È sicuro accedere ai siti HTTP da Tor?

No, non è sicuro. Ma il ragionamento che hai letto è sbagliato.

Quando usi TOR, la connessione tra te e la rete TOR è crittografata, quindi il tuo ISP non può intercettare. Ma quando accedi a un normale sito web http con TOR, la connessione tra il nodo di uscita e il sito web di destinazione non è criptata. Ciò significa che il nodo di uscita può intercettare e manipolare l'intera connessione. Non sai se il nodo di uscita (e il relativo ISP) è affidabile, quindi questo può essere molto pericoloso.

Questo non si applica ai servizi nascosti (siti Web .onion). In questo caso la crittografia è end-to-end e un altro strato https è ridondante (e controproducente perché uno degli scopi di https è quello di rendere anonimo il server).

Dipende. In particolare, dipende dal tipo di dati che stai accedendo e dal tuo modello di minaccia.

Quale protezione fornisce HTTPS con Tor?

Ecco una ripartizione di alcuni potenziali avversari nelle informazioni a loro disposizione in ogni punto. Noterai che HTTPS fornisce solo protezione nel passaggio finale della connessione (tra il nodo di uscita del circuito Tor e il server di destinazione):

• La tua rete domestica e ISP: Tor offre una crittografia strong all'interno della rete. I potenziali avversari sulla tua rete domestica o sul tuo ISP possono vedere che stai usando Tor, ma non possono vedere i siti web che stai visitando.
• La rete Tor: il traffico all'interno della rete Tor ha più livelli di crittografia in modo tale che solo l'ultimo nodo (il nodo di uscita) nel tuo circuito Tor può vedere il traffico che invii alla destinazione.
• Il nodo di uscita: A questo punto, il traffico esce da Tor; può essere monitorato dal nodo Tor stesso o dall'ISP di quel nodo. È qui che HTTPS diventa importante in quanto previene lo snooping sui dati contenuti nella transazione (password, pagine specifiche che visiti, ecc.).

C'è un eccellente diagramma interattivo che riassume quanto sopra. Il diagramma consente di abilitare sia Tor che HTTPS per vedere quali informazioni possono essere nascoste da diversi avversari.

Ho sempre bisogno di HTTPS?

La risposta breve è: no, ma dovresti usarlo se possibile. HTTPS offre una protezione aggiuntiva per i dati trasferiti tra il nodo di uscita e il server di destinazione. Dipende dai dati che stai inviando o accedendo e da chi vuoi impedire di vedere quei dati.

Ad esempio, se stai leggendo un sito Web di notizie senza HTTPS, diventa possibile che il nodo di uscita Tor e il relativo ISP vedano che qualcuno sta leggendo un articolo specifico su un sito Web di notizie specifico. Tuttavia, non sapranno chi sei. Se aggiungi HTTPS, possono vedere il nome del sito Web di notizie che stai visitando, ma non la pagina specifica che stai visitando.

Quindi, se HTTPS non è disponibile su alcuni siti Web, l'esposizione è ancora limitata. Tuttavia, se desideri inviare informazioni come nomi utente, password o altre informazioni di identificazione, assicurati di utilizzare HTTPS.

HTTPS fornisce un'altra protezione?

Sì. C'è un altro punto che deve essere affrontato: HTTPS fornisce protezione contro le modifiche dannose delle pagine.

Quando ci si connette a un sito Web tramite una connessione non crittografata, è possibile per il nodo di uscita, l'ISP del nodo di uscita o alcune agenzie governative con l'accesso necessario per modificare il traffico in transito. Ciò potrebbe consentire loro di iniettare altri contenuti nella pagina inclusi pubblicità o exploit del browser. Potrebbero anche cambiare il contenuto della pagina stessa (notizie false di piante, ecc.)

L'uso di HTTPS rende questo attacco molto più difficile in quanto richiede l'esecuzione di un uomo nell'attacco centrale sulla tua connessione. Inoltre, quando vengono eseguiti questi tipi di attacchi, è molto più probabile che vengano notati.

E i servizi nascosti (siti web di cipolle)?

Il traffico verso questi servizi viene automaticamente crittografato da Tor. In effetti, il nome del servizio stesso (l'indirizzo .onion) svolge un ruolo importante nello stabilire la connessione crittografata.

Tuttavia, alcuni servizi nascosti utilizzano HTTPS. Facebook è un esempio di questo. Usano il certificato SSL per fornire la prova che ti stai connettendo ai legittimi server di Facebook, non a un sito Web di impostore.

È disponibile una protezione aggiuntiva?

Ci sono alcuni componenti aggiuntivi del browser che possono essere installati.

Il pacchetto Tor Browser include già:

• HTTPS Everywhere abilita automaticamente HTTPS quando il sito web di destinazione si trova su un elenco di siti Web che supportano la crittografia.
• NoScript ti consente di disabilitare JavaScript, che può fornire una protezione aggiuntiva contro JavaScript iniettato.

Ci sono altre scelte che un utente avanzato potrebbe voler abilitare. Tuttavia, aggiungerli al Tor Browser Bundle potrebbe renderti più unico rispetto ad altri utenti Tor, quindi installali solo se sai cosa stai facendo:

• Richiedi politica offre una protezione aggiuntiva contro gli attacchi che inseriscono iframe o altri contenuti remoti nella tua connessione.

L'ultima linea di difesa è la vigilanza umana. Sii attento a qualsiasi cosa sospetta. Non sai mai quali pericoli potrebbero nascondersi nell'ombra.

Hai ancora bisogno di HTTPS poiché chiunque nei nodi di uscita TOR può leggere il tuo traffico HTTP.

es. TOR fornisce protezione in modo che il tuo ISP abbia difficoltà a leggere il tuo traffico, ma non è la crittografia end-to-end. Non puoi essere sicuro di chi / dove si trova l'uscita o chi lo controlla e potrebbero comunque intercettare il tuo traffico non criptato

Vedi lo schema allegato per chiarire: link