Po deseti měsících vývoje významné vydání specializovaného prohlížeče , ve kterém pokračuje vývoj funkcionality na bázi větve ESR . Prohlížeč je zaměřen na poskytování anonymity, bezpečnosti a soukromí, veškerý provoz je přesměrován pouze přes síť Tor. Není možné přistupovat přímo přes standardní síťové připojení aktuálního systému, které neumožňuje sledování skutečné IP adresy uživatele (pokud je prohlížeč hacknut, útočníci mohou získat přístup k parametrům sítě systému, takže pro úplné zablokování možných úniků byste měli použít produkty jako např ). Sestavení prohlížeče Tor pro Linux, Windows, macOS a Android.
Obsahuje aditivum pro zvýšenou ochranu , což vám umožňuje používat šifrování provozu na všech stránkách, kde je to možné. Součástí je doplněk, který snižuje hrozbu útoků JavaScriptu a ve výchozím nastavení blokuje pluginy . K boji proti blokování a dopravní inspekci používají и .
Pro organizaci šifrovaného komunikačního kanálu v prostředích, která blokují jakýkoli jiný provoz než HTTP, jsou navrženy alternativní transporty, které vám například umožňují obejít pokusy o blokování Tor v Číně. K ochraně před sledováním pohybu uživatelů a funkcemi specifickými pro návštěvníky jsou rozhraní API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices a screen.orientation deaktivována nebo omezena. a také deaktivoval nástroje pro odesílání telemetrie, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, „link rel=preconnect“, upravil libmdns.
V novém vydání:
- Panel byl reorganizován a přístup k indikátoru úrovně ochrany, který se nachází v nabídce Torbutton na hlavním panelu. Tlačítko Torbutton bylo přesunuto na pravou stranu panelu. Ve výchozím nastavení byly z panelu odstraněny indikátory doplňků HTTPS Everywhere a NoScript (lze je vrátit v rozhraní nastavení panelu).
Indikátor HTTPS Everywhere byl odstraněn, protože neposkytuje užitečné informace a ve výchozím nastavení je vždy použito přesměrování na HTTPS. Indikátor NoScript byl odstraněn, protože prohlížeč umožňuje přepínání mezi základními úrovněmi zabezpečení a tlačítko NoScript je často zavádějící s varováními, která se objevují v důsledku nastavení přijatých v prohlížeči Tor. Tlačítko NoScript také poskytuje přístup k rozsáhlým nastavením, bez jejichž podrobného pochopení může změna nastavení vést k problémům s ochranou soukromí a nekonzistenci s úrovní zabezpečení nastavenou v prohlížeči Tor. Řízení blokování JavaScriptu pro konkrétní weby lze provést prostřednictvím sekce dalších oprávnění v kontextové nabídce adresního řádku (tlačítko „i“);
- Styl byl upraven a Tor Browser je kompatibilní s novým designem Firefoxu, připraveným v rámci projektu “". Vzhled úvodní stránky „about:tor“ byl změněn a sjednocen pro všechny platformy;
- Představena nová loga Tor Browser.
- Aktualizované verze komponent prohlížeče:
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, OpenSSL 1.0.2r, Tor Launcher 0.2.18.3; - Sestavy jsou generovány s příznakem "“, používaný pro oficiální sestavení Mozilly.
- Je připraveno první stabilní vydání mobilní verze prohlížeče Tor pro platformu Android, která je postavena na kódové základně Firefoxu 60.7.0 pro Android a umožňuje práci pouze přes síť Tor, blokuje veškeré pokusy o vytvoření přímé sítě. spojení. Součástí jsou doplňky HTTPS Everywhere a Tor Button. Z hlediska funkčnosti je edice pro Android stále za verzí pro stolní počítače, ale poskytuje téměř stejnou úroveň ochrany a soukromí.
mobilní verze na Google Play, ale také ve formě APK balíčku z webu projektu. Zveřejnění v katalogu F-droid se očekává v blízké budoucnosti. Podporuje práci na zařízeních s Androidem 4.1 nebo novější verzí platformy. Vývojáři Tor berou na vědomí, že nemají v úmyslu vytvořit verzi Tor Browser pro iOS kvůli omezením zavedeným společností Apple a doporučují prohlížeč, který je již dostupný pro iOS. , vyvinutý projektem .
Hlavní rozdíly mezi prohlížečem Tor pro Android a Firefoxem pro Android:
- Blokovací kód pro sledování pohybu. Každá stránka je izolována od křížových požadavků a všechny soubory cookie jsou po skončení relace automaticky smazány;
- Ochrana proti rušení provozu a sledování aktivity uživatele. Veškerá interakce s vnějším světem probíhá pouze prostřednictvím sítě Tor, a pokud dojde k zachycení provozu mezi uživatelem a poskytovatelem, útočník vidí pouze to, že uživatel používá Tor, ale nemůže určit, které stránky uživatel otevírá. Ochrana proti rušení je zvláště důležitá v podmínkách, kdy někteří tuzemští mobilní operátoři nepovažují za ostudné vklínit se do nešifrovaného uživatelského HTTP provozu a odhalit své widgety () nebo reklamní bannery ( и );
- Ochrana před identifikací funkcí specifických pro návštěvníky a před sledováním uživatelů pomocí metod identifikace („otisky prstů prohlížeče“). Všichni uživatelé Tor Browseru vypadají zvenčí stejně a při použití pokročilých metod nepřímé identifikace jsou od sebe k nerozeznání.
Například kromě ukládání identifikátoru prostřednictvím souborů cookie a místního rozhraní API pro ukládání dat je k dispozici seznam nainstalovaných , časové pásmo, seznam podporovaných typů MIME, možnosti obrazovky, seznam dostupných písem, při vykreslování pomocí canvas a WebGL parametry v hlavičkách и , způsob práce s и ; - Aplikace víceúrovňového šifrování. Kromě ochrany HTTPS je uživatelský provoz při průchodu Torem navíc minimálně třikrát zašifrován (používá se vícevrstvé šifrovací schéma, ve kterém jsou pakety zabaleny do řady vrstev pomocí šifrování veřejným klíčem, ve kterém každý uzel Tor na jeho fáze zpracování odhalí další vrstvu a zná pouze další fázi přenosu a pouze poslední uzel může určit cílovou adresu);
- Možnost přístupu ke zdrojům blokovaným poskytovatelem nebo centrálně cenzurovanými stránkami. Podle projektu Roskomsvoboda je 97 % stránek, které jsou v současné době v Ruské federaci blokovány, blokováno nelegálně (nacházejí se ve stejných podsítích s blokovanými zdroji). Stále je například blokováno 358 tisíc IP adres Digital Ocean, 25 tisíc adres Amazon WS a 59 tisíc adres CloudFlare. Za nelegální blokování, včetně mnoho open source projektů včetně bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com a midori-browser.org.
Zdroj: opennet.ru