Po dziesięciu miesiącach rozwoju znaczące wydanie dedykowanej przeglądarki , w którym kontynuowany jest rozwój funkcjonalności w oparciu o gałąź ESR . Przeglądarka koncentruje się na zapewnieniu anonimowości, bezpieczeństwa i prywatności, cały ruch jest przekierowywany wyłącznie przez sieć Tor. Niemożliwy jest bezpośredni dostęp poprzez standardowe połączenie sieciowe obecnego systemu, co nie pozwala na śledzenie prawdziwego adresu IP użytkownika (w przypadku zhakowania przeglądarki atakujący mogą uzyskać dostęp do parametrów sieciowych systemu, dlatego aby całkowicie zablokować ewentualne wycieki, należy użyć produkty takie jak ). Przeglądarka Tor się buduje dla systemów Linux, Windows, macOS i Android.
Zawiera dodatek zapewniający dodatkową ochronę , umożliwiając w miarę możliwości szyfrowanie ruchu we wszystkich witrynach. Dołączony dodatek zmniejsza ryzyko ataków JavaScript i domyślnie blokuje wtyczki . Do zwalczania blokowania i kontroli ruchu używają и .
Aby zorganizować szyfrowany kanał komunikacji w środowiskach blokujących jakikolwiek ruch inny niż HTTP, proponowane są alternatywne transporty, które pozwalają na przykład ominąć próby zablokowania Tora w Chinach. Aby chronić przed śledzeniem ruchu użytkowników i funkcjami specyficznymi dla odwiedzających, interfejsy API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices i screen.orientation są wyłączone lub ograniczone , a także wyłączono narzędzia do wysyłania telemetrii, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, „link rel=preconnect”, zmodyfikowano libmdns.
W nowym wydaniu:
- Panel został zreorganizowany i dostęp do wskaźnika poziomu ochrony, który znajduje się z menu Torbutton na panelu głównym. Przycisk Torbutton został przeniesiony na prawą stronę panelu. Domyślnie z panelu usunięte zostały wskaźniki dodatków HTTPS Everywhere i NoScript (można je przywrócić w interfejsie ustawień panelu).
Wskaźnik HTTPS Everywhere został usunięty, ponieważ nie dostarcza przydatnych informacji, a przekierowanie do HTTPS jest zawsze domyślnie stosowane. Wskaźnik NoScript został usunięty, ponieważ przeglądarka umożliwia przełączanie pomiędzy podstawowymi poziomami bezpieczeństwa, a przycisk NoScript często myli ostrzeżeniami, które pojawiają się w związku z ustawieniami przyjętymi w przeglądarce Tor. Przycisk NoScript zapewnia także dostęp do rozbudowanych ustawień, bez ich szczegółowego zrozumienia zmiana ustawień może prowadzić do problemów prywatności i niezgodności z poziomem bezpieczeństwa ustawionym w przeglądarce Tor. Kontrolę blokowania JavaScript dla określonych witryn można przeprowadzić poprzez sekcję dodatkowych uprawnień w menu kontekstowym paska adresu (przycisk „i”);
- Styl został dostosowany, a przeglądarka Tor jest kompatybilna z nowym wyglądem Firefoksa, przygotowanym w ramach projektu „„. Wygląd strony startowej „about:tor” został zmieniony i ujednolicony dla wszystkich platform;
- Wprowadzono nowe logo przeglądarki Tor.
- Zaktualizowane wersje komponentów przeglądarki:
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, OpenSSL 1.0.2r, Tor Launcher 0.2.18.3; - Zespoły są generowane z flagą „", używany w oficjalnych kompilacjach Mozilli.
- Przygotowano pierwszą stabilną wersję mobilnej wersji przeglądarki Tor Browser na platformę Android, która zbudowana jest na bazie kodu przeglądarki Firefox 60.7.0 dla Androida i umożliwia pracę wyłącznie poprzez sieć Tor, blokując wszelkie próby nawiązania połączenia bezpośredniego połączenie. Dołączone są dodatki HTTPS Everywhere i Tor Button. Pod względem funkcjonalności wersja na Androida wciąż pozostaje w tyle za wersją na komputery stacjonarne, ale zapewnia prawie taki sam poziom ochrony i prywatności.
wersja mobilna w Google Play, ale także w formie pakietu APK ze strony internetowej projektu. Publikacja w katalogu F-droid spodziewana jest w najbliższej przyszłości. Obsługuje pracę na urządzeniach z systemem Android 4.1 lub nowszą wersją platformy. Twórcy Tora zauważają, że nie zamierzają tworzyć wersji przeglądarki Tor na iOS ze względu na ograniczenia wprowadzone przez Apple i polecają przeglądarkę dostępną już na iOS , opracowany w ramach projektu .
Kluczowe różnice między przeglądarką Tor dla Androida i Firefoksem dla Androida:
- Kod blokujący do śledzenia ruchów. Każda witryna jest odizolowana od żądań krzyżowych, a wszystkie pliki cookie są automatycznie usuwane po zakończeniu sesji;
- Ochrona przed zakłóceniami ruchu i monitorowanie aktywności użytkowników. Wszelka interakcja ze światem zewnętrznym odbywa się wyłącznie za pośrednictwem sieci Tor i jeśli ruch między użytkownikiem a dostawcą zostanie przechwycony, osoba atakująca może jedynie zobaczyć, że użytkownik korzysta z Tora, ale nie może określić, które strony otwiera. Ochrona przed zakłóceniami jest szczególnie istotna w warunkach, w których niektórzy krajowi operatorzy komórkowi nie uważają za wstyd wkraść się w nieszyfrowany ruch HTTP użytkownika i ujawnić swoje widżety () lub banery reklamowe ( и );
- Ochrona przed identyfikacją cech charakterystycznych dla odwiedzających i śledzeniem użytkowników za pomocą metod identyfikacja („odcisk palca przeglądarki”). Wszyscy użytkownicy przeglądarki Tor wyglądają tak samo z zewnątrz i są nie do odróżnienia od siebie, gdy korzystają z zaawansowanych metod pośredniej identyfikacji.
Na przykład, oprócz przechowywania identyfikatora za pośrednictwem pliku cookie i interfejsu API lokalnego przechowywania danych, dostępna jest specyficzna dla użytkownika lista zainstalowanych , strefa czasowa, lista obsługiwanych typów MIME, opcje ekranu, lista dostępnych czcionek, podczas renderowania przy użyciu canvas i WebGL, parametry w nagłówkach и , sposób pracy z и ; - Zastosowanie szyfrowania wielopoziomowego. Oprócz ochrony HTTPS ruch użytkowników przechodzący przez Tora jest dodatkowo szyfrowany co najmniej trzykrotnie (stosowany jest wielowarstwowy schemat szyfrowania, w którym pakiety są owijane w szereg warstw przy użyciu szyfrowania kluczem publicznym, w którym każdy węzeł Tora na jego etap przetwarzania odsłania kolejną warstwę i zna tylko kolejny etap transmisji i tylko ostatni węzeł może określić adres docelowy);
- Możliwość dostępu do zasobów zablokowanych przez dostawcę lub do witryn cenzurowanych centralnie. Przez projektu Roskomsvoboda 97% stron blokowanych obecnie w Federacji Rosyjskiej jest blokowanych nielegalnie (znajdują się w tych samych podsieciach z zablokowanymi zasobami). Przykładowo, blokowanych jest nadal 358 tys. adresów IP Digital Ocean, 25 tys. adresów Amazon WS i 59 tys. adresów CloudFlare. W ramach nielegalnego blokowania, w tym wiele projektów open source, w tym bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com i midori-browser.org.
Źródło: opennet.ru