Ada sejumlah kerentanan yang diketahui, yang telah digunakan, untuk mendeanonimkan pengguna Tor melalui pemanfaatan JavaScript
Insiden besar pertama yang terjadi adalah penyitaan "Freedom Hosting" oleh FBI. FBI menjaga server tetap online, dan kemudian memasang paylod javascript yang mengeksploitasi eksploitasi zero-day di Firefox. Hal ini menyebabkan komputer menelepon kembali ke server FBI dari IP asli mereka yang tidak dianonimkan, yang mengarah ke deanonimisasi berbagai pengguna. Anda dapat membaca lebih lanjut tentang itu di Ars Technica
Secara umum, mengaktifkan JavaScript membuka area permukaan untuk lebih banyak potensi serangan terhadap browser web. Dalam kasus musuh serius seperti entitas yang didukung negara (mis. g. FBI), mereka memiliki akses ke eksploitasi zero-day. Jika vektor untuk nol hari ini dinonaktifkan (mis. g. JavaScript), maka mereka mungkin sulit sekali menemukan eksploit yang layak bahkan jika mereka memiliki akses ke nol hari dll
Satu-satunya alasan proyek Tor memungkinkan JavaScript aktif secara default di browser Tor adalah kegunaan. Banyak pengguna Tor tidak paham secara teknis, dan JavaScript biasanya digunakan dengan HTML5 di situs web modern. Menonaktifkan JavaScript menyebabkan banyak situs web tidak dapat digunakan, sehingga diaktifkan secara default
Sebagai praktik terbaik, seseorang harus menonaktifkan JavaScript di browser Tor dan tetap mengaktifkan NoScript untuk semua situs, kecuali jika Anda memiliki alasan yang sangat kuat untuk tidak melakukannya.
Diperbarui pada 15 Maret untuk menambahkannya melalui pembaruan ke ekstensi NoScript (v11. 0. 17), masalah ini telah diperbaiki. Artikel asli di bawah ini
Proyek Tor memperingatkan pengguna kemarin tentang bug utama di browsernya yang dapat mengeksekusi kode JavaScript di situs yang telah diblokir pengguna secara khusus agar JavaScript tidak berjalan.
Pengembang Tor mengatakan mereka sedang memperbaiki;
Kemampuan untuk memblokir eksekusi kode JavaScript adalah fitur keamanan penting dari Tor Browser Bundle (TBB), sebuah browser dengan fitur perlindungan privasi yang ditingkatkan yang juga menyembunyikan alamat IP asli (lokasi) untuk membuat pengguna tetap anonim saat online
Karena fitur-fitur ini, browser sering digunakan oleh jurnalis, aktivitas politik, dan pembangkang di negara-negara yang menindas, sebagai cara untuk menghindari firewall dan sensor online.
Di masa lalu, ada eksploit yang menggunakan kode JavaScript untuk membuka kedok alamat IP asli pengguna Tor Browser. Beberapa telah digunakan untuk menargetkan dan mengungkap kegiatan kriminal [1, 2], sementara yang lain digunakan dalam keadaan misterius [1, 2]
Kemarin, tim Tor mengatakan mereka menemukan bug di opsi keamanan TBB. Ketika browser dikonfigurasi untuk menggunakan tingkat keamanan tertinggi (disebut "Teraman"), itu masih memungkinkan kode JavaScript untuk dieksekusi, bahkan jika itu seharusnya diblokir.
3. Setelah menu dibuka, cari "Opsi" di opsi berikut dan klik untuk membuka preferensi browser tor
4. Saat tab pengaturan dibuka, klik opsi "Pengaturan dan Privasi" yang terletak di sisi kiri dan cari opsi Keamanan di opsi yang diberikan
5. Sekarang untuk mematikan JavaScript, klik opsi "Teraman" dan tutup tab pengaturan
Browser Tor juga memiliki cara alternatif untuk menonaktifkan JavaScript, yaitu dengan menggunakan fitur "NoScript" dari browser Tor untuk menonaktifkan semua skrip di browser