it-swarm.com.de

Warum ist NoScript in Tor Browser nicht standardmäßig aktiviert?

Ich habe gerade bemerkt, dass die Browser-Erweiterung NoScript nicht aktiviert ist, wenn Sie den Tor-Browser zum ersten Mal starten. Dies kann ein hohes Sicherheitsrisiko darstellen, da es offensichtlich die IP-Adresse des Benutzers offen legt und die Regierung den Whistleblower finden kann.

14
Black

Es soll verhindern, dass ein Benutzer Fingerabdrücke abgibt

Von: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Wir konfigurieren NoScript so, dass JavaScript standardmäßig in Tor Browser zulässig ist, da viele Websites mit deaktiviertem JavaScript nicht funktionieren. Die meisten Benutzer würden Tor ganz aufgeben, wenn eine Website, die sie verwenden möchten, JavaScript erfordert, da sie nicht wissen, wie eine Website JavaScript verwenden kann (oder wenn JavaScript aktiviert ist, funktioniert eine Website möglicherweise).

Hier gibt es einen Kompromiss. Einerseits sollten wir JavaScript standardmäßig aktiviert lassen, damit Websites so funktionieren, wie es die Benutzer erwarten. Auf der anderen Seite sollten wir JavaScript standardmäßig deaktivieren, um den Schutz vor Browser-Schwachstellen zu verbessern (nicht nur ein theoretisches Problem!). Es gibt jedoch ein drittes Problem: Websites können leicht feststellen, ob Sie JavaScript für sie zugelassen haben. Wenn Sie JavaScript standardmäßig deaktivieren, aber dann einigen Websites das Ausführen von Skripten erlauben (wie die meisten Leute NoScript verwenden), handelt es sich um die von Ihnen gewählte Whitelist-Website als eine Art Cookie, das Sie erkennbar (und unterscheidbar) macht und so Ihre Anonymität schädigt.

Letztendlich möchten wir, dass die standardmäßigen Tor-Bundles eine Kombination aus Firewalls (wie die Iptables-Regeln in Tails) und Sandboxes verwenden, damit JavaScript nicht so unheimlich wird. Kurzfristig wird TBB 3.0 den Benutzern hoffentlich ermöglichen, ihre JavaScript-Einstellungen einfacher zu wählen - aber das Partitionierungsproblem bleibt bestehen.

Bis dahin können Sie JavaScript abhängig von Ihren Prioritäten in Bezug auf Sicherheit, Anonymität und Benutzerfreundlichkeit aktivieren oder deaktivieren.

33
Ben M.