Новая версия Tor Browser доступна для скачивания с с официального сайта, каталога версий и Google Play. Версия для F-Droid будет доступна в ближайшие дни.
В обновление включены серьёзные исправления безопасности Firefox.
Основной упор в новой версии сделан на повышении удобства и облегчении работы с onion-сервисами.
Onion-сервисы Tor — один из самых популярных и простых способов установить оконечное зашифрованное соединение. С их помощью администратор способен обеспечить анонимный доступ к ресурсам и сокрыть метаданные от стороннего наблюдателя. Кроме того, такие сервисы позволяют преодолевать цензуру, одновременно с тем защищая конфиденциальность пользователя.
Теперь, при первом запуске Tor Browser пользователи получат возможность предпочесть использование onion-адреса по умолчанию в случае, если удалённый ресурс предоставляет такой адрес. Ранее некоторые ресурсы автоматически перенаправляли пользователей на onion-адрес при обнаружении Tor, для чего использовалась технология alt-svc. И хотя использование подобных методов актуально и поныне, новая система выбора предпочтений позволит оповещать пользователей о доступности onion-адреса.
Onion Locator
Владельцы интернет-ресурсов получили возможность оповещать о доступности onion-адреса с помощью специального HTTP-заголовка. При первом посещении пользователем с включённым Onion Locator ресурса с таким заголовком и доступности .onion, пользователь получит уведомление, позволяющее предпочесть .onion(см фото).
Авторизация Onion
Администраторы onion-сервисов, желающие повысить безопасность и конфиденциальность своего адреса, могут включить на нём авторизацию. Теперь пользователи Tor Browser будут получать уведомление с запросом ключа при попытке подключения к таким сервисам. Пользователи могут сохранять введённые ключи и управлять ими на вкладке about:preferences#privacy в разделе Onion Services Authentication(см. пример уведомления)
Улучшена система уведомлений безопасности в адресной строке
Традиционно браузеры отмечают соединения с TLS значком зелёного замка. А с середины 2019 в браузере Firefox замок стал серым для того, чтобы лучше обращать внимание пользователей не на защищённое по умолчанию соединение, а на проблемы с защищённостью(подробнее тут). Tor Browser в новой версии следует примеру Mozilla, вследствие чего пользователям теперь будет намного проще понять, что onion-соединение не безопасно(при загрузке смешанного содержимого из «обычной» сети или прочих проблемах, пример тут)
Отдельные страницы ошибок загрузки для onion-адресов
Периодически пользователи сталкиваются с проблемами подключения к onion-адресам. В предыдущих версиях Tor Browser, при возникновении проблем с подключением к .onion, пользователи видели стандартное уведомление об ошибке Firefox, никак не поясняющее причину недоступности onion-адреса. В новой же версии добавлены информативные уведомления об ошибках на стороне пользователя, сервера и самой сети. Tor Browser стал отображать простую диаграмму подлючения, по которой можно судить о причине проблем с соединением.
Имена для Onion
Вследствие особенностей криптографической защиты onion-сервисов, адреса onion трудно поддаются запоминанию(сравните, например, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Это сильно усложняет навигацию, пользователям труднее обнаруживать новые адреса и возвращаться к старым. Сами владельцы адресов ранее органично решали проблему тем или иным способом, но до сих пор отсутствовал универсальный, подходящий для всех пользователей. Проект Tor подошёл к проблеме под другим углом: при подготовке данного выпуска было заключено партнёрство с Freedom of the Press Foundation (FPF) и HTTPS Everywhere(Electronic Frontier Foundation) для создания первых концептуальных человекочитаемых адресов SecureDrop(см. тут). Примеры:
The Intercept:
- http://theintercept.securedrop.tor.onion/
- http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/
Lucy Parsons Labs:
FPF добилась участия в эксперименте небольшого количества медийных организаций, и Tor Project вместе с FPF будут совместно принимать дальнейшие решения по данной инициативе исходя из отзывов о концепте.
Полный список изменений:
- Обновлён Tor Launcher до 0.2.21.8
- Обновлён NoScript до версии 11.0.26
- Firefox обновлён до 68.9.0esr
- Обновлён HTTPS-Everywhere до версии 2020.5.20
- Обновлён маршутизатор Tor до версии 0.4.3.5
- goptlib обновлён до v1.1.0
- Wasm отключён до проведения надлежащего аудита
- Удалены устаревшие пункты настроек Torbutton
- Удалён неиспользуемый код в torbutton.js
- Удалена синхронизация настроек изоляции и слепков(fingerprinting_prefs) в Torbutton
- Модуль control port доработан для совместимости с авторизацией v3 onion
- Настройки по умолчанию перенесены в файл 000-tor-browser.js
- torbutton_util.js перемещён в modules/utils.js
- Возвращена вомзожность включить отрисовку шрифтов Graphite в настройках безопасности
- Удалён исполняемый сценарий из aboutTor.xhtml
- libevent обновлён до 2.1.11-stable
- Исправлена обработка исключений в SessionStore.jsm
- Портирована firstparty-изоляция для IPv6 адресов
- Services.search.addEngine более не игнорирует изоляцию FPI
- Отключён MOZ_SERVICES_HEALTHREPORT
- Портированы исправления ошибок 1467970, 1590526 и 1511941
- Исправлена ошибка при удалении дополнения disconnect search
- Исправлена ошибка 33726: IsPotentiallyTrustworthyOrigin для .onion
- Исправлена неработоспособность браузера при перемещении его в другой каталог
- Усовершенствовано поведение letterboxing
- Убран поисковик Disconnect
- Включена поддержка набора правил SecureDrop в HTTPS-Everywhere
- Устранены попытки прочитать /etc/firefox
Источник: linux.org.ru