Tor viene con NoScript. Corríjame si me equivoco, pero eso se debe a que los scripts del lado del cliente pueden determinar la dirección IP de origen, independientemente de a través de quién se pase el tráfico.
Respuesta corta:
Estás equivocado.
Suponiendo que no haya una vulnerabilidad del navegador, JS no puede determinar su dirección IP. Todas las solicitudes HTTP salientes realizadas con JS se procesarán como otras solicitudes HTTP realizadas por el navegador.
Respuesta larga:
NoScript es un complemento muy útil para la seguridad y la privacidad; el interruptor de encendido / apagado para JavaScript es solo una de las muchas cosas que puede hacer:
- bloquear contenido incrustado: Java, Flash, Silverlight ...
- bloquea la mayoría de XSS reflejado (pero los webmasters deben corregir sus sitios, sin importar qué)
- defina conjuntos globales de reglas definidas por el usuario y de todo el sitio para las solicitudes GET y POST permisibles entre sitios, con el posible "anonimato" de dichas solicitudes (en particular, no se envían cookies HTTP) "ABE"
- evita que el sitio web de Internet se vincule a direcciones IP "locales" (localhost, RFC 1918 ...)
- bloquee la interacción peligrosa del usuario con marcos incrustados parciales de sitios ocultos ("clickjacking", también conocido como "ataque de reparación de IU")
- aplica HTTPS solo en los dominios listados (no es tan flexible como el complemento HTTP Everywhere, pero sigue siendo útil)
- otros problemas de privacidad, como activar / desactivar la función A PING
Se puede utilizar NoScript:
- para reducir la posibilidad de ataques por contenido remoto: un script JS bloqueado o un applet de Java / Flash no puede intentar explotar un error de seguridad en su cliente
- para aislar los sitios web para que se bloqueen las interacciones inapropiadas
Ambos son importantes para la seguridad.
Falsos positivos
A veces, NoScript puede tener falsos positivos en sitios con contenido interactivo enmarcado, en la detección XSS ... al final, el usuario decide qué hacer. El usuario siempre tiene el control, pero los mensajes de advertencia de NoScript pueden ser bastante difíciles de entender para el usuario no técnico.
Complementos frente a proxy
No todos los complementos respetan la configuración de proxy del navegador, y algunos complementos incluso se han mostrado para mostrar, pero no siempre, su propia configuración de proxy. Esto es extremadamente peligroso, ya que cualquier solicitud saliente que no se encuentre en un servidor proxy revelará su propia dirección IP que trató de ocultar, y el comportamiento inconsistente de WRT a la configuración de proxy puede dar la ilusión de seguridad.
Además, un applet de Java revelará felizmente la dirección IP local de los sockets, por lo que podría usarse para descubrir su propia dirección IP privada que puede ser una información de identificación (si no usa una dirección IP privada muy común) ).
Todos los proxies, no solo Tor
Estas consideraciones no solo se aplican a Tor, sino también a cualquier uso de un proxy para el anonimato .
Una forma de hacer que los proxies sean más seguros es bloquear todo el tráfico saliente a Internet (excepto los datos enviados al proxy) a nivel de firewall . Esto proporcionará defensa en profundidad contra el mal comportamiento de los clientes.
Pero la configuración de un cortafuegos (filtro de paquetes) generalmente solo la puede realizar el administrador, es una función de todo el sistema (incluso si solo desea bloquear la conexión creada localmente de programas que se ejecutan con su ID de usuario). Por lo tanto, la opción de firewall no será accesible para todos los usuarios.