منذ إصدار نُسخة متصفح تور 14 و مشروع تور قرروا تغييرات تزوير وكيل المستخدم.
تاريخيًا، كان متصفح تور ينتحل وكيل المستخدم الموجود في رؤوس HTTP، بينما لا ينتحل وكيل المستخدم الذي تم إرجاعه بواسطة خاصية
Navigator.userAgentفي JavaScript. كان المنطق وراء انتحال رأس HTTP هو منع التتبع السلبي لنظام تشغيل المستخدم من قبل مواقع الويب (عند استخدام مستوى الأمان “آمن للغاية”) ومن قبل عُقد الخروج الضارة (أو أجهزة التوجيه الخاصة بها) التي تستمع بشكل سلبي إلى حركة مرور HTTP غير المشفرة. لقد تركنا استعلام JavaScript سليمًا لأغراض توافق موقع الويب وسهولة استخدامه. كما تركناه ممكّنًا لأنه توجد بالفعل العديد من الطرق لاكتشاف نظام التشغيل الحقيقي للمستخدم عند تمكين JavaScript (على سبيل المثال عبر تعداد الخطوط).
تفضيلات منطقي
privacy.resistFingerprinting.spoofOsInUserAgentHeader. عندما يتم تعيين هذا التفضيل على true (وهو الافتراضي حاليًا)، سيتبع متصفح تور السلوك القديم الموصوف سابقًا. ومع ذلك، إذا قمت بتعيين هذا التفضيل (يمكن الوصول إليه في about:config) على false، فلن يقوم متصفح تور أبدًا بتزييف وكيل المستخدم وسيبلغ عن عائلة نظام التشغيل الخاص بك (أي Windows أو macOS أو Linux أو Android) عند الطلب. نحن نفكر في تغيير متصفح تور لجعل هذا السلوك الافتراضي الجديد.
ما السبب؟
لذا، لماذا نفكر في إجراء هذا التغيير؟ في الأساس، يتسبب تزوير وكيل المستخدم بشكل غير متماثل في تعطل موقع الويب بسبب نصوص اكتشاف الروبوتات. وفي تحليلنا، يوفر أيضًا قدرًا ضئيلًا من الفائدة للمستخدم من حيث الحماية الإضافية لإمكانية الارتباط (أي التتبع عبر المواقع، والتبصيم)، وعندئذٍ فقط عند تعطيل JavaScript. كما أدى وضع HTTPS-Only الافتراضي في متصفح تور (وانتقال جزء كبير من الويب إلى HTTPS) إلى تقليل فائدة التجسس السلبي على حركة مرور HTTP لوكلاء المستخدم بشكل كبير أيضًا.
كيفية تغيير هذا السلوك؟
في حين أنه من المنطقي أن تستخدم تور لتصفح الإنترنت مع تشغيل JavaScript من أجل التوافق (وهو أمر لا ينبغي لك فعله إلا إذا كنت تثق في الموقع وهو مشهور جدًا). من أجل الخصوصية، تريد أن تجعل نفسك تبدو أكثر شبهاً بالآخرين. على وجه التحديد إذا كنت تستخدم أنظمة تشغيل أكثر ندرة (لينكس، BSD). لحسن الحظ، يسهلون عليك التغيير إلى الطريقة التي كانت تعمل بها من قبل.
افتح علامة تبويب جديدة. في شريط عنوان URL، اكتب about:config.
إذا ظهر تحذير، فاقبله.
ثم ابحث في الأعلى عن privacy.resistFingerprinting.spoofOsInUserAgentHeader واضبطه على true عبر النقر على هذه الأيقونة.
التحقق من أنه يعمل بالانتقال إلى https://www.whatismybrowser.com/ ورؤيته يقول أنك تستخدم نظام التشغيل Windows 10.
في نفس الوقت، في about:config اكتب javascript.enabled واضبطه على false. سيؤدي هذا إلى تعطيل javascript مباشرة على متصفحك. لن يؤدي هذا إلى تشغيله بشكل أسرع فحسب، بل سيظل محميًا في حالة فشل امتداد noscript مثل ما جرى في حادثة 2019. يمكنك إغلاق علامة تبويب الأن.
معلومة: على الرغم من أن ضبط مستوى الأمان على “آمن للغاية” يؤدي إلى تعطيل JavaScript، فإنه يستخدم NoScript للقيام بذلك. في الماضي، كان NoScript يعاني من أخطاء حيث تم تعطيله عشوائيًا والسماح بتشغيل JavaScript بصمت.
إذا لديك أي سؤال أو استفسار.
انضم إلى مجموعة أسس لأمن المعلومات والخصوصية الرقمية على: