Warum ist NoScript in Tor Browser nicht standardmäßig aktiviert?

14

Mir ist gerade aufgefallen, dass die Browser-Erweiterung NoScript beim ersten Start des Tor-Browsers nicht aktiviert ist. Dies kann ein hohes Sicherheitsrisiko darstellen, da es offensichtlich die IP-Adresse des Benutzers offen legt und die Regierung den Whistleblower finden kann.

tor Schwarz
quelle
1
Die Frage sollte 'Tor Browser' und nicht 'Tor'
lauten,
Dachte, ich würde ein bisschen Klarheit hinzufügen: Es ist nicht „die Regierung“, die den Hinweisgeber findet; Es handelt sich um eine bestimmte Abteilung, einen Agenten oder ein Team in einer Regierung, die von ihrem Vorgesetzten beauftragt wurde und die effektiv Befehle befolgt. Die Regierung ist nicht so kohärent, wie es den Außenstehenden erscheint - eine offensichtliche Abwesenheit von Demokratie, wenn diese Leute zufällig Bürger sind.
can-ned_food
NoScript ist in Tor Browser standardmäßig aktiviert, das Blockieren von Skripten ist jedoch deaktiviert.
Benutzer598527

Antworten:

33

Es soll verhindern, dass ein Benutzer Fingerabdrücke abgibt

Von: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Wir konfigurieren NoScript so, dass JavaScript standardmäßig in Tor Browser zulässig ist, da viele Websites mit deaktiviertem JavaScript nicht funktionieren. Die meisten Benutzer würden Tor ganz aufgeben, wenn für eine Website, die sie verwenden möchten, JavaScript erforderlich ist, da sie nicht wissen, wie eine Website JavaScript verwenden kann (oder wenn JavaScript aktiviert ist, funktioniert eine Website möglicherweise).

Hier gibt es einen Kompromiss. Einerseits sollten wir JavaScript standardmäßig aktiviert lassen, damit Websites so funktionieren, wie die Benutzer es erwarten. Auf der anderen Seite sollten wir JavaScript standardmäßig deaktivieren, um den Schutz vor Browser-Schwachstellen zu verbessern (nicht nur ein theoretisches Problem!). Es gibt jedoch ein drittes Problem: Websites können auf einfache Weise feststellen, ob Sie JavaScript für sie zugelassen haben. Wenn Sie JavaScript standardmäßig deaktivieren und dann einigen Websites das Ausführen von Skripten erlauben (wie die meisten Leute NoScript verwenden), handelt es sich um eine Auswahl von Websites auf der Whitelist als eine Art Cookie, das Sie erkennbar (und unterscheidbar) macht und so Ihre Anonymität schädigt.

Letztendlich möchten wir, dass die standardmäßigen Tor-Bundles eine Kombination aus Firewalls (wie die Iptables-Regeln in Tails) und Sandboxes verwenden, damit JavaScript nicht so unheimlich wird. Kurzfristig wird TBB 3.0 den Benutzern hoffentlich ermöglichen, ihre JavaScript-Einstellungen einfacher zu wählen - aber das Partitionierungsproblem bleibt bestehen.

Bis dahin können Sie JavaScript abhängig von Ihren Prioritäten in Bezug auf Sicherheit, Anonymität und Benutzerfreundlichkeit aktivieren oder deaktivieren.

Ben M.
quelle
19
Der Tor-Browser hat bereits viele Fingerabdrücke für Sie. So geht der Verkehr durch Tor. (Denken Sie daran: Tor soll Tor-Benutzer gleich aussehen lassen und nicht Tor-Benutzer zu Nicht-Tor-Benutzern machen.) Der zitierte Text handelt vom Fingerabdruck des Benutzers (was in der Tat ein Problem darstellt) durch die Liste der Websites, für die die Benutzer erlaubt die Ausführung von Javascript.
ein Lebenslauf vom
Ja, Sie haben Recht, ich habe die falsche Terminologie verwendet.
Ben M.
1
Hier ist eine Idee, um dem Fingerabdruck des Benutzers entgegenzuwirken: Lassen Sie sowohl eine benutzerdefinierte Whitelist als auch eine Blacklist erstellen, und alles andere wird 50% der Zeit bei jedem Besuch nach dem Zufallsprinzip blockiert.
Dialecticus
1
Dies hilft jedoch nicht gegen "besseren Schutz vor Browser-Schwachstellen".
Evengard