Po dešimties mėnesių vystymosi reikšmingas specialios naršyklės leidimas , kuriame tęsiamas funkcionalumo, paremto ESR atšaka, plėtra . Naršyklė orientuota į anonimiškumo, saugumo ir privatumo užtikrinimą, visas srautas nukreipiamas tik per Tor tinklą. Neįmanoma tiesiogiai susisiekti per standartinį dabartinės sistemos tinklo ryšį, kuris neleidžia sekti tikrojo vartotojo IP (jei naršyklė yra įsilaužta, užpuolikai gali gauti prieigą prie sistemos tinklo parametrų, todėl norint visiškai užblokuoti galimus nutekėjimus turėtumėte naudoti produktai, tokie kaip ). Kuriama „Tor“ naršyklė „Linux“, „Windows“, „MacOS“ ir „Android“.
Sudėtyje yra priedas papildomai apsaugai , leidžiantį naudoti srauto šifravimą visose svetainėse, kur įmanoma. Įtrauktas priedas, skirtas sumažinti „JavaScript“ atakų grėsmę ir blokuoti papildinius pagal numatytuosius nustatymus . Norėdami kovoti su blokavimu ir eismo tikrinimu, jie naudoja и .
Norint organizuoti šifruotą ryšio kanalą aplinkoje, kuri blokuoja bet kokį kitą srautą nei HTTP, siūlomi alternatyvūs pernešimai, kurie, pavyzdžiui, leidžia apeiti bandymus blokuoti Tor Kinijoje. Siekiant apsaugoti nuo naudotojų judėjimo stebėjimo ir specifinių lankytojų funkcijų, WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices ir screen.orientation API yra išjungtos arba apribotos. . ir taip pat išjungti telemetrijos siuntimo įrankiai, „Pocket“, „Reader View“, „HTTP alternatyvios paslaugos“, „MozTCPSocket“, „link rel=preconnect“, modifikuoti libmdns.
Naujame leidime:
- Kolegija buvo reorganizuota ir prieiga prie apsaugos lygio indikatoriaus, kuris yra pagrindiniame skydelyje Torbutton meniu. Mygtukas Torbutton buvo perkeltas į dešinę skydelio pusę. Pagal numatytuosius nustatymus HTTPS Everywhere ir NoScript priedų indikatoriai buvo pašalinti iš skydelio (gali būti grąžinti skydelio nustatymų sąsajoje).
HTTPS visur indikatorius buvo pašalintas, nes jis nepateikia naudingos informacijos, o peradresavimas į HTTPS visada taikomas pagal numatytuosius nustatymus. „NoScript“ indikatorius buvo pašalintas, nes naršyklė leidžia perjungti pagrindinius saugos lygius, o „NoScript“ mygtukas dažnai klaidina įspėjimais, atsirandančiais dėl „Tor“ naršyklėje priimtų nustatymų. Mygtukas „NoScript“ taip pat suteikia prieigą prie plačių nustatymų, kurių detaliai nesuvokus, pakeitus nustatymus gali kilti privatumo problemų ir neatitikimas „Tor“ naršyklėje nustatytam saugos lygiui. „JavaScript“ blokavimo valdymas konkrečioms svetainėms gali būti atliekamas per papildomų leidimų skyrių adreso juostos kontekstiniame meniu (mygtukas „i“);
- Stilius buvo pakoreguotas ir „Tor“ naršyklė suderinama su naujuoju „Firefox“ dizainu, parengtu kaip projekto „“. Pradinio puslapio „about:tor“ dizainas pakeistas ir suvienodintas visoms platformoms;
- Pristatyti nauji „Tor“ naršyklės logotipai.
- Atnaujintos naršyklės komponentų versijos:
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, OpenSSL 1.0.2r, Tor Launcher 0.2.18.3; - Surinkimai generuojami su vėliava "“, naudojamas oficialioms „Mozilla“ versijoms.
- Parengta pirmoji stabili „Tor Browser“ mobiliosios versijos „Android“ platformai versija, kuri yra sukurta „Firefox 60.7.0 for Android“ kodų pagrindu ir leidžia dirbti tik per „Tor“ tinklą, blokuojant bet kokius bandymus sukurti tiesioginį tinklą. ryšį. Įtraukti HTTPS visur ir „Tor Button“ priedai. Kalbant apie funkcionalumą, „Android“ versija vis dar atsilieka nuo darbalaukio versijos, tačiau užtikrina beveik tokį patį apsaugos ir privatumo lygį.
mobili portalo versija „Google Play“, bet ir APK paketo pavidalu iš projekto svetainės. Netolimoje ateityje tikimasi publikacijos F-droid kataloge. Palaiko darbą įrenginiuose su Android 4.1 ar naujesne platformos versija. „Tor“ kūrėjai pažymi, kad jie neketina kurti „Tor Browser“ versijos „iOS“ dėl „Apple“ įvestų apribojimų ir rekomenduoja „iOS“ jau prieinamą naršyklę. , sukurta pagal projektą .
Pagrindiniai skirtumai tarp „Tor Browser“, skirta „Android“ ir „Firefox“, skirta „Android“:
- Blokavimo kodas judesiams sekti. Kiekviena svetainė yra atskirta nuo kryžminių užklausų, o visi slapukai automatiškai ištrinami pasibaigus seansui;
- Apsauga nuo eismo trukdžių ir vartotojo veiklos stebėjimas. Visa sąveika su išoriniu pasauliu vyksta tik per „Tor“ tinklą, o jei srautas tarp vartotojo ir teikėjo yra perimtas, užpuolikas gali matyti tik tai, kad vartotojas naudoja „Tor“, bet negali nustatyti, kurias svetaines vartotojas atidaro. Apsauga nuo trukdžių ypač aktuali tokiomis sąlygomis, kai kai kurie vietiniai mobiliojo ryšio operatoriai nemano, kad gėdinga įsijungti į nešifruotą vartotojo HTTP srautą ir atskleisti savo valdiklius () arba reklaminius banerius ( и );
- Apsauga nuo specifinių lankytojų funkcijų identifikavimo ir vartotojų sekimo naudojant metodus identifikavimas („naršyklės pirštų atspaudai“). Visi „Tor Browser“ naudotojai iš išorės atrodo vienodai ir, naudojant pažangius netiesioginio identifikavimo metodus, nesiskiria vienas nuo kito.
Pavyzdžiui, be identifikatoriaus saugojimo per slapukus ir vietinės duomenų saugojimo API, konkretaus vartotojo įdiegtų , laiko juosta, palaikomų MIME tipų sąrašas, ekrano parinktys, galimų šriftų sąrašas, atvaizduojant naudojant drobę ir WebGL, parametrai antraštėse и , darbo su и ; - Kelių lygių šifravimo taikymas. Be HTTPS apsaugos, vartotojų srautas, praeinantis per Tor, papildomai šifruojamas mažiausiai tris kartus (naudojama kelių sluoksnių šifravimo schema, kurioje paketai suvyniojami į sluoksnių seriją naudojant viešojo rakto šifravimą, kuriame kiekvienas Tor mazgas jo apdorojimo etapas atskleidžia kitą sluoksnį ir žino tik kitą perdavimo etapą, o tik paskutinis mazgas gali nustatyti paskirties adresą);
- Galimybė pasiekti išteklius, kuriuos užblokavo teikėjas, arba centralizuotai cenzūruojamas svetaines. Autorius „Roskomsvoboda“ projekto atveju 97% šiuo metu Rusijos Federacijoje užblokuotų svetainių yra užblokuotos neteisėtai (jos yra tuose pačiuose potinkliuose su užblokuotais ištekliais). Pavyzdžiui, 358 tūkstančiai „Digital Ocean“ IP adresų, 25 tūkstančiai „Amazon WS“ adresų ir 59 tūkstančiai „CloudFlare“ adresų vis dar yra užblokuoti. Pagal neteisėtą blokavimą, įskaitant daug atvirojo kodo projektų, įskaitant bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com ir midori-browser.org.
Šaltinis: opennet.ru