基于Tor延伸的隐私安全

        之前在GitHub上看到过一篇名为 Digital-Privacy（数字隐私）的文章，收藏量将近4K，里面叙述了网络中各种泄露隐私的情况，并提供了众多测试隐私泄露及保护隐私的工具，让人惊叹的同时也陷入反思。

        身处互联网大数据时代的我们，数据隐私真的是无处遁形，如何尽量做到保护个人隐私，真的是难乎其难。于是这让我想起了Tor Browser（洋葱浏览器），经过一番资料查询，得到以下相关延展知识。

        Tor Browser的前身为The Onion Router（洋葱路由器），其核心技术最早由美国海军研究室开发而出，后续由美国国防部、联邦调查局等政企捐助维护。2004年起，该技术源代码走向开源，Tor Browser就此诞生。

        用户可透过Tor自带的代理工具，包含6000+个中继的覆盖网络，从而达至隐藏用户真实地址、避免网络监控及流量分析的目的，同时在关闭软件后会自动删除敏感隐私资料，例如 Cookie 和浏览记录，达到最高的安全性。Tor用户的互联网活动（包括浏览在线网站、帖子以及即时消息等通信形式）相对较难追踪，Tor的设计原意在于保障用户的个人隐私，以及不受监控地进行秘密通信的自由和能力。

        Tor Browser旨在尽量减少间谍行为和窃听的机会。当然没什么是完美的，Tor 也有它的缺点，问题会出现在出口的节点上。但是 Tor 无疑仍然是我们目前能拥有的最佳选择，在使用时，建议不要随意篡改 Tor 的默认设置，除非你明确知道这些配置的意义。因为启用 Javascript 和其他 插件 可能会导致您的 IP 地址被泄漏。

        Tor Browser的普及激发了一些居心不良的人，较为人所知的功能是可以浏览暗网（DeepWeb）。就是必须透过特殊软体、特殊授权或进行特殊设定才能够连上的网路，由于一般搜寻引擎无法找到这些内容，且暗网伺服器位址和资料传输通常是匿名加密，也因此更难发现或追踪使用者真实身分，同时这里存在着众多的非法业务。

        但是无论你认为自己有多安全，你都不能对这样一个事实视而不见：你的任何一点错误都将有可能在互联网上泄露你的身份。这里有 9 件事，在使用 Tor 时请尽量避免：

①、请勿将您的手机在 Tor 上用于两步验证：

        大多数网站会使用手机号码进行两步验证，将OTP（一次性密码）发送到您的手机上，使您可以安全地登录到自己的帐户。但千万不要在 Tor 浏览器上这样做。如果您将手机号码提供给网站，它只会在网上妨碍您的匿名状态，因为使用手机号码更容易追踪您。

        请注意，即使您使用的是以其他人的名字注册的 SIM 卡（非实名手机卡），电信运营商也同样可以轻松追踪到您，因为他们可以将设备的 IMEI 号码保存在其数据库中 —— IMEI 号码是独一无二的，也就是说不会出现两台设备共享相同一个 IMEI 或 MEID 号码的情况，那就是您的身份。

②、不要在 TOR 之外操作用户帐户：

        如果您使用 TOR 浏览器登陆您的 Google，Twitter 或 电子邮件帐户，就请不要在 TOR 浏览器之外使用这些帐户，因为它会将您的在线身份暴露给网站。

        网络上的几乎每个站点都会记录登录和注销时间、您的位置、IP 地址和其他详细信息，在开放的互联网上使用您的帐户即使一次也足以让您的 IP 地址被记录，并最终暴露您的身份。

③、不要发布有关您的任何个人信息：

        必须牢记这点，不要在使用 TOR 时发布任何个人信息，如姓名，地址，生日，信用卡号码等等，它将揭示你的身份，造成使用 TOR 也没有意义，希望你能理解。

        为了让自己完全隐藏起来，你需要伪装自己。这意味着您需要在使用 TOR 时将自己表现为具有不同行为特征的人。变成完全不同的人，具有不同的好恶、选择偏好，以及理想等等。

        为此，请使用新的电子邮件地址创建一个新的用户帐户，该电子邮件地址必需不会反映您的真实身份。将其用于您的社交媒体账户。

        另外，不要混淆匿名和假名。匿名连接是您想要连接的服务器不知道您的真实 IP 地址/位置和您的身份的相关性。

        假名连接是被请求的服务器不知道你的实际 IP 地址/位置，但是它可以知道与连接关联的身份，虽然那个身份不是你。

④、不要通过 TOR 发送未加密的数据

        阅读上述我们的文章您会发现，TOR 加密的是你的连接而不是你的数据，而 TOR 的出口节点是脆弱的。因此，强烈建议不要通过 TOR 网发送未加密的数据，因为有人可能会守在出口节点访问您的信息。你不知道那会是谁。

⑤、不要在 Windows 中使用 TOR

        微软的 Windows 是世界上使用最多的台式机操作系统，但是当你想要使用 TOR 浏览器时，它可不是什么好的选择。

        Windows 无法被信任是由于操作系统本身存在的漏洞，即使您使用 TOR 访问互联网，也可能会泄露您的身份。

        Linux 系统将为您提供良好的服务。像 Tails 和 Whonix 这样的 Linux 发行版都预先配置了 TOR。您也可以在任何您喜欢的发行版上手动配置它。

⑥、不要忘记删除 cookies 和本地网站数据

        当您访问网站时，它会向您的计算机发送一个小文件，以保存您的浏览习惯和其他数据的记录，以便网站在您下次访问时能够识别您，该文件称为 cookie。某些网站也可能将数据本地存储在您的硬盘上。

        在  TOR 上执行的每个浏览会话之后，您应该删除这些 cookie 文件和本地网站数据。这些东西可能会让网站收集到有关您的信息并跟踪您的位置和 IP 地址。

        Tor 浏览器的更新版本会在结束会话后自动删除网站 Cookie 和下载历史记录。另外您也可以单击新建标识选项（在地址栏之前单击洋葱按钮），而不必关闭 Tor 浏览器。

⑦、勿将 TOR 用于 Google 搜索

        如果您想在使用 TOR 时保持匿名，请勿使用 Google 搜索。虽然这听起来很奇怪，但这是因为 Google 会收集您的搜索请求等信息，将 Cookie 文件存储在您的计算机上，并跟踪您的浏览习惯以支持其广告服务。

        你肯定不想透露这些信息，因此，您最好避免 Google，使用其他搜索引擎，如 DuckDuckGo 和 StartPage，因为它们不会记录您的 IP 地址或任何其他活动。而谷歌有可能会显示一条错误消息或要求验证码，这是因为通过 Tor 访问 Google 的人似乎很可疑。

⑧、不要在 TOR 上打开 不加密的HTTP 网站

        如果您使用 TOR 访问 HTTP 站点，有人可能会在出口节点上访问您的信息。传输到 HTTP 站点和从 HTTP 站点传输的数据是未加密的，并且可以在端点上进行查看，因为 TOR 仅加密其网络内的连接。

        您可以通过使用 HTTPS 来防止这种情况。他们使用 SSL（安全套接层协议）和TLS（传输层安全协议）等端到端加密协议。因此，即使您位于 TOR 网络之外，您的所有数据仍然安全。

⑨、不要同时使用 Tor 和不使用 Tor 访问同一台服务器

        这是你必需记住的一件重要的事。如果您使用TOR（匿名）访问特定的远程服务器，就切记不要从 TOR 网外（非匿名）访问同一台服务器，因为这可能会导致您的实际身份被揭示。

        这是因为，如果你的网络出现故障，你的所有连接将在同一时刻终止，如果有人对你进行窥探，并完成拼图，这一点都不难。

        此外，Web 服务器可能会尝试通过增加或减少 TOR 或非 TOR 连接的速度来将两个连接关联起来，以查看速度是否在另一个连接上存在波动，从而跟踪您的真实 IP 地址。