Tor-Browser richtig einstellen

Der Tor-Browser ist für anonymes Surfen konfiguriert. Tracking-Spuren und Werbung sehen die Entwickler nicht als Problem, da der Datenverkehr anonymisiert ist. Ich empfehle einige Anpassungen, um überflüssige Spuren im Netz zu minimieren.

JavaScript deaktivieren

TorProject.org empfiehlt in den offiziellen FAQ JavaScript nicht zu deaktivieren.

However, we recommend that even users who know how to use NoScript leave JavaScript enabled if possible, because a website or exit node can easily distinguish users who disable JavaScript from users who use Tor-Browser bundle with its default settings (thus users who disable JavaScript are less anonymous).

Ein Test mit Panopticlick lässt aber das Gegenteil als sinnvoll vermuten.

  • Mit aktiviertem JavaScript:

  • Within our dataset of several million visitors, only one in 33,726 browsers have the same fingerprint as yours.

    Die Tabelle der ausgewerteten Features zeigt, dass (bei mir) die per JavaScript ausgelesene Bildschirmgröße den höchsten Informationswert hat. Genau dieses Merkmal wird von der Google Suche ausgewertet oder von Trackingdiensten wie Multicounter als individuelles Merkmal registriert.

  • JavaScript deaktiviert:

  • Within our dataset of several million visitors, only one in 2,448 browsers have the same fingerprint as yours.

    Die Tabelle der ausgewerteten Features:

    Auch wenn Panopticlick einer wissenschaftlichen Untersuchung nicht standhält und auch manipulierbar ist, sind die Ergebnisse mit Unterschieden von mehr als einer Zehnerpotenz ein deutlicher Hinweis. JavaScript ermöglicht das Auslesen vieler Informationen, die zu einem individuellen Fingerprint verrechnet werden können. Auch ein bösartiger Exit-Node könnte diese Informationen erlangen, wie TorProject.org in den FAQ erwähnt.

JavaScript sollte allgemein verboten werden und nur für vetrauenswürdige Weltnetzseiten freigegeben werden. Weitere Infos: Script - Infoseite

Der Tor-Browser hat das Add-On NoScript integriert, es wartet nur darauf von dir eingeschaltet zu werden.

Werbung und Trackingscripte blockieren

Das Tor-Browser-Bundle enthält keinen Werbeblocker. TorProject.org argumentiert, dass mit einem Werbeblocker das Weltnetz gefiltert wird und jede Filterung lehnen die Entwickler grundsätzlich ab. Außerdem möchte TorProject.org nicht in den Ruf kommen, Geschäftsmodelle im Weltnetz zu stören. Als drittes könnten möglicherweise unterschiedliche Filterlisten als Merkmal für den Browserfingerprint genutzt werden. Es gibt allerdings bisher keine wissenschaftlichen Untersuchungen, die diese Vermutung belegen oder entkräften.

Das Blockieren von Werbung reduziert nicht nur die Belästigung. Da das Tor-Netz langsam ist, wird auch der Seitenaufbau beschleunigt, wenn überflüssige Daten nicht geladen werden.

Empfehlenswert ist die Installation von AdBlock Plus. Nach der Installation kann man die Liste Easylist Germany + Easyprivacy abonieren.

Cookies und EverCookies

Der Tor-Browser akzeptiert standardmäßig Cookies von der aufgerufenen Weltnetzseite und lässt EverCookie Markierungen zu. Ein Ändern der Einstellungen zur Annahme von Cookies empfehle ich nicht. Viele Webdienste nutzen EverCookie Techniken zum Tracking, wenn Cookies gesperrt wurden.

Man sollte dem Anonymitätskonzept des Tor-Browser folgen und bei Bedarf gelegentlich alle Identifikationsmerkmale löschen. Alle Cookies und alle bekannten EverCookie Markierungen werden beim Beenden des Netzbetrachters gelöscht oder wenn man den Menüpunkt "Neue Identität" der Zwiebel in der Toolbar wählt.

Insbesondere vor und nach dem Login bei einem Webdienst sollte man alle Markierungen entfernen, um eine Verknüpfung des Surfverhaltens mit Accountdaten zu verhindern.

Tor-Browser-Bundle mit weiteren Anwendungen nutzen

Im Tor-Browser-Bundle startet Vidalia den Tor-Daemon mit einem zufällig gewählten SOCKS Port und teilt diesen Port nur dem Tor-Browser mit. Alle anderen Programme können den Tor-Daemon nicht erreichen. Wenn man diesen Tor-Daemon nicht nur mit dem Tor-Browser sondern auch mit einem eBrief-Client oder Instant-Messaging-Client nutzen möchte, muss man dieses Verhalten ändern und einen festen SOCKS Port vorgeben.

In den Einstellungen von Vidalia ist die Option "Konfiguriere den Kontroll-Port automatisch" auf dem Reiter "Fortgeschritten" zu deaktivieren. Dann lauscht der Tor-Daemon am Port 9150 für andere Anwendungen und nutzt den Kontroll-Port 9151 für die Kommunikation mit Vidalia.