Powstała znacząca wersja specjalistycznej przeglądarki Tor Browser 13.0, w której dokonano przejścia na gałąź ESR przeglądarki Firefox 115. Przeglądarka nastawiona jest na zapewnienie anonimowości, bezpieczeństwa i prywatności, cały ruch jest przekierowywany wyłącznie przez sieć Tor. Niemożliwy jest bezpośredni kontakt poprzez standardowe połączenie sieciowe obecnego systemu, co nie pozwala na śledzenie prawdziwego adresu IP użytkownika (w przypadku zhakowania przeglądarki atakujący mogą uzyskać dostęp do parametrów sieciowych systemu, dlatego warto skorzystać z produktów takich jak Whonix) aby całkowicie zablokować ewentualne wycieki). Kompilacje przeglądarki Tor są przygotowane dla systemów Linux, Android, Windows i macOS.
Aby zapewnić dodatkowe bezpieczeństwo, przeglądarka Tor zawiera ustawienie „Tylko HTTPS”, które umożliwia szyfrowanie ruchu we wszystkich witrynach, jeśli to możliwe. Aby zmniejszyć ryzyko ataków JavaScript i domyślnie blokować wtyczki, dołączono dodatek NoScript. Do zwalczania blokowania i inspekcji ruchu wykorzystywane są fteproxy i obfs4proxy.
Aby zorganizować szyfrowany kanał komunikacji w środowiskach blokujących jakikolwiek ruch inny niż HTTP, proponowane są alternatywne transporty, które pozwalają na przykład ominąć próby zablokowania Tora w Chinach. Aby chronić przed śledzeniem ruchu użytkowników i funkcjami specyficznymi dla odwiedzających, interfejsy WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices i ekranowe interfejsy API są wyłączone lub ograniczone orientacja i wyłączone narzędzia do wysyłania telemetrii, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, „link rel=preconnect”, zmodyfikowana libmdns.
W nowej wersji:
- Dokonano przejścia na bazę kodu Firefox 115 ESR i stabilną gałąź Tor 0.4.8.7. Podczas przejścia na nową wersję Firefoksa przeprowadzono audyt zmian wprowadzonych od czasu pojawienia się gałęzi ESR Firefoksa 102 i wyłączono poprawki, które budziły wątpliwości z punktu widzenia bezpieczeństwa i prywatności. Między innymi zastąpiono kod konwersji string-to-double, wyłączono funkcję wymiany ostatnich linków, wyłączono API do zapisywania plików PDF, usunięto usługę i interfejs automatycznego ukrywania banerów potwierdzających Cookie, a interfejs rozpoznawania tekstu został usunięty.
- Zaktualizowano ikony i udoskonalono logo aplikacji, zachowując jednocześnie ogólną rozpoznawalność.
- Zaproponowano nową implementację strony głównej („about:tor”), wyróżniającą się dodaniem logo, uproszczonym wyglądem i pozostawieniem jedynie paska wyszukiwania i przełącznika „onionize” umożliwiającego dostęp do DuckDuckGo za pośrednictwem usługi cebulowej. Renderowanie strony głównej poprawiło obsługę czytników ekranu i funkcji ułatwień dostępu. Wyświetlanie paska zakładek jest włączone. Rozwiązano problem z „czerwonym ekranem śmierci”, który pojawiał się z powodu niepowodzenia podczas sprawdzania połączenia z siecią Tor.
Stało się:
To było:
- Rozmiar nowych okien został zwiększony i teraz domyślnie przyjmuje współczynnik proporcji, który jest wygodniejszy dla użytkowników ekranów panoramicznych. Aby zapobiec wyciekaniu informacji o rozmiarze ekranu i okna, przeglądarka Tor wykorzystuje mechanizm letterboxingu, który dodaje wyściółkę wokół zawartości stron internetowych. W poprzednich wersjach, w miarę zmiany rozmiaru okna, obszar aktywny zmieniał się w krokach co 200x100 pikseli, ale był ograniczony do maksymalnej rozdzielczości 1000x1000, co ze względu na niewystarczającą szerokość powodowało problemy w niektórych witrynach, które pokazywały poziomy pasek przewijania lub wyświetlały tablet wersja i urządzenia mobilne. Aby rozwiązać ten problem, zwiększono maksymalną rozdzielczość do 1400x900 i zmieniono logikę stopniowej zmiany rozmiaru.
- Dokonano przejścia na nowy schemat nazewnictwa pakietów odpowiadający wzorcowi „${ARTIFACT}-${OS}-${ARCH}-${VERSION}.${EXT}”. Na przykład kompilacja systemu macOS była wcześniej dostarczana jako „TorBrowser-12.5-macos_ALL.dmg”, a obecnie nosi nazwę „tor-browser-macos-13.0.dmg”.
- Po wybraniu „najbezpieczniejszego” trybu przeszukiwania w DuckDuckGo, dostęp do witryny odbywa się bez JavaScript.
- Lepsza ochrona przed wyciekami poprzez WebRTC.
- Włączono czyszczenie parametrów URL używanych do śledzenia ruchów (na przykład parametry mc_eid i fbclid używane podczas usuwania linków ze stron Facebooka).
- Usunięto ustawienie javascript.options.large_arraybuffers.
- Ustawienie przeglądarki.tabs.searchclipboardfor.middleclick jest wyłączone na platformie Linux.
Źródło: opennet.ru