پیکربندی Tor Browser — حداکثر امنیت

Security Slider مهم‌ترین تنظیم امنیتی Tor Browser است. برای دسترسی به آن، روی آیکون shield در نوار ابزار کلیک کنید → «Settings».

سه سطح وجود دارد:

• Standard (پیش‌فرض): تمام ویژگی‌های مرورگر فعال هستند. جاوااسکریپت فعال، فونت‌ها بارگذاری می‌شوند، ویدیو و صدا کار می‌کند. استفاده: مرور عمومی، مسائل کم‌اهمیت.
• Safer: جاوااسکریپت روی سایت‌های non-HTTPS غیرفعال. HTML5 media فقط روی کلیک. برخی fonts و math symbols غیرفعال. استفاده: تعادل بین امنیت و کارکرد. برای اکثر کاربران توصیه می‌شود.
• Safest: جاوااسکریپت به‌طور کامل غیرفعال. HTML5 media غیرفعال. فقط فونت‌های سیستمی. بدون SVG images. استفاده: حداکثر امنیت. توصیه برای کاربران ایرانی با تهدیدات بالا.

توصیه: روی «Safest» شروع کنید. اگر سایتی کار نمی‌کند، به «Safer» برگردید. هرگز روی «Standard» نمانید مگر اینکه سایت هدف شما امن است.

جاوااسکریپت بزرگ‌ترین سطح حمله است. بیشتر آسیب‌پذیری‌های Tor Browser از طریق JS هستند. غیرفعال کردن JS = محافظت از ۹۵٪ حملات.

NoScript یک extension است که به طور پیش‌فرض در Tor Browser نصب است. این به شما کنترل granular روی کدام script ها اجرا شوند می‌دهد.

نحوه استفاده:

1. روی آیکون NoScript (در گوشه بالا راست) کلیک کنید
2. لیستی از تمام scripts فعلی را می‌بینید
3. برای هر کدام می‌توانید «Trust» یا «Untrust» را تنظیم کنید
4. تغییرات فوری اعمال می‌شوند (ممکن است صفحه reload کند)

استراتژی:

• Default: غیرقابل اعتماد: تمام scripts به طور پیش‌فرض غیرفعال باشند
• تنها برای سایت‌های مورد اعتماد فعال کنید: اگر به ProtonMail اعتماد دارید، JS آن را فعال کنید
• هرگز به third-party scripts اعتماد نکنید: google-analytics.com، facebook.com، یا هر CDN — همه باید مسدود بمانند
• XSS protection: NoScript از حملات Cross-Site Scripting محافظت می‌کند

اگر Security Slider روی «Safest» است، JS به طور کامل غیرفعال است و نیاز به مدیریت با NoScript ندارید. اما اگر روی «Safer» هستید، NoScript ابزار مهمی است.

به about:preferences#privacy بروید. چند تنظیم مهم:

• Always use private browsing mode: فعال. Tor Browser همیشه باید در حالت خصوصی باشد.
• Enhanced Tracking Protection: «Strict»: بلاک کردن fingerprinters، cryptominers، social media trackers، cross-site tracking cookies.
• Cookies and Site Data: «Delete cookies and site data when Tor Browser is closed» فعال. این پیش‌فرض است — مطمئن شوید تغییر نکرده.
• Logins and Passwords: «Ask to save logins» غیرفعال. هرگز رمزها را در Tor Browser ذخیره نکنید.
• History: «Never remember history» — باید پیش‌فرض باشد.
• Address Bar: فقط suggestions مفید را فعال کنید. tracking suggestions را غیرفعال کنید.
• Permissions: Location، Camera، Microphone، Notifications → همگی «Block». هیچ سایتی نباید به اینها دسترسی داشته باشد.
• DRM content: غیرفعال. DRM می‌تواند fingerprint شما را افشا کند.

Tor Browser به طور پیش‌فرض از Tor به‌عنوان proxy استفاده می‌کند. اما چند تنظیم پیشرفته وجود دارد:

about:config تنظیمات مهم:

• media.peerconnection.enabled → false (غیرفعال کردن WebRTC که می‌تواند IP واقعی را افشا کند)
• privacy.resistFingerprinting → true (مقاومت در برابر fingerprinting — پیش‌فرض true در Tor Browser)
• network.trr.mode → 5 (DNS over HTTPS غیرفعال — Tor نباید DoH استفاده کند)
• geo.enabled → false (Geolocation API غیرفعال)
• dom.event.clipboardevents.enabled → false (منع دسترسی سایت‌ها به clipboard)

هشدار: تنظیمات about:config را بدون درک کامل تغییر ندهید. یک تنظیم اشتباه می‌تواند امنیت Tor Browser را به خطر بیندازد. تنظیمات پیش‌فرض Tor Browser از قبل بهینه شده‌اند — فقط موارد بالا را تنظیم کنید.

قانون طلایی: هیچ extension اضافی نصب نکنید. هر extension می‌تواند fingerprint شما را منحصر به فرد کند و شما را قابل ردیابی کند.

Extensions که Tor Browser پیش‌فرض دارد (نصب شده، نگه دارید):

• NoScript: مدیریت JavaScript
• HTTPS Everywhere: اجبار HTTPS روی سایت‌هایی که پشتیبانی می‌کنند (هرچند در Tor Browser جدید، این در خود مرورگر ادغام شده است)
• Tor Launcher: اتصال به شبکه Tor

Extensions که نباید اضافه کنید:

• Ad blockers (uBlock Origin، AdBlock Plus): به fingerprint اضافه می‌کنند. Tor Browser به طور داخلی tracker blocking دارد.
• Password managers (LastPass، Bitwarden): رمزهای شما را به third-party سرویس می‌فرستند. از KeePassXC آفلاین استفاده کنید.
• VPN extensions: یا IP را leak می‌کنند یا به فروشنده VPN اعتماد نشده شما
• Translation (Google Translate): هر چیزی را که ترجمه می‌کنید به Google می‌فرستد. از افزونه‌های ترجمه محلی استفاده کنید.
• Dark mode extensions: fingerprint منحصر به فرد ایجاد می‌کنند. از dark mode داخلی سایت استفاده کنید.

هر چه extensions کمتر، شما شبیه‌تر به میلیون‌ها کاربر دیگر Tor Browser هستید — که هدف است.

browser fingerprinting تکنیکی است که سایت‌ها از آن برای شناسایی کاربران بدون cookies استفاده می‌کنند. آن‌ها پارامترهای مرورگر (user agent، screen size، fonts، canvas، WebGL، ...) را ترکیب می‌کنند تا یک «اثر انگشت» منحصر به فرد ایجاد کنند.

Tor Browser به طور پیش‌فرض در برابر اکثر fingerprinting محافظت می‌کند، اما شما می‌توانید کمک کنید:

• اندازه پنجره را تغییر ندهید: Tor Browser با یک اندازه استاندارد می‌آید. تغییر آن (maximize کردن یا resize کردن) شما را منحصر به فرد می‌کند. اگر maximize کنید، Tor Browser یک پنجره سیاه در اطراف محتوا اضافه می‌کند تا اندازه قابل شناسایی باقی بماند.
• زبان را انگلیسی نگه دارید: حتی اگر می‌خواهید فارسی بخوانید، زبان مرورگر را انگلیسی نگه دارید. زبان فارسی در Tor Browser fingerprint منحصر به فرد است (اکثر کاربران Tor Browser انگلیسی هستند).
• منطقه زمانی را دستکاری نکنید: Tor Browser timezone را به UTC تنظیم می‌کند. این را تغییر ندهید.
• Font های سفارشی نصب نکنید: Tor Browser از فونت‌های سیستمی استفاده می‌کند. نصب فونت‌های جدید روی سیستم عامل می‌تواند fingerprint را تغییر دهد.
• از وب‌کم و میکروفون اجتناب کنید: حتی اگر دسترسی را بلاک می‌کنید، برخی سایت‌ها می‌توانند از hardware enumeration برای fingerprinting استفاده کنند.
• تست fingerprint: به coveryourtracks.eff.org (روی Tor) بروید تا ببینید چقدر منحصر به فرد هستید.