¿Qué tan trivial es identificar a un usuario Tor con JavaScript habilitado / 'permitir scripts globalmente'?

Navega tus respuestas
2

Estaba navegando usando Tor, con Javascript habilitado / 'permitir scripts globalmente'. Hice una solicitud automatizada de eliminación de algo publicado en un sitio web, y al día siguiente volví para comprobar si el elemento seguía allí. Estaba, e irritado, realicé la solicitud nuevamente y obtuve una respuesta de tipo "ya ha hecho esta solicitud" en el sitio web. Lo cual es extraño porque estaba usando un circuito Tor diferente al del día anterior. Entonces, ¿qué está pasando? Es:

  1. ¿El sitio web simplemente reconoce que 'alguien' ya realizó la solicitud?
  2. ¿El sitio web que reconoce ambas solicitudes eran usuarios de TOR?
  3. El sitio web de alguna manera me identifica como yo a pesar de TOR (presumiblemente por algún exploit de JS)

Si es el número 3, debe ser bastante fácil identificar a los usuarios de TOR que tienen JS habilitado, ¿no? Porque era solo un sitio web aleatorio, no uno habitado por hackers o fantasmas de sombrero negro. Bueno, supongo que no lol.

    
pregunta potat0 31.05.2016 - 01:33
fuente

3 respuestas

1

Hay varias formas de rastrear a los visitantes entre sesiones que no se ven obstaculizadas por TOR:

  • Cookies HTTP (sí, incluso los dominios .onion pueden usar cookies como cualquier otro dominio)
  • Almacenamiento persistente con JavaScript en Localstorage o IndexDB
  • Almacenamiento persistente en complementos como Flash
  • Toma de huellas dactilares del navegador, es decir, una combinación de versión del navegador, complementos instalados, resolución de pantalla, fuentes instaladas y cualquier otra información que pueda obtener. Cada uno de eso por sí solo puede no ser suficiente para identificar a alguien de manera única, pero puede serlo cuando se observa la combinación de todo eso simultáneamente.

Si desea evitar el seguimiento, puede utilizar el Navegador TOR proporcionado por el torproject.org. Es una compilación de Firefox con todo lo anterior desactivado en la medida de lo posible.

    
respondido por el Philipp 28.09.2016 - 11:33
fuente
0

A veces, con fines de seguimiento no persistente, los sitios web codifican una cadena que se propaga en cada página del sitio por el que navega. Si tiene una entrada en el historial del navegador de dicha página, al hacer clic en ella se actualiza el historial en el lado del servidor. Esto supone que no utiliza ninguna configuración de historial en su cliente.

    
respondido por el mkin 31.05.2016 - 09:19
fuente
0

Otro método, además de otras respuestas: ETag también se puede usar en navegadores compatibles y no necesita ningún complemento instalado, ni aparecerá ninguna pregunta al usuario. TOR Browser es el camino a seguir.

    
respondido por el Gabor Lengyel 28.10.2016 - 15:02
fuente

Lea otras preguntas en las etiquetas

OpenVPN Client Id aparece en los correos electrónicos Inicio de sesión del administrador de contraseñas con certificados comprometidos