Nach zehnmonatiger Entwicklung eine bedeutende Version des spezialisierten Browsers , in dem die Funktionalität der ESR-Version weitergeführt wird. Der Browser konzentriert sich auf Anonymität, Sicherheit und Privatsphäre; der gesamte Datenverkehr wird ausschließlich über das Tor-Netzwerk geleitet. Eine direkte Verbindung über die normale Netzwerkverbindung des Systems ist nicht möglich, was eine Nachverfolgung der tatsächlichen IP-Adresse des Benutzers verhindert. Sollte der Browser gehackt werden, können Angreifer auf die Systemeinstellungen des Netzwerks zugreifen; aus diesem Grund sollten Produkte wie verwendet werden). Tor Browser-Builds für Linux, Windows, macOS und Android enthalten sind.
Um zusätzlichen Schutz zu gewährleisten, enthält das Paket das Add-On , das die Verschlüsselung des Traffics auf allen Websites ermöglicht, wo dies möglich ist. Um die Bedrohung durch JavaScript-Angriffe zu minimieren und standardmäßig Plugins zu blockieren, wird ein Add-On mitgeliefert, . Zur Bekämpfung von Blockierungen und Inspektionen des Datenverkehrs werden und .
. Für die Einrichtung eines verschlüsselten Kommunikationskanals in Umgebungen, die jeglichen Datenverkehr außer HTTP blockieren, werden alternative Transportprotokolle angeboten, die beispielsweise die Versuche umgehen, Tor in China zu blockieren. Um das Verfolgen von Nutzerbewegungen und das Hervorheben spezifischer Merkmale einzelner Besucher zu verhindern, sind APIs wie WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices und screen.orientation deaktiviert oder eingeschränkt. Ebenso wurden Telemetrie-Tools, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, „link rel=preconnect“ sowie die modifizierte libmdns deaktiviert.
In der neuen Version:
- Die Benutzeroberfläche wurde neu organisiert, und zum Schutzstatusindikator wurde aus dem Torbutton-Menü auf die Hauptleiste verschoben. Die Torbutton-Schaltfläche wurde an die rechte Seite der Leiste verschoben. Standardmäßig wurden die Indikatoren der Erweiterungen HTTPS Everywhere und NoScript von der Leiste entfernt (können über die Einstellungen der Leiste wieder aktiviert werden).

Das HTTPS Everywhere-Indicator wurde entfernt, da es keine nützlichen Informationen bietet und die Umleitung auf HTTPS standardmäßig erfolgt. Der NoScript-Indicator wurde entfernt, da der Browser die Möglichkeit bietet, zwischen den grundlegenden Sicherheitsstufen zu wechseln, und die NoScript-Schaltfläche oft durch Warnungen, die aus den im Tor Browser vorgenommenen Einstellungen resultieren, verwirrend ist. Die NoScript-Schaltfläche ermöglicht auch den Zugriff auf umfangreiche Einstellungen, deren Anpassung ohne gründliches Verständnis zu Problemen mit der Privatsphäre und zur Nichteinhaltung des im Tor Browser festgelegten Sicherheitsniveaus führen kann. Die Kontrolle der JavaScript-Blockierung für bestimmte Websites kann über den Bereich „Zusätzliche Berechtigungen“ im Kontextmenü der Adressleiste (Schaltfläche „i") vorgenommen werden;
- Der Stil wurde angepasst und die Kompatibilität des Tor Browsers mit dem neuen Design von Firefox sichergestellt, das im Rahmen des Projekts „“ vorbereitet wurde. Das Design der Startseite „about:tor“ wurde für alle Plattformen geändert und vereinheitlicht;
- Es wurden neue Logos für den Tor Browser eingeführt.

- Die Versionen der Browserkomponenten wurden aktualisiert:
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, OpenSSL 1.0.2r, Tor Launcher 0.2.18.3; - Die Builds wurden mit dem Flag „«, der für offizielle Mozilla-Builds verwendet wird.
- Die erste stabile Version des mobilen Tor Browsers für die Android-Plattform wurde veröffentlicht, basierend auf dem Code von Firefox 60.7.0 für Android. Diese Version funktioniert ausschließlich über das Tor-Netzwerk und blockiert alle Versuche, eine direkte Netzwerkverbindung herzustellen. Enthalten sind die Erweiterungen HTTPS Everywhere und Tor Button. In Bezug auf die Funktionalität hinkt die Android-Version der Desktop-Version derzeit hinterher, bietet jedoch nahezu denselben Schutz- und Datenschutzlevel.
Mobilsystemversion im Google Play Store, aber auch als APK-Paket von der Projektwebsite. In naher Zukunft wird die Veröffentlichung im F-Droid-Verzeichnis erwartet. Die Anwendung unterstützt Geräte mit Android 4.1 oder neuer. Die Tor-Entwickler haben angekündigt, dass sie keine Version des Tor Browsers für iOS erstellen werden, aufgrund der von Apple eingeführten Einschränkungen, und empfehlen den bereits für iOS verfügbaren Browser , der vom .
Projekt entwickelt wird. Die wichtigsten Unterschiede zwischen Tor Browser für Android und Firefox für Android sind:
- Blockierung von Code zur Verfolgung von Bewegungen. Jede Website wird von Cross-Site-Anfragen isoliert, und alle Cookies werden automatisch nach dem Ende der Sitzung gelöscht;
- Schutz vor Eingriffen in den Datenverkehr und Überwachung der Nutzeraktivität. Alle Interaktionen mit der Außenwelt erfolgen ausschließlich über das Tor-Netzwerk. Im Falle eines Übergriffs auf den Datenverkehr zwischen dem Nutzer und dem Provider kann ein Angreifer lediglich erkennen, dass der Nutzer Tor verwendet, jedoch nicht, welche Websites der Nutzer besucht. Der Schutz vor Eingriffen ist besonders wichtig, da einige inländische Mobilfunkanbieter es für nicht verwerflich halten, sich in unverschlüsselten HTTP-Datenverkehr einzumischen und eigene Widgets () oder Werbebanner ( und );
- Schutz vor der Bestimmung von spezifischen Merkmalen eines bestimmten Besuchers und vor der Nutzerverfolgung durch Methoden der Identifizierung („Browser Fingerprinting“). Alle Nutzer des Tor Browsers sehen von außen identisch aus und sind durch erweiterte Indirekt-Erkennungsmethoden nicht voneinander zu unterscheiden.
Zum Beispiel können neben der Speicherung der ID über Cookies und der API für lokales Speichern auch benutzerspezifische Faktoren wie die Liste installierter , die Zeitzone, die Liste unterstützter MIME-Typen, die Bildschirmparameter, die Liste verfügbarer Schriftarten, beim Rendering mit canvas und WebGL, die Parameter in den Headern und , das Verhalten beim und ; - Einsatz mehrschichtiger Verschlüsselung. Neben dem Schutz von HTTPS wird der Datenverkehr des Nutzers beim Durchlaufen von Tor mindestens dreimal zusätzlich verschlüsselt (es kommt ein mehrschichtiges Verschlüsselungsschema zum Einsatz, bei dem Pakete in eine Reihe von Schichten eingewickelt werden, die mit öffentlicher Schlüsselverschlüsselung versehen sind. Jeder Tor-Knoten gibt in seiner Verarbeitungsphase die nächste Schicht frei und kennt nur den nächsten Übertragungsweg, während nur der letzte Knoten die Zieladresse bestimmen kann);
- Zugriff auf durch den Anbieter blockierte Ressourcen oder zentral zensierte Websites. Das Projekt Roskomsvoboda hat festgestellt, dass 97 % der derzeit in der RF blockierten Websites unrechtmäßig blockiert werden (sie befinden sich in denselben Subnetzen wie die gesperrten Ressourcen). So sind beispielsweise immer noch 358.000 IP-Adressen von Digital Ocean, 25.000 von Amazon WS und 59.000 von CloudFlare gesperrt. Unter die unrechtmäßige Blockierung fallen auch многие открытые проекты, включая bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com и midori-browser.org.
Quelle: opennet.ru


