Tor Browser Update 9.5

En ny version av Tor Browser finns tillgänglig för nedladdning från från den officiella platsen, versionskatalog och Google Play. F-Droid-versionen kommer att finnas tillgänglig under de kommande dagarna.

Uppdateringen innehåller allvarliga säkerhetsfixar Firefox.

Huvudvikten i den nya versionen ligger på att förbättra bekvämligheten och göra det lättare att arbeta med löktjänster.

Tor onion-tjänster är ett av de mest populära och enklaste sätten att upprätta en krypterad slutanslutning. Med deras hjälp kan administratören ge anonym åtkomst till resurser och dölja metadata från en utomstående observatör. Dessutom tillåter sådana tjänster dig att övervinna censur samtidigt som du skyddar användarnas integritet.

Nu, när Tor Browser startar för första gången, kommer användare att ha möjlighet att välja att använda standardlökadressen om fjärrresursen tillhandahåller en sådan adress. Tidigare omdirigerade vissa resurser automatiskt användare till lökadressen när Tor upptäcktes, för vilken teknik användes alt-svc. Och även om användningen av sådana metoder fortfarande är relevant idag, kommer det nya preferensvalssystemet att tillåta användare att meddelas om tillgängligheten av en lökadress.

Löksökare

Ägare av internetresurser har möjlighet att meddela om tillgängligheten av en lökadress med hjälp av en speciell HTTP-rubrik. Första gången en användare med Onion Locator aktiverat besöker en resurs med den här titeln och .onion är tillgänglig, kommer användaren att få ett meddelande som tillåter dem att föredra .onion (se bild).

Auktorisation Lök

Administratörer av löktjänster som vill öka säkerheten och sekretessen för sin adress kan aktivera auktorisering på den. Tor Browser-användare kommer nu att få ett meddelande som ber om en nyckel när de försöker ansluta till sådana tjänster. Användare kan spara och hantera de angivna nycklarna på fliken about:preferences#privacy i Onion Services Authentication-sektionen (se. exempelmeddelande)

Förbättrat säkerhetsaviseringssystem i adressfältet

Traditionellt markerar webbläsare TLS-anslutningar med en grön hänglåsikon. Och sedan mitten av 2019 har låset i webbläsaren Firefox blivit grått för att bättre uppmärksamma användarna inte på den säkra standardanslutningen, utan på säkerhetsproblem (mer information här). Tor Browser i den nya versionen följer Mozillas exempel, som ett resultat av vilket det nu blir mycket lättare för användare att förstå att lökanslutningen inte är säker (vid nedladdning av blandat innehåll från det "vanliga" nätverket eller andra problem, för exempel här)

Separata nedladdningsfelsidor för lökadresser

Då och då stöter användare på problem med att ansluta till lökadresser. I tidigare versioner av Tor Browser, om det fanns problem med att ansluta till .onion, såg användarna ett standard Firefox-felmeddelande som inte på något sätt förklarade anledningen till att lökadressen inte var tillgänglig. Den nya versionen lägger till informativa meddelanden om fel på användarsidan, serversidan och själva nätverket. Tor Browser visar nu en enkel Diagram anslutning, som kan användas för att bedöma orsaken till anslutningsproblem.

Namn på lök

På grund av det kryptografiska skyddet av löktjänster är lökadresser svåra att komma ihåg (jämför t.ex. https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Detta komplicerar navigeringen avsevärt och gör det svårare för användare att upptäcka nya adresser och återgå till gamla. Adressägarna själva löste tidigare organiskt problemet på ett eller annat sätt, men hittills fanns det ingen universallösning som passade alla användare. Tor-projektet närmade sig problemet från en annan vinkel: för den här utgåvan samarbetade det med Freedom of the Press Foundation (FPF) och HTTPS Everywhere (Electronic Frontier Foundation) för att skapa de första konceptuella mänskliga läsbara SecureDrop-adresserna (se nedan). här). Exempel:

Interceptet:

• http://theintercept.securedrop.tor.onion/
• http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/

Lucy Parsons Labs:

• http://lucyparsonslabs.securedrop.tor.onion/
• http://qn4qfeeslglmwxgb.onion/

FPF har säkrat deltagandet av ett litet antal medieorganisationer i experimentet, och Tor-projektet tillsammans med FPF kommer tillsammans att fatta framtida beslut om detta initiativ baserat på feedback om konceptet.

Fullständig lista över ändringar:

• Uppdaterade Tor Launcher till 0.2.21.8
• NoScript uppdaterat till version 11.0.26
• Firefox uppdaterad till 68.9.0esr
• HTTPS-Everywhere uppdaterad till version 2020.5.20
• Uppdaterade Tor-router till version 0.4.3.5
• goptlib uppdaterad till v1.1.0
• Wasm inaktiverad i väntan på korrekt granskning
• Tog bort föråldrade Torbutton-inställningar
• Tog bort oanvänd kod i torbutton.js
• Tog bort synkronisering av isolerings- och fingeravtrycksinställningar (fingerprinting_prefs) i Torbutton
• Styrportmodulen har förbättrats för att vara kompatibel med v3 onion-auktorisering
• Standardinställningarna flyttade till filen 000-tor-browser.js
• torbutton_util.js flyttas till modules/utils.js
• Möjligheten att aktivera rendering av Graphite-teckensnitt i säkerhetsinställningar har återställts.
• Tog bort körbart skript från aboutTor.xhtml
• libevent uppdaterad till 2.1.11-stable
• Fixat undantagshantering i SessionStore.jsm
• Porterad förstapartsisolering för IPv6-adresser
• Services.search.addEngine ignorerar inte längre FPI-isolering
• MOZ_SERVICES_HEALTHREPORT inaktiverad
• Buggfixar porterade 1467970, 1590526 и 1511941
• Fixade ett fel när du avinstallerade tillägget för att koppla bort sök
• Fixat bugg 33726: IsPotentiallyTrustworthyOrigin för .onion
• Fixade webbläsaren som inte fungerade när den flyttades till en annan katalog
• Förbättrat beteende brevlådor
• Koppla bort sökmotorn togs bort
• Aktiverat stöd för SecureDrop-regeluppsättningen i HTTPS-Everywhere
• Fixade försök att läsa /etc/firefox

Källa: linux.org.ru