¿Por qué NoScript no está activado por defecto en el navegador Tor?

14

Acabo de notar que la extensión del navegador NoScript no se activa cuando inicia el navegador Tor por primera vez. Esto podría ser un alto riesgo de seguridad porque obviamente puede exponer la dirección IP de los usuarios y el gobierno puede encontrar al denunciante.

tor Negro
fuente
1
La pregunta debería decir 'Tor Browser' y no 'Tor', creo ...
Kanchu
Pensé que añadiría un poco de aclaración: no es "el gobierno" el que encuentra al denunciante; Es un departamento, agente o equipo en particular en un gobierno que ha sido encargado por su supervisor y que está obedeciendo efectivamente los comandos. El gobierno no es tan coherente como parece a las personas que están fuera de él, una evidente ausencia de democracia si esas personas son ciudadanos.
can-ned_food
NoScript está habilitado por defecto en el navegador Tor, pero el bloqueo de scripts está deshabilitado.
user598527

Respuestas:

33

Es para evitar un método de huellas digitales del usuario

De: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Configuramos NoScript para permitir JavaScript de forma predeterminada en el navegador Tor porque muchos sitios web no funcionarán con JavaScript deshabilitado. La mayoría de los usuarios se darían por vencidos con Tor por completo si un sitio web que desean usar requiere JavaScript, porque no sabrían cómo permitir que un sitio web use JavaScript (o que habilitar JavaScript podría hacer que un sitio web funcione).

Hay una compensación aquí. Por un lado, debemos dejar JavaScript habilitado de manera predeterminada para que los sitios web funcionen de la manera que los usuarios esperan. Por otro lado, debemos deshabilitar JavaScript de forma predeterminada para protegernos mejor contra las vulnerabilidades del navegador (¡no solo una preocupación teórica!). Pero hay un tercer problema: los sitios web pueden determinar fácilmente si ha permitido JavaScript para ellos, y si deshabilita JavaScript de forma predeterminada pero luego permite que algunos sitios web ejecuten scripts (la forma en que la mayoría de la gente usa NoScript), entonces su elección de sitios web incluidos en la lista blanca actúa como una especie de cookie que te hace reconocible (y distinguible), perjudicando así tu anonimato.

En última instancia, queremos que los paquetes Tor predeterminados usen una combinación de firewalls (como las reglas de iptables en Tails) y sandboxes para que JavaScript no sea tan aterrador. A corto plazo, es de esperar que TBB 3.0 permita a los usuarios elegir su configuración de JavaScript más fácilmente, pero la preocupación por la partición continuará.

Hasta que lleguemos allí, no dude en dejar JavaScript activado o desactivado dependiendo de sus prioridades de seguridad, anonimato y usabilidad.

Ben M.
fuente
19
El navegador Tor ya tiene suficientes huellas digitales para ti. Entonces, el tráfico pasa por Tor. (Recuerde:. Tor está diseñado para que los usuarios de Tor se parecen, no hacen los usuarios de Tor se parecen a los usuarios no-Tor) Las conversaciones de texto de la cita sobre las huellas dactilares del usuario (que de hecho es una preocupación) a través de la lista de sitios web para los que el El usuario permite la ejecución de Javascript.
un CVn
Sí, tienes razón, utilicé la terminología incorrecta.
Ben M.
1
Aquí hay una idea para contrarrestar las huellas digitales de los usuarios: tener listas blancas y negras definidas por el usuario, y todo lo demás se bloquea al azar el 50% del tiempo en cada visita.
Dialecticus
1
Sin embargo, esto no ayudará contra la "mejor protección contra las vulnerabilidades del navegador".
Evengard