Tor Browser 9更新了，Tor矛与盾的矛盾

发表于 2019年11月4日
业界 , 周边
548 阅读

Tor Browser 9

大致看了它的更新说明，算是一个大版本更新，UI及架构上有调整，内核也有调整，用新不用旧，聊聊。

Tor Browser 基于Tor的暗网浏览器

Tor Browser中文名叫洋葱浏览器，是一款著名的暗网浏览器。顾名思义Tor其名源于“The Onion Router”（洋葱路由器）的英语缩写。Tor Browser及其前身Tor Browser Bundle两者皆是应用了洋葱路由（Tor）的例子之一。

Tor Browser是Tor项目的旗舰产品，由Mozilla Firefox ESR浏览器修改而成，并由Tor Project开发人员做了许多安全性和隐私保护的调校，预载TorButton、TorLauncher、NoScript和HTTPS Everywhere等扩展与Tor代理。其为开源软件、自由软件、绿色软件，可在多种操作系统上运行，包括Windows、Mac OS X、Linux、Unix、Android。

Tor Browser在后台启动Tor进程并透过其连接网络。一旦程序断开连接，Tor浏览器便会自动删除隐私敏感数据，如cookie和浏览历史记录。

Tor 洋葱路由器

Tor主要由C语言编写而成，紧随其后的有Python、JavaScript等编程语言。截至2018年12月，它共有693,393行源代码。

Tor透过在传输协议栈中的应用层进行加密，从而实现洋葱路由这一种技术。Tor会对包括下一个节点的IP地址在内的数据，进行多次加密，并透过虚拟电路（包括随机选择的Tor节点）将其提交。每个中继都会对一层加密的数据进行解密，以知道数据的下一个发送目的地，然后将剩余的加密数据发送给它。最后的中继会解密最内层的加密数据，并在不会泄露或得知源IP地址的情况下，将原始数据发送至目标地址。

开发及维护Tor所需的一大部分费用由美国联邦政府所捐助，过去则以海军研究办公室及国防高等研究计划署的名义捐助。

Tor安全性

理论上说Tor是安全的，很难被追踪与审核。但据公开的研究与信息显示，它是可逆的，因为成本与复杂度过高很难有效或高效完成，所以不是一个非标或可行的方案。

美国国家安全局拥有针对Tor安装包中所捆绑的旧版本Firefox漏洞的技术（代号“EgotisticalGiraffe”），并曾利用XKeyscore系统来密切监控Tor用户。
不少学者亦就如何破解Tor网络进行过学术研究，此一行为受到Tor项目公司所肯定。
Tor就像其他低延迟匿名网络般，不能够也没有尝试阻止他人监听Tor网络流量的边界（亦即流量进出网络时的情形）。尽管Tor能保护人们免于受到流量分析，但它仍不能够防止流量确认（traffic confirmation，亦即端对端确认）的发生。
密歇根大学的研究者开发了一款网络扫描仪，能一次扫描86%的可用Tor网桥。
Tor最初是由美国情报机构开发的，此后维护Tor所需的一大部分费用也是由美国联邦政府所捐助，因此有批评指：“它更像是一个间谍项目，欠缺问责性及透明度，只是一款因文化而生的工具”。
如果你使用了虚假或密罐节点，同样有风险。
尽管Tor很安全但人为错误可引致用户身份遭到识别。
未使用SSL（HTTPS）加密的连接有更高的风险。

Tor的矛与盾

上面讲了那么多口水文，下面我们继续进行口水……

为什么要废话这么多，体验盒子在之前的一篇文章《暗网是什么？如何进入暗网？》也有提到过Tor Browser，这明显就是用来逃避或躲避一些审查而存在的东西，但为什么这个项目却是由一个监控最为常见的ZF机构赞助研发的呢？

一宗宗的恶性事件证明，Tor最为显著的用途几乎都是非法的。也许双标自由/傲慢与偏见需要给那部分极少的需求提供一个所谓的频道。但这确实也是最大的帮凶。这一段可能会让你误以为我们的立场信息，你错了，既然无法限制使用范围，造成了非常糟糕的后果又称与你无关？我觉得这就是矛盾与流氓。

矛是防盾是攻？

是的，你可以这么理解。因为对某些领域的开放与包容度，会形成你对某些领域的话语权和处置权的优先权。这也就是为什么我们一直是所谓的YLZY软攻击的对象。但不要跳开话题，我们是不是在口水技术？

从当下及未来的发展来看，网络安全威胁会并且一直在持续上升，个人隐私的保护真的非常重要，我们需要像Tor一样的的产品。但却又不能是完全像Tor一样的产品，因为安全是没有绝对也不能绝对，否则它就是个伪需求。

举个粟子：大家（特别是涉及到学术技术领域）在用搜索引擎的时候，会特别明显的感受到百度和谷歌的差距，这是从结果（含SEM）上体现出来的。所以体验盒子分享了一篇《Google镜像大全，谷歌镜像网址》的文章，可用来搜索学术技术类的资源。而且就算你想做其它事你也做不了，它就是个公开透明的信息搜索平台。我觉得这类产品就是真需求，它能解决你的问题，并且不会向你提供一个恶意或非法的结果。反之Tor则是相对绝对的产品，也是它的矛盾之处。