¿Por qué deshabilitar JavaScript en Tor? [duplicar]

10

¿Por qué no es recomendable usar JavaScript con Tor? Sin embargo, con JavaScript, no puede obtener la dirección IP del usuario, excepto a través de un sitio web externo. ¿Cómo podría el uso de JavaScript con Tor exponer la identidad de uno?

    
pregunta spyker10 27.07.2015 - 13:01
fuente

3 respuestas

16

No sé de dónde sacó esa información, pero dondequiera que la obtuvo, la documentación oficial es más confiable:

  

Configuramos NoScript para permitir JavaScript por defecto en el navegador Tor   Porque muchos sitios web no funcionan con JavaScript deshabilitado.

     

Si deshabilita JavaScript de forma predeterminada pero luego permite que algunos sitios web   ejecutar scripts (la forma en que la mayoría de la gente usa NoScript), entonces su elección de   Los sitios web incluidos en la lista blanca actúan como una especie de cookie que lo hace   reconocible (y distinguible), lo que perjudica su anonimato.

Pero a diferencia Firefox y Chrome, el navegador Tor no ha implementado WebRTC que permite realizar solicitudes a servidores STUN que devolverán las direcciones IP locales y públicas para el usuario.

    
respondido por el user45139 27.07.2015 - 13:18
fuente
3

Hay una serie de vulnerabilidades conocidas, que se han utilizado, para deseanonizar a los usuarios de Tor mediante el uso de JavaScript.

El primer incidente importante en el que ocurrió esto fue con la incautación "Freedom Hosting" por parte del FBI. El FBI mantuvo los servidores en línea y luego instaló paquetes de pago javascript que explotaron un exploit de día cero en Firefox. Esto provocó que las computadoras volvieran a llamar a un servidor del FBI desde su IP real no anonimizada, lo que llevó a la deseanonización de varios usuarios. Puede leer más sobre esto en Ars Technica.

En general, habilitar JavaScript abre el área de superficie para muchos más ataques potenciales contra un navegador web. En el caso de un adversario serio como una entidad respaldada por el estado (por ejemplo, el FBI), tienen acceso a ataques de día cero. Si los vectores para estos días cero están deshabilitados (por ejemplo, JavaScript), puede ser difícil encontrar un exploit viable incluso si tienen acceso a cero días, etc.

La única razón por la que el proyecto Tor permite que JavaScript esté activado de forma predeterminada en el navegador Tor es la facilidad de uso. Muchos usuarios de Tor no son expertos en tecnología, y JavaScript se usa comúnmente con HTML5 en los sitios web modernos. La desactivación de JavaScript hace que muchos sitios web sean inutilizables, por lo que está habilitado de forma predeterminada.

Como práctica recomendada, uno debería deshabilitar JavaScript en el navegador Tor y mantener NoScript habilitado en todos los sitios, a menos que tenga una razón muy convincente para no hacerlo.

    
respondido por el Herringbone Cat 27.07.2015 - 22:37
fuente
1

Creo que esto es para detener "huellas digitales del navegador". Javascript puede obtener mucha información, como el orden en que se instalan las fuentes en una computadora, el tamaño de la pantalla, etc .; - hay un buen ejemplo en enlace .

Si va a otro sitio sin pasar por TOR, en la misma computadora, entonces los dos sitios podrán comparar notas y darse cuenta de que probablemente sea la misma persona.

Panopticlick dice que el 85% de los visitantes son identificables de forma única, por su método. Otro sitio, enlace , parece profundizar en los complementos instalados, dándole "94% de precisión".

Irónicamente, dado que solo una pequeña proporción de usuarios hace cosas como bloquear cookies, etc., hacerlo INCREMENTARÁ su singularidad y le permitirá identificarse más fácilmente con estas técnicas.

    
respondido por el AMADANON Inc. 27.07.2015 - 22:26
fuente

Lea otras preguntas en las etiquetas