Perché NoScript non è attivato per impostazione predefinita in Tor Browser?


14

Ho appena notato che l'estensione del browser NoScript non è attivata quando avvii Tor Browser per la prima volta. Questo potrebbe essere un rischio elevato per la sicurezza perché può ovviamente esporre l'indirizzo IP degli utenti e il governo può trovare l'informatore.


1
La domanda dovrebbe dire "Tor Browser" e non "Tor", credo ...
Kanchu,

Ho pensato di aggiungere un po 'di chiarimenti: non è "il governo" a trovare il fischietto; è un particolare dipartimento, agente o squadra di un governo che è stato incaricato dal suo supervisore e che obbedisce efficacemente ai comandi. Il governo non è così coerente come sembra alle persone al di fuori di esso - un'evidente assenza di democrazia se quelle persone sono cittadini.
can-ned_food

NoScript è abilitato per impostazione predefinita in Tor Browser, ma il blocco degli script è disabilitato.
user598527

Risposte:


33

Serve a prevenire un metodo di rilevamento delle impronte digitali dell'utente

Da: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Configuriamo NoScript per consentire JavaScript per impostazione predefinita in Tor Browser perché molti siti Web non funzioneranno con JavaScript disabilitato. La maggior parte degli utenti rinuncerebbe completamente a Tor se un sito Web che desidera utilizzare richieda JavaScript, poiché non saprebbe come consentire a un sito Web di utilizzare JavaScript (o che abilitare JavaScript potrebbe far funzionare un sito Web).

C'è un compromesso qui. Da un lato, dovremmo lasciare JavaScript abilitato per impostazione predefinita in modo che i siti Web funzionino come gli utenti si aspettano. D'altra parte, dovremmo disabilitare JavaScript per impostazione predefinita per proteggere meglio dalle vulnerabilità del browser (non solo una preoccupazione teorica!). Ma c'è un terzo problema: i siti Web possono facilmente determinare se hai autorizzato JavaScript per loro e se disabiliti JavaScript per impostazione predefinita ma consenti ad alcuni siti Web di eseguire script (il modo in cui la maggior parte delle persone usa NoScript), la tua scelta di siti Web autorizzati agisce come una sorta di cookie che ti rende riconoscibile (e distinguibile), danneggiando così il tuo anonimato.

In definitiva, vogliamo che i bundle Tor predefiniti utilizzino una combinazione di firewall (come le regole di iptables in Tails) e sandbox per rendere JavaScript non così spaventoso. A breve termine, TBB 3.0 consentirà agli utenti di scegliere più facilmente le proprie impostazioni JavaScript, ma il problema del partizionamento rimarrà.

Fino a quando non ci arriveremo, sentiti libero di attivare o disattivare JavaScript a seconda delle tue priorità di sicurezza, anonimato e usabilità.


19
Il browser Tor ha già molte impronte digitali per te. Così sta attraversando il traffico Tor. (Ricorda: Tor è progettato per far assomigliare gli utenti Tor, non per far sembrare gli utenti Tor come utenti non Tor.) Il testo citato parla dell'impronta digitale dell'utente (che in effetti è un problema) attraverso l'elenco dei siti Web per i quali il l'utente consente l'esecuzione di Javascript.
un CVn del

Sì, hai ragione, ho usato una terminologia sbagliata.
Ben M.

1
Ecco un'idea per contrastare l'impronta digitale dell'utente: avere sia la whitelist che la blacklist definite dall'utente, e tutto il resto viene bloccato casualmente il 50% delle volte ad ogni visita.
Dialecticus,

1
Questo non aiuta contro "una migliore protezione contro le vulnerabilità del browser".
Evengard,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.