私がどこかで読んだのは、TorでHTTPSリンクのみを開く必要があるということです。そうしないと、たとえばISPがアクセスしたWebページを読み取ることができるからです。
私は件名を検索しましたが、Torネットワーク自体が十分な組み込み暗号化を提供していることを他の場所で読みました。
では、これらのうちどれが本当ですか-Torで通常のhttp
サイトを開いても安全ですか?
また、.onion
リンクを終了しますか?
いいえ、安全ではありません。しかし、あなたが読んだ推論は間違っています。
Torを使用する場合、Torネットワークとの間の接続は暗号化されるため、ISPは盗聴できません。ただし、Torを使用して通常のHTTP Webサイトにアクセスすると、出口ノードとターゲットWebサイト間の接続は暗号化されません。つまり、出口ノードは接続全体を盗聴および操作できるということです。出口ノード(およびそのISP)が信頼できるかどうかはわからないため、これは非常に危険です。
これは非表示のサービス(.onion Webサイト)には適用されません。その場合、暗号化はエンドツーエンドであり、別のHTTPSレイヤーは冗長です(HTTPSの1つの目的はサーバーの匿名化を解除することであるため、逆効果です)。
場合によります。具体的には、アクセスするデータのタイプと脅威モデルによって異なります。
以下は、各ポイントで利用可能な情報での潜在的な敵の内訳です。 HTTPSは、接続の最後のステップ(Tor回路の出口ノードと宛先サーバーの間)でのみ保護を提供することに注意してください。
上記を要約した優れた インタラクティブダイアグラム があります。この図では、TorとHTTPSの両方を有効にして、さまざまな敵からどの情報を隠すことができるかを確認できます。
短い答えは次のとおりです。いいえ、可能であればそれを使用する必要があります。 HTTPSは、出口ノードと宛先サーバーの間で転送されるデータをさらに保護します。これは、送信またはアクセスしているデータと、そのデータを誰に見られないようにするかによって異なります。
たとえば、HTTPSなしでニュースWebサイトを読んでいる場合、Tor出口ノードとそのISPは、特定のニュースWebサイトの特定の記事を誰かが読んでいることを確認できます。しかし、彼らはあなたが誰であるかを知りません。 HTTPSで追加した場合、訪問者がアクセスしているニュースWebサイトの名前は表示されますが、アクセスしている特定のページは表示されません。
そのため、一部のWebサイトでHTTPSが使用できない場合でも、露出は制限されます。ただし、ユーザー名、パスワード、その他の識別情報などの情報を送信する場合は、必ずHTTPSを使用してください。
はい。対処する必要があるもう1つのポイントがあります。HTTPSは、悪意のあるページの変更に対する保護を提供します。
暗号化されていない接続を介してWebサイトに接続すると、出口ノード、出口ノードのISP、または通過中のトラフィックを変更するために必要なアクセス権を持つ一部の政府機関が可能になります。これにより、広告やブラウザのエクスプロイトを含む他のコンテンツをページに挿入できるようになります。また、ページ自体のコンテンツを変更することもできます(植物の偽のニュース記事など)。
HTTPSを使用すると、接続で中間者攻撃を実行する必要があるため、この攻撃はさらに困難になります。また、これらのタイプの攻撃が実行されると、それらに気づく可能性がはるかに高くなります。
これらのサービスへのトラフィックはTorによって自動的に暗号化されます。実際、サービス自体の名前(.onionアドレス)は、暗号化された接続を確立する上で重要な役割を果たします。
ただし、一部の隠しサービスはHTTPSを使用します。 Facebookはその一例です。 SSL証明書を使用して、詐欺師のWebサイトではなく、正当なFacebookサーバーに接続している証拠を提供します。
インストールできるブラウザアドオンがいくつかあります。
Torブラウザバンドルには、すでに次のものが含まれています。
他にも、上級ユーザーが有効にしたい選択肢がいくつかあります。ただし、これらをTorブラウザーバンドルに追加すると、他のTorユーザーと比べてよりユニークになる可能性があるため、何をしているのかがわかっている場合にのみ、これらをインストールしてください。
最後の防衛線は人間の警戒です。疑わしいものには注意してください。どんな危険が影に潜んでいるかは分からない。
Tor出口ノードの誰でもHTTPトラフィックを読み取ることができるため、まだHTTPSが必要です。
例えば。 Torは保護を提供するため、ISPはトラフィックを読み取ることが困難になりますが、エンドツーエンドの暗号化ではありません。誰が/どこに出口があるのか、誰が出口を制御しているのかわからない場合でも、暗号化されていないトラフィックを傍受する機能は引き続き存在します
明確にするために添付の図を参照してください: http://www.flickr.com/photos/albill/1263976173/