¿Es seguro acceder a los sitios HTTP desde Tor?

No, no es seguro. Pero el razonamiento de su lectura es incorrecto.

Cuando usa TOR, la conexión entre usted y la red de TOR está encriptada, por lo que su ISP no puede escuchar a escondidas. Pero cuando accede a un sitio web http normal con TOR, la conexión entre el nodo de salida y el sitio web de destino no está encriptada. Eso significa que el nodo de salida puede espiar y manipular toda la conexión. No sabe si el nodo de salida (y su ISP) es confiable, por lo que esto puede ser muy peligroso.

Esto no se aplica a los servicios ocultos (sitios web .onion). En ese caso, el cifrado es de extremo a extremo y otra capa https es redundante (y contraproducente porque uno de los propósitos de https es desanonizar el servidor).

Depende. Específicamente, depende del tipo de datos a los que está accediendo y de su modelo de amenaza.

¿Qué protección proporciona HTTPS con Tor?

Aquí hay un desglose de algunos adversarios potenciales en la información disponible para ellos en cada punto. Notará que HTTPS solo proporciona protección en el paso final de la conexión (entre el nodo de salida del circuito Tor y el servidor de destino):

• Su red doméstica e ISP: Tor proporciona un cifrado sólido dentro de la red. Los adversarios potenciales en su red doméstica o en su ISP pueden ver que está utilizando Tor, pero no pueden ver los sitios web que está visitando.
• La red Tor: el tráfico dentro de la red Tor tiene múltiples capas de cifrado, de modo que solo el último nodo (el nodo de salida) en su circuito Tor puede ver el tráfico que envía al destino.
• El nodo de salida: En este punto, el tráfico sale de Tor; puede ser monitoreado por el nodo Tor o por el ISP de ese nodo. Aquí es donde el HTTPS se vuelve importante, ya que evitará la indagación en los datos contenidos en su transacción (contraseñas, las páginas específicas que visita, etc.).

Hay un excelente diagrama interactivo que resume lo anterior. El diagrama le permite habilitar tanto Tor como HTTPS para ver qué información se puede ocultar de diferentes adversarios.

¿Necesito siempre HTTPS?

La respuesta corta es: no, pero debes usarla si es posible. HTTPS proporciona protección adicional para los datos transferidos entre el nodo de salida y el servidor de destino. Depende de los datos a los que está enviando o accediendo y de quién desea evitar que los vea.

Por ejemplo, si está leyendo un sitio web de noticias sin HTTPS, es posible que el nodo de salida Tor y su ISP vean que alguien está leyendo un artículo específico en un sitio web de noticias específico. Sin embargo, ellos no sabrán quién eres. Si agrega HTTPS, pueden ver el nombre del sitio web de noticias que está visitando, pero no la página específica que está visitando.

Por lo tanto, si HTTPS no está disponible en algunos sitios web, la exposición aún es limitada. Pero, si desea enviar información como nombres de usuario, contraseñas u otra información de identificación, asegúrese de usar HTTPS.

¿HTTPS proporciona otra protección?

Sí. Hay un punto más que debe abordarse: HTTPS proporciona protección contra la modificación maliciosa de páginas.

Cuando se conecta a un sitio web a través de una conexión no cifrada, es posible que el nodo de salida, el ISP del nodo de salida o algunas agencias gubernamentales con el acceso necesario modifiquen el tráfico en tránsito. Esto podría permitirles inyectar otro contenido en la página, incluida la publicidad o las vulnerabilidades del navegador. También podrían cambiar el contenido de la página en sí misma (crear noticias falsas, etc.).

El uso de HTTPS hace que este ataque sea mucho más difícil, ya que requiere realizar un hombre en el ataque central en tu conexión. Además, cuando se realizan estos tipos de ataques, es mucho más probable que se noten.

¿Qué pasa con los servicios ocultos (sitios web de cebolla)?

El tráfico a estos servicios se cifra automáticamente por Tor. De hecho, el nombre del servicio en sí (la dirección .onion) cumple una función importante en el establecimiento de la conexión cifrada.

Sin embargo, algunos servicios ocultos utilizan HTTPS. Facebook es un ejemplo de esto. Utilizan el certificado SSL para proporcionar evidencia de que se está conectando a servidores de Facebook legítimos, no a un sitio web impostor.

¿Hay protección adicional disponible?

Hay algunos complementos de navegador que se pueden instalar.

El paquete del navegador Tor ya incluye:

• HTTPS Everywhere activa HTTPS cuando el sitio web de destino se encuentra en una lista de sitios web que se sabe que admiten el cifrado.
• NoScript le permite deshabilitar JavaScript, que puede proporcionar protección adicional contra JavaScript inyectado.

Hay otras opciones que un usuario avanzado podría querer habilitar también. Sin embargo, agregarlos al Tor Browser Bundle puede hacerte más único en comparación con otros usuarios de Tor, así que solo instálalos si sabes lo que estás haciendo:

• Request Policy brinda protección adicional contra ataques que insertan iframes u otro contenido remoto en su conexión.

La última línea de defensa es la vigilancia humana. Se atento a cualquier cosa sospechosa. Nunca se sabe qué peligros pueden estar al acecho en las sombras.

Aún necesita HTTPS ya que cualquier persona en los nodos de salida de TOR puede leer su tráfico HTTP.

Por ejemplo, TOR brinda protección para que su ISP tenga dificultades para leer su tráfico, pero no es un cifrado completo. No puede estar seguro de quién / dónde está su salida o quién la controla, y aún así tendrían la capacidad de interceptar su tráfico no cifrado.

Consulte el diagrama adjunto para aclarar: enlace