Aktualizacja przeglądarki Tor 9.5

Nowa wersja przeglądarki Tor jest dostępna do pobrania ze strony z oficjalnej strony, katalog wersji i Google Play. Wersja F-Droid będzie dostępna w nadchodzących dniach.

Aktualizacja zawiera poważne poprawki bezpieczeństwa Firefox.

Główny nacisk w nowej wersji położono na poprawę wygody i ułatwienie pracy z usługami cebulowymi.

Usługi cebulowe Tor to jeden z najpopularniejszych i najłatwiejszych sposobów nawiązania szyfrowanego połączenia końcowego. Za ich pomocą administrator jest w stanie zapewnić anonimowy dostęp do zasobów i ukryć metadane przed zewnętrznym obserwatorem. Ponadto takie usługi pozwalają pokonać cenzurę, chroniąc jednocześnie prywatność użytkowników.

Teraz, uruchamiając przeglądarkę Tor po raz pierwszy, użytkownicy będą mieli możliwość wyboru domyślnego adresu cebuli, jeśli zdalny zasób udostępnia taki adres. Wcześniej niektóre zasoby automatycznie przekierowywały użytkowników na adres cebuli po wykryciu Tora, do którego wykorzystano technologię alt-svc. I choć stosowanie takich metod jest nadal aktualne, nowy system wyboru preferencji umożliwi powiadamianie użytkowników o dostępności adresu cebulowego.

Lokalizator cebuli

Właściciele zasobów Internetu mają możliwość powiadomienia o dostępności adresu cebulowego za pomocą specjalnego nagłówka HTTP. Gdy użytkownik z włączonym lokalizatorem cebul po raz pierwszy odwiedzi zasób o tym tytule, a .onion jest dostępny, użytkownik otrzyma powiadomienie umożliwiające mu preferowanie .onion (patrz zdjęcie).

Cebula autoryzacyjna

Administratorzy serwisów cebulowych chcący zwiększyć bezpieczeństwo i poufność swojego adresu, mogą włączyć na nim autoryzację. Użytkownicy przeglądarki Tor będą teraz otrzymywać powiadomienie z prośbą o klucz, gdy będą próbowali połączyć się z takimi usługami. Użytkownicy mogą zapisywać i zarządzać wprowadzonymi kluczami w zakładce about:preferences#privacy w sekcji Uwierzytelnianie usług Onion (patrz. przykładowe powiadomienie)

Ulepszony system powiadamiania o bezpieczeństwie w pasku adresu

Tradycyjnie przeglądarki oznaczają połączenia TLS zieloną ikoną kłódki. A od połowy 2019 roku kłódka w przeglądarce Firefox stała się szara, aby lepiej zwracać uwagę użytkowników nie na domyślne bezpieczne połączenie, ale na problemy bezpieczeństwa (więcej szczegółów tutaj). Przeglądarka Tor w nowej wersji wzoruje się na Mozilli, dzięki czemu użytkownicy będą teraz znacznie łatwiej zrozumieć, że połączenie cebulowe nie jest bezpieczne (przy pobieraniu mieszanej zawartości ze „zwykłej” sieci lub innych problemach, np. przykład tutaj)

Oddzielne strony błędów pobierania dla adresów cebuli

Od czasu do czasu użytkownicy napotykają problemy z połączeniem się z adresami cebulowymi. W poprzednich wersjach przeglądarki Tor, jeśli występowały problemy z połączeniem się z .onion, użytkownicy widzieli standardowy komunikat o błędzie Firefoksa, który w żaden sposób nie wyjaśniał przyczyny niedostępności adresu cebuli. Nowa wersja dodaje powiadomienia informacyjne o błędach po stronie użytkownika, serwera i samej sieci. Przeglądarka Tor wyświetla teraz prosty plik diagram połączenia, które można wykorzystać do oceny przyczyny problemów z połączeniem.

Imiona dla cebuli

Ze względu na kryptograficzne zabezpieczenie serwisów cebulowych, adresy cebulowe są trudne do zapamiętania (porównaj np. https://torproject.org и http://expyuzz4wqqyqhjn.onion/). To znacznie komplikuje nawigację i utrudnia użytkownikom odkrywanie nowych adresów i powrót do starych. Właściciele adresów sami wcześniej rozwiązywali problem w taki czy inny sposób organicznie, ale do tej pory nie było uniwersalnego rozwiązania odpowiedniego dla wszystkich użytkowników. Projekt Tor podszedł do problemu z innej perspektywy: w tym wydaniu nawiązał współpracę z Freedom of the Press Foundation (FPF) i HTTPS Everywhere (Electronic Frontier Foundation), aby stworzyć pierwsze koncepcyjne, czytelne dla człowieka adresy SecureDrop (patrz poniżej). tutaj). Przykłady:

Przecięcie:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Laboratoria Lucy Parsons:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF zabezpieczyło udział niewielkiej liczby organizacji medialnych w eksperymencie, a Projekt Tor wraz z FPF wspólnie podejmą przyszłe decyzje w sprawie tej inicjatywy w oparciu o opinie na temat koncepcji.

Pełna lista zmian:

• Zaktualizowano program uruchamiający Tor do wersji 0.2.21.8
• NoScript zaktualizowany do wersji 11.0.26
• Firefox zaktualizowany do wersji 68.9.0esr
• HTTPS-Everywhere zaktualizowano do wersji 2020.5.20
• Zaktualizowano router Tor do wersji 0.4.3.5
• goptlib zaktualizowany do wersji 1.1.0
• Wasm wyłączony do czasu odpowiedniego audytu
• Usunięto nieaktualne elementy ustawień Torbutton
• Usunięto nieużywany kod w torbutton.js
• Usunięto synchronizację ustawień izolacji i odcisków palców (fingerprinting_prefs) w Torbutton
• Moduł portu kontrolnego został ulepszony, aby był kompatybilny z autoryzacją cebulową v3
• Ustawienia domyślne przeniesiono do pliku 000-tor-browser.js
• torbutton_util.js przeniesiono do modułów/utils.js
• Przywrócono możliwość włączenia renderowania czcionek Graphite w ustawieniach zabezpieczeń.
• Usunięto skrypt wykonywalny z aboutTor.xhtml
• libevent zaktualizowano do wersji stabilnej 2.1.11
• Naprawiono obsługę wyjątków w SessionStore.jsm
• Przeniesiona izolacja pierwszej strony dla adresów IPv6
• Services.search.addEngine nie ignoruje już izolacji FPI
• MOZ_SERVICES_HEALTHREPORT wyłączone
• Przeniesiono poprawki błędów 1467970, 1590526 и 1511941
• Naprawiono błąd podczas odinstalowywania dodatku wyszukiwania rozłączeń
• Naprawiony błąd 33726: IsPotentiallyTrustworthyOrigin dla .onion
• Naprawiono niedziałającą przeglądarkę po przeniesieniu jej do innego katalogu
• Ulepszone zachowanie wypełnianie literami
• Odłącz wyszukiwarkę usunięto
• Włączono obsługę zestawu reguł SecureDrop w HTTPS-Everywhere
• Naprawiono próby odczytu pliku /etc/firefox

Źródło: linux.org.ru