Обновление Tor Browser 9.5

good-penguin.png

Новая версия Tor Browser доступна для скачивания с с официального сайта, каталога версий и Google Play. Версия для F-Droid будет доступна в ближайшие дни.

В обновление включены серьёзные исправления безопасности Firefox.

Основной упор в новой версии сделан на повышении удобства и облегчении работы с onion-сервисами.

Onion-сервисы Tor — один из самых популярных и простых способов установить оконечное зашифрованное соединение. С их помощью администратор способен обеспечить анонимный доступ к ресурсам и сокрыть метаданные от стороннего наблюдателя. Кроме того, такие сервисы позволяют преодолевать цензуру, одновременно с тем защищая конфиденциальность пользователя.

Теперь, при первом запуске Tor Browser пользователи получат возможность предпочесть использование onion-адреса по умолчанию в случае, если удалённый ресурс предоставляет такой адрес. Ранее некоторые ресурсы автоматически перенаправляли пользователей на onion-адрес при обнаружении Tor, для чего использовалась технология alt-svc. И хотя использование подобных методов актуально и поныне, новая система выбора предпочтений позволит оповещать пользователей о доступности onion-адреса.

Onion Locator

Владельцы интернет-ресурсов получили возможность оповещать о доступности onion-адреса с помощью специального HTTP-заголовка. При первом посещении пользователем с включённым Onion Locator ресурса с таким заголовком и доступности .onion, пользователь получит уведомление, позволяющее предпочесть .onion (см фото).

Авторизация Onion

Администраторы onion-сервисов, желающие повысить безопасность и конфиденциальность своего адреса, могут включить на нём авторизацию. Теперь пользователи Tor Browser будут получать уведомление с запросом ключа при попытке подключения к таким сервисам. Пользователи могут сохранять введённые ключи и управлять ими на вкладке about: preferences#privacy в разделе Onion Services Authentication (см. пример уведомления)

Улучшена система уведомлений безопасности в адресной строке

Традиционно браузеры отмечают соединения с TLS значком зелёного замка. А с середины 2019 в браузере Firefox замок стал серым для того, чтобы лучше обращать внимание пользователей не на защищённое по умолчанию соединение, а на проблемы с защищённостью (подробнее тут). Tor Browser в новой версии следует примеру Mozilla, вследствие чего пользователям теперь будет намного проще понять, что onion-соединение не безопасно (при загрузке смешанного содержимого из «обычной» сети или прочих проблемах, пример тут)

Отдельные страницы ошибок загрузки для onion-адресов

Периодически пользователи сталкиваются с проблемами подключения к onion-адресам. В предыдущих версиях Tor Browser, при возникновении проблем с подключением к .onion, пользователи видели стандартное уведомление об ошибке Firefox, никак не поясняющее причину недоступности onion-адреса. В новой же версии добавлены информативные уведомления об ошибках на стороне пользователя, сервера и самой сети. Tor Browser стал отображать простую диаграмму подлючения, по которой можно судить о причине проблем с соединением.

Имена для Onion

Вследствие особенностей криптографической защиты onion-сервисов, адреса onion трудно поддаются запоминанию (сравните, например, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Это сильно усложняет навигацию, пользователям труднее обнаруживать новые адреса и возвращаться к старым. Сами владельцы адресов ранее органично решали проблему тем или иным способом, но до сих пор отсутствовал универсальный, подходящий для всех пользователей. Проект Tor подошёл к проблеме под другим углом: при подготовке данного выпуска было заключено партнёрство с Freedom of the Press Foundation (FPF) и HTTPS Everywhere (Electronic Frontier Foundation) для создания первых концептуальных человекочитаемых адресов SecureDrop (см. тут). Примеры:

The Intercept:

Lucy Parsons Labs:

FPF добилась участия в эксперименте небольшого количества медийных организаций, и Tor Project вместе с FPF будут совместно принимать дальнейшие решения по данной инициативе исходя из отзывов о концепте.

Полный список изменений:

  • Обновлён Tor Launcher до 0.2.21.8
  • Обновлён NoScript до версии 11.0.26
  • Firefox обновлён до 68.9.0esr
  • Обновлён HTTPS-Everywhere до версии 2020.5.20
  • Обновлён маршутизатор Tor до версии 0.4.3.5
  • goptlib обновлён до v1.1.0
  • Wasm отключён до проведения надлежащего аудита
  • Удалены устаревшие пункты настроек Torbutton
  • Удалён неиспользуемый код в torbutton.js
  • Удалена синхронизация настроек изоляции и слепков (fingerprinting_prefs) в Torbutton
  • Модуль control port доработан для совместимости с авторизацией v3 onion
  • Настройки по умолчанию перенесены в файл 000-tor-browser.js
  • torbutton_util.js перемещён в modules/utils.js
  • Возвращена вомзожность включить отрисовку шрифтов Graphite в настройках безопасности
  • Удалён исполняемый сценарий из aboutTor.xhtml
  • libevent обновлён до 2.1.11-stable
  • Исправлена обработка исключений в SessionStore.jsm
  • Портирована firstparty-изоляция для IPv6 адресов
  • Services.search.addEngine более не игнорирует изоляцию FPI
  • Отключён MOZ_SERVICES_HEALTHREPORT
  • Портированы исправления ошибок 1467970, 1590526 и 1511941
  • Исправлена ошибка при удалении дополнения disconnect search
  • Исправлена ошибка 33726: IsPotentiallyTrustworthyOrigin для .onion
  • Исправлена неработоспособность браузера при перемещении его в другой каталог
  • Усовершенствовано поведение letterboxing
  • Убран поисковик Disconnect
  • Включена поддержка набора правил SecureDrop в HTTPS-Everywhere
  • Устранены попытки прочитать /etc/firefox

>>> Блог проекта Tor

©  Linux.org.ru