Сформирован значительный релиз специализированного браузера Tor Browser 12.0, в котором осуществлён переход на ESR-ветку Firefox 102. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP-адрес пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. Формирование новой версии для Android задерживается.
Для обеспечения дополнительной защиты в состав Tor Browser входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.
Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, «link rel=preconnect», модифицирован libmdns.
В новой версии:
- Осуществлён переход на кодовую базу Firefox 102 ESR и стабильную ветку tor 0.4.7.12.
- Предоставлены многоязычные сборки — ранее для каждого языка было необходимо загружать отдельную сборку, а теперь предоставляется универсальная сборка, позволяющая переключать языки на лету. Для новых установок в Tor Browser 12.0 будет автоматически выбран язык, соответствующий выставленной в системе локали (язык может быть изменён в процессе работы), а при переходе с ветки 11.5.x будут сохранён ранее используемый в Tor Browser язык. Многоязычная сборка занимает около 105 МБ.
- В версии для платформы Android по умолчанию включён режим HTTPS-Only при котором все запросы, выполняемые без шифрования, автоматически перенаправляются на защищённые варианты страниц («http://» заменяется на «https://»). В сборках для настольных систем подобный режим был включён в прошлой значительной версии.
- В версии для платформы Android в секцию «Privacy and Security» добавлена настройка «Prioritize .onion sites», обеспечивающая автоматический проброс на onion-сайты при попытке открытия web-сайтов, выдающих HTTP-заголовок «Onion-Location», указывающий на наличие варианта сайта в сети Tor.
- Добавлены переводы интерфейса на албанский и украинский языки.
- Переработан компонент tor-launcher, обеспечивающий запуск Tor для Tor Browser.
- Улучшена реализация механизма letterboxing, добавляющего отступы вокруг содержимого веб-страниц для блокирования идентификации по размеру окна. Предоставлена возможность отключения letterboxing для заслуживающих доверия страниц, реализовано удаление однопиксельных рамок вокруг полноэкранных видео, устранены потенциальные утечки информации.
- После проведения аудита включена поддержка HTTP/2 Push.
- Предотвращены утечки данных о локали через API Intl, системных цветах через CSS4 и заблокированных портах (network.security.ports.banned).
- Отключён API Presentation и Web MIDI.
- Подготовлены родные сборки для устройств Apple с чипами Apple Silicon.
Источник: opennet.ru