让我们反过来想一下。
我知道 Tor 出口节点不知道我是谁,因为它发出的请求是通过 HTTPS 加密的。但是,它连接的网站会意识到来自该 Tor 出口节点的连接为我进行了购买,或登录了一个自我识别的帐户。简而言之,他们会知道我的身份是通过该 Tor 出口节点连接到他们的。
假设该网站让全世界知道我从该 Tor 出口节点购买了商品。我的想法是,其他网站可能无法仅从出口节点 IP 推断出我的身份,即使他们知道我之前从该节点退出。我还在想,即使出口节点不断从同一个中间节点获取请求,它也无法识别这些请求是来自我的身份还是来自该中间节点的其他身份。导致唯一可能的身份泄露的情况是某人可以访问所有 3 个 Tor 节点,使他们能够跟踪连接。但是,即使他们拥有所有 3 个节点,在我的设置中,入口节点也会看到来自 VPN 的 HTTPS 加密连接。
这让我相信,我可以安全地登录我的所有账户,用同一张信用卡购买同一款商品一百万次,而我的身份被泄露到我不购买的网站上的唯一方式就是我的 VPN 可以访问我的所有三个 Tor 节点。我错了吗?还是我错了?
最终目标:我希望能够在亚马逊上买东西并登录 Facebook,然后阅读一些随机日志,所有这些都通过同一个浏览器连接完成,而日志根本不知道我是谁,即使亚马逊和 Facebook 告诉他们我已经购买了东西或从特定的 Tor 出口节点登录。
答案1
在进行更多研究并基于对原始问题的评论后,似乎其他网站(此示例中为亚马逊或 Facebook 以外的网站)只能通过一些隐秘的方法来识别您。
浏览器指纹——如果您使用 Tor 浏览器,这将很难做到,因为它使用 Tor 网络上大多数其他用户共享的默认设置。
饼干-- Facebook 和 Amazon 可能会在您的浏览器会话中存储其他网站可能访问的 cookie。Tor 浏览器仅在启动时自动清除 cookie,因此这些 cookie 可能会残留。但有插件可以自动删除 cookie。
WebRTC,恶意 JavaScript-- VPN 可以禁用所有 WebRTC(这可能会暴露您的个人 IP),并且 Tor 浏览器安装了 NoScript 插件以允许控制页面上运行的 javascript。
因此,如果您使用可以禁用 WebRTC 的 VPN,并且使用带有正确配置的插件(NoScript、cookie 自动删除器,甚至是智能画布扰频器)的 Tor 浏览器,那么据我所知,没有剩余的漏洞。