it-swarm.com.de

Kann JavaScript die von Tor bereitgestellte Anonymität brechen?

Vor einiger Zeit habe ich diese Website over tor durchsucht. Nachdem ich einen Ort im Menü ausgewählt hatte, konnte ich genau feststellen, wie weit die nächstgelegenen Testzentren von meinem Standort entfernt waren, was bedeutet, dass ich meinen Standort ermitteln konnte.

Ich verwende NoScript mit TorBrowser und achte normalerweise darauf, dass JavaScript ausgeführt wird. Natürlich sind einige Websites nahezu unbrauchbar, wenn nicht sogar vollständig, wenn einige der erforderlichen Skripte nicht ausgeführt werden dürfen.

  1. Wie erhält die Website diese Informationen, wenn ich mit tor surfe?
  2. Wie kann ich feststellen, wann eine Website, die ich besuche, über diese Funktion verfügt?
  3. Kann ich irgendetwas tun, um zu verhindern, dass sie diese und andere Informationen erhalten, die beim Durchsuchen von tor nicht sichtbar sein sollten?
4
user942937

tl; dr: Ja, JavaScript kann die von Tor bereitgestellte Anonymität aufheben, wenn ein Browser-Sicherheitslücke vorliegt, wenn Sie Funktionen aktivieren, die nicht unter Berücksichtigung der Anonymität entwickelt wurden (wie WebRTC oder Geolocation API ) oder durch Weitergabe weiterer Informationen für Browser-Fingerabdrücke .

Diese spezielle Site ( https://pearsonpte.com/ ) verwendet die Geolocation API in Zeile 31: navigator.geolocation.getCurrentPosition(). Hierbei werden keine Geolokalisierungsdaten für Ihre IP-Adresse verwendet, sondern ein Standortanbieter wie ein GPS-Chip auf Ihrem Gerät. Normalerweise fordert der Browser Sie zur Eingabe einer Berechtigung pro Site auf, dies kann jedoch zulässig oder verweigert global sein. Das globale Zulassen von Geolokalisierung wäre gefährlich, da Ihr Standort viel detaillierter als Ihre IP-Adresse angezeigt wird.

Das Konfigurieren Ihres Browsers, um zu verhindern, dass alles, was Ihre Identität preisgeben könnte, viel Aufwand erfordert und wahrscheinlich fehlschlägt. Selbst wenn Sie über alle Kenntnisse verfügen, um alles Notwendige zu deaktivieren, wird Ihr Browser einen eindeutigeren Fingerabdruck haben, je mehr Sie Ihre Einstellungen anpassen ( Bin ich einzigartig? ). Tor Browser ist ein eigenständiges Bundle mit einem vorkonfigurierten Mozilla Firefox mit NoScript und HTTPS Everywhere , aber die Standardeinstellungen aktivieren JavaScript auf der Site selbst und warnt vor externen Skripten. Wenn Sie besonders vorsichtig sind, können Sie die Einstellungen verschärfen, indem Sie einige der folgenden Elemente entfernen:

(Tor Browser NoScript default settings

Tor Browser ist nicht perfekt gegen Fingerabdrücke des Browsers, hilft aber sehr bei anderen Fehlern, die Sie machen könnten. Bin ich einzigartig? Testergebnisse zuerst mit Standardeinstellungen im Vergleich zu Ergebnissen mit deaktiviertem JavaScript legen auch nahe, dass das Deaktivieren von JavaScript eine gute Idee sein könnte:

Aber nur 12 der 992892 beobachteten Browser (0,00%) haben genau den gleichen Fingerabdruck wie Ihre.

Aber nur 1796 der 992968 beobachteten Browser (0,18%) haben genau den gleichen Fingerabdruck wie Ihre.

Selbst wenn Sie den Tor-Browser verwenden, können Sie verschiedene Probleme haben, darunter:

  • Sie vergessen (oder vernachlässigen), den Browser zu aktualisieren. Veraltete Versionen können sehr gefährlich sein: Es gab Schwachstellen in z. mgang mit file:// URLs und nter Umgehung von NoScript .

  • Die Site bittet Sie um Ihre Erlaubnis, HTML5-Funktionen wie Canvas-Bilddaten verwenden zu dürfen. Mit Tor Browser können Sie es auf eigenes Risiko zulassen, aber Sie wurden gewarnt.

    (Tor Browser warning on HTML5 canvas image data

  • Sie können Skripte global zulassen oder einer Site vertrauen, die Sie nicht sollten (vorausgesetzt, Sie haben Skripte deaktiviert).

  • NoScript erkennt potenzielle Cross-Site Scripting-Angriffe, Sie können jedoch Anforderungen an externe Sites zulassen.

  • Der Tor-Browser ist z.B. geo.enabled & geo.provider.ms-windows-location auf false gesetzt, aber es sperrt keine der Einstellungen in about:config.

5
Esa Jokinen