文章
网络安全

Tor Browser随机化改造指南

Anon  ·  6月7日 narratorz@proton.me

Tor基金会一直强调统一的Tor浏览器体验的重要性,以确保所有用户掩盖在同一张面具下。然而,在实际使用中,这种设计的价值正在越发萎缩。

当我们不得不访问需要 Javascript 的网站时(Ex.2047/Pincong),Tor 浏览器会不可避免地启用部分 Javascript 功能,从而产生独特的浏览器指纹。尽管 Tor 浏览器已经实施了一些混淆技术,例如只索取英文版网页,对 Canvas、WebGL 和字体进行随机化,但它仍然无法完全隐藏在 fingerprint.com 这样的网站面前。

因此,提出一种修改 Tor 浏览器的方法,以增强其随机化能力,从而提高隐私保护水平。我们的改造包括使用额外的浏览器指纹随机化插件以及“网页 Cookies 临时容器”功能。通过这种方式,每个标签页都会被隔离并赋予 独特的随机指纹,从而有效地绕过 fingerprintjs.com 的跟踪,超越了原始 Tor 浏览器的抗指纹能力。

改造清单

  1. 安全性设置

    • 在Tor浏览器中,将安全级别设置为较高最高
    • 关闭 总是使用隐私浏览,它和标签页容器冲突。
  2. 标签页隔离

    • 安装 Temporary Containers插件,该插件允许用户为网站创建隔离的容器,每个容器都是独立的,不会相互影响。
    • 在浏览器设置中,启用“退出时清理所选内容”选项并勾选所有类别,以确保每次关闭浏览器后,数据都像隐私浏览一样被清空。
    • 在Temporary Containers插件的设置中,启用自动模式使其接管任何标签页,容器编号设置为循环使用,以便被关闭的容器迅速清空并投入循环使用。
  3. 指纹随机化增强

    • 安装CanvasBlocker插件,并在专家模式下启用所有API的随机化功能。
    • 在CanvasBlocker的设置中,选择持久化(Persistent)的指纹混淆方式,而不是每次访问都随机化的方式。这样,同一个容器内的同一域名将使用相同的指纹,以避免异常行为的标志。

请再试试看 fingerprint.com 的检测结果!

总结

Do your own research.

在当前互联网环境下,完全不泄露信息是非常困难的,如果不可能,我们应该尽可能地随机化和混淆所有可能的指纹信息。通过上述改造清单中的步骤,我们可以显著提高Tor浏览器的隐私保护能力,减少被跟踪的风险。根据自己的需求和技术水平,选择适合自己的方案,并定期检查其有效性。

菜单
  1. aaakey  

    首先明确并强调,在网站能满足你功能需求的情况下安全级别的选择顺序应该是Safest>Safer>Standard。

    我的测试结果是如果配合Tor Browser的管理身份功能会有较大概率生成的ID不同,偶尔会生成相同ID但次数较少,似乎相同ID只是因为IP国家变动的关系? 安全级别设置成Standard或Safer似乎对这个demo没什么影响。

    所以我没看出来这有什么问题?而且安装扩展本身也增加出现漏洞的风险,Tor官方明确反对安装扩展

    Tor官方也认为这个demo不是大问题,Tor官方早就知道这个demo,相关阅读: https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/32861#note_2938809