web-dev-qa-db-ja.com

TorScriptでNoScriptがデフォルトでアクティブにならないのはなぜですか?

初めてTorブラウザーを起動したときに、ブラウザー拡張機能 NoScript がアクティブ化されていないことに気づきました。これは明らかにユーザーのIPアドレスを公開し、政府が内部告発者を見つけることができるため、高いセキュリティリスクになる可能性があります。

14
Black

ユーザーのフィンガープリントの1つの方法を防ぐことです

差出人: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

多くのWebサイトはJavaScriptを無効にして動作しないため、TorブラウザーではデフォルトでJavaScriptを許可するようにNoScriptを構成します。ほとんどのユーザーは、使用したいWebサイトがJavaScriptを必要とする場合、完全にTorをあきらめます。これは、WebサイトがJavaScriptを使用できるようにする方法がわからない(またはJavaScriptを有効にするとWebサイトが機能する可能性がある)ためです。

ここにはトレードオフがあります。一方では、Webサイトがユーザーの期待どおりに機能するように、JavaScriptをデフォルトで有効にしておく必要があります。一方、ブラウザーの脆弱性から保護するために、JavaScriptをデフォルトで無効にする必要があります(単なる理論上の懸念ではありません!)。しかし、3つ目の問題があります。Webサイトは、JavaScriptを許可しているかどうかを簡単に判断できます。デフォルトでJavaScriptを無効にして、いくつかのWebサイトでスクリプトの実行を許可すると(ほとんどの人がNoScriptを使用する方法)、ホワイトリストに登録されたWebサイトの選択が機能します一種のクッキーとしてあなたを認識可能に(そして区別可能に)して、あなたの匿名性を傷つけます。

最終的には、デフォルトのTorバンドルがファイアウォール(Tailsのiptablesルールのような)とサンドボックスの組み合わせを使用して、JavaScriptをそれほど怖くないようにする必要があります。短期的には、TBB 3.0では、ユーザーがJavaScript設定をより簡単に選択できるようになると期待されますが、パーティション化の問題は残ります。

そこにたどり着くまでは、セキュリティ、匿名性、使いやすさの優先順位に応じて、JavaScriptをオンまたはオフのままにしておいてください。

33
Ben M.