background image

Chapter 4b. Using the Tor Browser.

It may seem redundant to have an instructional section on something as simple to use as a 

web browser. However, your web browser is often the most common piece of software that 
attackers will manipulate to exploit you.  The Tor Project has done a very good job in making the 
Tor Browser as secure as possible.  However, due to a debate about the trade off between usability 
and security, the Tor Browser is currently set to allow all javascript to run.

The debate on the enabling or disabling of javascript is a fair one.  Many web sites now 

make use of multitudes of javascript to deliver their service or data.  If javascript is disabled, then 
the web sites often appear to be broken which will frustrate less patient users.  However, javascript 
is often a vulnerable vector that is leveraged by attackers, with one of the most notorious recent 
examples involving infecting everyone who visited any server hosted by “Freedom Networking” on 
the Tor Hidden Network with malware that exposed their real IP address.  Whonix provides a very 
good safe guard against leaking one's real IP address.  But, there is no good reason to leave a door 
open for malware infections. This chapter will instruct you on how to install the Tor Browser in 
Whonix and how to make the most of the “NoScript” plugin, which will disable all javascript by 
default, that comes pre-installed in the Tor Browser. 

1. The Tor Browser does not come pre-installed on Whonix by default. However, the Whonix 

Team has included a script on the Desktop that will install the Tor Browser. Thus, you first 
need to double click on the “Update Tor Browser” icon on your desktop.

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

2. A window will pop up a couple times informing you that it is checking for updates. 

Eventually you will come to a window informing you that the Tor Browser is not installed 
and it will ask you which version you wish to install.  Select the highest number displayed 
that does not have an “a” in the version number. The version number you may see which 
has an “a” next to it is an “alpha” version which means it is for testing purposes only and, 
thus, may still have bugs which could pose problems.  When you've selected the highest 
numbered stable version, click on the “yes” button.

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

3. The wizard will now start downloading the Tor Browser.  This may take awhile. After some 

time, you will eventually come to a window prompting you for “Installation Confirmation.  
If you see a message towards the bottom of the window that says  “gpg: Good signature 
from 'Tor Developers (Signing Key)'” followed by the same fingerprints shown in the image 
below, click on the “Yes” button.  Otherwise, click “No” and restart from step 1 of this 
chapter.

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

4. The next window will inform you that the Tor Browser has been installed and ask asks if 

you wish to run the Tor Browser. Click the “Yes” button.

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

5. In the next window that appears, you need to disable javascript via the NoScript plugin. The 

NoScript icon will be to the left of the location bar in the browser and will look like the icon 
below.

Click on the icon and select “Forbid Scripts Globally (advised)”.

6. Now, click on the NoScript icon again and select “options.” 

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

7. In the next window that appears, click on the “Appearance” tab.

8. Click on the box next to “Temporarily Allow [...]” so that a check mark appears in it. You 

want to enable this option.

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

9. Next, click the “OK” button to close the window.

From now on, javascript, and other scripting, is disabled by default for every site you visit. 
Additionally, you will have the option to temporarily allow individual scripts to run on 
various sites. 

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

10. Now, try an example to get the feeling for how NoScript will work while you browse the 

web. By default, most browser scripting is disabled. This provides protection against various 
drive-by infections from sites hosting malware, obnoxious banner ads from advertisers, etc. 
At the same time, it will require you to take some additional steps to get web pages that rely 
on javascript to function properly. In Tor Browser, go to 

https://www.youtube.com/watch?v=WaPni5O2YyI

 

11. Notice that, aside from having a blank Youtube screen, you don't even see any player 

controls.  This is due to the fact that NoScript has blocked scripting.  Thus, you need to 
enable scripting from Youtube.com.  Click the NoScript icon and click on “Temporarily 
allow https://www.youtube.com.”

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

12. When the page reloads, eventually the video will begin to play. 

While the above example is specific to youtube.com, a similar process will apply to every 
other web page you use.  If you browse to a site and find that it is broken in a way that 
makes it unusable, follow the steps you learned above with the quick reference below.

1. Be patient when learning what scripts need to run on various sites. Start by only 

temporarily allowing the main domain name of the website in NoScript. 

2. When the page reloads, if it works the way you like, you are done. If not, enable 

other scripts that appear related to reload the page reload again with the 
additional chosen scripts allowed. Do this until you find a combination that 
works.

3. If you completely run out of patience, use the “Temporarily allow all this page” 

option in NoScript.

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

13. When you are done using the web page for which you temporarily allowed scripts to run, the 

safest and most secure thing to do is close the Tor Browser and open it again if you wish to 
continue using it. This will clear all of the temporary permissions you allowed in NoScript, 
in addition to clearing all cookies, temporary browser data, etc. However, if you prefer not 
to close the browser, you can disable the script permissions in NoScript the same way you 
enabled them.  Click on the “NoScript” icon in your browser. Then, for every script that is 
enabled click the option to “forbid” it.    

If that option is too tedious under the circumstances, there is also the option to revoke all 
temporary script permissions you've granted by clicking on “Revoke Temporary 
Permissions.”

Chapter 4B - A Beginner Friendly Comprehensive Guide to Installing and Using a Safer Anonymous Operating System
background image

14. Once you have revoked the temporary permissions that you allowed for a site, you can either 

browse to a new site or close the tab.  The scripts will no longer be able to run on any 
new web page you visit.
 

That's all there is to it. Keep in mind that, the less scripts you allow, the better. A solid 

majority of scripts serve no extra purpose other than for various online entities to send you ads or 
collect  data about your browsing session. In the worst case scenario, it opens a vector to infect your 
computer. While Whonix provides protections against some of the pitfalls that come with being 
exploited by scripts, there is no reason to test fate. Thus, learn to live without scripting where 
possible. To run the Tor Browser in the future, there is both a “Start Tor Browser” icon on your 
Desktop, in addition to a quick launch icon next to the Start Button.

Note on updating Tor Browser: In the past, it was necessary to use the Whonix Team's 

“Tor Browser Downloader” to update the Tor Browser.  While it can still be done this way, a 
consequence is that all of the settings you made above will be erased and, thus, you will have to 
reconfigure the Tor Browser again.  However, the more recent versions of the Tor Browser have an 
internal update mechanism.  It is safe to use the internal updater within the Tor Browser to stay 
current with the most recent version.  An advantage of using the internal updater is that it will not 
erase your previous settings.

Continue to Chapter 4C -  Using a Password Manager.