Après dix mois de développement sortie importante d'un navigateur dédié , dans lequel le développement de fonctionnalités basées sur la branche ESR se poursuit . Le navigateur vise à assurer l'anonymat, la sécurité et la confidentialité, tout le trafic est redirigé uniquement via le réseau Tor. Il est impossible d'accéder directement via la connexion réseau standard du système actuel, ce qui ne permet pas de suivre la véritable adresse IP de l'utilisateur (si le navigateur est piraté, les attaquants peuvent accéder aux paramètres réseau du système, donc pour bloquer complètement d'éventuelles fuites, vous devez utiliser des produits tels que ). Versions du navigateur Tor pour Linux, Windows, macOS et Android.
Comprend un additif pour une protection supplémentaire , vous permettant d'utiliser le cryptage du trafic sur tous les sites lorsque cela est possible. Un module complémentaire est inclus pour réduire la menace d'attaques JavaScript et bloquer les plugins par défaut . Pour lutter contre les blocages et l'inspection du trafic, ils utilisent и .
Pour organiser un canal de communication crypté dans des environnements bloquant tout trafic autre que HTTP, des transports alternatifs sont proposés, qui permettent par exemple de contourner les tentatives de blocage de Tor en Chine. Pour vous protéger contre le suivi des mouvements des utilisateurs et les fonctionnalités spécifiques aux visiteurs, les API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices et screen.orientation sont désactivées ou limitées. .et également désactivé les outils d'envoi de télémétrie, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, « link rel=preconnect », libmdns modifiés.
Dans la nouvelle version :
- Le panel a été réorganisé et accès à l'indicateur de niveau de protection, situé dans le menu Torbutton du panneau principal. Le bouton Torbutton a été déplacé vers le côté droit du panneau. Par défaut, les indicateurs de module complémentaire HTTPS Everywhere et NoScript ont été supprimés du panneau (peuvent être renvoyés dans l'interface des paramètres du panneau).
L'indicateur HTTPS Everywhere a été supprimé car il ne fournit pas d'informations utiles et la redirection vers HTTPS est toujours appliquée par défaut. L'indicateur NoScript a été supprimé car le navigateur permet de basculer entre les niveaux de sécurité de base, et le bouton NoScript est souvent trompeur avec des avertissements qui surviennent en raison des paramètres adoptés dans le navigateur Tor. Le bouton NoScript donne également accès à des paramètres étendus, sans une compréhension détaillée de lesquels, la modification des paramètres peut entraîner des problèmes de confidentialité et une incohérence avec le niveau de sécurité défini dans le navigateur Tor. Le contrôle du blocage JavaScript pour des sites spécifiques peut être effectué via la section des autorisations supplémentaires dans le menu contextuel de la barre d'adresse (le bouton « i » );
- Le style a été ajusté et Tor Browser est compatible avec le nouveau design de Firefox, préparé dans le cadre du projet "". Le design de la page de démarrage « about:tor » a été modifié et unifié pour toutes les plateformes ;
- Nouveaux logos du navigateur Tor introduits.
- Versions mises à jour des composants du navigateur :
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, OpenSSL 1.0.2r, Tor Launcher 0.2.18.3 ; - Les assemblages sont générés avec le flag "", utilisé pour les versions officielles de Mozilla.
- La première version stable de la version mobile de Tor Browser pour la plate-forme Android a été préparée, elle est construite sur la base de code de Firefox 60.7.0 pour Android et permet de travailler uniquement via le réseau Tor, bloquant toute tentative d'établissement d'un réseau direct. connexion. Les modules complémentaires HTTPS Everywhere et Tor Button sont inclus. En termes de fonctionnalités, l'édition Android est toujours en retard sur la version de bureau, mais offre presque le même niveau de protection et de confidentialité.
La version mobile sur Google Play, mais aussi sous la forme d'un package APK depuis le site Web du projet. La publication dans le catalogue F-droid est attendue dans un avenir proche. Prend en charge le travail sur les appareils équipés d'Android 4.1 ou d'une version plus récente de la plateforme. Les développeurs de Tor notent qu'ils n'ont pas l'intention de créer une version du navigateur Tor pour iOS en raison des restrictions introduites par Apple et recommandent le navigateur déjà disponible pour iOS , développé par le projet .
Principales différences entre le navigateur Tor pour Android et Firefox pour Android :
- Code de blocage pour suivre les mouvements. Chaque site est isolé des requêtes croisées, et tous les Cookies sont automatiquement supprimés après la fin de la session ;
- Protection contre les interférences du trafic et surveillance de l’activité des utilisateurs. Toute interaction avec le monde extérieur se produit uniquement via le réseau Tor, et si le trafic entre l'utilisateur et le fournisseur est intercepté, l'attaquant peut uniquement voir que l'utilisateur utilise Tor, mais ne peut pas déterminer quels sites l'utilisateur ouvre. La protection contre les interférences est particulièrement pertinente dans des conditions où certains opérateurs mobiles nationaux ne considèrent pas qu'il est honteux de se glisser dans le trafic HTTP utilisateur non crypté et d'exposer leurs widgets () ou des bannières publicitaires ( и );
- Protection contre l'identification des fonctionnalités spécifiques aux visiteurs et contre le suivi des utilisateurs à l'aide de méthodes identification (« empreinte digitale du navigateur »). Tous les utilisateurs du navigateur Tor se ressemblent de l’extérieur et ne se distinguent pas les uns des autres lorsqu’ils utilisent des méthodes d’identification indirectes avancées.
Par exemple, en plus de stocker un identifiant via Cookie et l'API de stockage de données locales, une liste spécifique à l'utilisateur des appareils installés , fuseau horaire, liste des types MIME pris en charge, options d'écran, liste des polices disponibles, lors du rendu à l'aide de Canvas et WebGL, paramètres dans les en-têtes и , manière de travailler avec и ; - Application du cryptage à plusieurs niveaux. En plus de la protection HTTPS, le trafic utilisateur lors de son passage via Tor est en outre crypté au moins trois fois (un schéma de cryptage multicouche est utilisé, dans lequel les paquets sont enveloppés dans une série de couches utilisant un cryptage à clé publique, dans lequel chaque nœud Tor à son étape de traitement révèle la couche suivante et ne connaît que la prochaine étape de transmission, et seul le dernier nœud peut déterminer l'adresse de destination );
- La possibilité d'accéder à des ressources bloquées par le fournisseur ou à des sites censurés de manière centralisée. Par du projet Roskomsvoboda, 97 % des sites actuellement bloqués en Fédération de Russie le sont illégalement (ils sont situés dans les mêmes sous-réseaux avec des ressources bloquées). Par exemple, 358 25 adresses IP Digital Ocean, 59 XNUMX adresses Amazon WS et XNUMX XNUMX adresses CloudFlare sont toujours bloquées. Sous blocage illégal, y compris de nombreux projets open source, notamment bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com et midori-browser.org.
Source: opennet.ru