Une version importante du navigateur spécialisé Tor Browser 12.0 a été créée, dans laquelle la transition vers la branche ESR de Firefox 102. Le navigateur se concentre sur la garantie de l'anonymat, de la sécurité et de la confidentialité, tout le trafic est redirigé uniquement via le réseau Tor. Il est impossible de contacter directement via la connexion réseau standard du système actuel, ce qui ne permet pas de suivre la véritable adresse IP de l'utilisateur (si le navigateur est piraté, les attaquants peuvent accéder aux paramètres réseau du système, c'est pourquoi des produits tels que Whonix doivent être utilisés pour bloquer complètement d'éventuelles fuites). Les versions du navigateur Tor sont préparées pour Linux, Windows et macOS. Le développement d'une nouvelle version pour Android est retardé.
Pour fournir une sécurité supplémentaire, Tor Browser inclut le module complémentaire HTTPS Everywhere, qui vous permet d'utiliser le cryptage du trafic sur tous les sites lorsque cela est possible. Pour réduire la menace d'attaques JavaScript et bloquer les plugins par défaut, le module complémentaire NoScript est inclus. Pour lutter contre le blocage et l'inspection du trafic, fteproxy et obfs4proxy sont utilisés.
Pour organiser un canal de communication crypté dans des environnements bloquant tout trafic autre que HTTP, des transports alternatifs sont proposés, qui permettent par exemple de contourner les tentatives de blocage de Tor en Chine. Pour protéger contre le suivi des utilisateurs et les fonctionnalités spécifiques aux visiteurs, les API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices et d'écran sont désactivées ou limitées. orientation et outils d'envoi de télémétrie désactivés, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, «link rel=preconnect», libmdns modifiés.
Dans la nouvelle version:
- Осуществлён переход на кодовую базу Firefox 102 ESR и стабильную ветку tor 0.4.7.12.
- Предоставлены многоязычные сборки — ранее для каждого языка было необходимо загружать отдельную сборку, а теперь предоставляется универсальная сборка, позволяющая переключать языки на лету. Для новых установок в Tor Browser 12.0 будет автоматически выбран язык, соответствующий выставленной в системе локали (язык может быть изменён в процессе работы), а при переходе с ветки 11.5.x будут сохранён ранее используемый в Tor Browser язык. Многоязычная сборка занимает около 105 МБ.
- В версии для платформы Android по умолчанию включён режим HTTPS-Only при котором все запросы, выполняемые без шифрования, автоматически перенаправляются на защищённые варианты страниц («http://» заменяется на «https://»). В сборках для настольных систем подобный режим был включён в прошлой значительной версии.
- В версии для платформы Android в секцию «Privacy and Security» добавлена настройка «Prioritize .onion sites», обеспечивающая автоматический проброс на onion-сайты при попытке открытия web-сайтов, выдающих HTTP-заголовок «Onion-Location», указывающий на наличие варианта сайта в сети Tor.
- Добавлены переводы интерфейса на албанский и украинский языки.
- Переработан компонент tor-launcher, обеспечивающий запуск Tor для Tor Browser.
- Улучшена реализация механизма letterboxing, добавляющего отступы вокруг содержимого веб-страниц для блокирования идентификации по размеру окна. Предоставлена возможность отключения letterboxing для заслуживающих доверия страниц, реализовано удаление однопиксельных рамок вокруг полноэкранных видео, устранены потенциальные утечки информации.
- После проведения аудита включена поддержка HTTP/2 Push.
- Предотвращены утечки данных о локали через API Intl, системных цветах через CSS4 и заблокированных портах (network.security.ports.banned).
- Отключён API Presentation и Web MIDI.
- Подготовлены родные сборки для устройств Apple с чипами Apple Silicon.
Source: opennet.ru