क्यों NoScript टोर ब्राउज़र में डिफ़ॉल्ट रूप से सक्रिय नहीं है?

14

मैंने अभी देखा कि जब आप पहली बार Tor Browser शुरू करते हैं तो ब्राउज़र एक्सटेंशन NoScript सक्रिय नहीं होता है। यह एक उच्च सुरक्षा जोखिम हो सकता है क्योंकि यह स्पष्ट रूप से उपयोगकर्ताओं के आईपी पते को उजागर कर सकता है और सरकार को व्हिसलब्लोअर मिल सकता है।

tor 
काली
स्रोत
1
प्रश्न को 'टोर ब्राउज़र' कहना चाहिए न कि 'टोर' मुझे लगता है ...
कंचू जूल
सोचा था कि मैं थोड़ा स्पष्टीकरण जोड़ूंगा: यह "सरकार" नहीं है जो सीटी-ब्लोअर ढूंढती है; यह एक विशेष विभाग, एजेंट या सरकार में एक टीम है जिसे इसके पर्यवेक्षक द्वारा सौंपा गया है और जो प्रभावी रूप से आदेशों का पालन कर रहा है। सरकार इतनी सुसंगत नहीं है क्योंकि यह उसके बाहर के लोगों के लिए प्रकट होती है - लोकतंत्र की एक स्पष्ट अनुपस्थिति यदि वे लोग नागरिक हैं।
कैन-नेड_फूड
No Browser को Tor Browser में डिफ़ॉल्ट रूप से सक्षम किया गया है, लेकिन स्क्रिप्ट को ब्लॉक करना अक्षम है।
user598527

जवाबों:

33

यह उपयोगकर्ता फिंगरप्रिंटिंग की एक विधि को रोकने के लिए है

प्रेषक: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

हम TorScript को डिफ़ॉल्ट रूप से Tor Browser में अनुमति देने के लिए NoScript कॉन्फ़िगर करते हैं क्योंकि कई वेबसाइट जावास्क्रिप्ट अक्षम के साथ काम नहीं करेंगी। अधिकांश उपयोगकर्ता टो पर पूरी तरह से छोड़ देते हैं यदि वे जिस वेबसाइट का उपयोग करना चाहते हैं, उन्हें जावास्क्रिप्ट की आवश्यकता होती है, क्योंकि उन्हें नहीं पता होगा कि किसी वेबसाइट को जावास्क्रिप्ट का उपयोग करने की अनुमति कैसे दी जाती है (या जावास्क्रिप्ट को सक्षम करने से वेबसाइट काम कर सकती है)।

यहां एक ट्रेडऑफ है। एक ओर, हमें डिफ़ॉल्ट रूप से सक्षम जावास्क्रिप्ट को छोड़ देना चाहिए ताकि वेबसाइटें उपयोगकर्ताओं की अपेक्षा के अनुरूप काम करें। दूसरी ओर, हमें ब्राउज़र की कमज़ोरियों से बचाने के लिए डिफ़ॉल्ट रूप से जावास्क्रिप्ट को अक्षम करना चाहिए (न कि केवल एक सैद्धांतिक चिंता!)। लेकिन एक तीसरा मुद्दा है: वेबसाइटें आसानी से निर्धारित कर सकती हैं कि क्या आपने उनके लिए जावास्क्रिप्ट की अनुमति दी है, और यदि आप डिफ़ॉल्ट रूप से जावास्क्रिप्ट को अक्षम करते हैं, लेकिन फिर कुछ वेबसाइटों को स्क्रिप्ट चलाने के लिए अनुमति देते हैं (जिस तरह से अधिकांश लोग NoScript का उपयोग करते हैं), तो आपकी पसंद की श्वेत सूची वेबसाइट कार्य करती है कुकी के एक प्रकार के रूप में, जो आपको पहचानने योग्य (और अलग-अलग) बनाता है, इस प्रकार आपकी गुमनामी को नुकसान पहुँचाता है।

अंतत: हम चाहते हैं कि डिफ़ॉल्ट टोर बंडलों का उपयोग फायरवॉल के संयोजन (पूंछों में आईपलेट नियम) और सैंडबॉक्स को जावास्क्रिप्ट को इतना डरावना न बनाने के लिए करें। छोटी अवधि में, टीबीबी 3.0 उम्मीद करेगा कि उपयोगकर्ता अपनी जावास्क्रिप्ट सेटिंग्स को और अधिक आसानी से चुन सकेंगे - लेकिन विभाजन की चिंता बनी रहेगी।

जब तक हम वहां नहीं पहुंचते, तब तक अपनी सुरक्षा, गुमनामी और प्रयोज्य प्राथमिकताओं के आधार पर जावास्क्रिप्ट को चालू या बंद करने के लिए स्वतंत्र महसूस करें।

बेन एम।
स्रोत
19
टॉर ब्राउजर आपके लिए पहले से ही काफी फिंगरप्रिंट है। तो ट्रैफिक टॉर से गुजर रहा है। (याद रखें: Tor को Tor उपयोगकर्ताओं को एक जैसे दिखने के लिए बनाया गया है, न कि Tor उपयोगकर्ताओं को गैर-Tor उपयोगकर्ताओं की तरह दिखने के लिए।) उद्धृत पाठ उपयोगकर्ता की फिंगरप्रिंटिंग के बारे में बात करता है (जो वास्तव में एक चिंता का विषय है) वेब साइटों की सूची के माध्यम से जिसके लिए। उपयोगकर्ता जावास्क्रिप्ट निष्पादन की अनुमति देता है।
बजे एक CVn
हां, आप सही हैं, मैंने गलत शब्दावली का इस्तेमाल किया।
बेन एम।
1
यहां उपयोगकर्ता फिंगरप्रिंटिंग का मुकाबला करने के लिए एक विचार दिया गया है: दोनों उपयोगकर्ता ने श्वेतसूची और ब्लैकलिस्ट को परिभाषित किया है, और बाकी सब कुछ हर यात्रा पर 50% समय के लिए अवरुद्ध है।
डायलेक्टिकस
1
हालांकि यह "ब्राउज़र भेद्यताओं के खिलाफ बेहतर सुरक्षा" के खिलाफ मदद नहीं करेगा।
शाम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.