Сфарміраваны значны рэліз спецыялізаванага браўзэра Tor Browser 13.0, у якім ажыццёўлены пераход на ESR-галінку Firefox 115. Браўзэр засяроджаны на забеспячэнні ананімнасці, бяспекі і прыватнасці, увесь трафік перанакіроўваецца толькі праз сетку Tor. Звярнуцца напроста праз штатнае сеткавае злучэнне бягучай сістэмы немагчыма, што не дазваляе адсачыць рэальны IP-адрас карыстача (у выпадку ўзлому браўзэра, атакавалыя могуць атрымаць доступ да сістэмных параметраў сеткі, таму для поўнага блакавання магчымых уцечак варта выкарыстоўваць такія прадукты, як Whonix). Зборкі Tor Browser падрыхтаваны для Linux, Android, Windows і macOS.
Для забеспячэння дадатковай абароны ў Tor Browser уключана настройка "HTTPS Only", якая дазваляе выкарыстоўваць шыфраванне трафіку на ўсіх сайтах, дзе гэта магчыма. Для зніжэння пагрозы ад правядзення нападаў з выкарыстаннем JavaScript і блакаванні па змаўчанні плагінаў у камплекце пастаўляецца дадатак NoScript. Для барацьбы з блакіроўкай і інспектаваннем трафіку прымяняюцца fteproxy і obfs4proxy.
Для арганізацыі шыфраванага канала сувязі ў асяроддзі, якія блакуюць любы трафік акрамя HTTP, прапануюцца альтэрнатыўныя транспарты, якія, напрыклад, дазваляюць абыйсці спробы блакаваць Tor у Кітаі. Для абароны ад адсочвання перасоўвання карыстача і ад вылучэння спецыфічных для пэўнага наведвальніка асаблівасцяў адключаныя ці абмежаваныя API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevicesenu. orientation, а таксама адключаныя сродкі адпраўкі тэлеметрыі, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", мадыфікаваны libmdns.
У новай версіі:
- Ажыццёўлены пераход на кодавую базу Firefox 115 ESR і стабільную галінку tor 0.4.8.7. У працэсе пераходу на новую версію Firefox праведзены аўдыт змен, унесеных з часу з'яўлення ESR-галінкі Firefox 102, і адключаныя патчы, сумнеўныя з пункта гледжання бяспекі і канфідэнцыяльнасці. Сярод іншага заменены код пераўтварэння string-to-double, адключана функцыя абмену нядаўнімі спасылкамі, адключаны API для захавання PDF, прыбраны сэрвіс і інтэрфейс аўтаўтойвання банераў пацверджання Cookie, прыбраны інтэрфейс распазнання тэксту.
- Абноўлены піктаграмы і вывастраны лагатып прыкладання, пры захаванні агульнай пазнавальнасці.
- Прапанавана новая рэалізацыя хатняй старонкі («about:tor»), характэрная даданнем лагатыпа, спрашчэннем афармлення і пакіданнем толькі пошукавага радка і перамыкача «onionize» для звароту да DuckDuckGo праз onion-сэрвіс. Пры адмалёўцы хатняй старонкі палепшана падтрымка экранных рыдэраў і сродкаў для людзей з абмежаванымі магчымасцямі. Уключаны паказ панэлі закладак. Вырашана праблема з паказам "чырвонага экрана смерці", які ўзнікаў з-за збою пры праверцы падлучэння да сеткі Tor.
стала:
было:
- Павялічаны памер новых вокнаў, для якіх зараз па змаўчанні выбіраюцца суадносіны бакоў, зручнейшае для карыстачоў шырокафарматных экранаў. Для прадухілення ўцечкі інфармацыі аб памеры экрана і вокны ў Tor Browser прымяняецца механізм letterboxing, які дадае водступы вакол змесціва вэб-старонак. У мінулых версіях па меры змены памеру акна памер актыўнай вобласці мяняўся з крокам 200×100 пікселяў, але быў абмежаваны максімальным дазволам 1000×1000, што з-за недастатковай шырыні стварала праблемы з некаторымі сайтамі, якія паказвалі гарызантальную паласу пракруткі або адлюстроўвалі версію для планшэтаў. і мабільных прылад. Для рашэння дадзенай праблемы максімальны дазвол павялічана да 1400×900 і зменена логіка пакрокавай змены памеру.
- Ажыццёўлены пераход на новую схему наймення пакетаў, якая адпавядае шаблону "${ARTIFACT}-${OS}-${ARCH}-${VERSION}.${EXT}". Напрыклад, зборка для macOS раней пастаўлялася як "TorBrowser-12.5-macos_ALL.dmg", а зараз мае выгляд "tor-browser-macos-13.0.dmg".
- Пры выбары рэжыму «Safest» для пошуку праз DuckDuckGo зараз прымяняецца зварот да варыянту сайта без JavaScript.
- Узмоцнена абарона ад уцечак праз WebRTC.
- Уключаная ачыстка ў URL параметраў, выкарыстоўваных для адсочвання перасоўванняў (напрыклад, выдаляюцца параметры mc_eid і fbclid, якія ўжываюцца пры пераходзе па спасылках са старонак Facebook).
- Выдалена настройка javascript.options.large_arraybuffers.
- На платформе Linux адключаная настройка browser.tabs.searchclipboardfor.middleclick.
Крыніца: opennet.ru