VPN+Tor会不会不比单独Tor安全?

我看到品葱主流安全观点是VPN+Tor,单独Tor是最低保险
但是,最近又在外网看到这么个观点:VPN+Tor反而徒增风险?
https://imgur.com/a/Dri4owt
个人观点是,此人陈述虽多但不充分,而且他们防的是FBI.
暴风雨前 成事不说,遂事不谏,既往不咎。
先说结论:低危操作可以用VPN+Tor提升使用体验而非安全性;高危操作请仅使用Tor,并且无论身处何地,打开meek等流量混淆插件(当然在中国不开meek根本无法直接使用)。

对于低危操作,外挂VPN使用Tor有一个好处,即访问速度会有很大提升:VPN的流量特征明显,ISP正常情况下会直接放行包含洋葱网络跳转的VPN流量(甚至包括非紧张时期的中国大陆运营商),且有些VPN服务商会提供洋葱网络的加速服务(比如NordVPN的Onion Over VPN),而纯粹的加密流量会更扎眼(比如你公司的IT部门,检测到你的上行加密流量一定会暗中多留心眼)也更缓慢。

而对于高危操作,首要问题就是编程随想一直念叨的“使用服务越多,中间环节越长,越会增大攻击面”,VPN也不例外。比如VPN绑定的账户邮箱的密码本身就已经泄露了(可以用这个网站检自查一下);你的VPN用户名很特殊而且在不同网络服务中多次出现;你的所有网络服务使用相同密码,一次意外的拖库将导致你的整个互联网身份全部暴露。第二,VPN服务商的承诺也不能全信,已经有处于市场头部的几家VPN服务商(包括PureVPN、EarthVPN等)被曝出暗中记录用户日志,流量分析,出售用户信息以及和执法部门合作。鉴于在VPN运营中很难避免完全无日志运行,凡是处于中国、俄罗斯、五眼/九眼/十四眼国家管辖范围的VPN服务商都需要高度警惕。另外,在没有关闭的WebRTC的浏览器里,使用VPN依然会暴露实际IP地址。为了提高安全性,请通过手动修改设置的方式或者打额外的浏览器插件来解决(请阅读这个链接,各个浏览器的方法大同小异,然后去这里验证是否关闭成功)。简单来说就是不要套VPN使用Tor,这篇文章有详细论述。

至于楼主所说的Ross Ulbricht,他被抓并不是由于VPN作为前置代理:FBI从他在Silk Road的发言中得知出他是一个身处德州的共和党支持者(福布斯的报道只是简要提及,并未展开叙述),大幅缩小抓捕范围;更可怕的是,他居然使用真名注册Gmail和LinkedIn,甚至还在StackOverflow上回答关于如何使用Tor的问题(参见英国卫报的报道),多重信息泄露,想不被抓都难。

最后,要实现安全上网,还有很多许多其它的安全要点(遑论操作系统本身了),这里就不详细展开了:限制各类商业trackers(比如使用EFF出品的Privacy Badger浏览器插件)、强制用HTTPS访问网页、启用DNS Over HTTPS、删除不安全的根证书(这篇文章有些过时了,但大方向没有错)、阻止部分Javascript APIs生成指纹乃至直接禁用JS脚本、清除URL内的parameters防止类似Google Analytics的分析流量等。

总之,没有绝对安全的技术,最大的安全隐患永远是人本身,也不要夸大渲染技术侦察部门的能力、高估自己的重要程度。除非你是编程随想级别的反贼,否则一般的网络安全常识足以让你安全畅游星海——毕竟安全级别越高,使用就越不方便。
vpn只要不是蜜罐理论上是比单独tor安全的
是否回复为讨论? NO
冚家鏟泥齊種樹 汝家池塘多鮫魚 魚肥果熟嫲捻飯 你老母兮親下廚
問題求解 TOR連接失敗  配置所有網橋也不行
如何解決?

要发言请先登录注册