在品葱使用tor仍有暴露IP的可能吗？

在品葱使用tor，仍需开启Javascript以及控件、插件，在safer和standard状态才能注册和发帖。也就是说，不能在Tor的safest的安全模式下注册和发帖。而不在安全模式下，就有能被侦测出真实IP。

如果这个品葱是钓鱼网站，后果不言而喻。即使品葱现在是可靠的，也不能保证其管理者过几天一定不会被收买，而把各位IP供出。

实际上，一个论坛不必有过多的噱头，只要有简单功能即可，完全可以做到在Tor的safest的安全模式下注册和发帖。品葱何必一定要让网友在危险模式冒险呢？

时间
票数

19 个回复

广场上的蛋

不要危言耸听。一般墙内都是ss/vpn加tor，就算tor失守，vpn本身就提供了一层中转。除非VPN是蜜罐，加上品葱失陷，才有可能泄露真实地址。如果VPN和品葱本身就不保留IP数据，那随便怎样都无法抓到你。

不过有一点很重要的是，需要设置tor不要走国内以及港澳的节点，可能是蜜罐。方法网上有，自己搜一下就行。

admin 公共账号 管理员公共账号

至少品葱开源的代码不记录IP，所以暴露IP的方法只有四种：

Cloudflare泄露IP。
品葱HTTP服务端记录IP。
品葱开源的代码不全，有其他模组记录IP。
品葱被黑客入侵，植入恶意代码。

Cloudflare泄露IP没有可能，因为Cloudflare在隐私协议上提及不会泄露后端用户的信息。如果品葱被渗透，后三条则有可能。

但目前为止，还没有通过Javascript获取TOR用户真实IP的方法。如果你使用了Tor + VPN的模式，泄露IP的方式只有品葱被渗透 + Tor前两层都是蜜罐 + VPN被渗透，概率远小于中共明年倒台。

~~星辰夜雨~~ ^?

已隐藏

经略主权在民，国为民用

Javascript也放棄，不是做不到，但開發量恐怕做不到。

如果共匪花巨資收購了品蔥，或者站長人身被抓強行奪取了控制權，偷偷利用Javascript埋下木馬，有可能利用一些漏洞破解，找到背後IP。

其實估計有一半以上的蔥油並沒有使用TOR問題更嚴重。

如果真要爆料重要情報，使用TOR註冊一次發言完馬上就放棄賬號就是了。

一野篤穿中共G點𨳒閪𨶙𨳊𨳍

你的數據是走這樣的路線

from your comp to ISP is like this,數據從你的電腦發送至網絡運營商；

(VPN(TOR(Data)TOR)VPN) 運營商知道你使用vpn，但看不到你的數據；

Reaches VPN provider and they send this, vpn供應商知道你使用tor，但vpn供應商還是看不到你的數據；

(TOR(Data)TOR)

Reaches TOR nodes and the exit node sends this,數據從tor輸出至一個未知電腦終端；

(Data)你的數據最後出現在那台不知道在哪裡的電腦。

BraveNewWorld ^{新注册用户}

Program Think
◇案例1：Freedom Hosting 网页挂马事件

　　Freedom Hosting 是暗网上提供托管服务的平台（在暗网的圈子里小有名气）。其站长被 FBI 抓了之后，FBI 接管了网站服务器，然后在页面中嵌入了某个恶意脚本。这个恶意脚本可以利用 Firefox 17.0 ESR 版本的某个漏洞。
　　当年的 Tor Browser 用的就是这个 ESR 版本的 Firefox。因此，当某个 Tor Browser 用户访问了这个挂马的页面，该脚本就会利用 Firefox 17.0 的安全漏洞，然后【绕过代理】，直接向某个 FBI 控制的服务器发送 HTTP 请求。
　　由于是【绕过代理】进行直连，所以 FBI 只要检查该服务器收到的 HTTP 请求，就可以知道这些中招的 Tor Browser 用户的【真实】公网 IP。

　　有些同学以为俺说这个案例，是想谈“修补漏洞”。可惜不是！因为任何浏览器都【不可能】保证零漏洞，所以光靠修补浏览器漏洞来对付这类威胁，不够保险。
　　更保险的做法是【系统级网络隔离】。如果上述这些 Tor 用户看过俺的教程，懂得用【虚拟机隔离】来隐匿公网 IP，那 FBI 的招数就失灵了——因为在【隔离】的虚拟机中，恶意脚本【对外直连】的 HTTP 请求会【失败】（发不出去）。
　　所以，这个案例的教训是——你要杜绝所有【不经代理】的网络直连行为。为了做到这点，要把【所有】敏感的上网行为都放到【虚拟机】中，以确保【所有】流量都经过你设定的“网关 VM”。
Reference: https://program-think.blogspot.com/2019/01/Security-Guide-for-Political-Activists.html#head-14

WHAT IF THE HTTP REQUEST ESCAPES FROM VM?

AND ASSUMING YOU ARE USING VPN OUTSIDE THE VM (VPN+TOR,) WHEN IT ESCAPES, YOUR VPN SERVER'S IP IS EXPOSED.
YOU THINK YOU ARE SAFE. BUT WHAT IF THE VPN IS HONEYPOT?

The JavaScript (or WebRTC, or Canvas, ...) loops can be manipulated by CCP and the http request or whatever else is send to their server. Your ip/your vpn provider's ip is exposed.

And most free vpn providers and certain premium vpn providers are affiliated with CCP and/or Chinese corporations. CCP can request the user info from the vpn providers and then catch you :)

In the worst scenario, your hardware is bugged, your system is monitored by spyware, the vpn you use is honeypot vpn, and the websites you visit contains malicious codes which bypass tor/vpn and expose your ip, and then you jab the CCP online. Oops, you are doomed :-0

But don't be afraid, take precautions! One step at a time.

OH, WHAT IF PINCONG AND GEPH ARE BOTH ON CCP'S SIDE? ONE COLLECTS THE DISSIDENTS' IDEAS. ONE COLLECTS THEIR IDENTITY.

I GUESS NO ONE CAN BE TRUSTED.

va5TIy

光用tor不行，普通浏览器会暴露你的IP,
必须用Tor自带的那个捆绑的Torbrowser。
另外Tor前面挂前置的代理或vpn。

太2假人

很难证明一个平台是安全的，以共匪及克格勃的历史可以明白他们会不惜一切代价控制思想。
因此我们在使用这一平台时，要默认他未来必然被橄榄，甚至默认管理员就是国安，在这一基础之上进行操作才是正道。
双虚拟机可以解决很大一部分问题，具体操作方法见编程随想的博客。

hallo 小熊维尼

https://program-think.blogspot.com/2019/01/Security-Guide-for-Political-Activists.html#head-14

借用编程随想的真实案例分析，案例里tor浏览器漏洞+钓鱼网站是可以找到你的。这和tor中间用了几层，你是否用了前置代理没有关系，如果共匪真的渗透了品葱，那么很多人肯定是有危险的。

~~兴美银行~~ ^?

已隐藏

洋葱路由器

本人翻墙的方法：
VPN+SSR+TOR(开启obfs4)，因为有些网站，包括品葱，对TOR不太友好，所以在TOR后又加个赛风，即VPN+SSR+TOR(开启obfs4)+赛风，居然还能看480P的youtube，当然其中的SSR有时也会换成V2RAY或其他翻墙工具，而VPN有时是OPENVPN或wireguard等……不知道这样的翻墙姿势对不对？