Нова версія Tor Browser доступна для скачування з з офіційного сайту, каталогу версій та Google Play. Версія для F-Droid буде доступна найближчими днями.
У оновлення включені серйозні виправлення безпеки Firefox.
Основний наголос у новій версії зроблено на підвищенні зручності та полегшенні роботи з onion-сервісами.
Onion-сервіси Tor - один з найпопулярніших і найпростіших способів встановити кінцеве зашифроване з'єднання. З їхньою допомогою адміністратор здатний забезпечити анонімний доступ до ресурсів та приховати метадані від стороннього спостерігача. Крім того, такі сервіси дозволяють долати цензуру, одночасно захищаючи конфіденційність користувача.
Тепер, при першому запуску Tor Browser користувачі отримають можливість віддати перевагу використанню onion-адреси за умовчанням у випадку, якщо віддалений ресурс надає таку адресу. Раніше деякі ресурси автоматично перенаправляли користувачів на onion-адресу при виявленні Tor, для чого використовувалася технологія alt-svc. І хоча використання подібних методів актуальне й досі, нова система вибору переваг дозволить сповіщати користувачів про доступність onion-адреси.
Onion Locator
Власники інтернет-ресурсів отримали можливість сповіщати про доступність onion-адреси за допомогою спеціального заголовка HTTP. При першому відвідуванні користувачем із включеним Onion Locator ресурсу з таким заголовком і доступності .onion, користувач отримає повідомлення, що дозволяє віддати перевагу .onion(див. фото).
Авторизація Onion
Адміністратори onion-сервісів, які бажають підвищити безпеку та конфіденційність своєї адреси, можуть увімкнути на ньому авторизацію. Тепер користувачі Tor Browser будуть отримувати сповіщення із запитом ключа при спробі підключення до таких сервісів. Користувачі можуть зберігати введені ключі та керувати ними на вкладці about:preferences#privacy у розділі Onion Services Authentication(див. приклад повідомлення)
Поліпшено систему повідомлень безпеки в адресному рядку
Традиційно браузери відзначають з'єднання із TLS значком зеленого замку. А з середини 2019 у браузері Firefox замок став сірим для того, щоб краще звертати увагу користувачів не на захищене за умовчанням з'єднання, а на проблеми із захищеністю (докладніше тут). Tor Browser у новій версії слідує прикладу Mozilla, внаслідок чого користувачам тепер буде набагато простіше зрозуміти, що onion-з'єднання не безпечне (при завантаженні змішаного вмісту зі «звичайної» мережі або інших проблем, приклад тут)
Окремі сторінки помилок завантаження для onion-адрес
Періодично користувачі стикаються з проблемами підключення до onion-адрес. У попередніх версіях Tor Browser, при виникненні проблем із підключенням до .onion, користувачі бачили стандартне повідомлення про помилку Firefox, що не пояснює причини недоступності onion-адреси. У новій версії додані інформативні повідомлення про помилки на стороні користувача, сервера та самої мережі. Tor Browser почав відображати просту діаграму підключення, через яку можна судити про причину проблем зі з'єднанням.
Імена для Onion
Внаслідок особливостей криптографічного захисту onion-сервісів адреси onion важко піддаються запам'ятовуванню (порівняйте, наприклад, https://torproject.org и http://expyuzz4wqqyqhjn.onion/). Це дуже ускладнює навігацію, користувачам важче виявляти нові адреси та повертатися до старих. Самі власники адрес раніше органічно вирішували проблему тим чи іншим способом, але досі був відсутній універсальний, придатний для всіх користувачів. Проект Tor підійшов до проблеми під іншим кутом: при підготовці даного випуску було укладено партнерство з Freedom of the Press Foundation (FPF) та HTTPS Everywhere (Electronic Frontier Foundation) для створення перших концептуальних адрес людей SecureDrop (див. тут). Приклади:
Перехоплення:
- http://theintercept.securedrop.tor.onion/
- http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion/
Lucy Parsons Labs:
FPF домоглася участі в експерименті невеликої кількості медійних організацій, і Tor Project разом з FPF спільно прийматимуть подальші рішення з даної ініціативи виходячи з відгуків про концепт.
Повний список змін:
- Оновлено Tor Launcher до 0.2.21.8
- Оновлено NoScript до версії 11.0.26
- Firefox оновлено до 68.9.0esr
- Оновлено HTTPS-Everywhere до версії 2020.5.20
- Оновлено маршутизатор Tor до версії 0.4.3.5
- goptlib оновлено до v1.1.0
- Wasm вимкнено до проведення належного аудиту
- Видалено застарілі пункти налаштувань Torbutton
- Видалений код, що не використовується, в torbutton.js
- Видалено синхронізацію налаштувань ізоляції та зліпків(fingerprinting_prefs) у Torbutton
- Модуль control port доопрацьований для сумісності з авторизацією v3 onion
- Налаштування за замовчуванням перенесено до файлу 000-tor-browser.js
- torbutton_util.js переміщено до modules/utils.js
- Повернено вмозкість включити малювання шрифтів Graphite у налаштуваннях безпеки
- Видалений сценарій з aboutTor.xhtml
- libevent оновлено до 2.1.11-stable
- Виправлена обробка винятків у SessionStore.jsm
- Портована першапартія-ізоляція для IPv6 адрес
- Services.search.addEngine більше не ігнорує ізоляцію FPI
- Вимкнено MOZ_SERVICES_HEALTHREPORT
- Портовано виправлення помилок 1467970, 1590526 и 1511941
- Виправлена помилка при видаленні доповнення disconnect search
- Виправлена помилка 33726: IsPotentiallyTrustworthyOrigin для .onion
- Виправлено непрацездатність браузера при переміщенні його в інший каталог
- Удосконалено поведінку поштовий ящик
- Прибраний пошуковик Disconnect
- Включено підтримку набору правил SecureDrop у HTTPS-Everywhere
- Усунуті спроби прочитати /etc/firefox
Джерело: linux.org.ru