Dlaczego NoScript nie jest domyślnie aktywowany w przeglądarce Tor?

14

Właśnie zauważyłem, że rozszerzenie przeglądarki NoScript nie jest aktywowane przy pierwszym uruchomieniu przeglądarki Tor. Może to stanowić wysokie zagrożenie bezpieczeństwa, ponieważ może oczywiście ujawnić adres IP użytkownika, a rząd może znaleźć demaskatora.

tor czarny
źródło
1
Pytanie powinno
brzmieć
Pomyślałem, że dodam trochę wyjaśnienia: to nie „rząd” znajduje demaskatora; jest to konkretny departament, agent lub zespół w rządzie, któremu powierzono zadanie jego przełożonego i który skutecznie wykonuje polecenia. Rząd nie jest tak spójny, jak się wydaje ludziom na zewnątrz - oczywisty brak demokracji, jeśli ci ludzie są obywatelami.
can-ned_food
NoScript jest domyślnie włączony w przeglądarce Tor, ale blokowanie skryptów jest wyłączone.
user598527,

Odpowiedzi:

33

Ma to zapobiec jednej metodzie pobierania odcisków palców przez użytkownika

Od: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Konfigurujemy NoScript, aby domyślnie zezwalał na JavaScript w przeglądarce Tor, ponieważ wiele stron internetowych nie będzie działać z wyłączoną obsługą JavaScript. Większość użytkowników zrezygnuje całkowicie z Tora, jeśli witryna, z której chcą korzystać, wymaga JavaScript, ponieważ nie wiedzieliby, jak zezwalać stronie na używanie JavaScript (lub że włączenie JavaScript może sprawić, że strona będzie działać).

Tu jest kompromis. Z jednej strony powinniśmy domyślnie włączać JavaScript, aby strony działały zgodnie z oczekiwaniami użytkowników. Z drugiej strony powinniśmy domyślnie wyłączać JavaScript, aby lepiej chronić się przed lukami w przeglądarce (nie tylko kwestia teoretyczna!). Istnieje jednak trzeci problem: strony internetowe mogą z łatwością ustalić, czy zezwoliłeś na ich obsługę JavaScript, a jeśli domyślnie wyłączysz JavaScript, ale następnie zezwolisz kilku stronom na uruchamianie skryptów (sposób, w jaki większość ludzi używa NoScript), wtedy wybór witryn z białej listy działa jako rodzaj pliku cookie, który sprawia, że ​​jesteś rozpoznawalny (i rozpoznawalny), a tym samym szkodzi Twojej anonimowości.

Ostatecznie chcemy, aby domyślne pakiety Tora używały kombinacji zapór ogniowych (takich jak reguły iptables w Tails) i piaskownic, aby JavaScript nie był tak straszny. W perspektywie krótkoterminowej TBB 3.0 pozwoli użytkownikom łatwiej wybrać ustawienia JavaScript - ale problem dotyczący partycjonowania pozostanie.

Dopóki się tam nie dostaniemy, możesz włączyć lub wyłączyć JavaScript w zależności od bezpieczeństwa, anonimowości i priorytetów użyteczności.

Ben M.
źródło
19
Przeglądarka Tor ma już dla ciebie wiele odcisków palców. Podobnie ruch uliczny przechodzi przez Tor. (Pamiętaj: Tor został zaprojektowany tak, aby użytkownicy Tora wyglądali podobnie, a nie użytkownicy Tora wyglądali jak użytkownicy niebędący użytkownikami Tora). Cytowany tekst mówi o pobieraniu odcisków palców użytkownika (co rzeczywiście stanowi problem) za pośrednictwem listy stron internetowych, dla których użytkownik pozwala na wykonywanie Javascript.
CVn
Tak, masz rację, użyłem złej terminologii.
Ben M.
1
Oto pomysł, aby przeciwdziałać pobieraniu odcisków palców przez użytkownika: zdefiniuj zarówno białą, jak i czarną listę, a wszystko inne jest blokowane losowo w 50% przypadków przy każdej wizycie.
Dialecticus
1
Nie pomoże to jednak w „lepszej ochronie przed lukami w przeglądarce”.
Evengard,