Если я подключаюсь к веб-сайту через HTTPS через VPN в Tor и совершаю покупку с самоидентификацией, ставит ли это под угрозу мою идентичность другим сайтам?

Question

Давайте работать в обратном направлении.

Я понимаю, что выходной узел Tor не будет знать, кто я, потому что отправляемый им запрос шифруется через HTTPS. Но веб-сайт, к которому он подключается, понял бы, что соединение с этого выходного узла Tor сделало покупку для меня или вошло в самоидентифицирующуюся учетную запись. Короче говоря, они знали бы, что моя личность соединяется с ними через тот выходной узел Tor.

Скажем, этот веб-сайт сообщает миру, что я совершил покупку в том узле выхода Tor. Я думаю, что другие веб-сайты, вероятно, не смогут определить мою личность просто по IP-адресу выходного узла, даже если они знали, что я выходил из этого узла ранее. Я также думаю, что, хотя выходной узел постоянно получает запросы от одного и того же среднего узла, он не сможет определить, что какой-либо из этих запросов исходит от моей идентичности по сравнению с другими идентификаторами с этого среднего узла. Единственный возможный случай скомпрометированной идентичности, когда кто-то имеет доступ ко всем 3 узлам Tor, позволяет им отслеживать соединения. Но даже если бы у них было все 3 узла, в моей настройке узел входа будет видеть HTTPS-зашифрованное соединение от VPN.

Это заставляет меня поверить, что я могу безопасно войти во все свои аккаунты и купить один и тот же товар с помощью одной и той же кредитной карты в миллион раз, и единственный способ, с помощью которого моя личность может быть скомпрометирована для сайтов, на которых я не совершаю покупки, - это если мой VPN имел доступ ко всем трем моим узлам Tor. Я не прав или я не прав?

КОНЕЦ ЦЕЛЬ: Я хотел бы иметь возможность купить что-то на Amazon и войти в Facebook, а затем прочитать какой-нибудь случайный журнал, через одно и то же соединение с браузером, и этот журнал не будет знать, кто я, даже если Amazon и Facebook сказали те, что я сделал покупки или вошел в систему с этого конкретного узла выхода Tor.

Answer 1

Проведя дополнительные исследования и основываясь на комментариях к исходному вопросу, выясняется, что другие сайты (в этом примере сайты, отличные от Amazon или Facebook) могут идентифицировать вас только несколькими хитрыми способами.

1. Отпечатки пальцев в браузере - это будет трудно сделать, если вы используете Tor Browser, поскольку он использует настройки по умолчанию, которыми поделится большинство других пользователей сети Tor.

2. Файлы cookie - Facebook и Amazon могут хранить файлы cookie в сеансе браузера, к которым потенциально может получить доступ другой сайт. Tor Browser автоматически удаляет куки только при запуске, поэтому они могут зависать. Но есть плагины для автоматического удаления куки.

3. WebRTC, вредоносный javascript - VPN могут отключить все WebRTC (которые могут потенциально раскрыть ваш личный IP-адрес), а в браузере Tor установлен плагин NoScript, позволяющий контролировать работу JavaScript на странице.

Итак, если вы используете VPN, которая может отключить WebRTC, и вы используете Tor Browser с правильно настроенными плагинами (NoScript, автоудаление cookie, возможно, даже интеллектуальный скремблер Canvas), у меня нет оставшихся открытий, которыми я являюсь в курсе