Une nouvelle version du navigateur Tor est disponible en téléchargement sur depuis le site officiel, répertoire des versions et Google Play. La version F-Droid sera disponible dans les prochains jours.
La mise à jour inclut de sérieux correctifs de sécurité Firefox.
L'accent principal de la nouvelle version est d'améliorer la commodité et de faciliter le travail avec les services onion.
Les services Tor Onion sont l’un des moyens les plus populaires et les plus simples d’établir une connexion finale cryptée. Avec leur aide, l'administrateur est en mesure de fournir un accès anonyme aux ressources et de cacher les métadonnées à un observateur extérieur. De plus, ces services vous permettent de surmonter la censure tout en protégeant la vie privée des utilisateurs.
Désormais, lors du premier lancement du navigateur Tor, les utilisateurs auront la possibilité de choisir d'utiliser l'adresse oignon par défaut si la ressource distante fournit une telle adresse. Auparavant, certaines ressources redirigeaient automatiquement les utilisateurs vers l'adresse oignon lorsque Tor était détecté, pour laquelle la technologie était utilisée alt-svc. Et bien que l'utilisation de telles méthodes soit toujours d'actualité aujourd'hui, le nouveau système de sélection des préférences permettra aux utilisateurs d'être informés de la disponibilité d'une adresse oignon.
Localisateur d'oignons
Les propriétaires de ressources Internet ont la possibilité d'informer de la disponibilité d'une adresse oignon à l'aide d'un en-tête HTTP spécial. La première fois qu'un utilisateur avec Onion Locator activé visite une ressource portant ce titre et que .onion est disponible, l'utilisateur recevra une notification lui permettant de préférer .onion (voir photo).
Autorisation Oignon
Les administrateurs des services onion qui souhaitent augmenter la sécurité et la confidentialité de leur adresse peuvent activer l'autorisation sur celle-ci. Les utilisateurs du navigateur Tor recevront désormais une notification leur demandant une clé lorsqu'ils tenteront de se connecter à de tels services. Les utilisateurs peuvent enregistrer et gérer les clés saisies dans l'onglet about:preferences#privacy de la section Authentification des services Onion (voir. exemple de notification)
Système de notification de sécurité amélioré dans la barre d'adresse
Traditionnellement, les navigateurs marquent les connexions TLS avec une icône de cadenas vert. Et depuis mi-2019, le cadenas du navigateur Firefox est devenu gris afin de mieux attirer l'attention des utilisateurs non pas sur la connexion sécurisée par défaut, mais sur les problèmes de sécurité (plus de détails ici). Le navigateur Tor dans la nouvelle version suit l'exemple de Mozilla, grâce à quoi il sera désormais beaucoup plus facile pour les utilisateurs de comprendre que la connexion oignon n'est pas sécurisée (lors du téléchargement de contenu mixte à partir du réseau « normal » ou d'autres problèmes, par exemple exemple ici)
Pages d'erreur de téléchargement séparées pour les adresses d'oignon
De temps en temps, les utilisateurs rencontrent des problèmes de connexion aux adresses onion. Dans les versions précédentes du navigateur Tor, s'il y avait des problèmes de connexion à .onion, les utilisateurs voyaient un message d'erreur standard de Firefox qui n'expliquait en aucune façon la raison pour laquelle l'adresse onion n'était pas disponible. La nouvelle version ajoute des notifications informatives sur les erreurs côté utilisateur, côté serveur et sur le réseau lui-même. Le navigateur Tor affiche désormais un simple graphique connexion, qui peut être utilisée pour juger de la cause des problèmes de connexion.
Noms pour l’oignon
En raison de la protection cryptographique des services onion, les adresses onion sont difficiles à mémoriser (comparez, par exemple, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Cela complique grandement la navigation et rend plus difficile pour les utilisateurs de découvrir de nouvelles adresses et de revenir aux anciennes. Les propriétaires d'adresses eux-mêmes résolvaient auparavant le problème de manière organique d'une manière ou d'une autre, mais jusqu'à présent, il n'existait pas de solution universelle adaptée à tous les utilisateurs. Le projet Tor a abordé le problème sous un angle différent : pour cette version, il s'est associé à la Freedom of the Press Foundation (FPF) et à HTTPS Everywhere (Electronic Frontier Foundation) pour créer les premières adresses SecureDrop conceptuelles lisibles par l'homme (voir ci-dessous). ici). Exemples:
L'interception:
- http://theintercept.securedrop.tor.onion/
- http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/
Laboratoires Lucy Parsons :
La FPF a obtenu la participation d'un petit nombre d'organisations médiatiques à l'expérience, et le projet Tor et la FPF prendront conjointement les décisions futures concernant cette initiative sur la base des commentaires sur le concept.
Liste complète des modifications :
- Lanceur Tor mis à jour vers 0.2.21.8
- NoScript mis à jour vers la version 11.0.26
- Firefox mis à jour vers 68.9.0esr
- HTTPS-Everywhere mis à jour vers la version 2020.5.20
- Routeur Tor mis à jour vers la version 0.4.3.5
- goptlib mis à jour vers la v1.1.0
- Wasm désactivé en attendant un audit approprié
- Suppression des éléments de paramètres Torbutton obsolètes
- Suppression du code inutilisé dans torbutton.js
- Suppression de la synchronisation des paramètres d'isolation et d'empreinte digitale (fingerprinting_prefs) dans Torbutton
- Le module de port de contrôle a été amélioré pour être compatible avec l'autorisation d'oignon v3
- Paramètres par défaut déplacés vers le fichier 000-tor-browser.js
- torbutton_util.js déplacé vers modules/utils.js
- La possibilité d'activer le rendu des polices Graphite dans les paramètres de sécurité a été rétablie.
- Suppression du script exécutable de aboutTor.xhtml
- libevent mis à jour vers 2.1.11-stable
- Correction de la gestion des exceptions dans SessionStore.jsm
- Isolation propriétaire portée pour les adresses IPv6
- Services.search.addEngine n'ignore plus l'isolation FPI
- MOZ_SERVICES_HEALTHREPORT désactivé
- Corrections de bugs portées 1467970, 1590526 и 1511941
- Correction d'une erreur lors de la désinstallation du module complémentaire de recherche de déconnexion
- Исправлена ошибка 33726: IsPotentiallyTrustworthyOrigin pour .onion
- Correction du navigateur ne fonctionnant pas lors du déplacement vers un autre répertoire
- Comportement amélioré Letterboxing
- Déconnecter le moteur de recherche supprimé
- Prise en charge activée de l'ensemble de règles SecureDrop dans HTTPS-Everywhere
- Correction des tentatives de lecture de /etc/firefox
Source: linux.org.ru