Глава 4b. Использование Tor Browser.
Может показаться излишним создавать целый раздел о том, как использовать веб-браузер. Тем не менее, ваш веб-браузер часто является наиболее распространенной вещью, которую злоумышленники будут использовать, чтобы взломать вас. Tor Project приложили много усилий, чтобы сделать браузер Tor максимально безопасным. Однако из-за споров о выборе между юзабилити и безопасностью Tor Browser в настоящее время разрешает запуск всего javascript.
Споры о включении или отключении javascript являются справедливыми. Большинство веб-сайтов теперь используют javascript для доставки данных. Если javascript отключен, веб-сайты часто выглядят сломанными, что может обескуражить неопытного пользователя. Тем не менее, javascript часто является уязвимым местом, которое используется злоумышленниками. Один из недавних примеров - все, кто посещали сайты в сети Tor, размещенные на хостинге “Freedom Networking”, заражались вредоносными программами, которые раскрывали их реальный IP-адрес. Whonix обеспечивает очень хорошую защиту от утечки реального IP-адреса. Но нет никаких оснований оставлять дверь открытой для заражения вредоносными программами. В этой главе вы узнаете, как установить Tor Browser в Whonix и как использовать плагин “NoScript”, который по умолчанию отключит весь javascript.
1. Tor Browser не предустановлен в Whonix. Однако команда Whonix оставила на рабочем столе скрипт, который установит Tor Browser. Таким образом, вам сначала нужно дважды щелкнуть значок “Update Tor Browser”(Обновить браузер Tor) на рабочем столе.
2. Появится окно с сообщением о том, что проверяется наличие обновлений. В конце концов вы увидите окно, информирующее вас о том, что Tor Browser не установлен. Вас спросят, какую версию вы хотите установить. Выберите наибольшее число, которое не имеет “a” в номере версии. Номер версии, который имеет “a”, является “alpha” версией, что означает, что он предназначен только для тестирования и, таким образом, может иметь ошибки, которые могут создать проблемы. Когда вы выбрали стабильную версию с самым высоким номером, нажмите кнопку “Yes”(Да).
3. Теперь мастер начнет загрузку Tor Browser. Это может занять некоторое время. Через некоторое время вы, в конце концов, попадете в окно “Installation confirmation”(Подтверждение установки). Если вы видите сообщение в нижней части окна с надписью “gpg: Good signature from 'Tor Developers (Signing Key)'” удостовертесь что отпечаток совпадает с отпечатком, из изображения ниже, и нажмите кнопку “Yes”(Да). В противном случае нажмите “No”(Нет) и начните снова с шага 1 этой главы.
4. Следующее окно сообщит вам, что Tor Browser установлен, и спросит, хотите ли вы запустить его. Нажмите кнопку “Yes”(Да).
5. В появившемся окне вам нужно отключить javascript с помощью плагина NoScript. Значок NoScript будет слева от строки адреса в браузере и будет похож на значок ниже.
Нажмите на значок и выберите “Forbid Scripts Globally (advised)”(Запретить скрипты глобально (рекомендуется)).
6. Теперь снова щелкните значок NoScript и выберите “Options”(Параметры).
7. В появившемся окне перейдите на вкладку “Appearance”(Вид).
8. Нажмите на поле рядом с “Temporarily Allow [...]”(Временно разрешить [...]) , чтобы в нем появился флажок. Вы хотите включить эту опцию.
9. Затем нажмите кнопку “OK”, чтобы закрыть окно.
Начиная с этого момента, javascript и другие скрипты по умолчанию отключены для каждого посещаемого вами сайта. Однако, у вас будет возможность временно разрешить запуск отдельных скриптов на разных сайтах.
10. Теперь посмотрите, как NoScript работает. По умолчанию большинство скриптов отключено. Это обеспечивает защиту от вирусных инфекций с сайтов, на которых размещается вредоносное ПО, отвратительных баннерных объявлений от рекламодателей и т.д. В то же время вам потребуется предпринять некоторые дополнительные шаги для получения веб-страниц, которые полагаются на javascript для правильной работы. В браузере Tor перейдите по адресу https://www.youtube.com/watch?v=WaPni5O2YyI
11. Обратите внимание, что, помимо того, что у вас пустой экран на сайте Youtube, вы даже не видите никаких элементов управления плеером. Это связано с тем, что NoScript заблокировал скрипты. Таким образом, вам нужно включить скрипты на Youtube.com. Нажмите на значок NoScript и нажмите “Temporarily allow https://www.youtube.com”(Временно разрешить https://www.youtube.com).
12. Когда страница перезагрузится, со временем видео начнет воспроизводиться.
Хотя приведенный выше пример относится к youtube.com, подобный процесс будет применяться ко всем другим веб-страницам, которые вы используете. Если вы перейдете на сайт и обнаружите, что он сломан и не пригоден для использования, следуйте инструкциям, приведенным выше, с помощью краткой справки ниже.
1. Будьте внимательны выбирая сайт, на котором собираетесь разрешить скрипты. Начните с того, что временно разрешите только основное доменное имя веб-сайта в NoScript.
2. Когда страница перезагрузится, если она работает так, как вам нравится, все готово. Если нет, включите другой скрипт. Делайте это до тех пор, пока не найдете комбинацию, которая работает.
3. Если вы полностью исчерпаете терпение, используйте в NoScript параметр “Temporarily allow all this page”(Временно разрешить весь этот сайт).
13. Когда вы закончите работу с веб-страницей, для которой вы временно разрешили запускать сценарии, самое безопасное действие - закрыть браузер Tor и открыть его снова, если вы хотите продолжать использовать его. Это очистит все временные разрешения, добавленные в NoScript, и дополнительно очистит все файлы cookie, временные данные браузера и т.д. Однако, если вы предпочитаете не закрывать браузер, вы можете отключить скрипты в NoScript так же, как вы их включали. Нажмите на значок “NoScript” в вашем браузере. Затем для каждого скрипта, который включен, выберите опцию “Forbid”(Запретить).
Есть также возможность отменить все временные разрешения для сценариев, которые вы предоставили, нажав “Revoke Temporary Permissions”(Отменить временные разрешения).
14. После того как вы отменили временные разрешения, для сайта, вы можете либо перейти на новый сайт, либо закрыть вкладку. Скрипты больше не смогут работать на любой новой веб-странице, которую вы посещаете.
Это все, что нужно сделать. Помните, что чем меньше скриптов вы позволяете, тем лучше. Подавляющее большинство скриптов, показывают вам рекламу или собирают данные о вас. А в худшем случае они помогают заразить ваш компьютер. Хотя Whonix обеспечивает защиту от некоторых подводных камней, которые есть при использовании скриптов, нет причин испытывать судьбу. Таким образом, научитесь жить без скриптов там, где это возможно. Для запуска браузера Tor в будущем, на рабочем столе есть ярлык “Start Tor Browser”(Запустить браузер Tor), а также значок быстрого запуска рядом с кнопкой Start(Пуск).
Примечание по обновлению браузера Tor: В прошлом для обновления Tor Browser необходимо было использовать “Tor Browser Downloader” от команды Whonix. Хотя его можно использовать и сейчас, все вышеописанные настройки будут удалены, и, следовательно, вам придется повторно настраивать Tor Browser. Тем не менее, более поздние версии Tor Browser имеют механизм внутреннего обновления. При использовании этого механизма безопасность не пострадает. Также, преимущество использования внутреннего обновления заключается в том, что оно не будет удалять ваши предыдущие настройки.