web-dev-qa-db-fra.com

Pourquoi désactiver JavaScript dans Tor?

Pourquoi n'est-il pas conseillé d'utiliser JavaScript avec Tor? Pourtant, avec JavaScript, vous ne pouvez obtenir l'adresse IP de l'utilisateur que par le biais d'un site Web externe. Comment l'utilisation de JavaScript avec Tor pourrait-elle révéler son identité?

10
spyker10

Je ne sais pas où vous avez obtenu ces informations mais où que vous les obteniez, le documentation officielle est plus fiable:

Nous configurons NoScript pour autoriser JavaScript par défaut dans le navigateur Tor car de nombreux sites Web ne fonctionneront pas avec JavaScript désactivé.

Si vous désactivez JavaScript par défaut mais autorisez quelques sites Web à exécuter des scripts (comme la plupart des gens utilisent NoScript), votre choix de sites Web sur liste blanche agit comme une sorte de cookie qui vous rend reconnaissable (et distinguable), nuisant ainsi à votre anonymat.

Mais contrairement à Firefox et Chrome, le navigateur Tor n'a pas implémenté WebRTC qui permet de faire des requêtes aux serveurs STUN qui renverront les adresses IP locales et publiques de l'utilisateur.

16
user45139

Il existe un certain nombre de vulnérabilités connues, qui ont été utilisées, pour désanonymiser les utilisateurs de Tor en utilisant JavaScript.

Le premier incident majeur où cela s'est produit a été la saisie du "Freedom Hosting" par le FBI. Le FBI a maintenu les serveurs en ligne, puis installé des paylods javascript qui exploitaient un exploit zero-day dans Firefox. Cela a amené les ordinateurs à rappeler un serveur du FBI à partir de leur adresse IP réelle et non anonymisée, ce qui a conduit à la désanonymisation de divers utilisateurs. Vous pouvez en savoir plus à ce sujet dans Ars Technica.

En général, l'activation de JavaScript ouvre la surface à de nombreuses autres attaques potentielles contre un navigateur Web. Dans le cas d'un adversaire sérieux comme une entité soutenue par l'État (par exemple le FBI), ils ont accès à des exploits du jour zéro. Si les vecteurs pour ces jours zéro sont désactivés (par exemple JavaScript), alors ils peuvent avoir du mal à trouver un exploit viable même s'ils ont accès à zéro jour, etc.

La seule raison pour laquelle le projet Tor autorise JavaScript à être activé par défaut dans le navigateur Tor est la convivialité. De nombreux utilisateurs de Tor ne sont pas techniquement avertis, et JavaScript est couramment utilisé avec HTML5 dans les sites Web modernes. La désactivation de JavaScript rend de nombreux sites Web inutilisables, il est donc activé par défaut.

Il est recommandé de désactiver JavaScript dans le navigateur Tor et de garder NoScript activé pour tous les sites, sauf si vous avez une raison extrêmement convaincante de ne pas le faire.

3
Herringbone Cat

Je crois que c'est pour arrêter "les empreintes digitales du navigateur". Javascript peut obtenir beaucoup d'informations, comme l'ordre d'installation des polices sur un ordinateur, la taille de l'écran, etc; - il y a un bon exemple à https://panopticlick.eff.org/ .

Si vous allez sur un autre site en contournant TOR, sur le même ordinateur, les deux sites peuvent comparer les notes et réaliser que vous êtes probablement la même personne.

Panopticlick dit que 85% des visiteurs sont identifiables de manière unique, par sa méthode. Un autre site, https://Valve.github.io/fingerprintjs/ , semble creuser les plugins installés plus profondément, lui donnant une "précision de 94%".

Ironiquement, puisque seule une petite proportion d'utilisateurs fait des choses comme bloquer les cookies, etc., cela augmentera réellement votre caractère unique et vous facilitera l'identification avec ces techniques.

1
AMADANON Inc.