Сформовано значний реліз спеціалізованого браузера Tor Browser 13.0, в якому здійснено перехід на ESR-гілку Firefox 115. Браузер зосереджений на забезпеченні анонімності, безпеки та приватності, весь трафік перенаправляється лише через мережу Tor. Звернутися безпосередньо через штатне мережеве з'єднання поточної системи неможливо, що не дозволяє відстежити реальну IP-адресу користувача (у разі злому браузера атакуючі можуть отримати доступ до системних параметрів мережі, тому для повного блокування можливих витоків слід використовувати такі продукти, як Whonix). Складання Tor Browser підготовлено для Linux, Android, Windows і macOS.
Для забезпечення додаткового захисту в Tor Browser включено налаштування HTTPS Only, що дозволяє використовувати шифрування трафіку на всіх сайтах, де це можливо. Для зниження загрози від проведення атак з використанням JavaScript та блокування за замовчуванням плагінів у комплекті постачається додаток NoScript. Для боротьби з блокуванням та інспектуванням трафіку застосовуються fteproxy та obfs4proxy.
Для організації шифрованого каналу зв'язку в оточеннях, що блокують будь-який трафік, крім HTTP, пропонуються альтернативні транспорти, які, наприклад, дозволяють обійти спроби блокувати Tor у Китаї. Для захисту від відстеження переміщення користувача та від виділення специфічних для конкретного відвідувача особливостей відключені або обмежені API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevicesenu. orientation, а також відключені засоби відправлення телеметрії, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, link rel = preconnect, модифікований libmdns.
В новой версії:
- Здійснено перехід на кодову базу Firefox 115 ESR та стабільну гілку tor 0.4.8.7. У процесі переходу на нову версію Firefox проведено аудит змін, внесених з часу появи ESR-гілки Firefox 102, та відключено патчі, сумнівні з погляду безпеки та конфіденційності. Серед іншого замінено код перетворення string-to-double, відключено функцію обміну недавніми посиланнями, відключено API для збереження PDF, прибрано сервіс та інтерфейс автоприховування банерів підтвердження Cookie, прибрано інтерфейс розпізнавання тексту.
- Оновлено піктограми та відточено логотип програми при збереженні загальної впізнаваності.
- Запропоновано нову реалізацію домашньої сторінки («about:tor»), примітну додаванням логотипу, спрощенням оформлення та залишенням тільки пошукового рядка та перемикача «onionize» для звернення до DuckDuckGo через onion-сервіс. Під час відображення домашньої сторінки покращено підтримку екранних рідерів та засобів для людей з обмеженими можливостями. Увімкнено показ панелі закладок. Вирішено проблему з показом «червоного екрану смерті», який виник через збій під час перевірки підключення до мережі Tor.
стало:
було:
- Збільшено розмір нових вікон, для яких тепер за замовчуванням вибирається співвідношення сторін, зручніше для користувачів широкоформатних екранів. Для запобігання витоку інформації про розмір екрану та вікна Tor Browser застосовується механізм letterboxing, що додає відступи навколо вмісту веб-сторінок. У попередніх версіях у міру зміни розміру вікна розмір активної області змінювався з кроком 200×100 пікселів, але був обмежений максимальною роздільною здатністю 1000×1000, що через недостатню ширину створювало проблеми з деякими сайтами, які показували горизонтальну смугу прокручування або відображали версію для планшетів. та мобільних пристроїв. Для вирішення цієї проблеми максимальна роздільна здатність збільшена до 1400×900 і змінена логіка покрокової зміни розміру.
- Здійснено перехід на нову схему найменування пакетів, що відповідає шаблону ${ARTIFACT}-${OS}-${ARCH}-${VERSION}.${EXT}. Наприклад, збірка для macOS раніше постачалася як «TorBrowser-12.5-macos_ALL.dmg», а тепер має вигляд «tor-browser-macos-13.0.dmg».
- При виборі режиму Safest для пошуку через DuckDuckGo тепер застосовується звернення до варіанта сайту без JavaScript.
- Посилено захист від витоків через WebRTC.
- Увімкнено очищення URL параметрів, які використовуються для відстеження переміщень (наприклад, видаляються параметри mc_eid і fbclid, які застосовуються при переході за посиланнями зі сторінок Facebook).
- Видалено налаштування javascript.options.large_arraybuffers.
- На платформі Linux вимкнено налаштування browser.tabs.searchclipboardfor.middleclick.
Джерело: opennet.ru