Абнаўленне Tor Browser 9.5

Новая версія Tor Browser даступная для запампоўкі з з афіцыйнага сайта, каталога версій і Google Play. Версія для F-Droid будзе даступна ў бліжэйшыя дні.

У абнаўленне ўключаны сур'ёзныя выпраўленні бяспекі Firefox.

Асноўны ўпор у новай версіі зроблены на павышэнні зручнасці і аблягчэнні працы з onion-сэрвісамі.

Onion-сэрвісы Tor - адзін з самых папулярных і простых спосабаў усталяваць канцавое зашыфраванае злучэнне. З іх дапамогай адміністратар здольны забяспечыць ананімны доступ да рэсурсаў і ўтаіць метададзеныя ад іншага назіральніка. Акрамя таго, такія сэрвісы дазваляюць пераадольваць цэнзуру, адначасова з тым абараняючы канфідэнцыяльнасць карыстальніка.

Зараз, пры першым запуску Tor Browser карыстачы атрымаюць магчымасць упадабаць выкарыстанне onion-адрасы па змаўчанні ў выпадку, калі выдалены рэсурс падае такі адрас. Раней некаторыя рэсурсы аўтаматычна перанакіроўвалі карыстальнікаў на onion-адрас пры выяўленні Tor, для чаго выкарыстоўвалася тэхналогія. alt-svc. І хоць выкарыстанне падобных метадаў актуальна і дагэтуль, новая сістэма выбару пераваг дазволіць апавяшчаць карыстачоў аб даступнасці onion-адрасы.

Onion Locator

Уладальнікі інтэрнэт-рэсурсаў атрымалі магчымасць апавяшчаць аб даступнасці onion-адрасы з дапамогай спецыяльнага HTTP-загалоўка. Пры першым наведванні карыстачом з уключаным Onion Locator рэсурсу з такім загалоўкам і даступнасці .onion, карыстач атрымае апавяшчэнне, якое дазваляе ўпадабаць .onion(гл фота).

Аўтарызацыя Onion

Адміністратары onion-сэрвісаў, якія жадаюць павысіць бяспеку і канфідэнцыяльнасць свайго адраса, могуць уключыць на ім аўтарызацыю. Зараз карыстачы Tor Browser будуць атрымліваць апавяшчэнне з запытам ключа пры спробе падлучэння да такіх сэрвісаў. Карыстальнікі могуць захоўваць уведзеныя ключы і кіраваць імі на ўкладцы about:preferences#privacy у падзеле Onion Services Authentication(гл. прыклад апавяшчэння)

Палепшана сістэма апавяшчэнняў бяспекі ў адрасным радку

Традыцыйна браўзэры адзначаюць злучэнні з TLS значком зялёнага замка. А з сярэдзіны 2019 у браўзэры Firefox замак стаў шэрым для таго, каб лепш зважаць карыстачоў не на абароненае па змаўчанні злучэнне, а на праблемы з абароненасцю(падрабязней тут). Tor Browser у новай версіі варта прыкладу Mozilla, з прычыны чаго карыстачам зараз будзе нашмат прасцей зразумець, што onion-злучэнне не бяспечна (пры загрузцы змяшанага змесціва са "звычайнай" сеткі ці іншых праблемах, прыклад тут)

Асобныя старонкі памылак загрузкі для onion-адрасоў

Перыядычна карыстачы сутыкаюцца з праблемамі падлучэння да onion-адрасоў. У папярэдніх версіях Tor Browser, пры ўзнікненні праблем з падлучэннем да .onion, карыстачы бачылі стандартнае апавяшчэнне пра памылку Firefox, ніяк не якое тлумачыць чыннік недаступнасці onion-адрасы. У новай жа версіі дададзены інфарматыўныя апавяшчэнні аб памылках на баку карыстальніка, сервера і самой сеткі. Tor Browser стаў адлюстроўваць простую дыяграму падлючэння, па якой можна меркаваць аб прычыне праблем са злучэннем.

Імёны для Onion

З прычыны асаблівасцяў крыптаграфічнай абароны onion-сэрвісаў, адрасы onion цяжка паддаюцца запамінанню (параўнайце, напрыклад, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Гэта моцна ўскладняе навігацыю, карыстальнікам цяжэй выяўляць новыя адрасы і вяртацца да старых. Самі ўладальнікі адрасоў раней арганічна вырашалі праблему тым ці іншым спосабам, але да гэтага часу адсутнічаў універсальны, прыдатны для ўсіх карыстальнікаў. Праект Tor падышоў да праблемы пад іншым кутом: пры падрыхтоўцы дадзенага выпуску было складзена партнёрства з Freedom of the Press Foundation (FPF) і HTTPS Everywhere (Electronic Frontier Foundation) для стварэння першых канцэптуальных чалавекачытаемых адрасоў SecureDrop (гл. тут). Прыклады:

Перахоп:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Lucy Parsons Labs:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF дабілася ўдзелу ў эксперыменце невялікай колькасці медыйных арганізацый, і Tor Project разам з FPF будуць сумесна прымаць далейшыя рашэнні па дадзенай ініцыятыве зыходзячы з водгукаў аб канцэпце.

Поўны спіс змен:

• Абноўлены Tor Launcher да 0.2.21.8
• Абноўлены NoScript да версіі 11.0.26
• Firefox абноўлены да 68.9.0esr
• Абноўлены HTTPS-Everywhere да версіі 2020.5.20
• Абноўлены маршутызатар Tor да версіі 0.4.3.5
• goptlib абноўлены да v1.1.0
• Wasm адключаны да правядзення належнага аўдыту
• Выдалены састарэлыя пункты настроек Torbutton
• Выдалены код, які не выкарыстоўваецца ў torbutton.js
• Выдалена сінхранізацыя налад ізаляцыі і злепкаў(fingerprinting_prefs) у Torbutton
• Модуль control port дапрацаваны для сумяшчальнасці з аўтарызацыяй v3 onion
• Налады па змаўчанні перанесены ў файл 000-tor-browser.js
• torbutton_util.js перамешчаны ў modules/utils.js
• Вернута ўмозажнасць уключыць адмалёўку шрыфтоў Graphite у наладах бяспекі
• Выдалены выкананы сцэнар з aboutTor.xhtml
• libevent абноўлены да 2.1.11-stable
• Выпраўлена апрацоўка выключэнняў у SessionStore.jsm
• Партыраваная firstparty-ізаляцыя для IPv6 адрасоў
• Services.search.addEngine больш не ігнаруе ізаляцыю FPI
• Адключаны MOZ_SERVICES_HEALTHREPORT
• Партыраваны выпраўленні памылак 1467970, 1590526 и 1511941
• Выпраўлена памылка пры выдаленні дапаўнення disconnect search
• Выпраўлена памылка 33726: IsPotentiallyTrustworthyOrigin для .onion
• Выпраўлена непрацаздольнасць браўзэра пры перасоўванні яго ў іншы каталог
• Удасканалены паводзіны паштовыя скрыні
• Прыбраны пошукавік Disconnect
• Уключана падтрымка набору правілаў SecureDrop у HTTPS-Everywhere
• Ліквідаваны спробы прачытаць /etc/firefox

Крыніца: linux.org.ru