Tor真的匿名和安全?

闭路电视摄像头

有些人认为Tor是一个完全匿名的,私密的,安全的方式来访问互联网,没有任何人能够监视你的浏览和追溯到你 - 是吗? 这不是那么简单。

Tor并不是完美的匿名和隐私解决方案。 它有几个重要的限制和风险,你应该知道,如果你要使用它。

出口节点可能被嗅探

请阅读我们关于Tor如何工作的讨论,以更详细地了解Tor如何提供其匿名性。 总之,当你使用Tor时,你的互联网流量通过Tor的网络被路由,并且在离开Tor网络之前通过几个随机选择的中继。 Tor的设计使得理论上不可能知道哪台计算机实际上请求了流量。 您的计算机可能已经启动了连接,或者它可能只是作为中继,将加密流量转发到另一个Tor节点。

然而,大部分的Tor交通必须最终从Tor网络出现。 例如,假设您通过Tor连接到Google - 您的流量通过了几个Tor中继,但最终必须从Tor网络出现并连接到Google的服务器。 最后一个Tor节点,你的流量离开Tor网络,进入开放的互联网,可以被监控。 流量离开Tor网络的这个节点被称为“出口节点”或“出口中继”。

在下图中,红色箭头表示出口节点与Internet上计算机“Bob”之间的未加密流量。

如果您正在访问加密的(HTTPS)网站(例如您的Gmail帐户),则可以,尽管出口节点可以看到您正在连接到Gmail。 如果您访问的是未加密的网站,则退出节点可能会监控您的Internet活动,跟踪您访问的网页,搜索您执行的操作以及发送的消息。

人们必须同意运行出口节点,因为运行出口节点使其处于比运行通过流量的中继节点更为合法的风险。 政府很可能会运行一些出口节点,并监视留下的流量,利用他们学习调查罪犯的情况,或者在压制性国家惩罚政治活动分子。

这不仅仅是一个理论上的风险。 2007年,一名安全研究人员通过运行一个Tor出口节点截获了一百个电子邮件账户的密码和电子邮件 有问题的用户在他们的电子邮件系统上犯了一个错误,认为Tor会以某种方式保护他们的内部加密。 但是这不是Tor的工作原理。

课程 :在使用Tor时,请务必使用加密(HTTPS)网站以获取任何敏感内容。 请记住,您的流量可能会受到监控 - 不仅是政府,还有恶意的人在寻找私人数据。

JavaScript,插件和其他应用程序可能会泄漏您的IP

我们在介绍如何使用Tor的时候,Tor浏览器包已经预先配置了安全设置。 JavaScript被禁用,插件无法运行,并且如果您尝试下载文件并在另一个应用程序上打开它,浏览器将会发出警告。

JavaScript通常不是一个安全风险 ,但是如果你想隐藏你的IP,你不想使用JavaScript。 您的浏览器的JavaScript引擎,Adobe Flash等插件以及Adobe Reader等外部应用程序甚至视频播放器都可能会将您的真实IP地址“泄漏”到试图获取它的网站。

Tor浏览器软件包通过其默认设置避免了所有这些问题,但是您可能会禁用这些保护,并在Tor浏览器中使用JavaScript或插件。 如果你认真对待匿名,那么不要这样做 - 如果你不是认真的匿名,你不应该首先使用Tor。

这不仅仅是一个理论上的风险。 2011年,一组研究人员通过Tor获得了使用BitTorrent客户的10,000人的IP地址 像许多其他类型的应用程序,BitTorrent客户端是不安全的,并能够暴露您的真实IP地址。

课程 :保留Tor浏览器的安全设置。 不要尝试在另一个浏览器上使用Tor - 坚持使用Tor浏览器软件包,该软件包已经预先配置了理想的设置。 Tor网络不应该使用其他应用程序。

tor-browser-external-content-warning

运行退出节点使您处于风险之中

如果你是在线匿名的信徒,你可能会被激励通过运行Tor中继来捐献你的带宽。 这不应该是一个合法的问题 - Tor中继只是在Tor网络内传递加密的流量。 Tor通过由志愿者运行的中继来实现匿名。

然而,在运行一个退出中继之前,你应该三思而后行,这是一个Tor流量从匿名网络出来并连接到开放互联网的地方。 如果犯罪分子将Tor用于非法事物,并且流量从您的出口中继出来,那么这个流量将会追溯到您的IP地址,您可能会被碰撞,并且您的计算机设备被没收。 奥地利一名男子被突击搜查,并被指控为儿童色情作品分发一个Tor出口节点。 运行Tor出口节点允许其他人做坏事,可以追溯到你,就像操作一个开放的Wi-Fi网络一样 - 但实际上让你陷入困境的可能性要大得多。 然而,后果不一定是刑事处罚。 根据美国的版权警示系统,您可能会面临下载版权内容或诉讼的诉讼。

运行Tor出口节点所涉及的风险实际上是回到了第一点。 由于运行Tor出口节点是如此危险,很少有人这样做。 然而,政府可以逃脱出口节点 - 很可能有很多。

教训 :切勿运行Tor出口节点。

如果你真的想要,Tor项目建议运行一个出口节点 他们的建议包括在商业设施的专用IP地址上运行出口节点,并使用Tor友好的ISP。 不要在家里试试这个! (大多数人甚至不应该在工作中尝试。)


Tor不是一个魔术解决方案,可以让你匿名。 它通过将加密流量巧妙地传递到网络来实现匿名,但流量必须在某处出现 - 这对于Tor的用户和出口节点运营商来说都是个问题。 另外,在我们的计算机上运行的软件不是为了隐藏我们的IP地址而设计的,这样做除了在Tor浏览器中查看普通的HTML页面之外,还有其他的风险。

图片来源: Flickr的Michael Whitney,Flickr的 Andy RobertsThe Tor Project,Inc.

是Tor真的匿名和安全吗?

cctv摄像头

有些人认为Tor是一个完全匿名,私密和安全的方式访问互联网,没有任何人能够监控您的浏览,并追溯到你 - 但是吗? 这不是那么简单。

Tor不是完美的匿名和隐私解决方案。 它有几个重要的限制和风险,你应该知道如果你要使用它。

退出节点可以被嗅探

请阅读我们的Tor是如何工作的讨论在托尔如何提供它的匿名性更详细的研究。 总之,当你使用Tor,你的Internet流量路由通过Tor的网络,并通过几个随机选择的继电器,然后退出Tor网络。 Tor被设计为使得在理论上不可能知道哪个计算机实际请求业务。 您的计算机可能已启动连接,或者它可能只是充当中继,将加密的流量中继到另一个Tor节点。

然而,大多数Tor流量必须最终从Tor网络中出现。 例如,假设您通过Tor连接到Google - 您的流量通过几个Tor中继,但它必须最终从Tor网络中出现并连接到Google的服务器。 最后一个Tor节点,您的流量离开Tor网络并进入开放互联网,可以监控。 流量离开Tor网络的该节点被称为“出口节点”或“出口中继”。

在下图中,红色箭头表示出口节点和Internet上的计算机“Bob”之间的未加密流量。

如果您正在访问加密(HTTPS)网站(例如您的Gmail帐户),则可以这样做 - 虽然退出节点可以看到您正在连接到Gmail。 如果您正在访问未加密的网站,退出节点可能会监视您的Internet活动,跟踪您访问的网页,执行的搜索和您发送的消息。

人们必须同意运行出口节点,因为运行出口节点使它们比仅运行传递流量的中继节点更具法律风险。 政府可能运行一些退出节点,并监控离开他们的流量,使用他们学会调查罪犯,或在镇压国家惩罚政治活动家。

这不仅仅是一个理论风险。 2007年, 安全研究人员截获密码和电子邮件通过运行Tor出口节点一百电子邮件帐户。 这些用户在他们的电子邮件系统上犯了不使用加密的错误,认为Tor会以某种方式使用内部加密来保护他们。 但这不是如何Tor工作。

教训 :当使用Tor,一定要使用加密(HTTPS)网站的任何敏感。 请记住,您的流量可以被监控 - 不仅仅是政府,而是恶意的人寻找私人数据。

JavaScript,插件和其他应用程序可能会泄漏您的IP

Tor浏览器套件,当我们涉及我们讲解了如何使用Tor ,是预配置的安全设置。 JavaScript被禁用,插件无法运行,如果您尝试下载某个文件并在其他应用程序上打开该文件,浏览器会发出警告。

JavaScript是通常不存在安全隐患 ,但如果你想隐藏自己的IP,你不想使用JavaScript。 您的浏览器的JavaScript引擎,插件(如Adobe Flash)和外部应用程序(如Adobe Reader或甚至视频播放器)都可能会将您的真实IP地址“泄漏”到尝试获取它的网站。

Tor浏览器包避免所有这些问题与其默认设置,但你可能会禁用这些保护,并在Tor浏览器中使用JavaScript或插件。 不要这样做,如果你认真的匿名 - 如果你不认真的匿名,你不应该使用Tor在第一名。

这不仅仅是一个理论风险。 2011年,一组研究人员获得的IP地址的谁是通过使用Tor的BitTorrent客户端10000人。 像许多其他类型的应用程序,BitTorrent客户端不安全,能够暴露您的真实IP地址。

教训 :留在原地Tor浏览器的安全设置。 不要尝试使用Tor与另一个浏览器 - 坚持Tor浏览器包,它已预先配置理想的设置。 您不应在Tor网络上使用其他应用程序。

tor-browser-external-content-warning

运行退出节点会让您处于风险之中

如果你是在线匿名的大信徒,你可能有动机通过运行Tor继电器捐赠你的带宽。 这不应该是一个法律问题 - Tor中继只是传递加密的流量来回Tor网络内。 Tor通过由志愿者运行的继电器实现匿名。

但是,在运行退出中继之前,您应该三思而后行,这是Tor流量从匿名网络出来并连接到开放Internet的地方。 如果罪犯使用Tor的非法事情,流量从您的出口继电器,该流量将可追溯到您的IP地址,你可能会敲你的门和你的计算机设备没收。 在奥地利一名男子袭击,并被控散布儿童色情内容是运行Tor出口节点。 运行Tor出口节点允许其他人做坏事,可以追溯到你,就像经营一个开放的Wi-Fi网络 -但它的很多很多,更容易真正让你陷入困境。 然而,后果可能不是刑事惩罚。 你可能只是面对一场官司下载下版权保护的内容或动作版权预警系统在美国

运行Tor出口节点涉及的风险实际上回到了第一点。 因为运行Tor出口节点是如此的危险,很少有人做。 政府可以逃避运行退出节点,但是 - 很可能有很多。

教训 :永远不要运行Tor出口节点-重视。

Tor项目有运行出口节点的建议 ,如果你真的想。 他们的建议包括在商业设施中的专用IP地址上运行退出节点,并使用Tor友好的ISP。 不要在家里试试这个! (大多数人甚至不应该在工作中尝试)。


Tor不是一个魔术的解决方案,给你匿名。 它通过巧妙地通过网络传递加密流量来实现匿名,但是流量必须出现在某处 - 这对于Tor的用户和退出节点运营商都是一个问题。 此外,在我们的计算机上运行的软件不是设计为隐藏我们的IP地址,这导致风险,当做任何事情,除了查看普通HTML页面之间的Tor浏览器。

图片来源: Flickr上的迈克尔·惠特尼安迪·罗伯茨在Flickr上Tor项目,公司

赞 (0)
分享到:更多 ()