Quelque part, j'ai lu que vous ne devriez ouvrir que des liens HTTPS sur Tor, sinon votre FAI, par exemple, pourrait lire les pages Web que vous visitez.
J'ai cherché sur le sujet et ailleurs j'ai lu que le réseau Tor lui-même fournit suffisamment de cryptage intégré.
Laquelle de ces affirmations est vraie - est-il sûr d'ouvrir des sites normaux de http
sur Tor?
Et qu'en est-il de .onion
liens de fin?
Non, ce n'est pas sûr. Mais le raisonnement de votre lecture est faux.
Lorsque vous utilisez Tor, la connexion entre vous et le réseau Tor est cryptée, de sorte que votre FAI ne peut pas espionner. Mais lorsque vous accédez à un site Web HTTP normal avec Tor, la connexion entre le nœud de sortie et le site Web cible n'est pas chiffrée. Cela signifie que le nœud de sortie peut écouter et manipuler toute la connexion. Vous ne savez pas si le nœud de sortie (et son FAI) est fiable, cela peut donc être très dangereux.
Cela ne s'applique pas aux services cachés (sites Web .onion). Dans ce cas, le chiffrement est de bout en bout et une autre couche HTTPS est redondante (et contre-productive car l'un des objectifs de HTTPS est de dés-anonymiser le serveur).
Ça dépend. Plus précisément, cela dépend du type de données auxquelles vous accédez et de votre modèle de menace.
Voici une ventilation de certains adversaires potentiels selon les informations à leur disposition à chaque point. Vous noterez que HTTPS ne fournit une protection qu'à l'étape finale de la connexion (entre le nœud de sortie du circuit Tor et le serveur de destination):
Il y a un excellent diagramme interactif qui résume ce qui précède. Le diagramme vous permet d'activer Tor et HTTPS pour voir quelles informations peuvent être cachées aux différents adversaires.
La réponse courte est: non, mais vous devriez l'utiliser si possible. HTTPS offre une protection supplémentaire pour les données transférées entre le nœud de sortie et le serveur de destination. Cela dépend des données que vous envoyez ou accédez et qui vous voulez empêcher de voir ces données.
Par exemple, si vous lisez un site Web d'actualités sans HTTPS, il devient possible pour le nœud de sortie Tor et son FAI de voir que quelqu'un lit un article spécifique sur un site Web d'actualités spécifique. Cependant, ils ne sauront pas qui vous êtes. Si vous ajoutez du HTTPS, ils peuvent voir le nom du site Web d'actualités que vous visitez, mais pas la page spécifique que vous visitez.
Donc, si HTTPS n'est pas disponible sur certains sites Web, l'exposition est toujours limitée. Mais, si vous souhaitez envoyer des informations telles que les noms d'utilisateur, les mots de passe ou d'autres informations d'identification, assurez-vous d'utiliser HTTPS.
Oui. Il y a un autre point qui doit être abordé: HTTPS fournit une protection contre la modification de page malveillante.
Lorsque vous vous connectez à un site Web via une connexion non chiffrée, il est possible que le nœud de sortie, le FAI du nœud de sortie ou certaines agences gouvernementales disposant de l'accès nécessaire pour modifier le trafic en transit. Cela pourrait leur permettre d'injecter d'autres contenus dans la page, y compris de la publicité ou des exploits de navigateur. Ils pourraient également changer le contenu de la page elle-même (planter de fausses nouvelles, etc.).
L'utilisation de HTTPS rend cette attaque beaucoup plus difficile car elle nécessite d'effectuer une attaque man in the middle sur votre connexion. De plus, lorsque ces types d'attaques sont effectuées, elles sont beaucoup plus susceptibles d'être remarquées.
Le trafic vers ces services est automatiquement crypté par Tor. En fait, le nom du service lui-même (l'adresse .onion) joue un rôle important dans l'établissement de la connexion cryptée.
Cependant, certains services cachés utilisent HTTPS. Facebook en est un exemple. Ils utilisent le certificat SSL pour prouver que vous vous connectez à des serveurs Facebook légitimes, et non à un site Web imposteur.
Il existe quelques modules complémentaires de navigateur qui peuvent être installés.
Le pack Navigateur Tor comprend déjà:
Il existe d'autres choix qu'un utilisateur avancé peut également souhaiter activer. Cependant, l'ajout de ceux-ci au Tor Browser Bundle peut vous rendre plus unique par rapport aux autres utilisateurs de Tor, donc installez-les uniquement si vous savez ce que vous faites:
La dernière ligne de défense est la vigilance humaine. Soyez attentif à tout ce qui est suspect. On ne sait jamais quels dangers peuvent se cacher dans l'ombre.
Vous avez toujours besoin de HTTPS car n'importe qui sur les nœuds de sortie Tor peut lire votre trafic HTTP.
Par exemple. Tor fournit une protection afin que votre FAI ait du mal à lire votre trafic, mais ce n'est pas un chiffrement de bout en bout. Vous ne pouvez pas être sûr de qui/où est votre sortie ou qui la contrôle et ils auraient toujours la possibilité d'intercepter votre trafic non crypté
Voir le schéma ci-joint pour clarifier: http://www.flickr.com/photos/albill/1263976173/