Пасля дзесяці месяцаў распрацоўкі значны рэліз спецыялізаванага браўзэра , у якім працягнута развіццё функцыянальнасці на базе ESR-галінкі . Браўзэр засяроджаны на забеспячэнні ананімнасці, бяспекі і прыватнасці, увесь трафік перанакіроўваецца толькі праз сетку Tor. Звярнуцца напроста праз штатнае сеткавае злучэнне бягучай сістэмы немагчыма, што не дазваляе адсачыць рэальны IP карыстача (у выпадку ўзлому браўзэра, атакавалыя могуць атрымаць доступ да сістэмных параметраў сеткі, таму для поўнага блакавання магчымых уцечак варта выкарыстоўваць такія прадукты, як ). Зборкі Tor Browser для Linux, Windows, MacOS і Android.
Для забеспячэння дадатковай абароны ў склад уваходзіць дадатак , якое дазваляе выкарыстоўваць шыфраванне трафіку на ўсіх сайтах дзе гэта магчыма. Для зніжэння пагрозы ад правядзення нападаў з выкарыстаннем JavaScript і блакаванні па змаўчанні плагінаў у камплекце пастаўляецца дадатак . Для барацьбы з блакіроўкай і інспектаваннем трафіку прымяняюцца и .
Для арганізацыі шыфраванага канала сувязі ў асяроддзі, якія блакуюць любы трафік акрамя HTTP, прапануюцца альтэрнатыўныя транспарты, якія, напрыклад, дазваляюць абыйсці спробы блакаваць Tor у Кітаі. Для абароны ад адсочвання перасоўвання карыстача і ад вылучэння спецыфічных для пэўнага наведвальніка асаблівасцяў адключаныя ці абмежаваныя API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevice. а таксама адключаныя сродкі адпраўкі тэлеметрыі, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", мадыфікаваны libmdns.
У новым выпуску:
- Праведзена рэарганізацыя панэлі і доступ да індыкатара ўзроўню абароны, які вынесены з меню Torbutton на асноўную панэль. Кнопка Torbutton перанесена ў правую частку панэлі. Па змаўчанні з панэлі прыбраныя індыкатары дадаткаў HTTPS Everywhere і NoScript (можна вярнуць у інтэрфейсе налады панэлі).
Індыкатар HTTPS Everywhere прыбраны бо ён не нясе карыснай інфармацыі і перанакіраванне на HTTPS заўсёды ўжываецца па змаўчанні. Індыкатар NoScript прыбраны бо браўзэрам падаецца пераключэнне паміж базавымі ўзроўнямі зашытыя, а кнопка NoScript часта ўводзіць у зман папярэджаннямі, якія ўзнікаюць з-за прынятых у Tor Browser налад. Кнопка NoScript таксама дае доступ да шырокіх налад, без дэталёвага разумення якіх змена параметраў можа прывесці да праблем з прыватнасцю і неадпаведнасці ўсталяванага ў Tor Browser узроўня бяспекі. Кантроль блакіроўкі JavaScript для пэўных сайтаў можа быць зроблены праз секцыю дадатковых паўнамоцтваў у кантэкстным меню адраснага радка (кнопка "i");
- Адкарэктаваны стыль і забяспечана сумяшчальнасць Tor Browser c новым афармленнем Firefox, падрыхтаваным у рамках праекта.“. Зменена і ўніфікавана для ўсіх платформ афармленне стартавай старонкі «about:tor»;
- Прадстаўлены новыя лагатыпы Tor Browser.
- Абноўлены версіі кампанентаў браўзэра:
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, te OpenSSL 1.0.2r, Tor Launcher 0.2.18.3; - Зборкі сфарміраваны са сцягам.«, ужывальным для афіцыйных зборак Mozilla.
- Падрыхтаваны першы стабільны выпуск мабільнай рэдакцыі Tor Browser для платформы Android, які пабудаваны на кодавай базе Firefox 60.7.0 для Android і дапушчае працу толькі праз сетку Tor, блакуючы любыя спробы ўсталёўкі прамога сеткавага злучэння. У склад уключаны дадаткі HTTPS Everywhere і Tor Button. Па функцыянальнасці рэдакцыя для Android пакуль адстае ад настольнай версіі, але забяспечвае практычна той жа па ўзровень абароны і канфідэнцыйнасці.
мабільная версія у Google Play, але таксама у форме APK-пакета з сайта праекта. У бліжэйшы час чакаецца публікацыя ў каталогу F-droid. Падтрымліваецца праца на прыладах з Android 4.1 ці навейшая версіяй платформы. Распрацоўнікі Tor адзначаюць, што не маюць намеру ствараць версію Tor Browser для iOS з-за ўведзеных кампаніяй Apple абмежаванняў і рэкамендуюць ужо даступны для iOS браўзэр , які развіваецца праектам .
Ключавыя адрозненні Tor Browser для Android ад Firefox для Android:
- Блакаванне кода для адсочвання перасоўванняў. Кожны сайт ізалюецца ад крыжаваных запытаў, а ўсе Cookie аўтаматычна выдаляюцца пасля завяршэння сеанса;
- Абарона ад умяшання ў трафік і назіранні за актыўнасцю карыстальніка. Усё ўзаемадзеянне з навакольным светам адбываецца толькі праз сетку Tor і ў выпадку перахопу трафіку паміж карыстачом і правайдэрам атакавалы можа ўбачыць толькі тое, што карыстач выкарыстоўвае Tor, але не можа вызначыць якія сайты адчыняе карыстач. Абарона ад умяшання асабліва актуальная ва ўмовах, калі некаторыя айчынныя аператары мабільнай сувязі не лічаць ганебным укліньвацца ў незашыфраваны карыстацкі HTTP-трафік і падстаўляць свае фішкі () або рэкламныя банеры ( и );
- Абарона ад вызначэння спецыфічных для канкрэтнага наведвальніка асаблівасцей і ад адсочвання карыстальнікаў з дапамогай метадаў ідэнтыфікацыі ("browser fingerprinting"). Усе карыстачы Tor Browser са боку выглядаюць аднолькава і неадрозныя паміж сабой пры выкарыстанні пашыраных метадаў ўскоснай ідэнтыфікацыі.
Напрыклад, акрамя захавання ідэнтыфікатара праз Cookie і API лакальнага захоўвання дадзеных для ідэнтыфікацыі могуць улічвацца спецыфічныя для карыстача спіс усталяваных , часавы пояс, спіс падтрымліваемых MIME-тыпаў, параметры экрана, спіс даступных шрыфтоў, пры адмалёўцы з выкарыстаннем canvas і WebGL, параметры ў загалоўках и , манера працы з и ; - Ужыванне шматузроўневага шыфравання. Акрамя абароны HTTPS трафік карыстальніка пры праходжанні праз Tor дадаткова шыфруецца як мінімум тры разы (ужываецца шматслаёвая схема шыфравання, пры якой пакеты абгортваюцца ў серыю пластоў з ужываннем шыфравання па адчыненых ключах, пры якіх кожны вузел Tor на сваім этапе апрацоўкі расчыняе чарговы пласт і ведае толькі наступны этап перадачы, а толькі апошні вузел можа вызначыць адрас прызначэння);
- Магчымасць доступу да блакуемых правайдэрам рэсурсаў або цэнтралізавана цэнзураваных сайтаў. Па праекту Роскомсвобода 97% блакуемых цяпер у РФ сайтаў заблакавана неправамерна (знаходзяцца ў адных падсетках з заблакаванымі рэсурсамі). Напрыклад, да гэтага часу застаюцца заблакіраванымі 358 IP-адрасоў Digital Ocean, 25 тысяч адрасоў Amazon WS і 59 тысяч адрасоў CloudFlare. Пад неправамернае блакаванне ў тым ліку многія адкрытыя праекты, у тым ліку bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com і midori-browser.org.
Крыніца: opennet.ru