【发布时间】:2013-05-27 23:27:28
【问题描述】:
Web 服务器是否有可能仅使用客户端上的 Javascript 和服务器上的服务器端脚本(cgi/perl/python 或其他)来获取 TOR 浏览器的真实 IP?如果可以,我可以查看示例脚本吗?
【问题讨论】:
标签: javascript http ip tor
【发布时间】:2013-05-27 23:27:28
【问题描述】:
仅使用 JavaScript 和功能正常的现代浏览器,通过 TOR 发送所有流量,不,网络服务器无法获取您的私有 IP。但是,很难配置 TOR 以使 所有 流量都经过它,并且将其他策略与 JavaScript 结合起来以揭示您的公共 IP 并不难。
例如,请参阅Panopticlick,这表明您的浏览器指纹可能已经是唯一的,没有任何黑客攻击。因此,如果有任何东西(如 Flash 或 PDF 阅读器或 Java)在 Tor 之外发送流量,它可以将您的 Tor 地址与您的公共 IP 地址相关联。
【讨论】:
不,你不能。唯一可能的想法是你可以做客户端(顺便说一句,JavaScript 不会让你)是查看客户端的网卡地址,但很可能它是一个内部地址(如192.168.1.10)。不是很有用。
建立与服务器的连接也是无用的,因为如果浏览器配置为使用 TOR,它将使用 TOR 进行此连接,并且您将再次获得 TOR ip(就像您的服务器看到的那样)。
【讨论】:
是的,这正是 NSA 最近所做的。它被广泛报道,并详细讨论了该漏洞。事实上,客户端的 MAC 地址甚至被反馈给了攻击者。
这就是为什么 Javascript 和所有脚本都应该在浏览器中始终被禁用的原因。
【讨论】: