Auf dem Tor-Entwicklertreffen, das dieser Tage in Stockholm stattfindet, gibt es einen eigenen Abschnitt Ausgaben Tor und Firefox. Die Hauptaufgaben bestehen darin, ein Add-on zu erstellen, das die Arbeit über das anonyme Tor-Netzwerk im Standard-Firefox ermöglicht, sowie die für den Tor-Browser entwickelten Patches auf den Haupt-Firefox zu übertragen. Um den Status der Patch-Übertragungen zu verfolgen, wurde eine spezielle Website eingerichtet . Bisher wurden 13 Patches übertragen und für 22 Patches wurden Diskussionen im Mozilla-Bugtracker eröffnet (insgesamt wurden mehr als hundert Patches vorgeschlagen).
Die Hauptidee für die Integration mit Firefox besteht darin, Tor beim Arbeiten im privaten Modus zu verwenden oder mit Tor einen zusätzlichen superprivaten Modus zu erstellen. Da die Integration der Tor-Unterstützung in den Firefox-Kern viel Arbeit erfordert, haben wir uns entschieden, mit der Entwicklung eines externen Add-ons zu beginnen. Das Add-on wird über das Verzeichnis addons.mozilla.org bereitgestellt und enthält eine Schaltfläche zum Aktivieren des Tor-Modus. Die Bereitstellung in Add-on-Form bietet eine allgemeine Vorstellung davon, wie die native Tor-Unterstützung aussehen könnte.
Der Code für die Arbeit mit dem Tor-Netzwerk soll nicht in JavaScript umgeschrieben, sondern von C in eine WebAssambly-Darstellung kompiliert werden, die es ermöglicht, alle notwendigen bewährten Tor-Komponenten in das Add-on einzubinden, ohne an externe gebunden zu sein ausführbare Dateien und Bibliotheken.
Die Weiterleitung an Tor wird organisiert, indem Sie die Proxy-Einstellungen ändern und Ihren eigenen Handler als Proxy verwenden. Beim Wechsel in den Tor-Modus ändert das Add-on auch einige sicherheitsrelevante Einstellungen. Insbesondere werden ähnliche Einstellungen wie im Tor-Browser angewendet, die darauf abzielen, mögliche Proxy-Umgehungspfade zu blockieren und die Identifizierung des Benutzersystems zu verhindern.
Damit das Add-on funktioniert, sind jedoch erweiterte Berechtigungen erforderlich, die über die üblichen, auf der WebExtension-API basierenden Add-ons und die inhärenten System-Add-ons hinausgehen (z. B. ruft das Add-on XPCOM-Funktionen direkt auf). Solche privilegierten Add-ons müssen von Mozilla digital signiert werden. Da das Add-on jedoch gemeinsam mit Mozilla entwickelt und im Namen von Mozilla bereitgestellt werden soll, sollte der Erhalt zusätzlicher Berechtigungen kein Problem darstellen.
Die Tor-Modus-Schnittstelle wird noch diskutiert. Beispielsweise wird vorgeschlagen, dass beim Klicken auf die Tor-Schaltfläche ein neues Fenster mit einem separaten Profil geöffnet wird. Der Tor-Modus schlägt außerdem vor, HTTP-Anfragen vollständig zu deaktivieren, da der Inhalt des unverschlüsselten Datenverkehrs beim Verlassen von Tor-Knoten abgefangen und geändert werden kann. Der Schutz vor der Ersetzung von Änderungen im HTTP-Verkehr durch die Verwendung von NoScript wird als unzureichend angesehen, daher ist es einfacher, den Tor-Modus auf nur Anfragen über HTTPS zu beschränken.
Source: opennet.ru