Tor pārlūkprogrammas atjauninājums 9.5

Jauna Tor Browser versija ir pieejama lejupielādei no no oficiālās vietnes, versiju direktoriju un Google Play. F-Droid versija būs pieejama tuvākajās dienās.

Atjauninājums ietver nopietnu drošības labojumi Firefox.

Jaunajā versijā galvenais uzsvars likts uz ērtību uzlabošanu un atvieglošanu darbā ar sīpolu servisiem.

Tor onion pakalpojumi ir viens no populārākajiem un vienkāršākajiem veidiem, kā izveidot šifrētu gala savienojumu. Ar viņu palīdzību administrators var nodrošināt anonīmu piekļuvi resursiem un slēpt metadatus no ārēja novērotāja. Turklāt šādi pakalpojumi ļauj pārvarēt cenzūru, vienlaikus aizsargājot lietotāju privātumu.

Tagad, pirmo reizi palaižot Tor Browser, lietotājiem būs iespēja izvēlēties izmantot noklusējuma sīpolu adresi, ja attālais resurss nodrošina šādu adresi. Iepriekš daži resursi automātiski novirzīja lietotājus uz sīpola adresi, kad tika atklāts Tor, kuram tika izmantota tehnoloģija alt-svc. Un, lai gan šādu metožu izmantošana ir aktuāla arī šodien, jaunā preferenču atlases sistēma ļaus lietotājiem saņemt paziņojumus par sīpola adreses pieejamību.

Sīpolu meklētājs

Interneta resursu īpašniekiem ir iespēja paziņot par sīpola adreses pieejamību, izmantojot īpašu HTTP galveni. Pirmo reizi, kad lietotājs ar iespējotu sīpolu meklētāju apmeklē resursu ar šo nosaukumu un ir pieejams .sīpols, lietotājs saņems paziņojumu, kas ļaus dot priekšroku .sīpolam (skatiet fotoattēlu).

Autorizācijas sīpols

Sīpolu pakalpojumu administratori, kuri vēlas palielināt savas adreses drošību un konfidencialitāti, var tajā iespējot autorizāciju. Mēģinot izveidot savienojumu ar šādiem pakalpojumiem, Tor Browser lietotāji tagad saņems paziņojumu, kurā tiek prasīta atslēga. Lietotāji var saglabāt un pārvaldīt ievadītās atslēgas cilnē about:preferences#privacy sadaļā Sīpolu pakalpojumu autentifikācija (sk. paziņojuma piemērs)

Uzlabota drošības paziņojumu sistēma adreses joslā

Tradicionāli pārlūkprogrammas TLS savienojumus atzīmē ar zaļu piekaramās slēdzenes ikonu. Kopš 2019. gada vidus bloķēšana pārlūkprogrammā Firefox ir kļuvusi pelēka, lai labāk pievērstu lietotāju uzmanību nevis noklusējuma drošajam savienojumam, bet gan drošības problēmām (sīkāka informācija šeit). Tor Browser jaunajā versijā seko Mozilla piemēram, kā rezultātā lietotājiem tagad būs daudz vieglāk saprast, ka sīpolu savienojums nav drošs (lejupielādējot jauktu saturu no “parastā” tīkla vai citas problēmas, piemērs šeit)

Atsevišķas lejupielādes kļūdu lapas sīpolu adresēm

Laiku pa laikam lietotāji saskaras ar problēmām, veidojot savienojumu ar sīpolu adresēm. Iepriekšējās Tor Browser versijās, ja radās problēmas ar savienojumu ar .onion, lietotāji redzēja standarta Firefox kļūdas ziņojumu, kas nekādā veidā nepaskaidroja sīpolu adreses nepieejamības iemeslu. Jaunajā versijā ir pievienoti informatīvi paziņojumi par kļūdām lietotāja pusē, servera pusē un pašā tīklā. Tor pārlūks tagad parāda vienkāršu diagramma savienojumu, ko var izmantot, lai spriestu par savienojuma problēmu cēloni.

Sīpolu nosaukumi

Sīpolu pakalpojumu kriptogrāfiskās aizsardzības dēļ sīpolu adreses ir grūti atcerēties (salīdzināt, piemēram, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Tas ievērojami sarežģī navigāciju un lietotājiem apgrūtina jaunu adrešu atrašanu un atgriešanos pie vecajām. Paši adrešu īpašnieki iepriekš problēmu tā vai citādi organiski atrisināja, taču līdz šim nebija universāla, visiem lietotājiem piemērota risinājuma. Tor projekts pievērsās problēmai no cita leņķa: šajā laidienā tas sadarbojās ar Preses brīvības fondu (FPF) un HTTPS Everywhere (Electronic Frontier Foundation), lai izveidotu pirmās konceptuālās cilvēkiem lasāmās SecureDrop adreses (skatiet tālāk). šeit). Piemēri:

Pārtveršana:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Lucy Parsons Labs:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF ir nodrošinājis neliela skaita mediju organizāciju dalību eksperimentā, un Tor Project kopā ar FPF kopīgi pieņems turpmākos lēmumus par šo iniciatīvu, pamatojoties uz atsauksmēm par koncepciju.

Pilns izmaiņu saraksts:

• Atjaunināts Tor palaidējs uz 0.2.21.8
• NoScript atjaunināts uz versiju 11.0.26
• Firefox atjaunināts uz 68.9.0esr
• HTTPS — visur ir atjaunināts uz versiju 2020.5.20
• Atjaunināts Tor maršrutētājs uz versiju 0.4.3.5
• goptlib atjaunināts uz v1.1.0
• Was tika atspējots, gaidot pareizu auditu
• Novecojuši Torbutton iestatījumu vienumi ir noņemti
• Noņemts neizmantotais kods failā torbutton.js
• Torbutton ir noņemta izolācijas un pirkstu nospiedumu iestatījumu (fingerprinting_prefs) sinhronizācija
• Vadības porta modulis ir uzlabots, lai tas būtu savietojams ar v3 sīpolu autorizāciju
• Noklusējuma iestatījumi ir pārvietoti uz failu 000-tor-browser.js
• torbutton_util.js pārvietots uz modules/utils.js
• Ir atgriezta iespēja drošības iestatījumos iespējot Graphite fontu renderēšanu.
• No faila aboutTor.xhtml ir noņemts izpildāmais skripts
• libevent atjaunināts uz 2.1.11-stable
• Fiksēta izņēmumu apstrāde pakalpojumā SessionStore.jsm
• Portēta pirmās puses izolācija IPv6 adresēm
• Services.search.addEngine vairs neņem vērā FPI izolāciju
• MOZ_SERVICES_HEALTHREPORT ir atspējots
• Pārnesti kļūdu labojumi 1467970, 1590526 и 1511941
• Novērsta kļūda, atinstalējot atvienošanas meklēšanas papildinājumu
• Izlabota kļūda 33726: IspotenciāliTrustworthyOrigin .sīpolam
• Izlabota pārlūkprogramma, kas nedarbojas, pārvietojot to uz citu direktoriju
• Uzlabota uzvedība pastkastītes
• Atvienot meklētājprogrammu ir noņemta
• Iespējots SecureDrop kārtulu kopas atbalsts pakalpojumā HTTPS-Everywhere
• Fiksēti mēģinājumi lasīt /etc/firefox

Avots: linux.org.ru