Почему NoScript не активирован по умолчанию в Tor Browser?

14

Я только что заметил, что расширение браузера NoScript не активируется при первом запуске Tor Browser. Это может быть высоким риском для безопасности, поскольку, очевидно, может раскрыть IP-адрес пользователя, а правительство может найти информатора.

черный
источник
1
Вопрос должен
Kanchu
Думаю, я бы добавил немного уточнения: не «правительство» находит информатора; это конкретный отдел, агент или команда в правительстве, перед которым стоит его руководитель и который фактически подчиняется командам. Правительство не настолько последовательное, как кажется людям за его пределами - явное отсутствие демократии, если эти люди оказываются гражданами.
can-ned_food
NoScript по умолчанию включен в Tor Browser, но сценарии блокировки отключены.
user598527

Ответы:

33

Это предотвратить один метод дактилоскопии пользователя

От: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Мы настроили NoScript для разрешения JavaScript по умолчанию в Tor Browser, потому что многие веб-сайты не будут работать с отключенным JavaScript. Большинство пользователей полностью отказались бы от Tor, если бы веб-сайт, который они хотят использовать, требовал JavaScript, потому что они не знали бы, как разрешить веб-сайту использовать JavaScript (или что включение JavaScript может заставить веб-сайт работать).

Здесь есть компромисс. С одной стороны, мы должны оставить JavaScript включенным по умолчанию, чтобы веб-сайты работали так, как ожидают пользователи. С другой стороны, мы должны отключить JavaScript по умолчанию, чтобы лучше защитить от уязвимостей браузера (не только теоретическая проблема!). Но есть и третья проблема: веб-сайты могут легко определить, разрешен ли для них JavaScript, и если вы отключите JavaScript по умолчанию, но затем разрешите нескольким веб-сайтам запускать сценарии (как большинство людей используют NoScript), тогда ваш выбор веб-сайтов в белом списке действует как своего рода печенье, которое делает вас узнаваемым (и различимым), тем самым нанося ущерб вашей анонимности.

В конечном счете, мы хотим, чтобы стандартные пакеты Tor использовали комбинацию брандмауэров (например, правил iptables в Tails) и песочниц, чтобы JavaScript не был столь страшным. В краткосрочной перспективе TBB 3.0, надеюсь, позволит пользователям легче выбирать свои настройки JavaScript, но проблема с разделением сохранится.

Пока мы этого не сделаем, не стесняйтесь оставлять или отключать JavaScript в зависимости от вашей безопасности, анонимности и приоритетов удобства использования.

Бен М.
источник
19
Браузер Tor уже достаточно отпечатков пальцев для вас. Так что трафик проходит через Tor. (Помните: Tor предназначен для того, чтобы пользователи Tor выглядели одинаково, а не для того, чтобы пользователи Tor выглядели как пользователи, не относящиеся к Tor.) В цитируемом тексте говорится о снятии отпечатков пальцев пользователя (что действительно является проблемой) через список веб-сайтов, для которых Пользователь разрешает выполнение Javascript.
CVn
Да, вы правы, я использовал неправильную терминологию.
Бен М.
1
Вот идея противодействия отпечаткам пальцев пользователей: имейте пользовательский белый и черный списки, а все остальное блокируется случайным образом в 50% случаев при каждом посещении.
Диалектик
1
Это не поможет против «лучшей защиты от уязвимостей браузера».
Evengard