Tor 浏览器安全设置指南：如何最大化你的隐私和匿名性

网络安全与大数据研究小组

Tor 浏览器安全设置指南：如何最大化你的隐私和匿名性

發布人 Brave 2024-08-04 02:39

1. 理解 Tor 网络和 Tor 路径
🔗 Tor 三跳路径机制详解
🔄 路径与身份管理
⚠️ 关于入口守卫节点（Guard Node）的重要说明
2. Tor 浏览器基础设置
✅ 保持浏览器更新
🔒 使用私密浏览模式
🛡️ 阻止危险内容
🔐 强制使用 HTTPS
📐 避免使用全屏模式
3. 深入安全设置：理解安全级别
📊 三种安全级别对比
🔧 各级别详细说明
🎯 为什么禁用 JavaScript 如此重要？
4. 安全级别测试与分析
🧪 使用 EFF Cover Your Tracks 进行测试
📐 理解信息熵：衡量你暴露了多少
🛡️ Tor 浏览器的反指纹策略
⚠️ 关于指纹测试的重要警告
📋 安全级别选择建议
5. 进阶话题：网桥与可插拔传输
🌉 什么是网桥？
🔌 可插拔传输协议类型
🎯 使用建议
6. 进阶话题：洋葱服务（.onion）
🧅 V3 洋葱服务的特点
🔐 为什么 .onion 网站更安全？
⚠️ 洋葱服务的风险
7. 威胁模型与已知攻击
🎯 Tor 无法防御的攻击
🛡️ Tor 的防御措施
📋 实际安全建议
8. 2026 年使用 Tor 的现实考量
🚧 常见问题
✅ 最佳实践总结
📚 延伸阅读与资源

这篇指南将深入探讨 Tor 浏览器的安全设置，帮助你最大程度地保护在线隐私、匿名性和安全性。

1. 理解 Tor 网络和 Tor 路径

安装 Tor 浏览器并成功连接到 Tor 网络后，你会在浏览器窗口看到确认信息，并显示你当前使用的 IP 地址。

点击 URL 栏旁边的图标，可以查看 Tor 路径。它展示了你的网络流量在到达目标网站之前经过的三个节点。这些节点就像网络中转站，确保你的真实 IP 地址和位置信息不被追踪。

🔗 Tor 三跳路径机制详解

Tor 的核心设计采用"三跳"（Three-Hop）路径架构，每个节点只知道其前后相邻的节点信息，形成层层加密的"洋葱"结构：

节点类型	英文名称	核心功能	知道的信息
入口节点	Guard/Entry Node	接收你的加密流量	你的真实 IP，但不知道你访问的网站
中间节点	Middle Relay	中转加密数据	仅知道前后两个节点，无法获取任何有意义的信息
出口节点	Exit Node	将流量发送到目标网站	目标网站地址，但不知道你是谁

这种设计的精妙之处在于：即使某个节点被恶意控制，攻击者也无法同时获知"你是谁"和"你在访问什么"这两项关键信息。

🔄 路径与身份管理

📍 更换当前路径

如果你对当前使用的节点不满意，可以点击"新路径"（New Circuit for this Site）来更换节点并重新加载网站
适用场景：网站加载缓慢、怀疑当前出口节点被目标网站封禁、或单纯想更换出口 IP 地址
注意：这只会更换当前网站的路径，不影响其他标签页

🆕 获取全新身份

想要彻底改变网络身份，可以选择"新身份"（New Identity）
这将清除所有浏览数据（包括 Cookie、缓存、会话信息）、关闭所有标签页、重新启动 Tor 浏览器，并使用全新的节点加载网站
让你以全新的身份访问互联网，就像换了一个人一样
适用场景：完成一项敏感任务后切换到另一项任务、登录不同账户前、或怀疑当前会话可能被关联追踪

⚠️ 关于入口守卫节点（Guard Node）的重要说明

Tor 浏览器对入口节点采用"守卫节点"机制——你的入口节点不会频繁更换，而是会保持相对固定一段时间（通常为 2-3 个月）。

这看似违反直觉，但实际上是一种安全设计：

如果每次连接都随机选择入口节点，攻击者控制少量恶意节点就能在统计上很快"碰到"你
固定入口节点后，除非攻击者恰好控制了你的守卫节点，否则他们无法通过入口节点观察你的流量
这是一种用"固定风险"换取"整体更低风险"的策略权衡

2. Tor 浏览器基础设置

✅ 保持浏览器更新

定期点击"检查更新"，确保使用最新、最安全的 Tor 浏览器版本。

为什么更新如此重要：

Tor 浏览器基于 Firefox ESR（Extended Support Release）构建，当前最新稳定版 Tor Browser 15.0 基于 Firefox ESR 128，包含了 Mozilla 所有最新的安全补丁
2025 年 10 月发布的 Tor Browser 14.0 是近年来最重大的更新之一，带来了增强的安全特性、改进的 .onion 网站性能，以及关键的隐私保护改进
2026 年 1 月发布的 Tails 紧急更新修复了 OpenSSL 中的严重安全漏洞，这类漏洞如果不及时修补，可能被利用来攻击用户
Tor 项目正在升级中继加密算法，即将推出的版本将支持名为 Counter Galois Onion（CGO）的新加密算法，进一步提升安全性

🔒 使用私密浏览模式

在"隐私和安全"设置中，将"历史记录"设置为"始终使用私密浏览模式"或"从不记住历史记录"，避免留下任何浏览痕迹。

私密浏览模式的作用包括：

不保存浏览历史、搜索记录和下载记录
关闭浏览器后自动清除 Cookie 和网站数据
不缓存表单数据和密码
配合 Tor 的路径加密，实现"用完即走、不留痕迹"的效果

🛡️ 阻止危险内容

勾选"阻止危险和欺骗性内容"和"阻止危险下载"选项，降低访问恶意网站的风险。

此功能可以帮助你防范：

钓鱼网站（伪装成合法网站窃取你的登录凭证）
恶意软件分发网站
社会工程攻击页面
已知的恶意 .onion 网站

🔐 强制使用 HTTPS

将"HTTPS 仅模式"设置为"强制"，确保所有网站连接都使用更安全的 HTTPS 协议。

HTTPS 仅模式现在是 Tor 浏览器的默认设置——Tor 浏览器不会连接到未加密的网站，除非你明确选择允许。 这一设置的重要性在于：

出口节点风险：虽然 Tor 路径的前两跳是加密的，但出口节点到目标网站的这段连接依赖网站本身的加密。如果网站使用 HTTP，出口节点运营者可以看到你的所有流量内容
历史上曾有恶意出口节点运营者进行 SSL 剥离攻击（SSL Stripping），将 HTTPS 降级为 HTTP 以窃取用户数据
2020 年曾有攻击者控制了超过 23% 的 Tor 出口节点，专门进行 SSL 剥离攻击

📐 避免使用全屏模式

全屏模式可能会泄露你的显示器类型和尺寸等信息，增加被识别的风险。

这涉及到"浏览器指纹识别"的概念：

每个用户的屏幕分辨率都可能略有不同
全屏模式会暴露你的实际屏幕尺寸
Tor 浏览器采用"信箱"（Letterboxing）技术，将内容窗口大小调整为 200px × 100px 的倍数，让所有用户看起来都使用相似的窗口尺寸
全屏模式会绕过这一保护机制，使你的屏幕尺寸成为可被追踪的独特特征

3. 深入安全设置：理解安全级别

Tor 浏览器提供三种安全级别：标准（Standard）、更安全（Safer）和最安全（Safest）。你可以在"隐私和安全"设置中的"安全设置"部分找到它们，也可以直接点击浏览器窗口右上角的盾牌图标快速切换。

📊 三种安全级别对比

特性	标准	更安全	最安全
JavaScript	✅ 全部启用	⚠️ 非 HTTPS 网站禁用	❌ 全部禁用
音频/视频自动播放	✅ 允许	⚠️ 点击播放	❌ 禁用
部分字体渲染	✅ 允许	⚠️ 受限	❌ 禁用
数学符号（MathML）	✅ 允许	⚠️ 受限	❌ 禁用
SVG 图像	✅ 允许	✅ 允许	❌ 禁用
图标字体	✅ 允许	✅ 允许	❌ 禁用
网站兼容性	🟢 最佳	🟡 良好	🔴 受限
隐私保护强度	🔴 基础	🟡 增强	🟢 最强

🔧 各级别详细说明

📗 标准（Standard）

与 Firefox 浏览器默认设置相同，提供基本的安全防护
所有网站功能正常运行
适合：日常浏览普通网站、需要完整功能的场景
风险：JavaScript 带来的安全隐患未被消除

📙 更安全（Safer）

在非 HTTPS 网站上禁用 JavaScript
限制部分字体、数学符号、音频和视频的加载
音频、视频需要点击才能播放
适合：大多数日常安全浏览需求
权衡：在保持较好兼容性的同时提供更强保护

📕 最安全（Safest）

在所有网站上禁用 JavaScript
禁用更多字体、图标、数学符号
默认禁用图像、视频和音频
适合：高风险场景、访问敏感内容、需要最大匿名性
代价：许多现代网站功能无法正常使用

🎯 为什么禁用 JavaScript 如此重要？

JavaScript 是浏览器安全威胁的主要来源，禁用它是对抗浏览器指纹识别最有力的防御措施。 原因如下：

📌 指纹识别依赖 JavaScript

Canvas 指纹（通过绘图 API 识别显卡特征）
WebGL 指纹（3D 渲染特征）
AudioContext 指纹（音频处理特征）
这些高级指纹技术全部依赖 JavaScript 执行

📌 JavaScript 是攻击载体

跨站脚本攻击（XSS）是最常见的 Web 安全漏洞之一，据估计约三分之一的网站存在 XSS 漏洞
攻击者可以通过注入恶意 JavaScript 窃取会话令牌、Cookie 或用户凭证
恶意脚本可以利用浏览器漏洞执行代码
历史上 FBI 等执法机构曾通过在 Tor 网站上部署 JavaScript 恶意代码来识别用户

📌 JavaScript 可以探测系统信息

检测已安装的插件和字体
测量 CPU 性能和内存大小
识别时区和语言设置
这些信息组合起来可以创建独特的"指纹"

4. 安全级别测试与分析

实际测试表明，"最安全"级别能够提供最佳的隐私和匿名性保护。

🧪 使用 EFF Cover Your Tracks 进行测试

电子前沿基金会（EFF）提供的 Cover Your Tracks 是目前最权威的浏览器指纹测试工具之一（原名 Panopticlick）。该工具可以检测：

你的浏览器是否阻止了追踪广告
你的浏览器是否阻止了不可见追踪器
你的浏览器指纹的独特性
你的浏览器泄露了多少"信息熵"

测试结果通常显示，使用"最安全"级别的 Tor 浏览器能够：

✅ 有效阻止追踪广告
✅ 阻止不可见追踪器
✅ 最大程度降低浏览器指纹的独特性
✅ 显著减少信息熵泄露

📐 理解信息熵：衡量你暴露了多少

信息熵是信息论中的核心概念，用于衡量信息的不确定性。在网络隐私领域，它用来评估你的浏览器泄露了多少可识别信息。

💡 什么是"比特"（Bit）？

比特是信息的基本单位，代表一个二进制选择（0 或 1）
1 比特的信息熵意味着可以将人群分成 2 组
2 比特 = 4 组，3 比特 = 8 组，以此类推
n 比特的信息熵可以从 2^n 个人中识别出你

📊 实际数字意味着什么？

信息熵	匿名集大小	含义
10 比特	约 1,024 人	你是千分之一
15 比特	约 32,768 人	你是三万分之一
18 比特	约 262,144 人	你是二十六万分之一
20 比特	约 1,048,576 人	你是百万分之一
33 比特	约 80 亿人	全球唯一可识别

根据 EFF 的研究，普通浏览器的指纹分布包含至少 18.1 比特的信息熵，这意味着在约 28.7 万个浏览器中，只有一个与你的指纹相同。

更令人担忧的是：在启用了 Flash 或 Java 的浏览器中，94.2% 的浏览器呈现出即时可唯一识别的指纹。

🛡️ Tor 浏览器的反指纹策略

Tor 浏览器的反指纹保护核心策略是"让所有用户看起来一样"：

📍 统一化策略

信箱技术（Letterboxing）：窗口大小被调整为 200px × 100px 的倍数，将用户分入有限的几个"桶"中
用户代理欺骗：所有 Tor 用户报告相同的 User-Agent 字符串
Canvas 保护：阻止或标准化 Canvas 图像提取
WebGL 限制：禁用或硬化 readPixels 等 API
字体限制：使用标准化的字体回退列表
时间精度降低：限制高精度计时器，防止时序攻击

Tor Browser 14.0（2025 年 10 月）进一步增强了这些保护，特别是针对 Canvas、WebGL 和 AudioContext API 的指纹防护。

需要注意的变化：Tor Browser 14.5 移除了 HTTP 头中的操作系统欺骗功能，这在隐私社区引发了一些讨论。这意味着某些场景下，你的操作系统类型可能更容易被识别。

⚠️ 关于指纹测试的重要警告

Cover Your Tracks 等测试工具有其局限性，不应过度依赖或试图"优化"测试结果：

测试数据集存在偏差，主要是隐私意识较强的用户
覆盖的指纹识别方法只是现有技术的一部分
很多用户不理解浏览器指纹原理，为了获得"更好"的测试结果而修改浏览器设置，实际上反而使自己的指纹更加独特
改善少数指标可能会适得其反，恶化整体指纹
最佳策略是使用默认的 Tor 浏览器设置，不要自作聪明地调整

📋 安全级别选择建议

为了最大化你的在线隐私和匿名性，建议尽可能使用"最安全"级别。 但实际使用中可以根据场景灵活切换：

场景	推荐级别	理由
访问 .onion 网站	最安全	暗网环境风险更高
阅读新闻、文章	最安全	纯文本阅读不需要 JavaScript
使用搜索引擎	更安全	基本功能可用
观看视频	标准	视频播放通常需要 JavaScript
登录账户	标准/更安全	根据网站要求调整
高风险研究	最安全	最大化保护

你可以在浏览器右上角的盾牌图标快速切换安全级别，也可以为特定网站添加例外（虽然这会增加指纹独特性风险）。

5. 进阶话题：网桥与可插拔传输

在某些网络环境中，直接连接 Tor 网络可能被阻止。这时需要使用"网桥"（Bridges）——未公开列入目录的 Tor 中继节点。

🌉 什么是网桥？

网桥是特殊的 Tor 入口节点，其 IP 地址不在公开目录中
审查机构无法简单地封锁所有网桥地址
配合"可插拔传输"（Pluggable Transports）使用，可以将 Tor 流量伪装成普通流量

🔌 可插拔传输协议类型

Tor 目前提供四种主要的可插拔传输协议：

协议	原理	特点	推荐程度
obfs4	将流量伪装为随机数据	需要手动获取网桥地址；稳定性较好	⭐⭐⭐⭐
Snowflake	将流量伪装为视频通话（WebRTC）	内置可用，无需额外配置；依赖志愿者代理	⭐⭐⭐⭐
WebTunnel	将流量伪装为普通 HTTPS	需要专门获取；最难被识别	⭐⭐⭐⭐⭐
meek	通过云服务中转	速度较慢；在部分地区已失效	⭐⭐

🎯 使用建议

首次尝试：选择 Snowflake（内置，开箱即用）
Snowflake 不工作：尝试 obfs4（需获取网桥地址）
obfs4 也被封锁：使用 WebTunnel（需专门获取）
网桥获取方式：
- 访问 bridges.torproject.org
- 发送邮件到 bridges@torproject.org（使用 Gmail/Riseup/Yahoo 邮箱）
- 通过 Telegram 机器人获取

⚠️ 安全提示：同一网桥配置不应使用超过 30 天，建议定期轮换。由于网桥会降低网速，仅在必要时使用。

6. 进阶话题：洋葱服务（.onion）

洋葱服务（Onion Services）是通过 Tor 网络暴露的匿名网络服务，使用以 .onion 结尾的自认证域名。

🧅 V3 洋葱服务的特点

当前所有洋葱服务都使用 V3 协议（V2 已于 2021 年 7 月废弃）：

地址格式：56 个字符 + ".onion"（V2 只有 16 个字符）
加密算法：使用现代的 Ed25519 椭圆曲线加密
隐蔽性：V3 地址无法被恶意目录节点发现，只有知道地址的人才能访问
端到端加密：Tor 用户与洋葱服务之间的所有流量都是端到端加密的，无需担心 HTTPS

🔐 为什么 .onion 网站更安全？

特性	普通网站	.onion 网站
服务器 IP 可见性	公开可查	完全隐藏
出口节点风险	存在	不存在
需要 HTTPS	是	否（已端到端加密）
可被 DNS 审查	是	否

当你访问 .onion 网站时，流量永远不会离开 Tor 网络，消除了出口节点被监控的风险。这就是为什么在 2026 年，建议尽可能使用 onion 服务而非普通网站。

⚠️ 洋葱服务的风险

尽管洋葱服务提供了强大的匿名保护，但仍需注意：

时序相关攻击：理论上仍可能通过流量时序分析关联用户
服务端漏洞：服务器本身的安全漏洞可能泄露运营者身份
私钥保护：洋葱地址与私钥绑定，私钥泄露意味着服务身份被盗

7. 威胁模型与已知攻击

理解 Tor 的局限性与使用 Tor 本身同样重要。

🎯 Tor 无法防御的攻击

📍 端到端流量相关攻击

如果攻击者同时控制你的入口节点和出口节点（或目标网站），可以通过流量相关分析识别你
研究表明，控制网络的比例与妥协完整路径的概率呈二次关系增长——这意味着即使攻击者只控制少量节点，风险也会显著上升

📍 网站流量指纹攻击

通过分析入口节点处的数据包大小、时序和模式，可以推断你访问的网站
这是网络层面的攻击，浏览器反指纹措施无法防御

📍 恶意中继节点

历史上曾有攻击者运行大量恶意节点：2020 年有攻击者控制超过 23% 的出口节点；KAX17 组织在 2021 年高峰期运营超过 900 个中继
恶意节点可能收集元数据、进行中间人攻击或 SSL 剥离

🛡️ Tor 的防御措施

Tor 项目持续改进安全性：

2023 年推出的工作量证明（PoW）防御机制：优先处理合法流量，同时遏制恶意 DoS 攻击
守卫节点机制：减少遇到恶意入口节点的统计概率
持续的中继监控：识别和移除可疑中继
协议升级：即将推出的 CGO 加密算法

📋 实际安全建议

不要在 Tor 中使用你的真实身份信息
不要同时在 Tor 和普通浏览器中登录同一账户
不要下载并打开通过 Tor 下载的文件（可能包含去匿名化代码）
保持浏览器更新
使用"最安全"级别访问敏感内容
尽可能使用 .onion 网站
不要安装任何浏览器扩展

8. 2026 年使用 Tor 的现实考量

在 2026 年使用 Tor，用户应该预期会遇到一些"摩擦"：

🚧 常见问题

许多网站会显示验证码或直接屏蔽 Tor 出口节点
部分功能可能无法正常使用
连接速度比普通浏览更慢
某些金融服务和社交媒体可能完全阻止 Tor 访问

✅ 最佳实践总结

做	不做
✅ 保持浏览器更新	❌ 安装额外扩展或插件
✅ 使用"最安全"级别	❌ 使用全屏模式
✅ 优先访问 .onion 网站	❌ 在 Tor 中登录日常账户
✅ 定期获取新身份	❌ 调整浏览器高级设置
✅ 必要时使用网桥	❌ 下载并打开文件
✅ 使用 HTTPS 网站	❌ 期望完全匿名

📚 延伸阅读与资源

💡 记住：Tor 是强大的隐私工具，但不是魔法。理解其工作原理和局限性，配合良好的操作安全习惯，才能真正保护你的在线隐私和匿名性。

Brave 回复 9 months, 4 weeks ago 1 成員 · 0 回复

0 回复

歡迎留言回复交流。

登入後即可回复

网络安全与大数据研究小组

組織者: