工作原理
Tor Browser 是 Mozilla Firefox ESR 的加固版本,与 Tor 客户端组合而成。每个页面请求都会经过一条由三个中继构成的链路,这些中继取自志愿者运营的 Tor 网络:一个入口中继、一个中间中继和一个出口中继。每个中继剥离一层加密,只知道前一跳和后一跳,因此路径上没有任何一台机器能同时看到用户的 IP 地址和目标地址。浏览器会定期重建链路,并按站点对其进行隔离。
在网络层之上,浏览器部署了自己的防护措施。它拦截第三方追踪器,在每次会话结束时清除 Cookie 和历史记录,并统一可用于指纹识别的数值——屏幕尺寸、字体、时区——使用户彼此相似而非各自突出。连接到 .onion 地址会让流量端到端地保持在网络内部,不经过任何出口中继。其构建是可复现的,而且每次迁移到新的 Firefox ESR 版本都会在发布前接受审计。
KYC 与隐私
这里没有任何东西需要做 KYC。Tor Browser 没有账户、没有注册、没有电子邮件字段、没有付款——它是从 torproject.org 或其镜像下载的自由软件。The Tor Project 是一家美国 501(c)(3) 非营利组织,它不运营任何能将用户与其浏览行为关联起来的服务器,而中继式设计意味着运营方自己也无法对其用户去匿名化。
匿名性源于结构,而非承诺。其薄弱环节有充分记录:监视一条链路两端的全局对手可以尝试流量关联,而过时的软件曾是以往去匿名化案件中的撬杠。The Tor Project 在 2024 年回应有关时序攻击的报道时指出,所引用的多数案件发生在 2019 至 2021 年,且依赖于陈旧的客户端。流向非 onion 站点的出口流量对出口中继也是可见的,这正是 HTTPS 和 onion 服务重要的原因。
优势与局限
支持 Tor Browser 的最有力理由在于,它的隐私性并不是某家厂商可以悄悄更改的设置。其威胁模型是公开的,源代码托管在 GitLab 上,独立公司对其进行审查:Radically Open Security 于 2023 年审计了 Tor 生态系统,并于 2025 年审计了向 Firefox ESR 140 的迁移。资金来自拨款和捐赠,而非对用户的变现,其非营利结构也载于公开记录。
这些局限是设计本身固有的。经由三个中继的路由速度较慢,许多站点会显示验证码,或干脆封锁 Tor 的出口地址。浏览器保护的是网络层,而非用户:登录实名账户、启用脚本或使用被入侵的设备,都足以使其失效。iOS 没有官方版本——The Tor Project 建议改用 Onion Browser。Tor 是用于特定任务的强大工具,而非以速度优先的通用浏览器。
结论
Tor Browser 是开放互联网最接近默认匿名层的东西,而且它在没有账户体系、没有订阅、没有一起亏待自己用户的事件的情况下守住了这一地位。它回报那些理解其威胁模型的人,也让那些期待一款日常快速浏览器的人感到失望。评分:A+ (9.7/10)。信任:LEGIT。
Tor Browser 是网络匿名性的参考实现,也是少见的、其保障来自架构而非厂商承诺的隐私工具。对于需要隐藏 IP 地址并抵御指纹识别的人,它是正确的选择;对于把速度放在首位的人,它则是错误的选择。评分:A+ (9.7/10)。信任:LEGIT。
