टोर सही अनामिकता और गोपनीयता समाधान नहीं है। इसमें कई महत्वपूर्ण सीमाएं और जोखिम हैं, जिन्हें आप जानते हैं कि आप इसका उपयोग करने जा रहे हैं या नहीं।
बाहर निकलें नोड्स स्नीफ किया जा सकता है
टोर कैसे नामांकन प्रदान करता है इस बारे में अधिक विस्तृत रूप के लिए टोर कैसे काम करता है, इस बारे में हमारी चर्चा पढ़ें। संक्षेप में, जब आप टोर का उपयोग करते हैं, तो आपका इंटरनेट यातायात टोर के नेटवर्क से गुजरता है और टोर नेटवर्क से बाहर निकलने से पहले कई यादृच्छिक रूप से चयनित रिले के माध्यम से जाता है। टोर डिज़ाइन किया गया है ताकि यह जान सकें कि कौन सा कंप्यूटर वास्तव में यातायात का अनुरोध करता है। आपके कंप्यूटर ने कनेक्शन शुरू किया हो सकता है या यह सिर्फ एक रिले के रूप में कार्य कर रहा है, जो एन्क्रिप्टेड ट्रैफिक को किसी अन्य टोर नोड पर रिले कर रहा है।
हालांकि, ज्यादातर टोर यातायात अंततः टोर नेटवर्क से उभरना चाहिए। उदाहरण के लिए, मान लीजिए कि आप टोर के माध्यम से Google से कनेक्ट हो रहे हैं - आपका ट्रैफ़िक कई टोर रिले के माध्यम से पारित हो गया है, लेकिन अंत में यह टोर नेटवर्क से उभरना चाहिए और Google के सर्वर से कनेक्ट होना चाहिए। अंतिम टोर नोड, जहां आपका यातायात टोर नेटवर्क छोड़ देता है और खुले इंटरनेट में प्रवेश करता है, पर नजर रखी जा सकती है। यह नोड जहां ट्रैफिक टोर नेटवर्क से बाहर निकलता है उसे "निकास नोड" या "निकास रिले" के रूप में जाना जाता है।
नीचे दिए गए आरेख में, लाल तीर बाहर निकलने वाले नोड और "बॉब" इंटरनेट पर एक कंप्यूटर के बीच अनएन्क्रिप्टेड ट्रैफिक का प्रतिनिधित्व करता है।
लोगों को निकास नोड्स चलाने के लिए सहमति देनी चाहिए, क्योंकि बाहर निकलने वाले नोड्स उन्हें यातायात से गुजरने वाले रिले नोड को चलाने से अधिक कानूनी जोखिम में डाल देते हैं। ऐसा लगता है कि सरकारें कुछ निकास नोड्स चलाती हैं और उन ट्रैफिकों की निगरानी करती हैं जो उन्हें छोड़ती हैं, जो अपराधियों की जांच करने के लिए सीखती हैं या दमनकारी देशों में, राजनीतिक कार्यकर्ताओं को दंडित करती हैं।
यह सिर्फ एक सैद्धांतिक जोखिम नहीं है। 2007 में, एक सुरक्षा शोधकर्ता ने टोर निकास नोड चलाकर सौ ईमेल खातों के लिए पासवर्ड और ईमेल संदेशों को रोक दिया था। प्रश्न वाले उपयोगकर्ताओं ने अपने ईमेल सिस्टम पर एन्क्रिप्शन का उपयोग न करने की गलती की, यह मानते हुए कि टोर किसी भी तरह से अपने आंतरिक एन्क्रिप्शन के साथ उनकी रक्षा करेगा। लेकिन ऐसा नहीं है कि टोर कैसे काम करता है।
पाठ: टोर का उपयोग करते समय, किसी भी संवेदनशील के लिए एन्क्रिप्टेड (HTTPS) वेबसाइटों का उपयोग करना सुनिश्चित करें। ध्यान रखें कि आपके यातायात की निगरानी की जा सकती है - न केवल सरकारों द्वारा, बल्कि दुर्भावनापूर्ण लोगों द्वारा निजी डेटा की तलाश में।
जावास्क्रिप्ट, प्लग-इन, और अन्य अनुप्रयोग आपके आईपी को रिसाव कर सकते हैं
टोर ब्राउजर बंडल, जिसे हमने टोर का उपयोग करने के बारे में बताया, जब हमने सुरक्षित सेटिंग्स के साथ पूर्वसंरचित किया। जावास्क्रिप्ट अक्षम है, प्लग-इन नहीं चल सकते हैं, और यदि आप फ़ाइल डाउनलोड करने का प्रयास करते हैं और इसे किसी अन्य एप्लिकेशन पर खोलते हैं तो ब्राउजर आपको चेतावनी देगा।
जावास्क्रिप्ट आमतौर पर एक सुरक्षा जोखिम नहीं है, लेकिन यदि आप अपने आईपी को छिपाने की कोशिश कर रहे हैं, तो आप जावास्क्रिप्ट का उपयोग नहीं करना चाहते हैं। आपके ब्राउज़र का जावास्क्रिप्ट इंजन, एडोब फ्लैश जैसे प्लग-इन, और एडोब रीडर या यहां तक कि एक वीडियो प्लेयर जैसे बाहरी एप्लिकेशन सभी संभावित रूप से एक वेबसाइट पर "रिसाव" कर सकते हैं जो इसे प्राप्त करने का प्रयास करता है।
टोर ब्राउज़र बंडल इन सभी समस्याओं को अपनी डिफ़ॉल्ट सेटिंग्स से बचाता है, लेकिन आप संभावित रूप से इन सुरक्षा को अक्षम कर सकते हैं और टोर ब्राउज़र में जावास्क्रिप्ट या प्लग-इन का उपयोग कर सकते हैं। अगर आप गुमनाम होने के बारे में गंभीर हैं तो ऐसा न करें - और यदि आप गुमनाम होने के बारे में गंभीर नहीं हैं, तो आपको पहले स्थान पर टोर का उपयोग नहीं करना चाहिए।
यह सिर्फ एक सैद्धांतिक जोखिम नहीं है, या तो। 2011 में, शोधकर्ताओं के एक समूह ने 10,000 लोगों के आईपी पते हासिल किए जो टोर के माध्यम से बिटटोरेंट ग्राहकों का उपयोग कर रहे थे। कई अन्य प्रकार के अनुप्रयोगों की तरह, बिटटोरेंट क्लाइंट असुरक्षित और आपके असली आईपी पते को उजागर करने में सक्षम हैं।
पाठ: टोर ब्राउज़र की सुरक्षित सेटिंग्स को जगह पर छोड़ दें। किसी अन्य ब्राउज़र के साथ टोर का उपयोग करने की कोशिश न करें - टोर ब्राउज़र बंडल के साथ चिपकें, जिसे आदर्श सेटिंग्स के साथ पूर्वसंरचित किया गया है। आपको टोर नेटवर्क के साथ अन्य अनुप्रयोगों का उपयोग नहीं करना चाहिए।
एक निकास नोड चलाना आपको जोखिम में डाल देता है
यदि आप ऑनलाइन नामांकन में एक बड़ा आस्तिक हैं, तो आप टोर रिले चलाकर अपनी बैंडविड्थ दान करने के लिए प्रेरित हो सकते हैं। यह एक कानूनी समस्या नहीं होनी चाहिए - एक टोर रिले बस टोर नेटवर्क के अंदर एन्क्रिप्टेड यातायात को पास करता है। टोर स्वयंसेवकों द्वारा संचालित रिले के माध्यम से गुमनाम प्राप्त करता है।
हालांकि, आपको बाहर निकलने के रिले चलाने से पहले दो बार सोचना चाहिए, जो एक ऐसा स्थान है जहां टोर ट्रैफिक अज्ञात नेटवर्क से बाहर आता है और खुले इंटरनेट से जुड़ता है। यदि अपराधी अवैध चीज़ों के लिए टोर का उपयोग करते हैं और यातायात आपके निकास रिले से बाहर आता है, तो यातायात आपके आईपी पते पर पता लगाया जा सकता है और आपको अपने दरवाजे पर दस्तक मिल सकती है और आपके कंप्यूटर उपकरण जब्त हो सकते हैं। ऑस्ट्रिया में एक आदमी पर छापा मारा गया था और टोर निकास नोड चलाने के लिए बाल अश्लीलता वितरित करने का आरोप लगाया गया था।एक टोर निकास नोड चलाने से अन्य लोगों को बुरी चीजें करने की इजाजत मिलती है, जिन्हें आप खुले वाई-फाई नेटवर्क के संचालन की तरह वापस देख सकते हैं - लेकिन यह वास्तव में आपको परेशानी में लाने की अधिक संभावना है। हालांकि, परिणाम आपराधिक जुर्माना नहीं हो सकता है। आपको संयुक्त राज्य अमेरिका में कॉपीराइट अलर्ट सिस्टम के तहत कॉपीराइट की गई सामग्री या कार्रवाई डाउनलोड करने के लिए मुकदमे का सामना करना पड़ सकता है।
पाठ: गंभीरता से टोर निकास नोड कभी नहीं चलाएं।
यदि आप वास्तव में चाहते हैं तो टोर प्रोजेक्ट में एक्जिट नोड चलाने के लिए सिफारिशें हैं। उनकी सिफारिशों में एक वाणिज्यिक सुविधा में एक समर्पित आईपी पते पर एक टॉर-फ्रेंडली आईएसपी का उपयोग करके बाहर निकलने वाले नोड को चलाने में शामिल हैं। घर पर यह कोशिश मत करो! (ज्यादातर लोगों को यह काम पर भी कोशिश नहीं करनी चाहिए।)
टोर एक जादू समाधान नहीं है जो आपको गुमनाम प्रदान करता है। यह नेटवर्क के माध्यम से एन्क्रिप्टेड ट्रैफिक को चतुराई से गुजरने से गुमनाम हो जाता है, लेकिन उस ट्रैफिक को कहीं उभरना पड़ता है - जो टोर के उपयोगकर्ताओं और बाहर निकलने वाले नोड ऑपरेटर दोनों के लिए एक समस्या है। इसके अलावा, हमारे कंप्यूटर पर चलने वाला सॉफ़्टवेयर हमारे आईपी पते को छिपाने के लिए डिज़ाइन नहीं किया गया था, जिसके परिणामस्वरूप टोर ब्राउज़र में सादे HTML पृष्ठों को देखने से परे कुछ भी करने का जोखिम होता है।
