Mengapa NoScript tidak diaktifkan secara default di Tor Browser?

14

Saya hanya memperhatikan bahwa ekstensi browser NoScript tidak diaktifkan ketika Anda memulai Tor Browser untuk pertama kalinya. Ini bisa menjadi risiko keamanan yang tinggi karena jelas dapat mengekspos alamat IP pengguna dan pemerintah dapat menemukan pelapor.

Hitam
sumber
1
Pertanyaannya seharusnya mengatakan 'Tor Browser' dan bukan 'Tor' saya pikir ...
Kanchu
Pikir saya akan menambahkan sedikit klarifikasi: Itu bukan "pemerintah" yang menemukan whistle-blower; itu adalah departemen, agen, atau tim tertentu dalam pemerintahan yang telah ditugaskan oleh penyelianya dan yang secara efektif mematuhi perintah. Pemerintah tidak begitu koheren seperti yang terlihat oleh orang-orang di luarnya - jelas tidak adanya demokrasi jika orang-orang itu adalah warga negara.
can-ned_food
NoScript diaktifkan secara default di Tor Browser, tetapi skrip pemblokiran dinonaktifkan.
user598527

Jawaban:

33

Ini untuk mencegah satu metode sidik jari pengguna

Dari: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Kami mengonfigurasi NoScript untuk memungkinkan JavaScript secara default di Tor Browser karena banyak situs web tidak akan berfungsi dengan JavaScript dinonaktifkan. Sebagian besar pengguna akan menyerah sepenuhnya pada Tor jika situs web yang ingin mereka gunakan membutuhkan JavaScript, karena mereka tidak akan tahu cara mengizinkan situs web untuk menggunakan JavaScript (atau bahwa mengaktifkan JavaScript dapat membuat situs web berfungsi).

Ada kompromi di sini. Di satu sisi, kita harus membiarkan JavaScript diaktifkan secara default sehingga situs web berfungsi seperti yang diharapkan pengguna. Di sisi lain, kita harus menonaktifkan JavaScript secara default untuk melindungi dengan lebih baik terhadap kerentanan browser (bukan hanya masalah teoretis!). Tapi ada masalah ketiga: situs web dapat dengan mudah menentukan apakah Anda telah mengizinkan JavaScript untuk mereka, dan jika Anda menonaktifkan JavaScript secara default, tetapi kemudian mengizinkan beberapa situs web untuk menjalankan skrip (cara kebanyakan orang menggunakan NoScript), maka pilihan situs web yang masuk daftar putih bertindak sebagai semacam cookie yang membuat Anda dikenali (dan dapat dibedakan), sehingga membahayakan anonimitas Anda.

Pada akhirnya, kami ingin bundel Tor default menggunakan kombinasi firewall (seperti aturan iptables di Tails) dan kotak pasir untuk membuat JavaScript tidak terlalu menakutkan. Dalam jangka waktu yang lebih pendek, TBB 3.0 diharapkan akan memungkinkan pengguna untuk memilih pengaturan JavaScript mereka dengan lebih mudah - tetapi masalah partisi tetap ada.

Sampai kami tiba di sana, jangan ragu untuk mengaktifkan atau menonaktifkan JavaScript tergantung pada keamanan Anda, anonimitas, dan prioritas kegunaan.

Ben M.
sumber
19
Peramban Tor sudah banyak sidik jari untuk Anda. Begitu juga lalu lintas melalui Tor. (Ingat: Tor dirancang untuk membuat pengguna Tor terlihat sama, bukan membuat pengguna Tor terlihat seperti pengguna non-Tor.) Teks yang dikutip berbicara tentang sidik jari pengguna (yang memang merupakan masalah) melalui daftar situs web tempat pengguna memungkinkan eksekusi Javascript.
CVn
Ya, Anda benar, saya menggunakan terminologi yang salah.
Ben M.
1
Berikut adalah ide untuk melawan sidik jari pengguna: buat daftar putih dan daftar hitam yang ditentukan pengguna, dan yang lainnya diblokir secara acak 50% dari waktu setiap kunjungan.
Dialecticus
1
Ini tidak akan membantu melawan "perlindungan yang lebih baik terhadap kerentanan browser".
Evengard