Das
TorBrowserBundle enthält eine portable Firefox-Version incl. Tor, das Control Panel Vidalia und auf Wunsch auch mit dem Instant-Messenger Pidgin. Das Archiv ist nach dem Download zu entpacken, eine Installation ist nicht nötig.
- Unter Windows öffnet man nach dem Download das selbstentpackende Archiv mit einem Doppelklick im Dateimanager und wählt ein Zielverzeichnis:
- Unter Linux nutzt man den bevorzugten Archiv-Manager oder erledigt es auf der Kommandozeile mit:
tar -xaf tor-browser-gnu-linux-*
Nach dem Entpacken des Archives wechselt man in das neu erstellte Verzeichnis und startet Tor, Vidalia und den fertig konfigurierten Firefox mit der Applikation
Start Tor Browser.exe (Windows) oder mit dem Script
start-tor-browser (Linux).
Man kann eine Verknüpfung zu dem Startprogramm
Start Tor Browser.exe erstellen und diese Verknüpfung auf den Desktop ziehen. Das vereinfacht später den Start der Programme.
Auf den USB-Stick
Das TorBrowserBundle kann auch auf dem USB-Stick mitgenommen werden. Wird der TorBrowser vom USB-Stick gestartet, hinterläßt er keine Spuren auf dem Rechner.
Unter Linux mounten einige Distributionen USB-Sticks, die mit dem Windows Filesystem vFAT formatiert wurden, mit dem Attribut
"noexec". Damit funktioniert natürlich auch das Startscript nicht mehr. Entweder man formatiert den USB-Stick mit einem Linux-Filesystem (ext2|3|4) oder man ändert die mount-Optionen für vFAT formatierte Datenträger.
Außerdem kann man USB-Sticks auch verschlüsseln. Unter Windows nimmt man
Truecrypt, unter Linux kann man auch Truecrypt installieren oder man verwendet das vorhandene
dm-crypt.
TorBrowser verwenden
Mit dem Start werden Vidalia, Tor und der TorBrowser gestartet. Mit dem Schließen des Browsers werden unter Windows auch Tor und das Kontrolpanel Vidalia beendet. Bei der Linux-Version gibt es noch einen kleinen Bug, so dass man Vidalia selbst beenden muss.
Der TorBrowser ist für anonymes Surfen konfiguriert. Tracking-Spuren und Werbung sehen die Entwickler nicht als Problem, da der Datenverkehr anonymisiert ist. Ich empfehle einige Anpassungen, um überflüssige Spuren im Netz zu minimieren.
1: Javascript deaktivieren
TorProject.org empfiehlt in den
offiziellen FAQ Javascript nicht zu deaktivieren.
However, we recommend that even users who know how to use NoScript leave JavaScript enabled if possible, because a website or exit node can easily distinguish users who disable JavaScript from users who use Tor Browser bundle with its default settings (thus users who disable JavaScript are less anonymous).
Ein Test mit
Panopticlick lässt aber das Gegenteil als sinnvoll vermuten.
- Mit aktiviertem Javacript
Within our dataset of several million visitors, only one in 33,726 browsers have the same fingerprint as yours.
Die Tabelle der ausgewerteten Features zeigt, dass (bei mir) die per Javascript ausgelesene Bildschirmgröße den höchsten Informationswert hat. Genau diese Merkmal wird von der Googles Suche ausgewertet oder von Trackingdiensten wie Multicounter als individuelles Merkmal registriert.
- Javascript deaktiviert
Within our dataset of several million visitors, only one in 2,448 browsers have the same fingerprint as yours.
Die Tabelle der ausgewerteten Features:
Auch wenn Panopticlick einer wissenschaftlichen Untersuchung nicht standhält und auch manipulierbar ist, sind die Ergebnisse mit Unterschieden von mehr als einer Zehnerpotenz ein deutlicher Hinweis. Javascript ermöglicht das Auslesen vieler Informationen, die zu einem individuellen Fingerprint verrechnet werden können. Auch ein bösartiger Exit-Node könnte diese Informationen erlangen, wie TorProject.org in den FAQ erwähnt.
Javascript sollte allgemein verboten werden und nur für vetrauenswürdige Webseiten freigegeben werden (siehe Screenshot oben).
2. Werbung und Trackingscripte blockieren
Das TorBrowserBundle enthält keinen Werbeblocker. TorProject.org argumentiert, dass mit einem Werbeblocker das Internet gefiltert wird und jede Filterung lehnen die Entwickler grundsätzlich ab. Außerdem möchte TorProject.org nicht in den Ruf kommen, Geschäftsmodelle im Internet zu stören. Als drittes könnten möglicherweise unterschiedliche Filterlisten als Merkmal für den Browserfingerprint genutzt werden. Es gibt allerdings bisher keine wiss. Untersuchungen, die diese Vermutung belegen oder entkräften.
Das Blockieren von Werbung reduziert nicht nur die Belästigung. Da das Tor-Netz langsam ist, wird auch der Seitenaufbau beschleunigt, wenn überflüssige Daten nicht geladen werden.
Empfehlenswert ist die Installation von
AdBlock Plus. Nach der Installation kann man die Liste
"EasyList Germany + EasyList" abonieren sowie
EasyPrivacy und
SocialMediaBlock.
3. Cookies und EverCookies
Im Gegensatz zum JonDoFox akzeptiert der TorBrowser standardmäßig Cookies von der aufgerufenen Webseite und lässt EverCookie Markierungen zu. Ein Ändern der Einstellungen zur Annahme von Cookies empfehle ich nicht. Viele Webdienste nutzen EverCookie Techniken zum Tracking, wenn Cookies gesperrt wurden.
Man sollte dem Anonymitätskonzept des TorBrowser folgen und bei Bedarf gelegentlich alle Identifikationsmerkmale löschen. Alle Cookies und alle bekannten EverCookie Markierungen werden beim Beenden des Browsers gelöscht oder wenn man den Menüpunkt
"Neue Identität" der Zwiebel in der Toolbar wählt.
Insbesondere vor und nach dem Login bei einem Webdienst sollte man alle Markierungen entfernen, um eine Verknüpfung des Surfverhaltens mit Accountdaten zu verhindern.
4. TorBrowserBundle mit weiteren Anwendungen nutzen
Im TorBrowserBundle startet Vidalia den Tor Daemon mit einem zufällig gewählten SOCKS Port und teil diesen Port nur dem TorBrowser mit. Alle anderen Programme können den Tor Daemon nicht erreichen. Wenn man diesen Tor Daemon nicht nur mit dem TorBrowser sondern auch mit einem
E-Mail Client oder
Instant Messaging Client nutzen möchte, muss man dieses Verhalten ändern und einen festen SOCKS Port vorgeben.
In den Einstellungen von Vidalia ist die Option
"Konfiguriere den Kontroll-Port automatisch" auf dem Reiter
"Fortgeschritten" zu deaktivieren. Dann lauscht der Tor Daemon am Port 9150 für andere Anwendungen und nutzt den Kontroll-Port 9151 für die Kommunikation mit Vidalia.
Kompatibilität verschiedener Webseiten mit Tor
Ich bekomme viele Hinweise auf Webseiten, die Tor nicht mögen, sich mit Tor nicht nutzen lassen oder Tor Nodes explizit sperren. Wikipedia erlaubt keine anonymen Edits mit Tor, einige E-Mail Provider sperren Tor (z.B. Lavabit) oder weisen E-Mails als Spam ab, die via Tor verschickt wurden, Suchmaschinen sperren temporär immer mal wieder die Top Exit Nodes, Wordpress mag es nicht, wenn man via Tor Kommentare schreibt....
Einige Hinweise von Lesern kann ich verifizieren, andere sind scheinbar nur temporär oder betreffen nur einige High Performance Exits. Ich habe nicht vor, ständig einzelne Webseiten zu prüfen. Das Problem wird es immer geben und die Liste veraltet schneller, als ich tippen kann.
Wenn ein Webdienst Tor nicht mag, dann sucht man am besten eine Alternative. Das Web ist groß und es gibt für alles einen Ersatz, den man via Tor nutzen kann.