Op de Tor-ontwikkelaarsbijeenkomst die tegenwoordig in Stockholm plaatsvindt, een aparte sectie
Het belangrijkste idee voor integratie met Firefox is om Tor te gebruiken wanneer u in de privémodus werkt of om een extra superprivémodus te creëren met Tor. Omdat het integreren van Tor-ondersteuning in de Firefox-kern veel werk vergt, hebben we besloten om te beginnen met het ontwikkelen van een externe add-on. De add-on wordt geleverd via de map addons.mozilla.org en bevat een knop om de Tor-modus in te schakelen. Door het in add-on-vorm te leveren, krijg je een algemeen concept van hoe native Tor-ondersteuning eruit zou kunnen zien.
Het is de bedoeling dat de code voor het werken met het Tor-netwerk niet wordt herschreven in JavaScript, maar wordt gecompileerd vanuit C naar een WebAssambly-representatie, waardoor alle noodzakelijke bewezen Tor-componenten in de add-on kunnen worden opgenomen zonder gebonden te zijn aan externe uitvoerbare bestanden en bibliotheken.
Het doorsturen naar Tor wordt georganiseerd door de proxy-instellingen te wijzigen en uw eigen handler als proxy te gebruiken. Bij het overschakelen naar de Tor-modus zal de add-on ook enkele beveiligingsgerelateerde instellingen wijzigen. In het bijzonder zullen instellingen vergelijkbaar met Tor Browser worden toegepast, gericht op het blokkeren van mogelijke proxy-bypass-paden en het weerstaan van identificatie van het systeem van de gebruiker.
Om de add-on te laten werken, zijn er echter uitgebreide rechten nodig die verder gaan dan de gebruikelijke op WebExtension API gebaseerde add-ons en die inherent zijn aan systeem-add-ons (de add-on zal bijvoorbeeld rechtstreeks XPCOM-functies aanroepen). Dergelijke geprivilegieerde add-ons moeten digitaal worden ondertekend door Mozilla, maar aangezien wordt voorgesteld dat de add-on samen met Mozilla wordt ontwikkeld en namens Mozilla wordt geleverd, zou het verkrijgen van extra privileges geen probleem moeten zijn.
De Tor-modusinterface staat nog ter discussie. Er wordt bijvoorbeeld gesuggereerd dat wanneer u op de Tor-knop klikt, er een nieuw venster wordt geopend met een afzonderlijk profiel. De Tor-modus stelt ook voor om HTTP-verzoeken volledig uit te schakelen, omdat de inhoud van niet-versleuteld verkeer kan worden onderschept en gewijzigd bij het verlaten van Tor-knooppunten. Bescherming tegen vervanging van wijzigingen in HTTP-verkeer door het gebruik van NoScript wordt als onvoldoende beschouwd, dus het is gemakkelijker om de Tor-modus te beperken tot alleen verzoeken via HTTPS.
Bron: opennet.ru