Pourquoi NoScript n'est pas activé par défaut dans le navigateur Tor?

14

Je viens de remarquer que l'extension de navigateur NoScript n'est pas activée lorsque vous démarrez le navigateur Tor pour la première fois. Cela pourrait être un risque de sécurité élevé car cela peut évidemment exposer l'adresse IP des utilisateurs et le gouvernement peut trouver le dénonciateur.

Noir
la source
1
La question devrait dire 'Tor Browser' et non 'Tor' je pense ...
Kanchu
J'ai pensé ajouter un peu de précision: ce n'est pas «le gouvernement» qui trouve le dénonciateur; c'est un département, un agent ou une équipe en particulier dans un gouvernement qui a été chargé par son superviseur et qui obéit effectivement aux commandements. Le gouvernement n'est pas aussi cohérent qu'il semble aux gens de l'extérieur - une absence évidente de démocratie si ces personnes se trouvent être des citoyens.
can-ned_food
NoScript est activé par défaut dans le navigateur Tor, mais le blocage des scripts est désactivé.
user598527

Réponses:

33

C'est pour empêcher une méthode d'empreinte digitale de l'utilisateur

De: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Nous configurons NoScript pour autoriser JavaScript par défaut dans le navigateur Tor car de nombreux sites Web ne fonctionneront pas avec JavaScript désactivé. La plupart des utilisateurs abandonneraient complètement Tor si un site Web qu'ils souhaitent utiliser nécessite JavaScript, car ils ne sauraient pas comment autoriser un site Web à utiliser JavaScript (ou que l'activation de JavaScript pourrait faire fonctionner un site Web).

Il y a un compromis ici. D'une part, nous devrions laisser JavaScript activé par défaut pour que les sites Web fonctionnent comme les utilisateurs les attendent. D'un autre côté, nous devrions désactiver JavaScript par défaut pour mieux protéger contre les vulnérabilités du navigateur (pas seulement une préoccupation théorique!). Mais il y a un troisième problème: les sites Web peuvent facilement déterminer si vous avez autorisé JavaScript pour eux, et si vous désactivez JavaScript par défaut, mais autorisez ensuite quelques sites Web à exécuter des scripts (comme la plupart des gens utilisent NoScript), votre choix de sites Web sur liste blanche agit comme une sorte de cookie qui vous rend reconnaissable (et distinguable), nuisant ainsi à votre anonymat.

En fin de compte, nous voulons que les bundles Tor par défaut utilisent une combinaison de pare-feu (comme les règles iptables dans Tails) et de bacs à sable pour rendre JavaScript moins effrayant. À court terme, TBB 3.0 permettra, espérons-le, aux utilisateurs de choisir leurs paramètres JavaScript plus facilement, mais le problème de partitionnement restera.

Jusqu'à ce que nous y arrivions, n'hésitez pas à laisser JavaScript activé ou désactivé en fonction de vos priorités en matière de sécurité, d'anonymat et de convivialité.

Ben M.
la source
19
Le navigateur Tor a déjà beaucoup d'empreintes digitales pour vous. Le trafic passe également par Tor. (N'oubliez pas: Tor est conçu pour que les utilisateurs de Tor se ressemblent, pas pour que les utilisateurs de Tor ressemblent à des non-utilisateurs de Tor.) Le texte cité parle des empreintes digitales de l' utilisateur (ce qui est effectivement une préoccupation) via la liste des sites Web pour lesquels le l'utilisateur permet l'exécution de Javascript.
un CVn
Oui, vous avez raison, j'ai utilisé la mauvaise terminologie.
Ben M.
1
Voici une idée pour contrer les empreintes digitales des utilisateurs: avoir à la fois une liste blanche et une liste noire définies par l'utilisateur, et tout le reste est bloqué au hasard 50% du temps à chaque visite.
Dialecticus
1
Cela n'aidera cependant pas à "mieux protéger contre les vulnérabilités du navigateur".
Evengard