Після десяти місяців розробки значний реліз спеціалізованого браузера , в якому продовжено розвиток функціональності на базі ESR-гілки . Браузер зосереджений на забезпеченні анонімності, безпеки та приватності, весь трафік перенаправляється лише через мережу Tor. Звернутися безпосередньо через штатне мережеве з'єднання поточної системи неможливо, що не дозволяє відстежити реальний IP користувача (у разі злому браузера атакуючі можуть отримати доступ до системних параметрів мережі, тому для повного блокування можливих витоків слід використовувати такі продукти, як ). Складання Tor Browser для Linux, Windows, macOS та Android.
Для забезпечення додаткового захисту до складу входить додаток , що дозволяє використовувати шифрування трафіку на всіх сайтах, де це можливо. Для зниження загрози від проведення атак з використанням JavaScript та блокування за замовчуванням плагінів у комплекті постачається додаток . Для боротьби з блокуванням та інспектуванням трафіку застосовуються и .
Для організації шифрованого каналу зв'язку в оточеннях, що блокують будь-який трафік, крім HTTP, пропонуються альтернативні транспорти, які, наприклад, дозволяють обійти спроби блокувати Tor у Китаї. Для захисту від відстеження переміщення користувача та від виділення специфічних для конкретного відвідувача особливостей відключені або обмежені API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevice. а також відключені засоби відправлення телеметрії, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, link rel = preconnect, модифікований libmdns.
У новому випуску:
- Проведено реорганізацію панелі та доступ до індикатора рівня захисту, винесеного з меню Torbutton на основну панель. Кнопка Torbutton перенесена у праву частину панелі. За замовчуванням з панелі прибрано індикатори додатків HTTPS Everywhere та NoScript (можна повернути в інтерфейсі панелі).
Індикатор HTTPS Everywhere прибраний, оскільки він не несе корисної інформації і перенаправлення на HTTPS завжди застосовується за умовчанням. Індикатор NoScript прибраний так як браузером надається перемикання між базовими рівнями захисту, а кнопка NoScript часто вводить в оману попередженнями, що виникають через прийняті в Tor Browser налаштувань. Кнопка NoScript також надає доступ до великих налаштувань, без детального розуміння яких зміна параметрів може призвести до проблем із приватністю та невідповідності встановленого в Tor Browser рівня безпеки. Контроль блокування JavaScript для конкретних сайтів може здійснюватися через секцію додаткових повноважень у контекстному меню адресного рядка (кнопка «i»);
- Відкориговано стиль та забезпечено сумісність Tor Browser з новим оформленням Firefox, підготовленим у рамках проекту ««. Змінено та уніфіковано для всіх платформ оформлення стартової сторінки «about:tor»;
- Подано нові логотипи Tor Browser.
- Оновлено версії компонентів браузера:
Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, te OpenSSL 1.0.2r, Tor Launcher 0.2.18.3; - Складання сформовано з прапором ««, Застосовується для офіційних збірок Mozilla.
- Підготовлено перший стабільний випуск мобільної редакції Tor Browser для платформи Android, побудований на кодовій базі Firefox 60.7.0 для Android і допускає роботу тільки через мережу Tor, блокуючи будь-які спроби встановлення прямого мережного з'єднання. До складу включені додатки HTTPS Everywhere та Tor Button. За функціональністю редакція для Android поки що відстає від настільної версії, але забезпечує практично той же рівень захисту і конфіденційності.
Мобільна версія в Google Play, але також у формі APK-пакету із сайту проекту. Найближчим часом очікується публікація у каталозі F-droid. Підтримується робота на пристроях з Android 4.1 або нова версією платформи. Розробники Tor зазначають, що не мають наміру створювати версію Tor Browser для iOS через введені компанією Apple обмеження і рекомендують уже доступний для iOS браузер , що розвивається проектом .
Ключові відмінності Tor Browser для Android від Firefox для Android:
- Блокування коду для відстеження переміщень. Кожен сайт ізолюється від перехресних запитів, а всі Cookie автоматично видаляються після завершення сеансу;
- Захист від втручання у трафік та спостереження за активністю користувача. Вся взаємодія із зовнішнім світом відбувається лише через мережу Tor і у разі перехоплення трафіку між користувачем та провайдером атакуючий може побачити тільки те, що користувач використовує Tor, але не може визначити, які сайти відкриває користувач. Захист від втручання особливо актуальний в умовах, коли деякі вітчизняні оператори мобільного зв'язку не вважають ганебним вклинюватися в незашифрований користувальницький HTTP-трафік і підставляти свої віджети () або рекламні банери ( и );
- Захист від визначення специфічних для конкретного відвідувача особливостей та відстеження користувачів за допомогою методів ідентифікації («browser fingerprinting»). Всі користувачі Tor Browser виглядають однаково і не відрізняються між собою при використанні розширених методів непрямої ідентифікації.
Наприклад, крім збереження ідентифікатора через Cookie та API локального зберігання даних для ідентифікації можуть враховуватися специфічні для користувача список встановлених , часовий пояс, список підтримуваних MIME-типів, параметри екрана, список доступних шрифтів, при малюванні з використанням canvas та WebGL, параметри в заголовках и , манера роботи з и ; - Використання багаторівневого шифрування. Крім захисту HTTPS трафік користувача при проходженні через Tor додатково шифрується як мінімум три рази (застосовується багатошарова схема шифрування, при якій пакети обертаються в серію шарів із застосуванням шифрування за відкритими ключами, при яких кожен вузол Tor на своєму етапі обробки розкриває черговий шар і знає лише наступний етап передачі, лише останній вузол може визначити адресу призначення);
- Можливість доступу до ресурсів, що блокуються провайдером, або централізовано цензурованих сайтів. за проекту Роскомсвобода 97% сайтів, що блокуються нині в РФ, заблоковано неправомірно (перебувають в одних підмережах із заблокованими ресурсами). Наприклад, досі залишаються заблокованими 358 тисяч IP-адрес Digital Ocean, 25 тисяч адрес Amazon WS і 59 тисяч адрес CloudFlare. Під неправомірне блокування у тому числі багато відкритих проектів, включаючи bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com та midori-browser.org.
Джерело: opennet.ru