TorでJavaScriptを無効にする理由
TorでJavaScriptを使用することが望ましくないのはなぜですか?それでもJavaScriptでは、外部のWebサイトを経由しない限り、ユーザーのIPアドレスを取得できません。 TorでJavaScriptを使用して自分のアイデンティティをどのように公開できますか?
どこでその情報を入手したかはわかりませんが、どこで入手した場合でも、 公式ドキュメント の方が信頼できます。
多くのWebサイトはJavaScriptを無効にすると機能しないため、TorブラウザーではデフォルトでJavaScriptを許可するようにNoScriptを構成します。
JavaScriptをデフォルトで無効にした後、いくつかのWebサイトがスクリプトを実行できるようにする場合(ほとんどの人がNoScriptを使用する方法)、ホワイトリストに登録されたWebサイトの選択は一種のCookieとして機能し、ユーザーを認識可能(かつ識別可能)にするため、匿名性が損なわれます。
しかし、 nlike FirefoxとChrome、Torブラウザーは実装されていません WebRTC これにより、ユーザーのローカルIPアドレスとパブリックIPアドレスを返すSTUNサーバーへのリクエストが可能になります。
JavaScriptを利用してTorユーザーを匿名化するために使用された既知の脆弱性がいくつかあります。
これが起こった最初の主要な事件は、FBIによる「自由ホスティング」の押収でした。 FBIはサーバーをオンラインに保ち、Firefoxのゼロデイエクスプロイトを悪用するjavascript paylodsをインストールしました。これにより、コンピューターは実際の匿名化されていないIPからFBIサーバーにコールバックし、さまざまなユーザーの匿名化につながりました。詳しくは Ars Technica。 をご覧ください。
一般に、JavaScriptを有効にすると、Webブラウザーに対する潜在的な多くの攻撃の表面領域が開かれます。国家支援エンティティ(FBIなど)のような深刻な敵の場合、彼らはゼロデイエクスプロイトにアクセスできます。これらのゼロデイのベクターが無効になっている場合(JavaScriptなど)、ゼロデイなどにアクセスできる場合でも、実行可能なエクスプロイトを見つけるのは困難です。
TorプロジェクトがTorブラウザでJavaScriptをデフォルトでオンにできる唯一の理由は、使いやすさです。多くのTorユーザーは技術に精通していないため、JavaScriptは最近のWebサイトでHTML5とともに一般的に使用されています。 JavaScriptを無効にすると、多くのWebサイトが使用できなくなるため、デフォルトで有効になっています。
ベストプラクティスとして、非常に説得力のある理由がない限り、TorブラウザーでJavaScriptを無効にし、すべてのサイトでNoScriptを有効にしておく必要があります。
これは「ブラウザのフィンガープリント」を停止することだと思います。 JavaScriptは、フォントがコンピューターにインストールされる順序、画面のサイズなど、多くの情報を取得できます。 - https://panopticlick.eff.org/ に良い例があります。
同じコンピューター上でTORをバイパスして別のサイトにアクセスすると、2つのサイトでメモを比較でき、おそらく同じ人物であることがわかります。
Panopticlickによると、85%の訪問者はその方法で一意に識別可能です。別のサイト https://Valve.github.io/fingerprintjs/ は、より深くDigに表示されます-インストールされたプラグインにより、「94%の精度」が得られます。
皮肉なことに、Cookieをブロックするなどの操作を行うユーザーはごく一部であるため、実際にブロックすると、独自性が高まり、これらの手法で識別しやすくなります。