Обновление Tor Browser 9.5

Новая версия Tor Browser доступна для скачивания с с официального сайта, каталога версий и Google Play. Версия для F-Droid будет доступна в ближайшие дни.

В обновление включены серьёзные исправления безопасности Firefox.

Основной упор в новой версии сделан на повышении удобства и облегчении работы с onion-сервисами.

Onion-сервисы Tor — один из самых популярных и простых способов установить оконечное зашифрованное соединение. С их помощью администратор способен обеспечить анонимный доступ к ресурсам и сокрыть метаданные от стороннего наблюдателя. Кроме того, такие сервисы позволяют преодолевать цензуру, одновременно с тем защищая конфиденциальность пользователя.

Теперь, при первом запуске Tor Browser пользователи получат возможность предпочесть использование onion-адреса по умолчанию в случае, если удалённый ресурс предоставляет такой адрес. Ранее некоторые ресурсы автоматически перенаправляли пользователей на onion-адрес при обнаружении Tor, для чего использовалась технология alt-svc. И хотя использование подобных методов актуально и поныне, новая система выбора предпочтений позволит оповещать пользователей о доступности onion-адреса.

Onion Locator

Владельцы интернет-ресурсов получили возможность оповещать о доступности onion-адреса с помощью специального HTTP-заголовка. При первом посещении пользователем с включённым Onion Locator ресурса с таким заголовком и доступности .onion, пользователь получит уведомление, позволяющее предпочесть .onion(см фото).

Авторизация Onion

Администраторы onion-сервисов, желающие повысить безопасность и конфиденциальность своего адреса, могут включить на нём авторизацию. Теперь пользователи Tor Browser будут получать уведомление с запросом ключа при попытке подключения к таким сервисам. Пользователи могут сохранять введённые ключи и управлять ими на вкладке about:preferences#privacy в разделе Onion Services Authentication(см. пример уведомления)

Улучшена система уведомлений безопасности в адресной строке

Традиционно браузеры отмечают соединения с TLS значком зелёного замка. А с середины 2019 в браузере Firefox замок стал серым для того, чтобы лучше обращать внимание пользователей не на защищённое по умолчанию соединение, а на проблемы с защищённостью(подробнее тут). Tor Browser в новой версии следует примеру Mozilla, вследствие чего пользователям теперь будет намного проще понять, что onion-соединение не безопасно(при загрузке смешанного содержимого из «обычной» сети или прочих проблемах, пример тут)

Отдельные страницы ошибок загрузки для onion-адресов

Периодически пользователи сталкиваются с проблемами подключения к onion-адресам. В предыдущих версиях Tor Browser, при возникновении проблем с подключением к .onion, пользователи видели стандартное уведомление об ошибке Firefox, никак не поясняющее причину недоступности onion-адреса. В новой же версии добавлены информативные уведомления об ошибках на стороне пользователя, сервера и самой сети. Tor Browser стал отображать простую диаграмму подлючения, по которой можно судить о причине проблем с соединением.

Имена для Onion

Вследствие особенностей криптографической защиты onion-сервисов, адреса onion трудно поддаются запоминанию(сравните, например, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Это сильно усложняет навигацию, пользователям труднее обнаруживать новые адреса и возвращаться к старым. Сами владельцы адресов ранее органично решали проблему тем или иным способом, но до сих пор отсутствовал универсальный, подходящий для всех пользователей. Проект Tor подошёл к проблеме под другим углом: при подготовке данного выпуска было заключено партнёрство с Freedom of the Press Foundation (FPF) и HTTPS Everywhere(Electronic Frontier Foundation) для создания первых концептуальных человекочитаемых адресов SecureDrop(см. тут). Примеры:

The Intercept:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Lucy Parsons Labs:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF добилась участия в эксперименте небольшого количества медийных организаций, и Tor Project вместе с FPF будут совместно принимать дальнейшие решения по данной инициативе исходя из отзывов о концепте.

Полный список изменений:

• Обновлён Tor Launcher до 0.2.21.8
• Обновлён NoScript до версии 11.0.26
• Firefox обновлён до 68.9.0esr
• Обновлён HTTPS-Everywhere до версии 2020.5.20
• Обновлён маршутизатор Tor до версии 0.4.3.5
• goptlib обновлён до v1.1.0
• Wasm отключён до проведения надлежащего аудита
• Удалены устаревшие пункты настроек Torbutton
• Удалён неиспользуемый код в torbutton.js
• Удалена синхронизация настроек изоляции и слепков(fingerprinting_prefs) в Torbutton
• Модуль control port доработан для совместимости с авторизацией v3 onion
• Настройки по умолчанию перенесены в файл 000-tor-browser.js
• torbutton_util.js перемещён в modules/utils.js
• Возвращена вомзожность включить отрисовку шрифтов Graphite в настройках безопасности
• Удалён исполняемый сценарий из aboutTor.xhtml
• libevent обновлён до 2.1.11-stable
• Исправлена обработка исключений в SessionStore.jsm
• Портирована firstparty-изоляция для IPv6 адресов
• Services.search.addEngine более не игнорирует изоляцию FPI
• Отключён MOZ_SERVICES_HEALTHREPORT
• Портированы исправления ошибок 1467970, 1590526 и 1511941
• Исправлена ошибка при удалении дополнения disconnect search
• Исправлена ошибка 33726: IsPotentiallyTrustworthyOrigin для .onion
• Исправлена неработоспособность браузера при перемещении его в другой каталог
• Усовершенствовано поведение letterboxing
• Убран поисковик Disconnect
• Включена поддержка набора правил SecureDrop в HTTPS-Everywhere
• Устранены попытки прочитать /etc/firefox

Источник: linux.org.ru