Tor浏览器用户手册
不久前Tor Project发布了Tor浏览器的用户手册,其中介绍了Tor浏览器的原理及使用方法。考虑到很多同学还没听说过Tor浏览器,或在使用过程中存在着种种误区,将其翻译成了中文,并加入了一些提示,希望可以帮助各位同学更加有效地保护自己的安全及隐私。
1. 写在前面
随着隐私及安全意识的提升,越来越多的同学开始使用匿名工具保护自己。然而因为相关的中文资源(数量或质量)太过有限,对于匿名工具的原理和使用,不少同学都存在着一些误区。对此,二翔子将通过努力地了解和学习,把更多、更好的普及教程献给大家。而以Tor浏览器这样一款基础却又优秀的匿名软件作为开篇,可以说是再合适不过了。文中从第二小节起是二翔子对Tor Project发布的Tor浏览器用户手册的翻译,其中斜体字部分是二翔子自己加入的提示内容。与往常一样,由于二翔子的知识和能力有限,如果文中有没说清楚的地方,希望大家能在评论区指出,以帮助二翔子将博文写得更好。
1.1 Tor, TOR, Tor Browser, Tor Browser Bundle
在有关Tor的讨论中,很多同学没有对以上词汇进行区分,结果给问题的描述和讨论造成了困难。为了方便起见,二翔子在此先对这些词汇做个约定。
1.1.1 Tor还是TOR?
Tor的规范写法只有“Tor”一种,这一点在其官网上已经明确指出了:)
1.1.2 Tor还是Tor Browser?
很多同学喜欢用“Tor”指代Tor浏览器。但实际上Tor是一个很大的词汇,其既可以指Tor匿名网络,也可以指Tor社区;既可以指Tor客户端(又称裸Tor),又可以指Tor服务端;因此,当你想指Tor浏览器时最好就写“Tor浏览器”或者“Tor Browser”。
1.1.3 Tor Browser还是Tor Browser Bundle?
通常情况下这二者可以说是一回事儿,但也有例外情况:比如说,如果你能确定出问题的是浏览器,那么就没必要说“Tor Browser Bundle”怎么怎么样了;再比如,在一些高级玩法中,需要把Tor Browser Bundle拆成Tor Browser和Tor客户端两部分(Whonix就是这样干滴),这时候的讨论就需要对名称加以区分。
1.2 自测问题
如果读完这篇博文,你能回答出以下问题,说明相关知识你已经完全掌握了。欢迎大家在评论区中写下自己的答案,二翔子也会在一段时间后写出自己的答案:)
- 小明喜欢匿名地在线冲浪,但他总觉得Tor浏览器用起来“不够顺手”,因此每次都是用Tor配合自己喜欢的(Chrome/Firefox/IE/Safari)浏览器使用。请问他这样做会失去Tor浏览器提供的哪些保护措施?能否分层次的说一说?
- 为了防止IP泄漏,小明改为在自制的隔离虚拟机中进行在线冲浪,但他仍只用了自己喜欢的(Chrome/Firefox/IE/Safari)浏览器和Tor客户端。请问他这样做的匿名性如何?为什么?
- 小红在Tor Check(或其它IP检测)页面点击了Torbutton中的“为此站点使用新Tor线路”,却发现重新加载后的页面所显示的IP地址和上一次一样。假如Tor浏览器和该网页都工作正常,你觉得是什么原因导致了这一现象?
2. 关于Tor浏览器
Tor浏览器使用Tor匿名网络保护你的隐私及匿名性。使用Tor网络有主要有两个特点:
- 你的互联网服务提供者(ISP),以及任何能够监控你的本地流量的人,都将无法跟踪你的网络活动,其中包括你所访问的网站的地址及名称;
- 你所使用的网络服务或访问的网站的提供者,以及所有能监控他们的人,都只能看到你的连接来自Tor匿名网络,而无法看到你的真实IP地址。因此,除非你自己透露之,否则他们无法得知你的身份。
除此之外,Tor浏览器还被设计得能够防止网站通过你的“指纹”或浏览器设置来识别你的身份。
默认设置下,Tor浏览器不会保存你的任何浏览历史。Cookie只在单次的会话中有效(退出Tor浏览器或请求新身份后失效)。
2.1 Tor工作原理
Tor是一个建立在虚拟隧道之上的网络,旨在提升你在互联网上的隐私性及安全性。Tor会将你的网络流量随机地通过3台架设在Tor匿名网络之内的服务器(又称节点),然后最后一个节点(又称“出口节点”)再将你的流量发送至公共互联网。
上面这张图片描绘了一个用户使用Tor浏览不同的网站。绿色屏幕的电脑代表了Tor网络中的各个节点,而那三把钥匙则代表了用户及各个节点之间的加密层。
Tor之所以拿洋葱当图标,就是因为在其数据传输过程中各节点的层层解密(加密)就像剥洋葱一样。
3. 下载
下载Tor浏览器最安全且最简单的办法是前往Tor Project的官方网站。你与Tor官网的通讯采用HTTPS加密,使得他人难以破坏。
然而,有时你也可能无法访问Tor Project的网站:比如,当其被你所使用的网络屏蔽时。一旦遇到这样的情况,你可以采用如下办法下载Tor浏览器。
尽管以下的各种方法已经是Tor下载受到审查的情况下的备用之选,但由于大陆的网络封锁极为严重,因此在没有其它翻墙工具辅助的情况下,只有使用Email的方式可能有效。
3.1 GetTor
GetTor服务可以自动回复给你最新版本Tor浏览器的下载地址,其服务器广泛分布于不同位置,比如Dropbox,Google Drive及Github。
3.1.1 通过Email使用GetTor
- 发送邮件给[email protected],在邮件的正文中根据你所使用的操作系统简单地写上“windows”,“osx”或者“linux”(不要加引号);
- GetTor将会自动回复你一封电子邮件,其中包含Tor浏览器下载地址、密码学签名(用来校验下载到的软件包)、对软件包进行了签名的密钥的指纹及软件包校验值。你可能会收到“32位”和“64位”两种软件包,如何选择取决于你计算机类型。
3.1.2 通过Twitter使用GetTor
- 假如你想获取英文版的支持OS X的Tor浏览器,则发送私信“osx en”至@get_tor(无需follow该账户)。
3.1.3 通过Jabber/XMPP (Tor Messenger, Jitsi, CoyIM)使用GetTor
- 假如你想获取中文版的支持Linux的Tor浏览器,则发送私信“linux zh”至[email protected]。
3.2 Satori
Satori是一个Chrome/Chromium浏览器的扩展,其允许你通过不同的下载源,下载多个安全及隐私相关程序。
使用Satori下载Tor浏览器:
- 从Chrome App商店安装Satori;
- 在你浏览器的Apps菜单选中Satori;
- 打开Satori后选择你的语言偏好。之后的菜单会列出你所选择的语言可供下载的所有程序。找到你所使用的操作系统下的Tor浏览器。程序名称后的“A”和“B”代表了不同的下载源,点击之即可开始下载;
- 待下载完成后,在Satori的菜单中找到“Generate Hash”选项,进入后点击“选择文件”;
- 选择下载好的Tor浏览器软件包,Satori会计算并显示出其校验值,将这个值与原始校验值进行比较(原始校验值可以在下载开始后点击“checksum”找到)。如果两个校验值匹配则证明下载成功,如不匹配,则需要你(换个下载源)重新下载。
4. 第一次运行Tor浏览器
第一次运行Tor浏览器时会看到Tor网络设置窗口。通过它你可以选择直接或通过特殊配置连接到Tor网络。
4.1 连接
多数情况下你只需选择“连接”即可连接到Tor网络。点击后,一个显示Tor连接过程的进度条会弹出。如果你有一个相对快速的网络连接,却在某个进度点上卡住了,那么请前往之后的故障排除小结。
4.2 设置
如果你确定你的连接遭到了审查,或者你想使用代理连接到Tor网络,那么请选择此项。Tor浏览器会带你进行一系列的配置选择。
- 第一个窗口会问你所在的网络是否屏蔽或审查了Tor。如果你觉得没有的话请选择“否”。如果你确定自己的连接遭到了审查,或者你尝试了各种连接到Tor网络的方法却未成功,那么请选择“是”。接下来你会被带到绕过审查窗口进行pluggable transport相关配置。
- 下一个页面会问你是否要通过代理连接到Tor网络。在大多数情况下这都是没必要的。你会清楚的知道自己是否需要进行代理设置,这是因为相同的设置在你的其它浏览器上也会被使用。如果可能的话,请向你的网络管理员寻求指导。如果你连接无需代理,请点击“下一步”。
5. 绕过审查
直接访问Tor网络有时可能会被你的互联网提供者或政府审查。Tor浏览器包含了一些帮助你绕过审查的工具。这些工具被称作“pluggable transports”。前往Pluggable Transports页可了解更多现阶段可用的传输类型。
5.1 使用 pluggable transport
- 如需使用pluggable transports请在第一次运行Tor浏览器时点击“配置”。
你也可以在Tor浏览器运行时进行相关设置。办法是点击地址栏附近的绿色洋葱按钮,然后选择“Tor网络设置”。
-
当被问及你的互联网提供者是否屏蔽了Tor网络时,选择“是”。
-
选择“使用集成的网桥连接”。当前Tor浏览器有六种pluggable transport可供选择。
5.2 该用哪种transport?
每一种pluggable transport的工作机制不尽相同(详情见Pluggable Transports页),它们各自的有效程度取决你所在的网络环境。
如果你是第一次尝试绕过审查,那么请将所有的transports都尝试一遍:obfs3, obfs4, ScrambleSuit, fte, meek-azure, meek-amazon。
如果你尝试了所有方法却都未见效,那么请手动输入网桥地址。了解更多有关网桥及其获取办法,请前往Bridges页。
6. 管理身份
当你访问某个网站时,能够记录你访问数据的不止有该网站的运营者。如今的大多数网站都使用着数不清的第三方服务,其中包括社交网络的“Like”按钮,分析追踪程序及广告信标。而这些服务均可以将你在不同网站的行为活动联系起来。
使用Tor网络可以阻止追踪者获取你的真实IP和物理位置,但即使没有这些信息,追踪者仍然有能力将你在不同网站的活动联系起来。因此,Tor浏览器包含了一些额外的特性,旨在让你掌控你的哪些网络活动会被视为同一身份所为。
6.1 地址栏
Tor浏览器将你的网络体验放在中心。即使你所访问的两个网站使用了相同的第三方服务,Tor浏览器会选择两条不同的Tor链路分别对这两个网站进行访问,因此追踪者无法得知这两次访问源自同一个人。
但另一方面,所有对某一单一网站进行的访问都将使用相同的Tor链路,这意味着你可以在不损失任何功能的情况下,使用不同的标签页或窗口访问该网站的不同页面。
你可以看到一个当前标签页中Tor所用链路的示意图。
6.2 通过Tor登录
虽然Tor浏览器是为用户匿名上网设计的,但有些情况下也需要使用Tor登录那些需要用户名,密码或其他身份信息的网站。
在你使用普通的浏览器登录网站或发送电子邮件时时,你会暴露你真实的IP地址与地理位置。但Tor浏览器有能力让你自己选择在你登录社交网络或电子邮箱时,要透露哪些信息。在你想要登录受到审查的网站时,使用Tor浏览器同样会有帮助。
当你要通过Tor登录某个网站时,以下几点你应牢记在心:
- 查看安全连接页,了解有关如何在登录时确保连接安全的信息。
- Tor从来不曾真正隐藏你的连接,它只能让其看来是来自世界上另一个地方。一些网站,如银行或电子邮件服务商,可能会将其解读为你的账户遭到入侵的标志,因而冻结你的账户。解决此类问题的唯一办法是遵从网站的账户回复流程,或联系网站的运营者并说明情况。
说到用Tor登录账户,二翔子想提醒大家:由于你应该始终假设你所访问的网站会记录其能获取到的所有信息,所以只要你之前有一次没有使用匿名技术就登录了账户,那么不管你以后使用了多么严格的匿名技术,你仍然不是匿名的。
6.3 更换身份和链路
Tor浏览器在菜单设有”新身份“和”为此站点使用新Tor线路“选项。
6.3.1 新身份
这个选项可以帮助你切断你接下来的浏览行为与之前的浏览行为间的联系。点击这个选项会关闭你目前所有的标签页及窗口,清空所有的隐私信息诸如cookie和浏览历史,并为之后所有连接使用新的Tor链路。Tor浏览器会提醒你所有的活动及下载都将被停止,因此在点击之前请先考虑清楚。
6.3.2 为此站点使用新Tor线路
这个选项在当前使用的出口节点无法连接或正常加载你请求的网站时十分有用。点击它会让Tor浏览器换一条新的链路来加载当前的标签页或窗口。其它已被打开的标签页或窗口也会在它们被重新加载时使用新的链路。这一选项不会清空你的任何隐私信息,不会帮助你切断接下来的浏览行为与之前的浏览行为间的联系,不会影响到当前你与其它网站间的连接。
应该指出,Tor会将出口节点相同但中间节点不同的链路视为不同的链路(之所以这样设计与Tor浏览器的Adersary Mode有关)。因此,在极少数情况下,点击”为此站点使用新Tor线路”后,其使用的出口节点并未改变。
7. 洋葱服务
洋葱服务(正式名称”隐藏服务“)是一些只能通过Tor网络连接的网络服务(如网站)。
洋葱服务拥有一些其它同样设在非私人网络的网络服务所不具备的优点:
- 洋葱服务器的位置和IP地址是隐藏的,这使得攻击者难以审查或识别运营者身份。
- Tor用户与洋葱服务间的通讯是端对端加密的,因此你无需担心使用洋葱服务的网站并未开启HTTPS加密。
- 洋葱服务的地址是自动生成的,因此运营者无需购买域名;URL中的.onion后缀帮助Tor确保其连接到正确的地址,且连接过程不被破坏。
7.1 如何访问洋葱服务
就像其它所有的网站一样,你必须知道要访问网站的地址。洋葱服务的地址是16位几乎随机的字母或数字加上”.onion“。
7.2 故障排除
如果你无法访问洋葱服务,请先确保你输入的16位洋葱地址正确:即使是一个小错误也会造成Tor浏览器无法访问该网站。
如果访问仍不成功,请稍候再试。这可能是由于暂时的连接故障或网站的运营者没有事先预警就将该服务下线造成的。
你可以通过尝试连接DuckDuckGo的洋葱服务来检验自己是否可以访问其他的洋葱服务。
8. 安全连接
当使用未经加密的互联网传输你的个人信息时,它们可被窃听者轻易读取。当你登录某个网站时,你应该确认该网站启用了防止此类窃听的HTTPS加密技术。这一点可以看地址栏确认:如果当前连接是加密的,那么地址的开头会是”https://“,而非”http://“。
下图是对当你(没有)使用Tor浏览器和(或)HTTPS 加密时,窃听者各将获得哪些信息的说明:
https://tb-manual.torproject.org/windows/en-US/secure-connections.html
- 点击”Tor“按钮,可以看到当你使用Tor时,观察者能了解到哪些信息。
- 点击”HTTPS“按钮,可以看到当你使用HTTPS加密时,观察者能了解到哪些信息。
- 当两个按钮都是绿色时,可以看到当你同时使用这两种工具时,观察者能了解到哪些信息。
- 当两个按钮都是灰色时,可以看到当这两种工具都没有使用时,观察者能了解到哪些信息。
可被查看到的数据信息包括:
- Site.com: 你所访问的网站;
- user / pw: 你的帐号和密码;
- data: 传输的数据;
- location: 你所在的地理位置/IP地址;
- Tor: 你是否正在使用Tor;
上面说的图表需要点击给出的链接进到原始页面查看。二翔子个人觉得那个动画特别不错,直观清楚地表示出了处于网络不同位置的攻击者在你采用不同安全措施的情况下所能获得的信息。另外要是能再加上Tor浏览器访问洋葱服务的部分,就更好了。
9. 安全滑块
Tor浏览器包含一个”安全滑块“,其允许你通过禁用一些会被用来攻击你的安全性和匿名性的网页功能,达到增强安全性的目的。提升Tor浏览器的安全等级会造成一些网页无法正常使用,因此你需要权衡你所需要的安全性与易用性。
这里二翔子教大家一个平衡安全性与易用性的小方法:在使用过程中以你期望的安全等级为“常用等级”,偶有遇到显示或功能不正常却又必须使用的网站时,再逐级降低其安全等级,直到网站能正常工作为止。用完该网页后,再将安全等级恢复为你的“常用等级”。
9.2 进入”安全滑块“
”安全滑块“位于Torbutton的”隐私与安全设置“菜单中。
9.3 安全等级
提升”安全滑块“的安全等级将会禁用或部分禁用特定的浏览器功能,以达到避免可能的攻击的目的。
说到避免攻击,每次Tor出现安全漏洞后,都会加一句:安全等级使用xx及以上的用户未受影响。
9.3.1 高
在这个等级,HTML5视频和音频需要通过NoScript点击播放;禁用全部JavaScript性能优化;禁用数学方程式的某些显示机制;禁用某些字体的渲染功能;默认禁用所有网站JavaScript;禁用大部分音视频类型;某些字体和图标可能无法正常显示。
9.3.2 中高
在这个等级,HTML5视频和音频需要通过NoScript点击播放;禁用全部JavaScript性能优化;禁用数学方程式的某些显示机制;禁用某些字体的渲染功能;禁用某些图像类型;对于非HTTPS网站,默认禁用JavaScript。
9.3.3 中低
在这个等级,HTML5视频和音频需要通过NoScript点击播放;禁用全部JavaScript性能优化,使得一些网站脚本执行变慢;禁用数学方程式的某些显示机制。
9.3.4 低
在这个等级,所有浏览器功能都将被启用。该选项可提供最佳的用户体验。
10. 更新
Tor浏览器必须保持是最新的版本。如果你使用一个过时的版本,那么你的隐私与匿名性将很容易受到利用安全漏洞的攻击。
一旦有了新的版本,Tor浏览器就会出现更新提示:Torbutton标志会多出一个黄色的小三角,你也可能在打开Tor浏览器后看到升级指示。你可以使用自动或手动的方式更新。
10.1 自动更新Tor浏览器
-
当被提示需要更新Tor浏览器后,点击Torbutton标志,并选择”检查Tor浏览器更新“;
-
当Tor浏览器完成更新检查,点击”更新“按钮;
-
待下载及安装完成后,重启Tor浏览器。现在你运行的就是最新版本的。
10.2 手动更新Tor浏览器
- 当被提示需要更新Tor浏览器后,完成当前的浏览并关闭程序;
- 通过删除其所在的文件夹的方式移除Tor浏览器(参见卸载);
- 访问https://www.torproject.org/projects/torbrowser.html.en,并下载最新版本的Tor浏览器,按往常一样安装之。
11. 插件,扩展及JavaScript
11.1 Flash播放器
诸如Vimeo的视频网站需要Flash播放器插件来播放视频。不幸的是,该插件的运行相对独立于Tor浏览器,并且很难让其遵从Tor浏览器的代理设置。因此它可以泄露你的真实位置或IP地址给网站的运营者和其它观察者。出于这个原因,Flash在Tor浏览器中是被默认禁用的,并且也不推荐将其手动开启。
一些视频网站(如YouTube)提供了其它无需依赖Flash的视频传输方式。这些方式也许可以与Tor浏览器兼容。
11.2 JavaScript
JavaScript是一种编程语言。它可以被网站用来提供互动元素诸如视频,动画,音频,状态时间表。不幸的是,JavaScript也可以被用来攻击浏览器,已达到对匿名用户去匿名化的效果。
Tor浏览器包含一个叫NoScript的附加组件(add-on)附加组件,可以点击窗口左上角的”S“标志使用它。它允许你控制JavaScipt将在哪些页面启用,也允许你在任何页面都禁用JavaScript。
需要高安全性的用户应将Tor浏览器的Security Slider设为”中高“(将在为启用HTTPS的网站禁用JavaScript)或”高“(将在所有网站禁用JavaScript)。然而,禁用JavaScript可能会使许多网站无法正常显示,因此Tor浏览器的默认设置是允许其在所有网站运行的。
11.3 浏览器附加组件(Add-ons)
Tor浏览器基于火狐浏览器,兼容火狐浏览器的任何附加组件和主题都可以被安装在Tor浏览器上。
但是,只有那些现在已经被默认包括在Tor浏览器上的附加组件被测试适合与Tor浏览器一起使用。安装任何其他的浏览器附加组件都可能破坏Tor浏览器的功能或导致严重的安全和隐私问题。Tor Project强烈建议不要安装额外的附加组件,并且也不会为它们提供任何支持。
12. 故障排除
第一次打开Tor浏览器程序,你应该只需要点击”连接“按钮即可。
12.1 快速修理
如果Tor浏览器无法直接连接,请尝试以下措施:
- 你电脑的系统时钟必须设置正确,否则Tor无法工作;
- 确保没有另一个Tor浏览器正在运行。如果你不确定是否有Tor浏览器在运行,请重启电脑;
- 确保杀毒软件没有在阻止Tor运行。如果不知道怎么做,你也许需要查看杀毒软件的文档;
- 暂时停用你的防火墙;
- 删除Tor浏览器并重新安装。重新安装时不要只是覆盖你之前的Tor浏览器文件;重新安装前应确保旧有的文件已被删除。
12.2 你的连接受到了审查吗?
如果你还是不能连接,也许是因为你的互联网提供者审查了去往Tor网络的连接。阅读绕过审查以寻求可能的解决办法。
12.3 已知问题
Tor浏览器处于持续开发的状态,而一些已知问题仍未解决。请前往已知问题页查看你遇到的问题是否已被列出。
13. 卸载
卸载Tor浏览器不会影响到你电脑上现存的任何软件或设置。
卸载Tor浏览器的办法很简单:
- 找到Tor浏览器所在的文件夹。Windows下的默认位置是桌面;Mac OS X下的默认位置是Applications文件夹。Linux下并没有默认位置,但如果你运行的是英文版,则文件夹的名称是”tor-browser_en-US“;
- 删除Tor浏览器文件夹;
- 清空回收站。
需要注意,整个过程无需使用操作系统中标准的”卸载“工具。
14. 推荐阅读
版权声明
本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。