有些人认为Tor是一种完全匿名的、私密的、安全的访问互联网的方式，而没有人能够监视你的浏览并追踪到你——但这是吗？其实没那么简单。

Tor不是完美的匿名和隐私解决方案。它有几个重要的限制和风险，如果你要使用它，你应该意识到这些。

可以嗅探出口节点

阅读我们关于Tor如何工作的讨论，更详细地了解Tor如何提供匿名性。总之，当您使用Tor时，您的Internet流量将通过Tor的网络路由，并在退出Tor网络之前通过几个随机选择的中继。Tor的设计使得理论上不可能知道哪台计算机实际请求了通信量。您的计算机可能已经启动了连接，或者它可能只是作为一个中继，将加密的流量中继到另一个Tor节点。

然而，大多数Tor流量最终必须来自Tor网络。例如，假设您通过Tor连接到Google—您的流量通过几个Tor中继，但它最终必须从Tor网络中出现并连接到Google的服务器。最后一个Tor节点，您的流量离开Tor网络进入开放的Internet，可以对其进行监控。流量从Tor网络中退出的节点称为“退出节点”或“退出中继”

在下图中，红色箭头表示出口节点和“Bob”（互联网上的一台计算机）之间未加密的通信量。

如果你正在访问一个加密的（HTTPS）网站，比如你的Gmail账户，这是可以的——尽管退出节点可以看到你正在连接Gmail。如果您正在访问未加密的网站，退出节点可能会监视您的Internet活动，跟踪您访问的网页、执行的搜索以及发送的消息。

人们必须同意运行出口节点，因为运行出口节点比仅仅运行传递流量的中继节点更具法律风险。**很可能会运行一些出口节点，并监控离开它们的流量，利用所学知识调查罪犯，或者在专制国家惩罚政治活动家。

这不仅仅是理论上的风险。2007年，一名安全研究人员通过运行Tor exit节点截获了100个电子邮件帐户的密码和电子邮件。有问题的用户犯了一个错误，没有在他们的电子邮件系统上使用加密，他们认为Tor会以某种方式通过内部加密来保护他们。但Tor不是这样工作的。

教训：当使用Tor时，一定要使用加密（HTTPS）网站来处理任何敏感信息。请记住，您的流量可能会受到监控-不仅是**，而且是寻找私人数据的恶意人士。

javascript、插件和其他应用程序可能会泄漏您的ip

我们在解释如何使用Tor时介绍了Tor浏览器包，它是预先配置了安全设置的。JavaScript被禁用，插件无法运行，如果您试图下载一个文件并在另一个应用程序上打开它，浏览器将发出警告。

JavaScript通常不会带来安全风险，但如果您试图隐藏IP，则不希望使用JavaScript。浏览器的JavaScript引擎、adobeflash之类的插件、adobereader之类的外部应用程序甚至视频播放器都有可能将您的真实IP地址“泄露”给试图获取它的网站。

Tor浏览器包使用其默认设置避免了所有这些问题，但您可能会禁用这些保护，并在Tor浏览器中使用JavaScript或插件。如果你对匿名性很认真的话就不要这么做——如果你对匿名性不认真的话，你就不应该首先使用Tor。

这也不仅仅是理论上的风险。2011年，一组研究人员通过Tor获得了10000名使用BitTorrent客户端的用户的IP地址。像许多其他类型的应用程序一样，BitTorrent客户端是不安全的，并且能够暴露您的真实IP地址。

教训：保持Tor浏览器的安全设置。不要尝试将Tor与其他浏览器一起使用–坚持使用Tor浏览器捆绑包，该捆绑包已使用理想设置进行了预配置。你不应该在Tor网络中使用其他应用程序。

运行退出节点会给您带来风险

如果你是一个在线匿名的大信徒，你可能会通过运行一个Tor中继的动机捐赠你的带宽。这不应该是一个法律问题-Tor中继只是在Tor网络中来回传递加密的通信量。Tor通过志愿者运行的中继实现匿名。

但是，在运行出口中继之前应该三思而后行，出口中继是Tor流量从匿名网络出来并连接到开放Internet的地方。如果犯罪分子使用Tor进行非法活动，并且流量来自您的出口中继，该流量将可追踪到您的IP地址，您可能会被敲门，您的计算机设备将被没收。奥地利一名男子因经营Tor出口节点而遭到突袭并被控传播儿童色情制品。运行一个Tor exit节点可以让其他人做一些可以追溯到你的坏事，就像操作一个开放的Wi-Fi网络一样——但它实际上更可能让你陷入麻烦。然而，后果可能不是刑事处罚。你可能会因为下载受版权保护的内容而面临诉讼，或者在美国的版权警报系统下被起诉。

运行Tor出口节点所涉及的风险实际上与第一点有关。因为运行Tor退出节点风险很大，很少有人这么做。然而，**可以通过运行出口节点逃脱惩罚，而且很可能很多**都是这样做的。

教训：永远不要运行Tor退出节点-认真的。

如果您真的想运行exit节点，那么Tor项目提供了运行exit节点的建议。他们的建议包括在商业设施的专用IP地址上运行一个出口节点和使用一个Tor友好的ISP。别在家里试这个！（大多数人甚至不应该在工作中尝试这个。）

Tor不是一个能让你匿名的神奇解决方案。它通过巧妙地通过网络传递加密的流量来实现匿名性，但流量必须出现在某个地方——这对Tor的用户和出口节点运营商来说都是一个问题。此外，运行在我们电脑上的软件并不是为了隐藏我们的IP地址而设计的，这会导致除了在Tor浏览器中查看纯HTML页面之外的任何操作都存在风险。

图片来源：Michael Whitney on Flickr，Andy Roberts on Flickr，The Tor Project，Inc。