<p dir="ltr">On 17 Sep 2013 15:32, "Petter Reinholdtsen" <<a href="mailto:pere@hungry.com">pere@hungry.com</a>> wrote:<br>
> or by configuring privoxy, dnsmasq and redsocks with iptables to pass<br>
> all traffic passing through the Freedombox via Tor.<br>
><br>
> Is there some reason not to do this by default?</p>
<p dir="ltr">Hi!</p>
<p dir="ltr">There are some good reasons not to run unencrypted traffic through Tor:</p>
<p dir="ltr">- malicious exit nodes will be studying all unencrypted traffic passing through them - badly-secured websites still send session cookies unencrypted, for example.<br>
- the exit node can very easily inject arbitrary Javascript into the web page. This is bad. I don't think Javascript-enabled browsers should use Tor. (Ditto for Flash/Java.)</p>
<p dir="ltr">For fully encrypted traffic, you still need to be careful of MITM attacks. Again this is easy for a malicious exit node. You can think of Tor as subjecting yourself to a deliberate MITM. :)</p>
<p dir="ltr">I have heard anecdotal evidence that the above is happening routinely on Tor, FWIW.</p>
<p dir="ltr">Tim</p>