Чому NoScript не активовано за замовчуванням у браузері Tor?

Я щойно помітив, що розширення NoScript NoScript не активується при першому запуску браузера Tor. Це може бути високим ризиком для безпеки, оскільки це, очевидно, може піддавати IP-адресу користувачів, і уряд може знайти виправдача.

Це запобігти одному методу відбитків пальців користувачем

Від: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Ми налаштовуємо NoScript таким чином, щоб дозволити JavaScript за замовчуванням у браузері Tor, оскільки багато веб-сайтів не працюватимуть із відключеним JavaScript. Більшість користувачів повністю відмовляться від Tor, якщо веб-сайт, який вони хочуть використовувати, вимагає JavaScript, тому що вони не знають, як дозволити веб-сайту використовувати JavaScript (або щоб включення JavaScript могло змусити роботу веб-сайту).

Тут є компроміс. З одного боку, ми повинні залишити JavaScript за замовчуванням, щоб веб-сайти працювали так, як очікують користувачі. З іншого боку, нам слід відключити JavaScript за замовчуванням для кращого захисту від уразливості браузера (не лише теоретичного питання!). Але є третя проблема: веб-сайти можуть легко визначити, чи дозволений ви JavaScript для них, і якщо ви відключили JavaScript за замовчуванням, але потім дозволяєте декільком веб-сайтам запускати сценарії (як більшість людей використовує NoScript), то ваш вибір дозволених веб-сайтів діє як печиво, яке робить вас впізнаваним (і помітним), тим самим шкодячи вашій анонімності.

Зрештою, ми хочемо, щоб пакети Tor за замовчуванням використовували комбінацію брандмауерів (як, наприклад, правила iptables у Tails) та пісочниць, щоб зробити JavaScript не таким страшним. За коротший термін, TBB 3.0, сподіваємось, дозволить користувачам вибирати налаштування JavaScript легше - але проблема з розділенням залишатиметься.

Поки ми не потрапимо туди, не соромтесь залишати JavaScript увімкненим або вимкнутим, залежно від ваших пріоритетів безпеки, анонімності та зручності використання.