web-dev-qa-db-ja.com

TorからHTTPサイトにアクセスしても安全ですか?

私がどこかで読んだのは、TorでHTTPSリンクのみを開く必要があるということです。そうしないと、たとえばISPがアクセスしたWebページを読み取ることができるからです。

私は件名を検索しましたが、Torネットワーク自体が十分な組み込み暗号化を提供していることを他の場所で読みました。

では、これらのうちどれが本当ですか-Torで通常のhttpサイトを開いても安全ですか?

また、.onionリンクを終了しますか?

12
FISOCPP

いいえ、安全ではありません。しかし、あなたが読んだ推論は間違っています。

Torを使用する場合、Torネットワークとの間の接続は暗号化されるため、ISPは盗聴できません。ただし、Torを使用して通常のHTTP Webサイトにアクセスすると、出口ノードとターゲットWebサイト間の接続は暗号化されません。つまり、出口ノードは接続全体を盗聴および操作できるということです。出口ノード(およびそのISP)が信頼できるかどうかはわからないため、これは非常に危険です。

これは非表示のサービス(.onion Webサイト)には適用されません。その場合、暗号化はエンドツーエンドであり、別のHTTPSレイヤーは冗長です(HTTPSの1つの目的はサーバーの匿名化を解除することであるため、逆効果です)。

18
Philipp

場合によります。具体的には、アクセスするデータのタイプと脅威モデルによって異なります。

HTTPSはTorにどのような保護を提供しますか?

以下は、各ポイントで利用可能な情報での潜在的な敵の内訳です。 HTTPSは、接続の最後のステップ(Tor回路の出口ノードと宛先サーバーの間)でのみ保護を提供することに注意してください。

  • ホームネットワークとISP:Torはネットワーク内で強力な暗号化を提供します。ホームネットワークまたはISPの潜在的な敵は、Torを使用していることを確認できますが、訪問しているWebサイトは確認できません。
  • Torネットワーク:Torネットワーク内のトラフィックには、Tor回路の最後のノード(出口ノード)だけが見ることができるように、暗号化の複数のレイヤーがあります宛先に送信するトラフィック。
  • 出口ノード:この時点で、トラフィックはTorを出ます。 Torノード自体またはそのノードのISPによって監視できます。これは、トランザクションに含まれるデータ(パスワード、アクセスする特定のページなど)のスヌーピングを防ぐため、HTTPSが重要になる場所です。

上記を要約した優れた インタラクティブダイアグラム があります。この図では、TorとHTTPSの両方を有効にして、さまざまな敵からどの情報を隠すことができるかを確認できます。

常にHTTPSが必要ですか?

短い答えは次のとおりです。いいえ、可能であればそれを使用する必要があります。 HTTPSは、出口ノードと宛先サーバーの間で転送されるデータをさらに保護します。これは、送信またはアクセスしているデータと、そのデータを誰に見られないようにするかによって異なります。

たとえば、HTTPSなしでニュースWebサイトを読んでいる場合、Tor出口ノードとそのISPは、特定のニュースWebサイトの特定の記事を誰かが読んでいることを確認できます。しかし、彼らはあなたが誰であるかを知りません。 HTTPSで追加した場合、訪問者がアクセスしているニュースWebサイトの名前は表示されますが、アクセスしている特定のページは表示されません。

そのため、一部のWebサイトでHTTPSが使用できない場合でも、露出は制限されます。ただし、ユーザー名、パスワード、その他の識別情報などの情報を送信する場合は、必ずHTTPSを使用してください。

HTTPSは他の保護を提供しますか?

はい。対処する必要があるもう1つのポイントがあります。HTTPSは、悪意のあるページの変更に対する保護を提供します。

暗号化されていない接続を介してWebサイトに接続すると、出口ノード、出口ノードのISP、または通過中のトラフィックを変更するために必要なアクセス権を持つ一部の政府機関が可能になります。これにより、広告やブラウザのエクスプロイトを含む他のコンテンツをページに挿入できるようになります。また、ページ自体のコンテンツを変更することもできます(植物の偽のニュース記事など)。

HTTPSを使用すると、接続で中間者攻撃を実行する必要があるため、この攻撃はさらに困難になります。また、これらのタイプの攻撃が実行されると、それらに気づく可能性がはるかに高くなります。

隠しサービス(タマネギのウェブサイト)はどうですか?

これらのサービスへのトラフィックはTorによって自動的に暗号化されます。実際、サービス自体の名前(.onionアドレス)は、暗号化された接続を確立する上で重要な役割を果たします。

ただし、一部の隠しサービスはHTTPSを使用します。 Facebookはその一例です。 SSL証明書を使用して、詐欺師のWebサイトではなく、正当なFacebookサーバーに接続している証拠を提供します。

追加の保護機能はありますか?

インストールできるブラウザアドオンがいくつかあります。

Torブラウザバンドルには、すでに次のものが含まれています。

  • HTTPS Everywhere 宛先Webサイトが暗号化をサポートすることがわかっているWebサイトのリストにある場合、HTTPSを自動的に有効にします。
  • NoScript を使用すると、JavaScriptを無効にできます。これにより、注入されたJavaScriptに対する追加の保護を提供できます。

他にも、上級ユーザーが有効にしたい選択肢がいくつかあります。ただし、これらをTorブラウザーバンドルに追加すると、他のTorユーザーと比べてよりユニークになる可能性があるため、何をしているのかがわかっている場合にのみ、これらをインストールしてください。

  • リクエストポリシー iframeやその他のリモートコンテンツを接続に挿入する攻撃に対する追加の保護を提供します。

最後の防衛線は人間の警戒です。疑わしいものには注意してください。どんな危険が影に潜んでいるかは分からない。

11

Tor出口ノードの誰でもHTTPトラフィックを読み取ることができるため、まだHTTPSが必要です。

例えば。 Torは保護を提供するため、ISPはトラフィックを読み取ることが困難になりますが、エンドツーエンドの暗号化ではありません。誰が/どこに出口があるのか​​、誰が出口を制御しているのかわからない場合でも、暗号化されていないトラフィックを傍受する機能は引き続き存在します

明確にするために添付の図を参照してください: http://www.flickr.com/photos/albill/1263976173/

How Tor Works: 2

6
Joe