有些人认为Tor是一种完全匿名、私密和安全的访问互联网的方式，没有人能够监控你的浏览并追踪到你-但这是真的吗？事情没有那么简单。

Tor不是完美的匿名和隐私解决方案。它有几个重要的限制和风险，如果您要使用它，您应该意识到这一点。

可以嗅探出口节点

阅读我们关于Tor如何工作的讨论，更详细地了解Tor是如何提供匿名性的。总而言之，当您使用Tor时，您的Internet流量通过Tor的网络路由，并在离开Tor网络之前经过几个随机选择的中继。ToR的设计使得理论上不可能知道实际请求流量的是哪台计算机。您的计算机可能已启动连接，也可能只是充当中继，将加密的流量中继到另一个Tor节点。

但是，大多数ToR流量最终必须来自ToR网络。例如，假设您正在通过Tor连接到Google-您的流量通过几个Tor中继，但它最终必须从Tor网络中出现并连接到Google的服务器。您的流量离开ToR网络并进入开放Internet的最后一个ToR节点可以被监控。流量离开ToR网络的这个节点称为“出口节点”或“出口中继”。

在下图中，红色箭头表示出口节点和“Bob”(Internet上的一台计算机)之间的未加密通信。

如果您正在访问加密(HTTPS)网站，如您的Gmail帐户，这是可以的-尽管出口节点可以看到您正在连接到Gmail。如果您正在访问未加密的网站，退出节点可能会监视您的Internet活动，跟踪您访问的网页、执行的搜索和发送的消息。

人们必须同意运行出口节点，因为与仅仅运行通过流量的中继节点相比，运行出口节点会使它们面临更大的法律风险。政府很可能运营一些出口节点，监控离开这些节点的交通，利用他们学到的东西来调查罪犯，或者在专制国家惩罚政治活动家。

这不仅仅是理论上的风险。2007年，一名安全研究人员通过运行Tor出口节点拦截了100个电子邮件帐户的密码和电子邮件消息。有问题的用户犯了一个错误，没有在他们的电子邮件系统上使用加密，他们相信Tor会以某种方式通过其内部加密来保护他们。但托尔不是这样工作的。

教训：使用Tor时，请确保对任何敏感内容使用加密(HTTPS)网站。请记住，您的流量可能会受到监控-不仅由政府监控，还会被寻找私人数据的恶意人员监控。

JavaScript、插件和其他应用程序可能会泄露您的IP

我们在解释如何使用Tor时介绍了Tor浏览器捆绑包，它预配置了安全设置。JavaScript被禁用，插件无法运行，如果您尝试下载文件并在另一个应用程序上打开它，浏览器将发出警告。

JavaScript通常不会带来安全风险，但是如果您试图隐藏您的IP，您就不会想要使用JavaScript。浏览器的JavaScript引擎、Adobe Flash等插件以及Adobe Reader甚至视频播放器等外部应用程序都可能会将您的真实IP地址“泄露”给试图获取它的网站。

Tor浏览器捆绑包使用其默认设置避免了所有这些问题，但是您可以禁用这些保护并在Tor浏览器中使用JavaScript或插件。如果你对匿名是认真的，就不要这么做--如果你对匿名不是认真的，那么你从一开始就不应该使用Tor。

这也不仅仅是理论上的风险。2011年，一组研究人员通过Tor获取了1万名使用BitTorrent客户端的人的IP地址。像许多其他类型的应用程序一样，BitTorrent客户端是不安全的，并且能够暴露您的真实IP地址。

教训：保持Tor浏览器的安全设置不变。不要试图在另一个浏览器上使用Tor-坚持使用Tor浏览器捆绑包，它已经预先配置了理想的设置。您不应该在Tor网络中使用其他应用程序。

运行退出节点会使您面临风险

如果你非常相信在线匿名，你可能会有动力通过运行Tor中继来捐赠带宽。这不应该是一个法律问题-Tor中继只是在Tor网络内来回传递加密的流量。Tor通过志愿者运行的中继实现匿名。

但是，在运行送出中继之前应该三思而后行，送出中继是Tor流量从匿名网络传出并连接到开放Internet的地方。如果犯罪分子利用Tor进行非法交易，而流量来自您的出口中继，该流量将可追踪到您的IP地址，您可能会被敲门，您的计算机设备可能会被没收。奥地利一名男子因经营Tor出口节点而被突击搜查并被控传播儿童色情制品。运行Tor出口节点会让其他人做可以追溯到你的坏事，就像运营开放的Wi-Fi网络一样-但这实际上更有可能给你带来麻烦。然而，后果可能不是刑事处罚。在美国，你可能会因为下载受版权保护的内容或根据版权警报系统采取行动而面临诉讼。

运行Tor出口节点所涉及的风险实际上与第一点相关。因为运行Tor出口节点风险很大，所以很少有人这么做。然而，政府可以通过运行出口节点逃脱惩罚-很可能许多政府都这样做了。

教训：千万不要运行Tor出口节点--说真的。

Tor项目为您提供了运行退出节点的建议(如果您真的想这样做的话)。他们的建议包括在商业设施的专用IP地址上运行出口节点，并使用ToR友好的ISP。可别在家里尝试这些哟!。(大多数人甚至不应该在工作中尝试这样做。)

Tor不是一个让您匿名的神奇解决方案。它通过巧妙地通过网络传递加密的流量来实现匿名性，但流量必须出现在某个地方-这对Tor的用户和出口节点运营商都是一个问题。此外，我们电脑上运行的软件没有设计成隐藏我们的IP地址，这导致在Tor浏览器中执行除查看纯HTML页面之外的任何操作时都存在风险。

图片来源：Flickr上的迈克尔·惠特尼(Michael Whitney)，Flickr上的安迪·罗伯茨(Andy Roberts)，The Tor Project，Inc.