Aktualizace prohlížeče Tor 9.5

Nová verze prohlížeče Tor je k dispozici ke stažení z z oficiálních stránek, adresář verze a Google Play. Verze F-Droid bude k dispozici v nejbližších dnech.

Aktualizace obsahuje vážné bezpečnostní opravy Firefox.

Hlavní důraz je v nové verzi kladen na zlepšení pohodlí a usnadnění práce s cibulovými službami.

Služby Tor onion jsou jedním z nejoblíbenějších a nejjednodušších způsobů, jak vytvořit šifrované koncové připojení. S jejich pomocí je administrátor schopen poskytnout anonymní přístup ke zdrojům a skrýt metadata před vnějším pozorovatelem. Kromě toho vám takové služby umožňují překonat cenzuru a zároveň chránit soukromí uživatelů.

Nyní, když poprvé spustíte Tor Browser, budou mít uživatelé možnost zvolit použití výchozí cibulové adresy, pokud vzdálený zdroj takovou adresu poskytuje. Dříve některé zdroje při detekci Tor automaticky přesměrovávaly uživatele na cibulovou adresu, pro kterou byla použita technologie alt-svc. A ačkoli je použití takových metod stále aktuální i dnes, nový systém výběru preferencí umožní uživatelům být informováni o dostupnosti cibulové adresy.

Lokátor cibule

Majitelé internetových zdrojů mají možnost upozornit na dostupnost cibulové adresy pomocí speciální HTTP hlavičky. Když uživatel s povoleným Onion Locatorem poprvé navštíví zdroj s tímto názvem a .onion je k dispozici, uživatel obdrží upozornění, které mu umožní preferovat .onion (viz foto).

Autorizace cibule

Správci cibulových služeb, kteří chtějí zvýšit bezpečnost a důvěrnost své adresy, na ní mohou povolit autorizaci. Uživatelé Tor Browser nyní obdrží oznámení s žádostí o klíč, když se pokusí připojit k takovým službám. Uživatelé mohou zadané klíče ukládat a spravovat na kartě about:preferences#privacy v části Ověření služeb Onion (viz. příklad oznámení)

Vylepšený systém bezpečnostních upozornění v adresním řádku

Prohlížeče tradičně označují připojení TLS zelenou ikonou visacího zámku. A od poloviny roku 2019 zámek v prohlížeči Firefox zešedl, aby lépe upoutal pozornost uživatelů nikoli na výchozí zabezpečené připojení, ale na bezpečnostní problémy (další podrobnosti zde). Tor Browser v nové verzi následuje příklad Mozilly, díky čemuž nyní uživatelé mnohem snáze pochopí, že cibulové připojení není bezpečné (při stahování smíšeného obsahu z „běžné“ sítě nebo jiné problémy, např. příklad zde)

Samostatné stránky s chybami stahování pro adresy cibule

Čas od času se uživatelé setkávají s problémy s připojením k cibulovým adresám. Pokud v předchozích verzích Tor Browser došlo k problémům s připojením k .onion, uživatelé viděli standardní chybovou zprávu Firefoxu, která žádným způsobem nevysvětlovala důvod nedostupnosti adresy cibule. Nová verze přidává informativní upozornění o chybách na straně uživatele, serveru a sítě samotné. Tor Browser nyní zobrazuje jednoduché schéma připojení, které lze použít k posouzení příčiny problémů s připojením.

Jména pro cibuli

Z důvodu kryptografické ochrany cibulových služeb jsou cibulové adresy obtížně zapamatovatelné (srovnej např. https://torproject.org и http://expyuzz4wqqyqhjn.onion/). To značně komplikuje navigaci a ztěžuje uživatelům objevování nových adres a návrat ke starým. Sami majitelé adres dříve organicky řešili problém tak či onak, ale až dosud neexistovalo žádné univerzální řešení vhodné pro všechny uživatele. Projekt Tor přistoupil k problému z jiného úhlu: pro toto vydání se spojil s Freedom of the Press Foundation (FPF) a HTTPS Everywhere (Electronic Frontier Foundation), aby vytvořili první koncepční, člověkem čitelné adresy SecureDrop (viz níže). zde). Příklady:

Intercept:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Lucy Parsons Labs:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF zajistila účast malého počtu mediálních organizací v experimentu a Tor Project spolu s FPF budou společně činit budoucí rozhodnutí o této iniciativě na základě zpětné vazby ke konceptu.

Kompletní seznam změn:

• Aktualizován Tor Launcher na 0.2.21.8
• NoScript aktualizován na verzi 11.0.26
• Firefox aktualizován na 68.9.0esr
• HTTPS-Everywhere aktualizován na verzi 2020.5.20
• Aktualizován router Tor na verzi 0.4.3.5
• goptlib aktualizován na verzi 1.1.0
• Wasm deaktivován až do řádného auditu
• Odstraněny zastaralé položky nastavení Torbutton
• Byl odstraněn nepoužitý kód v torbutton.js
• Odstraněna synchronizace nastavení izolace a otisků prstů (fingerprinting_prefs) v Torbuttonu
• Modul řídicího portu byl vylepšen, aby byl kompatibilní s autorizací cibule v3
• Výchozí nastavení bylo přesunuto do souboru 000-tor-browser.js
• torbutton_util.js přesunuto do modules/utils.js
• Byla vrácena možnost povolit vykreslování grafitových písem v nastavení zabezpečení.
• Byl odstraněn spustitelný skript z aboutTor.xhtml
• libevent aktualizován na 2.1.11-stable
• Opraveno zpracování výjimek v SessionStore.jsm
• Přenesená izolace první strany pro adresy IPv6
• Services.search.addEngine již neignoruje izolaci FPI
• MOZ_SERVICES_HEALTHREPORT zakázáno
• Opravy chyb přeneseny 1467970, 1590526 и 1511941
• Opravena chyba při odinstalaci doplňku pro vyhledávání odpojení
• Opravená chyba 33726: IsPotentiallyTrustworthyOrigin for .cibule
• Opraven nefunkční prohlížeč při přesunu do jiného adresáře
• Vylepšené chování letterboxing
• Odpojit vyhledávač odstraněn
• Povolena podpora pro sadu pravidel SecureDrop v HTTPS-Everywhere
• Opraveny pokusy o čtení /etc/firefox

Zdroj: linux.org.ru