新闻链接：329K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4e0l9H3x3e0N6Q4x3X3g2Z5N6r3#2D9
新闻时间：2014.11.05
新闻正文：
早在2013年，Facebook启动了一项决定：不允许用户通过Tor匿名网络访问Facebook站点。然而最近Facebook改主意了，它将允许用户通过Tor匿名网络登录Facebook。不仅如此，Facebook甚至还为用户提供了一些特殊的onion地址，便于用户匿名访问他们的网站。

这个决策还是蛮有意思的。我们都知道，网站的安全防护策略很多都是基于IP的，这样一来，由于Tor网络本身的匿名性，Facebook的安全控制的很多策略基本上就被架空了，对于网站的安全性肯定是一个很大的挑战。

FreeBuf科普：了解Tor

Tor（The Onion Router）或许不是网络匿名访问的唯一手段，但毫无疑问它是目前最流行、最受开发者欢迎的。这个免费、开源的程序可以给网络流量进行三重加密，并将用户流量在世界各地的电脑终端里跳跃传递，这样就很难去追踪它的来源。大部分的Tor用户只把它作为一个匿名浏览网页的工具，不过实际上它潜力十足：Tor软件可以在操作系统后台运行，创建一个代理链接将用户连接到Tor网络。随着越来越多的软件甚至操作系统都开始允许用户选择通过Tor链接发送所有流量，这使得你几乎可以用任何类型的在线服务来掩盖自己的身份。

引入Tor可能迎来更大的挑战

Facebook已经改变了其对于Tor网络的立场，并且将会提供给用户一项匿名服务用来连接Facebook。Facebook已经声明将会提供一个特殊的网址（f78K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3j5h3y4W2j5X3!0G2K9$3y4G2M7X3g2%4N6%4N6A6i4K6u0W2L8$3&6A6L8$3&6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0N6Q4z5e0c8Q4b7e0S2Q4c8e0k6Q4z5f1c8Q4b7e0g2Q4c8e0c8Q4b7V1g2Q4z5f1u0Q4c8e0g2Q4z5p5y4Q4b7V1k6Q4c8e0g2Q4z5e0m8Q4z5p5c8Q4c8e0N6Q4z5e0c8Q4b7e0S2Q4c8e0k6Q4z5o6S2Q4b7U0N6Q4c8e0c8Q4b7V1c8Q4b7V1k6Q4c8e0N6Q4z5e0c8Q4b7e0S2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0c8Q4b7V1c8Q4b7V1k6Q4c8e0N6Q4z5e0c8Q4b7e0S2f1L8%4u0Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7V1u0Q4z5f1y4Q4c8e0c8Q4b7U0S2Q4z5p5q4r3j5h3y4W2j5X3!0G2K9#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9&6x3q4)9^5b7#2!0q4y4g2!0m8c8q4!0m8y4W2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4z5g2)9^5x3q4)9&6b7g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4g2)9&6c8q4)9^5x3q4!0q4y4q4!0n7b7g2!0m8b7W2!0q4y4g2)9^5c8W2)9&6y4@1k6S2j5$3g2T1L8$3!0C8i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1K6i4K6R3H3i4K6R3J5

Facebook先前以安全为由，屏蔽了Tor网络的匿名登录渠道，而现在的这一举措，无疑增加了通过Tor服务攻击其服务器的可能性。

早在2013年，社交网络（Facebook）就声明将针对Tor登录提供一个可行的解决方案。现在看来，Facebook并没有食言，看起来这一方案实行在即。不过尽管Facebook推行了此方案，并不代表其不知道这一举措将会带来的无尽的风险。

Facebook的高级安全工程师Alec Muffett说：
“Tor匿名登录方案对于Facebook的安全机制来说确实是一个前所未有的挑战。比如说，该套方案就意味着我们从服务系统的角度来看，同一个人，前一秒还是来自于澳大利亚，可能下一秒就会跳到瑞典或者加拿大。”

这里还存在一个不小的问题，Facebook将仍然使用JavaScript来维持前端的一些基本的操作（比如一些必要的信息收集，前端展示或者维持链接的稳定性等），但是这对于一些使用Tor网络的用户来说是一个很大的禁忌。

一些声音

“在很多情况下，我们认为Facebook的Tor匿名登录方案极大的助长了更多账户被黑，然后组成僵尸网络的可能性。因为原来的安全措施将因为匿名登录举措失去本来的安全性。”

Facebook表示，他们还将使用一些特殊的Tor网址，通过这些举措，服务还将使用于SSL之上。Facebook将允许Tor服务维持一个安全的连接，防止他们的用户被重定向到假冒的网站。

“我们的想法是尽量通过我们提供的特殊的Tor地址，使您直接连接到我们的核心WWW基础设施上，意即为您提供一个终端对服务器的‘直连’方案。”Muffett说。

然而，如果Facebook的一些举措仍不改变——比如实名政策，那么使用Tor服务的人还是难以真正匿名的。不过对于Tor用户来说，该服务通过SSL运行确实是一个很好的举措，这意味着用户连接到Facebook的数据中心的时候是被加密的，用户的隐私得到了一定程度的保护。

不管怎么样吧，Facebook的这一方案还是很酷的。关于接下来会发生什么，我们拭目以待

[培训]科锐逆向工程师培训第53期2025年7月8日开班！