當謹慎使用時, Tor 瀏覽器在Windows、macOS 和Android 裝置上是安全且合法的。 Tor 比普通瀏覽器提供更多的匿名性,透過隱藏你的IP 地址並將你的網路流量透過三層加密。然而,Tor 並不是完全安全的。使用它可能會有資料外洩、間諜活動和透過惡意出口節點進行的中間人攻擊的風險。
Tor 是一個免費的、志工運作的系統,目的是為了隱藏你的身分、位置和線上活動,避免被追蹤或監視。
Tor 最常透過Tor 瀏覽器造訪:一個基於Mozilla Firefox 的免費開源應用程式。 Tor 瀏覽器透過三個隨機節點路由你的流量:入口節點、中繼節點和出口節點。
每經過一個節點,你的流量就會被增加一層加密,直到最後一個節點。在出口節點處,你的流量會被完全解密並傳送到目的地。
當正確使用Tor 時,它可以是一個保護隱私的好工具。然而,儘管Tor 專注於匿名性,但使用Tor 仍存在一些安全風險。
- Tor 透過一個隨機化的伺服器網路路由你的網路流量,並保護它三層加密。這可以隱藏你的IP 地址,防止你造訪的網站和你的ISP(網路服務供應商)監視你的活動。
- 雖然你的瀏覽資料是匿名的,但並不是私密的。 Tor 的入口節點可以看到你的公共IP 地址,但看不到你的活動。 Tor 的出口節點可以看到你的活動,但看不到你的IP 地址。
- 你的網路流量在出口節點處完全解密並可見,儘管它無法追蹤到你的身分。這意味著你有被惡意出口節點監視或註入惡意軟體的風險。
- 有一些證據表明,Tor 使用者可以被美國執法機構和學術研究人員去匿名化。
- Tor 的使用和設定可能很複雜,這意味著你很容易透過資料外洩或可能洩露個人資訊的行為來暴露你的真實身份。
- 在大多數國家,使用Tor 是合法的,但由於它能夠造訪隱藏的.onion 網域,使用Tor 瀏覽器可能會引起政府當局的監視。
我們的建議:保護你的Tor 流量的一個簡單方法是使用可信賴的VPN 服務,這可以為你的連線添加一層額外的加密,並作為某些類型的惡意軟體的防火牆。我們推薦NordVPN,它提供30 天退款保證。
Tor 瀏覽器安全嗎? (安全和隱私漏洞)
如果你是高級用戶並且絕對必要的話, Tor 是可以下載和操作的。然而,它並不是100% 安全的。
Tor 瀏覽器存在顯著的漏洞,可能會使你的安全和隱私受到威脅,這些風險往往超過了瀏覽器對大多數人的好處。
Tor 瀏覽器可在Windows、macOS、Linux 和Android 上使用。
如果你是一般用戶,我們建議結合安全的私人瀏覽器和頂級VPN 服務一起使用。
以下是我們總結的Tor 瀏覽器在安全性方面的優缺點:
| 優點 | 缺點 |
|---|---|
| 三層加密屏蔽你的活動,防止ISP 的追蹤和監視 | 出口節點的流量暴露於監視和中間人攻擊 |
| 你造訪的網站看不到你的公共IP 地址或位置 | 資料外洩可能會暴露身分資訊 |
| Tor 是去中心化的,所以使用者不需要信任私人VPN 服務 | 有證據顯示Tor 使用者被去匿名化 |
| 可以造訪暗網 | 在iOS 裝置上使用Tor 較不安全 |
| 開源軟體 | 造訪HTTP 網站會使你更容易受到監視,因為這些網站不會加密你的流量 |
| .Onion 網域可能包含惡意軟體 | |
| 你的公用IP 地址暴露給入口節點 | |
| JavaScript 可以在Tor 上揭露你的身分 |
以下是使用Tor 瀏覽器時潛在的安全和隱私問題的詳細清單:
Tor 是匿名的,但不是私密的
Tor 設計用於完全匿名。單一節點無法同時造訪你的流量和IP 地址,這意味著你的身分和Onion 網路內的線上活動不會同時揭露。
雖然Tor 是匿名的,但它不是私密的。你的個人IP 地址對入口節點可見,你的流量對出口節點可見。理論上,運行出口節點的人可以監視你的活動,儘管他們不知道這屬於誰。
Tor 確實比普通的網頁瀏覽器(如Google Chrome)提供更多的隱私保護,包括透過HTTPS 的DNS。你的位置被隱藏了,你的ISP 也不能同樣程度地追蹤你的流量——雖然它仍然會看到你正在使用Tor 網絡,這可能會引起一些ISP 的監視。
儘管有這些保護措施,某些團體仍然可以看到至少部分你的瀏覽活動。資料外洩或受損的出口節點等漏洞意味著一些用戶可能會被去匿名化。
Tor 可能會洩漏你的IP 和DNS 地址
如果你不關心隱私或匿名性,你可以像普通瀏覽器一樣安全地使用Tor。然而,這幾乎肯定會導致資料洩露,可能會暴露你的真實身份。
如果你想防止在使用Tor 時的IP 和DNS 洩露,你應該避免:
- 使用瀏覽器擴充
- 下載並開啟文件
- 下載種子文件
- 啟用JavaScript
所有這些活動都有可能將流量路由到Tor 瀏覽器之外,或者在瀏覽器內保留訊息,從而使你去匿名化。
另一個常見的錯誤是造訪HTTP 網站。這不會直接暴露你的IP 地址,但由於缺乏與HTTPS 相比的額外加密,會使你更容易受到監視。
惡意出口節點
任何人都可以運作一個出口節點。它們已知被犯罪分子用於監視,甚至用於進行中間人攻擊。當出口節點被用於剝削性目的時,它被稱為惡意出口節點。
雖然你的流量在Onion 網路的大部分路程中是加密的,但在經過出口節點時是暴露的。這意味著最終的伺服器操作員可以查看你的活動,就像如果你沒有使用Tor 或VPN 一樣。
你的流量在離開Tor 網路時被解密。
這不一定會破壞你的匿名性,因為出口節點無法看到你的真實IP 地址。然而,如果你造訪了一個與真實身份關聯的電子郵件帳戶或Facebook 頁面,這可能會被觀察到,你的身份將被暴露。
截至2020 年,估計超過23% 的Tor 節點被認為是惡意的。這相當於大約每四個出口節點中有一個。
惡意軟體可能會傳播到你的設備
Tor 用於造訪一般瀏覽器無法造訪的暗網域。因此,如果不小心使用瀏覽器,Tor 使用者容易受到惡意軟體和病毒的攻擊。
暗網充斥著惡意行為者。這個空間內的許多網站包含惡意腳本或惡意軟體,如果你點擊了不安全的網站,可能會傳遞到你的電腦上。
一種可能的方式是透過連接埠轉送。當Tor 在使用時,開放埠可能是危險的,因為入侵者可以透過這種方式攻擊你的裝置。
當使用者點擊一個惡意網站時,你的裝置會被掃描以尋找開放連接埠。訊息會發送到每個端口,駭客可以識別哪些端口是開放和易受攻擊的。
開放連接埠可以用來傳播惡意軟體,並未經授權造訪個人和財務訊息,導致你的帳戶被駭客攻擊。
Tor 在iOS 裝置上較不安全
Tor 瀏覽器可以作為Android 裝置的應用程式。如果你謹慎使用,使用Android 上的Tor 和在桌面上使用並沒有什麼區別。 alpha 版本易於下載和使用,但與在桌面上使用時面臨的風險相同。
iOS 上沒有官方的Tor 應用程序,但可以使用Onion 瀏覽器應用程式在iOS 上造訪Tor 網路。這個開源應用程式由Tor 瀏覽器的主要開發人員Mike Tigas 設計。
與Android 設備不同,iOS 上沒有官方的Tor 瀏覽器應用程式。相反,第三方應用Onion 瀏覽器是最好的選擇。
即使小心使用,在iPhone 或iOS 裝置上使用Tor 也不如在其他裝置上使用安全性。在應用程式上無法完全停用JavaScript。這會減少你的隱私,因為JavaScript 可能會分享你的個人資訊並在瀏覽器中儲存Cookie。
如果你需要在行動裝置上使用Tor,我們建議選擇Android。
不使用VPN 使用Tor
由於與暗網的關聯,政府當局努力防止Tor 網路內的犯罪活動。因此,經常使用Tor 可能會引起政府的監視。
如果你不連接VPN,你的ISP 可以看到你連接到了Tor 網路。這增加了當局監視你的流量並將你去匿名化的可能性。
沒有VPN 的情況下,Tor 的入口節點也可以看到你的公共IP 地址
。這可以透露個人訊息,例如你的位置和你的ISP。
然而,即使使用VPN 連接,你仍然會受到Tor 網路的一些相同風險和漏洞的影響。但是,VPN 可以增加一層額外的保護。
Windows 漏洞
Windows 並不是為匿名而設計的。即使你小心謹慎並僅從Tor 瀏覽器造訪互聯網,作業系統也會預設發送訊息回微軟。這可能導致你的身分被揭露。
2013 年,Firefox 和Tor 瀏覽器中的零時差漏洞被用來利用JavaScript 的漏洞,從Windows 裝置上的使用者收集個人識別資訊(PII)。
被認為在Linux 上運行Tor 更安全可靠。
Tails 和Whonix 都是為Tor 使用而設計的流行Linux 變體。
然而,你可以在幾乎任何版本的Linux 作業系統上安全地運行該服務,並透過頂級Linux VPN 進一步增強你的保護。
你可以在Tor 上被去匿名化嗎?
多年來,關於FBI、國家安全局(NSA)和其他美國政府機構可以去匿名化Tor 使用者的懷疑一直存在。這導致了Tor 只是執法部門用來監視那些在網路上尋求匿名的人的陷阱的傳言。
值得記住的是,洋蔥網絡最初是由美國海軍構思和開發的,並且仍然主要由美國政府資助。這本身並不一定是個問題,但Tor 開發人員與美國政府之間的持續合作——在Yasher Levine 的書《監視山谷》中提到——更令人擔憂。
儘管Tor 被設計為完全匿名的,但有許多次這種去匿名化的懷疑被證實。
在2017 年的一起法庭案件中,FBI 最終拒絕披露或提供有關用來識別嫌疑人的Tor 漏洞的證據,導致案件完全崩潰。這表明,雖然FBI 可能有能力去匿名化用戶,但他們不能透露他們的方法。
如果情報機構公開揭露一個漏洞,一般用戶會抵制該平台。然後無法使用該平台進行監視,很容易將任何剩餘的流量識別為國家關聯。
儘管如此,近年來, Tor 開發人員與美國政府機構之間的幾封電子郵件通訊被公之於眾。以下是其中一封Tor 聯合創始人與司法部討論合作的電子郵件示例,其中包括提到安裝“後門”:
Tor 聯合創始人Roger Dingledine 發送的一封電子郵件截圖。
更多這些通訊可以在網路上閱讀,以及其他幾封Tor 開發人員與美國情報機構之間的交流。
哥倫比亞大學的去匿名化研究
哥倫比亞大學的研究人員還開發了流量分析攻擊,允許他們透過分析路由器資訊去匿名化高達81% 的Tor 用戶。
NetFlow 是一種目的是為了收集IP 流量資訊並監控網路流量的技術。它內建於Cisco 路由協定中,允許在流入和流出介面時取得流量資訊。
入侵者可以利用這些訊息,透過監控洋蔥網路中不同點的流量模式來進行流量分析攻擊。
透過利用NetFlow,入侵者可以揭示使用者的原始IP 地址並揭露他們的真實身分。這進一步證實了Tor 使用者可以被識別和去匿名化。
使用Tor 的安全益處
如上所述, Tor 不能保證你的匿名性。然而,Tor 瀏覽器仍有其優勢。如果正確使用,它可以為你的線上活動提供額外的隱私和安全層。它還可以造訪普通瀏覽器不支援的暗網和.onion 網站。
Tor 瀏覽器是開源的,這意味著軟體的原始程式碼是公開可造訪的,並且可以進行同儕審查。這提高了網路的效能,因為專家更容易識別和修復錯誤和隱私風險。
開源軟體也更加透明。如果在瀏覽器的後台放置加密後門,理論上分析人員應該可以看到。在這方面,開源軟體通常更安全。
Tor 的軟體揭示了網路世界的許多隱私風險。工程師們利用這些問題來改善整個網路的隱私問題。
以下是Tor 的安全和隱私優勢的更詳細列表:
三層加密與隨機IP 地址
在其核心, Tor 用於匿名化線上活動。類似於VPN,它透過加密你的網路流量並更改你的IP 地址來實現這一點。
與VPN 不同,Tor 使用隨機的去中心化伺服器網絡,這意味著你無法控制你連接的伺服器的位置。要更了解這些區別,請閱讀我們的Tor 與VPN 指南。
為了增加安全性,你的數據還會每十分鐘分配一組新的伺服器來跳躍。由於每個節點只知道鏈中直接相鄰的伺服器的身份,不可能有人逆向工程你通過洋蔥網路的資料路徑。
儘管暗網經常與犯罪活動相關聯,但它也可以幫助那些居住在嚴格審查法律的國家的人。 Tor 提供了造訪暗網上合法內容的途徑,例如政治論壇。這大大幫助了那些言論自由受到威脅的使用者。
這使得Tor 成為在審查嚴格的國家或受管制的WiFi 網路上解除封鎖網站的重要工具。
在幾乎所有地方使用Tor 都是合法的
在世界大多數國家使用Tor 是合法的。然而,在某些地方,它是非法的、被禁止的或被當局阻止以執行國家審查。這些國家包括白俄羅斯、土耳其、俄羅斯、伊朗和沙烏地阿拉伯。中國也阻止所有Tor 流量,以防止用戶繞過防火長城。
如果你住在Tor 被封鎖的國家,可以使用Tor 橋來造訪洋蔥網路。 Tor 橋是指沒有列在公共Tor 目錄中的中繼節點。這使得政府幾乎不可能完全阻止造訪Tor,因為一些中繼節點對當局來說是未知的。
使用者可以在Tor 的網路設定中連接到Tor 橋。
或者,你可以將VPN 與Tor 結合使用。這被稱為洋蔥VPN。在先連接到遠端伺服器的情況下,你可以繞過本地審查並使用VPN 伺服器的IP 地址造訪Tor 網路。
去中心化的伺服器網絡
VPN 軟體透過位於你選擇位置的單一遠端伺服器重路由你的資料。這個伺服器由VPN 服務私有,這意味著公司可以從技術上造訪你的IP 地址和瀏覽活動。(This article is created by how&best)
如果VPN 記錄你的網路流量,政府當局可以合法地強迫服務提供者交出這些資訊。
相比之下, Tor 是一個基於社區的網路。它依賴由志願者運行的隨機去中心化伺服器網路,這意味著用戶不需要信任私人公司、他們的ISP 或任何其他第三方。
在任何時候,伺服器都無法同時造訪你是誰和你在做什麼。
如何安全使用Tor 瀏覽器
大多數與Tor 相關的風險可以透過改變你的瀏覽行為來解決。為了保持匿名,你必須避免任何可能導致資訊外洩或使觀察者推斷你的身分的行為。
一些健康的懷疑可以保護你。在這裡,假設總有人在看你是明智的。
為了在線保持安全,我們不建議使用Tor,除非絕對必要。如果你處於必須使用Tor 的情況,請遵循以下建議安全使用Tor:
要安全使用Tor,你應該:
- 從Tor 官方網站下載應用程式
- 連接可信賴的VPN 服務,如NordVPN
- 在你的裝置上安裝反惡意軟體
- 避免使用手機的雙重驗證
- 避免使用個人帳戶,如電子郵件和Facebook
- 僅造訪安全的HTTPS 加密網站
- 每次瀏覽會話後刪除Cookie 和本地網站數據
- 不要使用Google(DuckDuckGo 是一個很好的替代搜尋引擎)
- 避免同時使用和不使用Tor 瀏覽器連線到同一個VPN 伺服器
- 避免使用torrent(它會減慢網路速度)-尤其是BitTorrent
- 停用JavaScript,因為它可以揭露你的身份
- 保持你的作業系統更新
- 避免使用Tor 瀏覽器捆綁包(Firefox 漏洞使得更容易暴露你的身分)
如果你像普通瀏覽器一樣使用Tor,幾乎肯定會導致DNS 或IP 外洩。其他應用程式如電子郵件和其他網頁瀏覽器不會通過Tor 網路。因此,登入個人帳號如網路銀行、電子郵件和社群媒體資料是不安全的。
以下是安全使用Tor的最重要步驟的詳細解釋:
安裝反惡意軟體
Tor 專案建議使用者定期檢查是否有惡意軟體和病毒。儘管Tor 網路本身是安全的,但已知存在漏洞,可能使入侵者透過受損的出口節點將惡意軟體傳播到你的裝置。
2014 年,俄羅斯駭客在洋蔥網路內的下載中插入惡意程式碼後,從Tor 用戶那裡竊取了敏感資料。
在使用Tor 之前,重要的是在你的
裝置上安裝反惡意軟體,以識別和防止惡意出口節點發送的惡意軟體。
使用可信賴的虛擬私人網路(VPN)
你可以將VPN 與Tor 結合使用,為你的網路流量增加一層額外的加密。
然而,連接每個工具的順序將影響你收到的隱私和安全益處。
你可以透過兩種方式將VPN 與Tor 結合使用:
1. 先連接VPN 再使用Tor
這被稱為洋蔥VPN。先連接到VPN 服務,你將:
- 防止你的ISP 看到你連接到了Tor
- 防止Tor 的入口節點看到你的公共IP 地址
- 防止你的VPN 服務監視你的Tor 流量
- 保護你在流量修正攻擊中的完全去匿名化
- 透過VPN 的防火牆保護你的裝置避免惡意軟體的攻擊
儘管你的VPN 服務將無法查看你在Tor 上的活動,但它仍然可以看到你連接到了Tor 網路,以及你的真實IP 地址。洋蔥網路中的出口節點——無論是否惡意——仍然可以監視你的網路流量。
2. 先使用Tor 再連線到VPN
這被稱為VPN 洋蔥。透過先連接到Tor 網絡,你將:
- 防止Tor 出口節點查看你的瀏覽活動
- 使用具有Tor 的高級VPN 功能,例如切換伺服器或雙重VPN
- 透過VPN 斷網開關防止IP 和DNS 洩露
- 透過Tor 網路傳送你的所有VPN 網路流量
儘管Tor 出口節點將無法監視你的流量,但你的VPN 服務將可以造訪與沒有Tor 的情況相同的資訊,包括你的IP 地址和活動。
Tor 最佳VPN
我們評價了65 個VPN 服務的隱私和安全性,以找到最安全的Tor VPN。根據我們的測試結果,我們推薦NordVPN或Astrill作為與Tor 瀏覽器一起安全且可信賴的選擇。
兩者都包括斷網開關、 IP 洩漏保護和原生的「洋蔥VPN」支援。它們都使用業界標準的AES-256 加密和OpenVPN,確保你的流量在造訪Tor 網路時受到保護。
如何安全使用NordVPN 與Tor 瀏覽器。
NordVPN 的無日誌政策目的是為了保護你的線上隱私和匿名性。如果你是一般用戶,我們推薦使用NordVPN。雖然VPN 在安全性方面表現出色,但它用戶友好且性價比高,非常適合VPN 新手。
Astrill 也有一個安全透明的日誌政策,在你的活動VPN 會話結束後永久刪除所有記錄的資訊。這允許提供者在保護你的隱私的同時保持效能。 Astrill 是一個更貴、技術性的服務,但其靈活性和額外功能使其成為高級用戶的絕佳選擇。
