Es pot descarregar una nova versió del navegador Tor des del lloc oficial, directori de versions i Google Play. La versió F-Droid estarà disponible en els propers dies.
L'actualització inclou seriosos correccions de seguretat Firefox.
L'èmfasi principal de la nova versió és millorar la comoditat i facilitar el treball amb els serveis de ceba.
Els serveis Tor onion són una de les maneres més populars i fàcils d'establir una connexió final xifrada. Amb la seva ajuda, l'administrador pot proporcionar accés anònim als recursos i ocultar les metadades d'un observador extern. A més, aquests serveis us permeten superar la censura alhora que es protegeix la privadesa dels usuaris.
Ara, quan inicieu el navegador Tor per primera vegada, els usuaris tindran l'opció d'escollir utilitzar l'adreça de ceba predeterminada si el recurs remot proporciona aquesta adreça. Anteriorment, alguns recursos redirigien automàticament els usuaris a l'adreça de ceba quan es va detectar Tor, per a la qual es va utilitzar la tecnologia alt-svc. I tot i que l'ús d'aquests mètodes encara és rellevant avui dia, el nou sistema de selecció de preferències permetrà notificar als usuaris sobre la disponibilitat d'una adreça de ceba.
Localitzador de ceba
Els propietaris de recursos d'Internet tenen l'oportunitat de notificar sobre la disponibilitat d'una adreça de ceba mitjançant una capçalera HTTP especial. La primera vegada que un usuari amb el Localitzador de ceba habilitat visita un recurs amb aquest títol i .onion està disponible, l'usuari rebrà una notificació que li permetrà preferir .onion (vegeu la foto).
Autorització Ceba
Els administradors dels serveis de ceba que vulguin augmentar la seguretat i la confidencialitat de la seva adreça poden habilitar-hi l'autorització. Els usuaris del navegador Tor ara rebran una notificació que demana una clau quan intentin connectar-se a aquests serveis. Els usuaris poden desar i gestionar les claus introduïdes a la pestanya about:preferences#privacy a la secció Onion Services Authentication (vegeu. exemple de notificació)
Sistema de notificació de seguretat millorat a la barra d'adreces
Tradicionalment, els navegadors marquen les connexions TLS amb una icona de cadenat verd. I des de mitjan 2019, el bloqueig del navegador Firefox s'ha tornat gris per cridar millor l'atenció dels usuaris no sobre la connexió segura per defecte, sinó sobre els problemes de seguretat (més detalls aquí). Tor Browser a la nova versió segueix l'exemple de Mozilla, com a resultat del qual ara serà molt més fàcil per als usuaris entendre que la connexió onion no és segura (quan descarregueu contingut mixt de la xarxa "normal" o altres problemes, per exemple aquí)
Pàgines d'error de descàrrega separades per a adreces de ceba
De tant en tant, els usuaris troben problemes per connectar-se a adreces de ceba. En versions anteriors del navegador Tor, si hi havia problemes per connectar-se a .onion, els usuaris veien un missatge d'error estàndard de Firefox que no explicava de cap manera el motiu pel qual l'adreça onion no estava disponible. La nova versió afegeix notificacions informatives sobre errors del costat de l'usuari, del servidor i de la pròpia xarxa. Tor Browser ara mostra un senzill gràfic connexió, que es pot utilitzar per jutjar la causa dels problemes de connexió.
Noms per a ceba
A causa de la protecció criptogràfica dels serveis de ceba, les adreces de ceba són difícils de recordar (compareu, per exemple, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Això complica molt la navegació i dificulta que els usuaris descobreixin noves adreces i tornin a les antigues. Els mateixos propietaris de les adreces anteriorment resolien orgànicament el problema d'una manera o altra, però fins ara no hi havia una solució universal adequada per a tots els usuaris. El projecte Tor va abordar el problema des d'un angle diferent: per a aquest llançament, es va associar amb la Freedom of the Press Foundation (FPF) i HTTPS Everywhere (Electronic Frontier Foundation) per crear les primeres adreces conceptuals SecureDrop llegibles per humans (vegeu més avall). aquí). Exemples:
La intercepció:
- http://theintercept.securedrop.tor.onion/
- http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/
Lucy Parsons Labs:
FPF s'ha assegurat la participació d'un petit nombre d'organitzacions de mitjans en l'experiment, i el Projecte Tor juntament amb FPF prendran decisions conjuntes sobre aquesta iniciativa a partir de la retroalimentació sobre el concepte.
Llista completa de canvis:
- S'ha actualitzat Tor Launcher a 0.2.21.8
- NoScript actualitzat a la versió 11.0.26
- Firefox actualitzat a 68.9.0esr
- HTTPS-Everywhere actualitzat a la versió 2020.5.20
- S'ha actualitzat l'encaminador Tor a la versió 0.4.3.5
- goptlib s'ha actualitzat a la v1.1.0
- Wasm desactivat a l'espera de l'auditoria adequada
- S'han eliminat els elements de configuració de Torbutton obsolets
- S'ha eliminat el codi no utilitzat a torbutton.js
- S'ha eliminat la sincronització de la configuració d'aïllament i d'empremtes digitals (fingerprinting_prefs) a Torbutton
- El mòdul del port de control s'ha millorat perquè sigui compatible amb l'autorització de ceba v3
- La configuració predeterminada s'ha mogut al fitxer 000-tor-browser.js
- torbutton_util.js s'ha mogut a modules/utils.js
- S'ha retornat la possibilitat d'habilitar la representació de fonts de grafit a la configuració de seguretat.
- S'ha eliminat l'script executable de aboutTor.xhtml
- libevent actualitzat a 2.1.11-stable
- S'ha corregit el maneig d'excepcions a SessionStore.jsm
- Aïllament de primera part portat per a adreces IPv6
- Services.search.addEngine ja no ignora l'aïllament FPI
- MOZ_SERVICES_HEALTHREPORT desactivat
- S'han portat correccions d'errors 1467970, 1590526 и 1511941
- S'ha solucionat un error en desinstal·lar el complement de cerca de desconnexió
- Error corregit 33726: ÉsPotentiallyTrustworthyOrigin per a .onion
- S'ha solucionat que el navegador no funcionava en moure'l a un altre directori
- Comportament millorat letterboxing
- Desconnecta el motor de cerca eliminat
- Compatibilitat activada per al conjunt de regles SecureDrop a HTTPS-Everywhere
- S'han corregit els intents de llegir /etc/firefox
Font: linux.org.ru