L'uso di HTTPS rende questo attacco molto più difficile in quanto richiede l'esecuzione di un uomo nell'attacco centrale sulla tua connessione. Inoltre, quando vengono eseguiti questi tipi di attacchi, è molto più probabile che vengano notati.
E i servizi nascosti (siti web di cipolle)?
Il traffico verso questi servizi viene automaticamente crittografato da Tor. In effetti, il nome del servizio stesso (l'indirizzo .onion) svolge un ruolo importante nello stabilire la connessione crittografata.
Tuttavia, alcuni servizi nascosti utilizzano HTTPS. Facebook è un esempio di questo. Usano il certificato SSL per fornire la prova che ti stai connettendo ai legittimi server di Facebook, non a un sito Web di impostore.
È disponibile una protezione aggiuntiva?
Ci sono alcuni componenti aggiuntivi del browser che possono essere installati.
Il pacchetto Tor Browser include già:
-
HTTPS Everywhere abilita automaticamente HTTPS quando il sito web di destinazione si trova su un elenco di siti Web che supportano la crittografia.
-
NoScript ti consente di disabilitare JavaScript, che può fornire una protezione aggiuntiva contro JavaScript iniettato.
Ci sono altre scelte che un utente avanzato potrebbe voler abilitare. Tuttavia, aggiungerli al Tor Browser Bundle potrebbe renderti più unico rispetto ad altri utenti Tor, quindi installali solo se sai cosa stai facendo:
-
Richiedi politica offre una protezione aggiuntiva contro gli attacchi che inseriscono iframe o altri contenuti remoti nella tua connessione.
L'ultima linea di difesa è la vigilanza umana. Sii attento a qualsiasi cosa sospetta. Non sai mai quali pericoli potrebbero nascondersi nell'ombra.