Tor Browser

Tor Browser 是规范的防指纹隐私浏览器 — 一个加固的 Firefox 分支，将每个连接通过 Tor 网络的多中继洋葱路由传输，为所有用户提供统一的浏览器指纹，同时也是所有其他隐私浏览器（Mullvad Browser、LibreWolf、Brave 的 Tor 模式）所对照的事实参考实现。被评为 Grade A·编辑推荐，因为 Tor Browser 是隐私工具栈中的基础工具：如果你只有时间部署一个隐私工具，那就是它。任何严肃的隐私工具工作的强制性伴侣 — 从明网浏览器操作 Monero 泄露的元数据比 Monero 本身保护的更多。

Background. Tor Browser 由 The Tor Project 开发和维护 — 一个在美国注册的 501(c)(3) 非营利组织，核心开发团队分布全球。基于 Mozilla Firefox ESR（扩展支持版本），包含大量防指纹补丁，捆绑了 Tor SOCKS 代理和用于 JavaScript 门控的 NoScript 浏览器扩展。Tor 网络本身（Tor Browser 所路由的中继层）由全球约 6,000-9,000 名志愿者中继运营商运营 — 守卫中继、中间中继和出口中继为每个连接形成三跳回路。资金：美国政府对开放互联网使命的拨款（BBG / State Department）、私人基金会（Mozilla、Wikimedia 等）和直接捐赠的混合；资金结构公开于 torproject.org/about/financials/。资金组合是反复出现的话题 — 参见 Caveats。发布：与 Firefox ESR 保持一致（小版本约每 6 周发布一次，大版本约每 12 个月一次）；经过可复现构建，在 torproject.org/download 提供签名发布。

What you trust. 多中继洋葱路由 — 你的流量从守卫中继进入 Tor 网络，经过中间中继，通过出口中继离开；没有一个中继同时知道你的 IP 和你的目的地。统一指纹 — Tor Browser 提供刻意标准化的 User-Agent、屏幕尺寸（默认始终为 1000×1000）、字体集、canvas 响应、WebGL 响应和 JS 环境，使所有 Tor Browser 用户在指纹跟踪器看来完全相同。默认 NoScript — 可通过 NoScript 扩展对 JavaScript 进行逐站点门控；安全级别滑块（Standard / Safer / Safest）控制默认门控的激进程度。无遥测 — Tor Browser 剥离了 Firefox 的遥测管道、Mozilla 账户集成和其他回连母服务器的行为。可复现构建 + 签名发布 — 任何人都可以验证下载的二进制文件与发布的源代码匹配。网桥支持 — 对于受审查网络中的用户，Tor Browser 支持网桥（未列出的入口点）、可插拔传输（obfs4、meek、snowflake、webtunnel）和通过电子邮件/Telegram 请求网桥。

Operational specs. 平台：macOS、Windows、Linux 桌面；Android（官方版本在 torproject.org/download/#android）；iOS：由于 Apple 仅限 WebKit 的政策，无官方 Tor Browser — 请使用 Onion Browser（第三方但受 Tor Project 推荐）替代。默认行为：自动连接到 Tor 网络；以 about:tor 作为默认主页打开；关闭浏览器时清除历史/数据。安全级别滑块：Standard（JavaScript 启用，所有功能，最低隐私底线 — 用于信任网站的日常浏览）；Safer（非 HTTPS 网站 JavaScript 禁用，部分字体/媒体限制）；Safest（JavaScript 完全禁用，最激进 — 最严格的隐私姿态所需；许多 web 应用将无法正常工作）。标签页隔离 — 每个 URL 栏域名拥有独立的 Tor 回路，因此到站点 A 和站点 B 的连接不共享同一个出口中继。新身份功能 — 通过一个热键（Ctrl+Shift+U）清除所有浏览器状态并强制新建 Tor 回路。Onion 站点 — 对 .onion v3 地址提供一流支持；当地址栏验证 HTTPS Onion 站点时，会显示带有绿色钥匙指示器的 .onion 地址。

Philosophy. Tor Browser 的编辑差异化特点是防指纹参考实现 — 它不仅通过 Tor 路由（任何浏览器都可以通过 SOCKS 配置实现）；它还做了更困难的工作，使所有 Tor Browser 用户在指纹上看起来完全相同，这样即使跟踪器关联到「这个用户不断回来」，也无法区分哪个 Tor Browser 用户是哪个。代价是：标准化的指纹意味着你失去了每用户的自定义（没有主题，除捆绑的扩展外没有其他附加组件，固定字体集），标准化的窗口尺寸意味着浏览器默认以 1000×1000 打开。对于想要没有 Tor 的加固 Firefox（更快，没有 Tor 延迟，但失去了网络层匿名性）的用户，Mullvad Browser 是相同的防指纹工作，但没有 Tor 路由；它在 xmr.club 中有单独的条目。Tor Browser 是规范的 Tor 网络加防指纹捆绑包。

Grade rationale. Grade A 和编辑推荐基于：由 Tor Project（一个拥有规范使命的注册美国非营利组织）开发和维护；基于 Firefox ESR 构建，包含大量防指纹补丁；统一指纹设计（防指纹含义的规范参考）；可复现构建 + 签名发布；无遥测；捆绑 NoScript 和安全级别滑块，用于可调节的隐私姿态；网桥 + 可插拔传输支持，适用于受审查网络；一流的 .onion v3 支持；跨平台（macOS、Windows、Linux、Android；iOS 通过 Onion Browser）；公开资金披露于 torproject.org/about/financials/；超过二十年的运营连续性（自 2002 年起）；任何其他隐私浏览器的事实参考。最后验证于 2026-05-13。

Useful when. 你在做任何隐私敏感的在线活动 — 研究、通信、交易；如果与隐私相关，Tor Browser 应在你的工具栈中。你在访问 .onion 服务 — Tor Browser 是唯一提供一流 .onion v3 支持的消费级浏览器。你处于受审查网络中 — Tor Browser 的网桥 + 可插拔传输基础设施是最成熟的审查规避工具。你在交易 Monero 或任何其他隐私币 — 将隐私币与明网浏览器配对会泄露隐私币本应保护的 IP 上下文。你是在敌对网络环境中的记者、研究员或活动家。你是使用 SecureDrop 或其他洋葱路由提交系统的举报人。你想要一个参考实现来与其他隐私浏览器进行比较。

Caveats. 延迟 — Tor 的三跳架构为每个连接增加 200ms-2s 的延迟；这是隐私的代价，不是可修复的问题，而是威胁模型的一个属性。部分网站屏蔽 Tor 出口 IP — Cloudflare 的默认设置（以及许多银行/金融网站）将 Tor 出口 IP 视为不可信，会提供 CAPTCHA 或直接屏蔽。这是一个真实的摩擦；Tor Browser 无法从客户端解决。JavaScript Safest 模式会破坏许多网站 — 现代 web 应用假定 JavaScript 可用；最严格的隐私级别往往意味着只能使用书签和预先保存的内容。默认 1000×1000 窗口 — 专为指纹统一性设计，但在大显示器上看起来很小；调整窗口大小会减少你在 Tor Browser 用户群体中的匿名集（跟踪器可以指纹识别「此用户将窗口调整为 1920×1080」）。为获得最大匿名性，保持默认窗口尺寸。资金组合的担忧 — 美国政府拨款（BBG、State Department）是 Tor Project 的重要资金来源；这在 torproject.org/about/financials/ 已公开披露，但也是隐私批评者反复讨论的话题。信任论据：代码是开源的，构建是可复现的，中继网络是去中心化的，Tor Project 的使命定位是开放互联网而非监控。怀疑论据：任何接受美国政府资助的组织都可能受到美国政府优先事项的影响。请根据你的威胁模型和已公布的财务披露自行得出结论。iOS 限制 — Apple 仅限 WebKit 的政策意味着没有官方 Tor Browser；Onion Browser 是推荐的 iOS 第三方选项，但需要单独的信任评估。移动端 UX — Android 上的 Tor Browser 功能可用但不如桌面版本精致；预期会有更多摩擦。浏览器扩展受限 — 仅包含捆绑的 NoScript；安装其他扩展会增加指纹攻击面，不推荐。不要登录明网账户 — 通过 Tor Browser 登录 Gmail 或 Twitter 会将你的 Tor 浏览会话与你的明网身份关联起来；如果匿名性重要，使用通过 Tor 创建的临时账户或完全跳过登录。