Tor comes bundled with NoScript. Correct me if I'm wrong but that's because client sided scripts can determine the originating IP address regardless of who the traffic is passed through.
Risposta breve:
Ti sbagli.
Assumendo alcun exploit del browser, JS non può determinare il tuo indirizzo IP. Ogni richiesta HTTP in uscita effettuata con JS verrà inoltrata come altre richieste HTTP effettuate dal browser.
Risposta lunga:
NoScript è un componente aggiuntivo molto utile per la sicurezza e la privacy; l'interruttore on / off a grana fine per JavaScript è solo una delle tante cose che può fare:
- blocca il contenuto incorporato: Java, Flash, Silverlight ...
- blocca la maggior parte XSS riflesso (ma i webmaster devono correggere i loro siti, indipendentemente da cosa)
- definire definiti dall'utente globale e set di regole per tutto il sito per richieste GET e POST accettabili su più siti, con possibile "anonimizzazione" di tali richieste (in particolare non l'invio di cookie HTTP) "ABE"
- impedisce al sito Web di collegarsi agli indirizzi IP "locali" (localhost, RFC 1918 ...)
- blocca pericolose interazioni dell'utente con frame nascosti cross-site nascosti ("clickjacking", ovvero "attacco UI di correzione")
- applica HTTPS solo sui domini elencati (non flessibile come il plug-in HTTP Everywhere, ma comunque utile)
- altri problemi di privacy come attivare / disattivare la funzione A PING
È possibile utilizzare NoScript:
- per ridurre l'opportunità di attacchi da parte di contenuti remoti: uno script JS bloccato o l'applet Java / Flash non possono provare a sfruttare un bug di sicurezza nel client
- per isolare i siti Web in modo che le interazioni inappropriate siano bloccate
Entrambi sono importanti per la sicurezza.
Falsi positivi
A volte NoScript può avere falsi positivi sui siti con contenuto interattivo incorniciato, sul rilevamento XSS ... alla fine, l'utente decide cosa fare. L'utente ha sempre il controllo, ma i messaggi di avviso di NoScript possono essere piuttosto difficili da capire per l'utente non tecnico.
Plug-in contro proxy
Non tutti i plug-in rispettano le impostazioni del proxy del browser e alcuni plug-in sono persino stati mostrati a volte ma non sempre rispettano le proprie impostazioni proxy. Questo è estremamente pericoloso in quanto qualsiasi richiesta in uscita che non è proxy rivelerà il tuo indirizzo IP che hai cercato così difficile da nascondere, e il comportamento incoerente da WRT a proxy potrebbe dare l'illusione di sicurezza.
Inoltre, un'applet Java rivelerà volentieri l'indirizzo IP locale dei socket, quindi potrebbe essere utilizzato per scoprire il proprio indirizzo IP privato che può essere un'informazione identificativa (se non si utilizza un indirizzo IP privato molto comune ).
Tutti i proxy, non solo Tor
Queste considerazioni non si applicano solo a Tor ma anche a qualsiasi utilizzo di un proxy per l'anonimato .
Un modo per rendere più sicuri i proxy è bloccare tutto il traffico in uscita verso Internet (tranne i dati inviati al proxy) a livello di firewall . Ciò fornirà la difesa in modo approfondito contro i client non funzionanti.
Tuttavia, la configurazione di un firewall (filtro pacchetto) può essere eseguita di solito solo dall'amministratore, è una funzionalità estesa al sistema (anche se si desidera solo bloccare la connessione creata localmente dai programmi in esecuzione con l'id utente). Quindi l'opzione firewall non sarà accessibile a tutti gli utenti.