Tại sao NoScript không được kích hoạt theo mặc định trong Tor Browser?


14

Tôi chỉ nhận thấy rằng phần mở rộng trình duyệt NoScript không được kích hoạt khi bạn khởi động Trình duyệt Tor lần đầu tiên. Đây có thể là một rủi ro bảo mật cao vì rõ ràng nó có thể làm lộ địa chỉ IP của người dùng và chính phủ có thể tìm thấy người tố giác.


1
Câu hỏi nên nói 'Tor Browser' chứ không phải 'Tor' Tôi nghĩ ...
Kanchu

Nghĩ rằng tôi sẽ thêm một chút làm rõ: Đó không phải là Chính phủ mà tìm thấy người thổi còi; đó là một bộ phận, đại lý hoặc nhóm cụ thể trong một chính phủ được người giám sát của nó giao nhiệm vụ và đang tuân thủ các mệnh lệnh một cách hiệu quả. Chính phủ không mạch lạc như vậy khi nó xuất hiện với những người ở bên ngoài nó - một sự vắng mặt rõ ràng của nền dân chủ nếu những người đó là công dân.
can-ned_food

NoScript được bật theo mặc định trong Tor Browser, nhưng việc chặn các tập lệnh bị vô hiệu hóa.
dùng598527

Câu trả lời:


33

Đó là để ngăn chặn một phương pháp lấy dấu vân tay của người dùng

Từ: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnables

Chúng tôi định cấu hình NoScript để cho phép JavaScript theo mặc định trong Tor Browser vì nhiều trang web sẽ không hoạt động với JavaScript bị tắt. Hầu hết người dùng sẽ từ bỏ hoàn toàn Tor nếu một trang web họ muốn sử dụng yêu cầu JavaScript, vì họ không biết cách cho phép trang web sử dụng JavaScript (hoặc cho phép JavaScript có thể khiến trang web hoạt động).

Có một sự đánh đổi ở đây. Một mặt, chúng ta nên để JavaScript được bật theo mặc định để các trang web hoạt động theo cách người dùng mong đợi. Mặt khác, chúng ta nên tắt JavaScript theo mặc định để bảo vệ tốt hơn trước các lỗ hổng của trình duyệt (không chỉ là mối quan tâm về mặt lý thuyết!). Nhưng có một vấn đề thứ ba: các trang web có thể dễ dàng xác định xem bạn có cho phép JavaScript cho họ hay không và nếu bạn tắt JavaScript theo mặc định nhưng sau đó cho phép một vài trang web chạy tập lệnh (cách mà hầu hết mọi người sử dụng NoScript), thì việc bạn chọn các trang web được liệt kê trong danh sách trắng như một loại cookie giúp bạn nhận biết (và có thể phân biệt), do đó gây hại cho tính ẩn danh của bạn.

Cuối cùng, chúng tôi muốn các gói Tor mặc định sử dụng kết hợp tường lửa (như quy tắc iptables trong Tails) và hộp cát để làm cho JavaScript không quá đáng sợ. Trong ngắn hạn, TBB 3.0 hy vọng sẽ cho phép người dùng chọn cài đặt JavaScript dễ dàng hơn - nhưng mối quan tâm phân vùng sẽ vẫn còn.

Cho đến khi chúng tôi đến đó, vui lòng bật hoặc tắt JavaScript tùy thuộc vào các ưu tiên bảo mật, ẩn danh và khả năng sử dụng của bạn.


19
Trình duyệt Tor đã có nhiều dấu vân tay cho bạn. Giao thông đi qua Tor cũng vậy. (Hãy nhớ rằng:. Tor được thiết kế để làm cho người dùng Tor trông giống nhau, không làm cho người dùng Tor trông giống như người dùng không Tor) Các cuộc đàm phán trích dẫn văn bản về OS fingerprinting của người sử dụng (mà thực sự là một mối quan tâm) thông qua danh sách các trang web mà người dùng cho phép thực thi Javascript.
một CVn

Vâng, bạn đã đúng, tôi đã sử dụng thuật ngữ sai.
Ben M.

1
Đây là một ý tưởng để chống lại dấu vân tay của người dùng: có cả danh sách trắng và danh sách đen do người dùng xác định và mọi thứ khác đều bị chặn ngẫu nhiên 50% thời gian cho mỗi lần truy cập.
Dialecticus

1
Điều này sẽ không giúp chống lại "bảo vệ tốt hơn chống lại các lỗ hổng trình duyệt".
Evengard
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.