使用Tor访问一个网站时可能会降级到HTTP,但在切换线路后,一切恢复正常。
这种情况一般是遭受到了SSL剥离攻击,Tor网络有许多恶意节点进行此类攻击,来窃取信息或加密货币。
我的思路正确吗?
Tor Browser的话就算没有HSTS也能保证安全, 因为有HTTPS-Only Mode.
前提是如果遇到陌生网站不支持HTTPS的提示建议先尝试多次切换链路, 防止出口结点篡改, 当然如果是已知且肯定支持HTTPS的网站, 比如本站, 无论重试多少次也不要尝试放弃HTTPS.
你可以访问 http://httpforever.com 来提前熟悉相关提示界面以便遇到意外或恶意篡改时保持警觉.
Tor Broser的安全级别中, Safest和Safer也可以缓解篡改加入恶意JS的问题: http://dsbqrprgkqqifztta6h3w7i2htjhnq7d3qkh3c7gvc35e66rrcv66did.onion/security-settings/index.html