Por que o NoScript não é ativado por padrão no Navegador Tor?

14

Acabei de notar que a extensão NoScript do navegador não está ativada quando você inicia o Navegador Tor pela primeira vez. Isso pode ser um alto risco de segurança, porque obviamente pode expor o endereço IP do usuário e o governo pode encontrar o denunciante.

tor Preto
fonte
1
A questão deveria dizer 'Tor Navegador' e não 'Tor' Eu acho ...
Kanchu
Pensei em acrescentar um pouco de esclarecimento: não é "o governo" que encontra o denunciante; é um departamento, agente ou equipe específico de um governo que foi encarregado por seu supervisor e que está efetivamente obedecendo aos comandos. O governo não é tão coerente quanto parece para as pessoas de fora - uma evidente ausência de democracia se essas pessoas forem cidadãos.
Can-ned_food 16/08/19
O NoScript está ativado por padrão no Navegador Tor, mas os scripts de bloqueio estão desativados.
user598527

Respostas:

33

É para evitar um método de impressão digital do usuário

De: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Nós configuramos o NoScript para permitir o JavaScript por padrão no Navegador Tor, porque muitos sites não funcionam com o JavaScript desativado. A maioria dos usuários desistiria inteiramente do Tor se um site que eles desejam usar requer JavaScript, porque eles não saberiam como permitir que um site use JavaScript (ou que a ativação do JavaScript possa fazer o site funcionar).

Há uma troca aqui. Por um lado, devemos deixar o JavaScript ativado por padrão para que os sites funcionem da maneira que os usuários esperam. Por outro lado, devemos desativar o JavaScript por padrão para proteger melhor contra as vulnerabilidades do navegador (não apenas uma preocupação teórica!). Mas há uma terceira questão: os sites podem determinar facilmente se você permitiu o JavaScript para eles e, se você desabilita o JavaScript por padrão, mas permite que alguns sites executem scripts (da maneira como a maioria das pessoas usa o NoScript), sua escolha de sites na lista de permissões age como um tipo de cookie que o torna reconhecível (e distinguível), prejudicando seu anonimato.

Por fim, queremos que os pacotes Tor padrão usem uma combinação de firewalls (como as regras do iptables no Tails) e caixas de areia para tornar o JavaScript não tão assustador. A curto prazo, o TBB 3.0 permitirá que os usuários escolham suas configurações de JavaScript com mais facilidade - mas a preocupação com a particionamento permanecerá.

Até chegarmos lá, fique à vontade para deixar o JavaScript ativado ou desativado, dependendo das suas prioridades de segurança, anonimato e usabilidade.

Ben M.
fonte
19
O navegador Tor já possui muitas impressões digitais para você. O tráfego também passa pelo Tor. (Lembre-se: o Tor foi projetado para fazer com que os usuários do Tor pareçam, e não para os usuários do Tor.) O texto citado fala sobre impressões digitais do usuário (o que realmente é uma preocupação) através da lista de sites para os quais o O usuário permite a execução de Javascript.
um CVn
Sim, você está correto, usei a terminologia errada.
Ben M.
1
Aqui está uma idéia para combater a impressão digital do usuário: tenha a lista de permissões e a lista negra definidas pelo usuário e todo o resto é bloqueado aleatoriamente 50% do tempo em todas as visitas.
Dialecticus
1
Isso não ajudará a "proteger melhor contra as vulnerabilidades do navegador".
Evengard 15/08/19