Aktualizácia prehliadača Tor 9.5

Nová verzia prehliadača Tor je k dispozícii na stiahnutie z z oficiálnej stránky, adresár verzie a Google Play. Verzia F-Droid bude dostupná v najbližších dňoch.

Aktualizácia obsahuje vážne bezpečnostné opravy Firefox.

Hlavný dôraz je v novej verzii kladený na zlepšenie pohodlia a uľahčenie práce s cibuľovými službami.

Služby Tor onion sú jedným z najpopulárnejších a najjednoduchších spôsobov, ako vytvoriť šifrované koncové pripojenie. S ich pomocou je správca schopný poskytnúť anonymný prístup k zdrojom a skryť metadáta pred vonkajším pozorovateľom. Okrem toho vám takéto služby umožňujú prekonať cenzúru a zároveň chrániť súkromie používateľov.

Teraz, pri prvom spustení Tor Browser, budú mať používatelia možnosť zvoliť si použitie predvolenej cibuľovej adresy, ak vzdialený zdroj takúto adresu poskytuje. Predtým niektoré zdroje pri zistení Tor automaticky presmerovali používateľov na cibuľovú adresu, pre ktorú bola použitá technológia alt-svc. A hoci je používanie takýchto metód aktuálne aj dnes, nový systém výberu preferencií umožní používateľom byť informovaní o dostupnosti cibuľovej adresy.

Lokátor cibule

Majitelia internetových zdrojov majú možnosť informovať o dostupnosti cibuľovej adresy pomocou špeciálnej HTTP hlavičky. Keď používateľ s povoleným Onion Locatorom prvýkrát navštívi zdroj s týmto názvom a .onion je k dispozícii, používateľ dostane upozornenie, ktoré mu umožní uprednostniť .onion (pozri fotografiu).

Autorizácia Cibuľa

Správcovia cibuľových služieb, ktorí chcú zvýšiť bezpečnosť a dôvernosť svojej adresy, môžu na nej povoliť autorizáciu. Používatelia Tor Browser teraz dostanú upozornenie so žiadosťou o kľúč, keď sa pokúsia pripojiť k takýmto službám. Používatelia môžu ukladať a spravovať zadané kľúče na karte about:preferences#privacy v časti Overenie služieb cibule (pozri. príklad oznámenia)

Vylepšený systém bezpečnostných upozornení v paneli s adresou

Prehliadače tradične označujú pripojenia TLS zelenou ikonou zámku. A od polovice roku 2019 sa zámok v prehliadači Firefox stal sivým, aby lepšie upriamil pozornosť používateľov nie na predvolené zabezpečené pripojenie, ale na bezpečnostné problémy (viac podrobností tu). Tor Browser v novej verzii nasleduje príklad Mozilly, vďaka čomu teraz používatelia oveľa ľahšie pochopia, že cibuľové pripojenie nie je bezpečné (pri sťahovaní zmiešaného obsahu z „bežnej“ siete alebo iné problémy, napr. príklad tu)

Samostatné stránky s chybami sťahovania pre adresy cibule

Z času na čas sa používatelia stretávajú s problémami s pripojením na cibuľové adresy. Ak sa v predchádzajúcich verziách Tor Browser vyskytli problémy s pripojením k .onion, používateľom sa zobrazilo štandardné chybové hlásenie Firefoxu, ktoré žiadnym spôsobom nevysvetľovalo dôvod nedostupnosti adresy cibule. Nová verzia pridáva informatívne upozornenia o chybách na strane užívateľa, servera a samotnej siete. Tor Browser teraz zobrazuje jednoduché graf spojenie, pomocou ktorého možno posúdiť príčinu problémov s pripojením.

Názvy pre cibuľu

Z dôvodu kryptografickej ochrany cibuľových služieb sú cibuľové adresy ťažko zapamätateľné (porovnaj napr. https://torproject.org и http://expyuzz4wqqyqhjn.onion/). To značne komplikuje navigáciu a používateľom sťažuje objavovanie nových adries a návrat k starým. Samotní majitelia adries predtým organicky riešili problém tak či onak, ale doteraz neexistovalo žiadne univerzálne riešenie vhodné pre všetkých používateľov. Projekt Tor pristúpil k problému z iného uhla: pre toto vydanie sa spojil s Freedom of the Press Foundation (FPF) a HTTPS Everywhere (Electronic Frontier Foundation), aby vytvorili prvé koncepčné, ľudsky čitateľné adresy SecureDrop (pozri nižšie). tu). Príklady:

Zachytenie:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Lucy Parsons Labs:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF zabezpečila účasť malého počtu mediálnych organizácií v experimente a Tor Project spolu s FPF budú spoločne robiť budúce rozhodnutia o tejto iniciatíve na základe spätnej väzby na koncept.

Úplný zoznam zmien:

• Aktualizovaný Tor Launcher na 0.2.21.8
• NoScript aktualizovaný na verziu 11.0.26
• Firefox bol aktualizovaný na 68.9.0esr
• HTTPS-Everywhere aktualizovaný na verziu 2020.5.20
• Aktualizovaný smerovač Tor na verziu 0.4.3.5
• goptlib aktualizovaný na verziu 1.1.0
• Wasm zakázaný až do riadneho auditu
• Odstránili sa zastarané položky nastavení Torbutton
• Bol odstránený nepoužitý kód v torbutton.js
• Odstránená synchronizácia nastavení izolácie a odtlačkov prstov (fingerprinting_prefs) v Torbutton
• Modul riadiaceho portu bol vylepšený tak, aby bol kompatibilný s autorizáciou cibule v3
• Predvolené nastavenia boli presunuté do súboru 000-tor-browser.js
• torbutton_util.js sa presunul do modules/utils.js
• Bola vrátená možnosť povoliť vykresľovanie grafitových fontov v nastaveniach zabezpečenia.
• Z aboutTor.xhtml bol odstránený spustiteľný skript
• libevent aktualizovaný na 2.1.11-stable
• Opravené spracovanie výnimiek v SessionStore.jsm
• Prenesená izolácia prvej strany pre adresy IPv6
• Services.search.addEngine už neignoruje izoláciu FPI
• MOZ_SERVICES_HEALTHREPORT je zakázaný
• Opravy chýb boli prenesené 1467970, 1590526 и 1511941
• Opravená chyba pri odinštalovaní doplnku na vyhľadávanie odpojenia
• Opravená chyba 33726: IsPotentiallyTrustworthyOrigin for .cibuľa
• Opravený nefunkčný prehliadač pri presune do iného adresára
• Vylepšené správanie letterboxing
• Odpojiť vyhľadávací nástroj bol odstránený
• Povolená podpora pre sadu pravidiel SecureDrop v HTTPS-Everywhere
• Opravené pokusy o čítanie /etc/firefox

Zdroj: linux.org.ru