it-swarm.com.de

Warum JavaScript in Tor deaktivieren?

Warum ist es nicht ratsam, JavaScript mit Tor zu verwenden? Mit JavaScript können Sie die IP-Adresse des Benutzers jedoch nur über eine externe Website abrufen. Wie könnte die Verwendung von JavaScript mit Tor die eigene Identität offenlegen?

10
spyker10

Ich weiß nicht, woher Sie diese Informationen haben, aber wo immer Sie sie haben, ist die offizielle Dokumentation zuverlässiger:

Wir konfigurieren NoScript so, dass JavaScript standardmäßig im Tor-Browser zulässig ist, da viele Websites nicht mit deaktiviertem JavaScript funktionieren.

Wenn Sie JavaScript standardmäßig deaktivieren, aber dann einigen Websites erlauben, Skripte auszuführen (wie die meisten Leute NoScript verwenden), fungiert Ihre Auswahl an Websites auf der Whitelist als eine Art Cookie, das Sie erkennbar (und unterscheidbar) macht und somit Ihre Anonymität beeinträchtigt.

Aber im Gegensatz z Firefox und Chrome hat der Tor-Browser nicht implementiert WebRTC , mit dem Anforderungen an STUN-Server gestellt werden können, die die lokalen und öffentlichen IP-Adressen für den Benutzer zurückgeben.

16
user45139

Es gibt eine Reihe bekannter Sicherheitslücken, die verwendet wurden, um Tor-Benutzer mithilfe von JavaScript zu dekanonymisieren.

Der erste größere Vorfall, bei dem dies geschah, war die Beschlagnahme von "Freedom Hosting" durch das FBI. Das FBI hielt die Server online und installierte dann Javascript-Paylods, die einen Zero-Day-Exploit in Firefox ausnutzten. Dies führte dazu, dass die Computer von ihrer realen, nicht anonymisierten IP-Adresse zu einem FBI-Server zurückriefen, was zur Dekanonymisierung verschiedener Benutzer führte. Sie können mehr darüber in Ars Technica. lesen

Im Allgemeinen öffnet das Aktivieren von JavaScript die Oberfläche für viele weitere potenzielle Angriffe auf einen Webbrowser. Im Falle eines ernsthaften Gegners wie einer staatlich unterstützten Einheit (z. B. des FBI) ​​haben sie Zugriff auf Zero-Day-Exploits. Wenn die Vektoren für diese Zero-Days deaktiviert sind (z. B. JavaScript), kann es schwierig sein, einen brauchbaren Exploit zu finden, selbst wenn sie Zugriff auf Zero-Days usw. haben.

Der einzige Grund, warum das Tor-Projekt zulässt, dass JavaScript im Tor-Browser standardmäßig aktiviert ist, ist die Benutzerfreundlichkeit. Viele Tor-Benutzer sind technisch nicht versiert, und JavaScript wird häufig mit HTML5 in modernen Websites verwendet. Das Deaktivieren von JavaScript führt dazu, dass viele Websites unbrauchbar werden. Daher ist es standardmäßig aktiviert.

Als bewährte Methode sollte man JavaScript im Tor-Browser deaktivieren und NoScript für alle Websites aktiviert lassen, es sei denn, Sie haben einen äußerst zwingenden Grund, dies nicht zu tun.

3
Herringbone Cat

Ich glaube, dies soll das "Browser-Fingerprinting" stoppen. Javascript kann viele Informationen erhalten, wie die Reihenfolge, in der Schriftarten auf einem Computer installiert werden, die Größe des Bildschirms usw.; - Es gibt ein gutes Beispiel unter https://panopticlick.eff.org/ .

Wenn Sie auf demselben Computer zu einer anderen Site wechseln, die TOR umgeht, können die beiden Sites möglicherweise Notizen vergleichen und feststellen, dass Sie wahrscheinlich dieselbe Person sind.

Laut Panopticlick sind 85% der Besucher anhand ihrer Methode eindeutig identifizierbar. Eine andere Site, https://Valve.github.io/fingerprintjs/ , scheint tiefer installierte Plugins zu graben und gibt ihr "94% Genauigkeit".

Ironischerweise, da nur ein kleiner Teil der Benutzer beispielsweise Cookies blockiert usw., erhöht dies Ihre Einzigartigkeit und erleichtert Ihnen die Identifizierung mit diesen Techniken.

1
AMADANON Inc.