不，这不安全。但是您阅读的推理是错误的。

当您使用 Tor 时，您与 Tor 网络之间的连接是加密的，因此您的 ISP 无法窃听。但是当你用 Tor 访问一个普通的 HTTP 网站时，出口节点和目标网站之间的连接是未加密的。这意味着出口节点可以窃听和操纵整个连接。您不知道出口节点（及其 ISP）是否值得信赖，因此这可能非常危险。

这不适用于隐藏服务（.onion 网站）。在这种情况下，加密是端到端的，另一个 HTTPS 层是多余的（而且会适得其反，因为 HTTPS 的一个目的是使服务器去匿名化）。

这取决于。具体来说，这取决于您访问的数据类型和您的威胁模型。

HTTPS 为 Tor 提供什么保护？

以下是一些潜在对手在每个点可用的信息的细分。您会注意到 HTTPS 仅在连接的最后一步（在 Tor 电路的出口节点和目标服务器之间）提供保护：

• 您的家庭网络和 ISP： Tor 在网络内提供强大的加密。您家庭网络或 ISP 上的潜在对手可以看到您正在使用 Tor，但他们看不到您正在访问的网站。
• Tor 网络：Tor 网络中的流量具有多层加密，因此只有 Tor 电路中的最后一个节点（出口节点）才能看到您发送到目的地的流量。
• 出口节点：此时，流量退出 Tor；它可以由 Tor 节点本身或该节点的 ISP 监控。这就是 HTTPS 变得重要的地方，因为它可以防止窥探您交易中包含的数据（密码、您访问的特定页面等）。

有一个很好的交互式图表总结了上述内容。该图允许您同时启用 Tor 和 HTTPS，以查看哪些信息可以对不同的对手隐藏。

我总是需要 HTTPS 吗？

简短的回答是：不，但如果可能的话，你应该使用它。HTTPS 为出口节点和目标服务器之间传输的数据提供额外的保护。这取决于您发送或访问的数据以及您希望阻止谁看到该数据。

例如，如果您正在阅读没有 HTTPS 的新闻网站，Tor 出口节点及其 ISP 就有可能看到有人正在阅读特定新闻网站上的特定文章。但是，他们不会知道你是谁。如果您添加 HTTPS，他们可以看到您正在访问的新闻网站的名称，但看不到您正在访问的特定页面。

因此，如果某些网站上没有 HTTPS，那么曝光仍然是有限的。但是，如果您想发送用户名、密码或其他识别信息等信息，请务必使用 HTTPS。

HTTPS 是否提供其他保护？

是的。还有一点需要解决：HTTPS 提供对恶意页面修改的保护。

当您通过未加密的连接连接到网站时，出口节点、出口节点的 ISP 或一些具有必要访问权限的政府机构可能会修改传输中的流量。这可能允许他们将其他内容注入页面，包括广告或浏览器漏洞。他们还可以更改页面本身的内容（植入假新闻故事等）。

使用 HTTPS 使这种攻击变得更加困难，因为它需要对您的连接执行中间人攻击。此外，当执行这些类型的攻击时，它们更有可能被注意到。

隐藏服务（洋葱网站）呢？

这些服务的流量由 Tor 自动加密。事实上，服务本身的名称（.onion 地址）在建立加密连接中起着重要作用。

但是，一些隐藏服务确实使用 HTTPS。Facebook 就是一个例子。他们使用 SSL 证书来提供证据，证明您正在连接到合法的 Facebook 服务器，而不是冒名顶替的网站。

有额外的保护吗？

可以安装一些浏览器插件。

Tor 浏览器捆绑包已经包括：

• 当目标网站位于已知支持加密的网站列表中时，HTTPS Everywhere会自动启用 HTTPS。
• NoScript允许您禁用 JavaScript，这可以针对注入的 JavaScript 提供额外的保护。

高级用户可能还希望启用其他一些选项。但是，与其他 Tor 用户相比，将这些添加到 Tor 浏览器捆绑包中可能会让您更加独特，因此只有在您知道自己在做什么的情况下才安装这些：

• 请求策略针对将 iframe 或其他远程内容插入您的连接的攻击提供额外保护。

最后一道防线是人类的警惕。对任何可疑的事情保持警惕。你永远不知道隐藏在阴影中的危险是什么。

您仍然需要 HTTPS，因为 Tor 出口节点上的任何人都可以读取您的 HTTP 流量。

例如 Tor 提供保护，因此您的 ISP 将难以读取您的流量，但它不是端到端加密。您无法确定您的出口是谁/在哪里或谁控制它，他们仍然有能力拦截您的未加密流量

见附图澄清：http ://www.flickr.com/photos/albill/1263976173/