Після 8 місяців розробки представлений значний випуск спеціалізованого браузера Tor Browser 11.5, в якому продовжено розвиток функціональності на базі ESR-гілки Firefox 91. Браузер зосереджений на забезпеченні анонімності, безпеки та приватності весь трафік перенаправляється тільки через мережу Tor. Звернутися безпосередньо через штатне мережеве з'єднання поточної системи неможливо, що не дозволяє відстежити реальний IP користувача (у разі злому браузера атакуючі можуть отримати доступ до системних параметрів мережі, тому для повного блокування можливих витоків слід використовувати такі продукти, як Whonix). Складання Tor Browser підготовлено для Linux, Windows і macOS.
Для забезпечення додаткового захисту до складу Tor Browser входить додаток HTTPS Everywhere, що дозволяє використовувати шифрування трафіку на всіх сайтах, де це можливо. Для зниження загрози від проведення атак з використанням JavaScript та блокування за замовчуванням плагінів у комплекті постачається додаток NoScript. Для боротьби з блокуванням та інспектуванням трафіку застосовуються fteproxy та obfs4proxy.
Для організації шифрованого каналу зв'язку в оточеннях, що блокують будь-який трафік, крім HTTP, пропонуються альтернативні транспорти, які, наприклад, дозволяють обійти спроби блокувати Tor у Китаї. Для захисту від відстеження переміщення користувача та від виділення специфічних для конкретного відвідувача особливостей відключені або обмежені API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevicesenu. orientation, а також відключені засоби відправлення телеметрії, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, link rel = preconnect, модифікований libmdns.
В новой версії:
- Доданий інтерфейс Connection Assist для автоматизації налаштування обходу блокування доступу до мережі Tor. Раніше у разі цензурування трафіку користувач повинен був вручну отримати та активувати мостові вузли у налаштуваннях. У новій версії обхід блокування налаштовується автоматично, без ручної зміни налаштувань — у разі проблем із підключенням враховуються особливості блокування в різних країнах та вибирається оптимальний спосіб їхнього обходу. Залежно від розташування користувача завантажується підготовлений для країни набір налаштувань, вибирається працюючий альтернативний транспорт і організується підключення через мостові вузли.
Для завантаження списку мостових вузлів застосовується інструментарій moat, що використовує техніку «domain fronting», суть якої в зверненні по HTTPS із зазначенням у SNI фіктивного хоста і фактичною передачею імені хоста, що запитується, в HTTP-заголовку Host всередині TLS-сеансу (наприклад, можна використовувати мережі доставки контенту для обходу блокувань).
- Змінено оформлення розділу конфігуратора з параметрами мережі Tor. Зміни націлені на спрощення ручного налаштування обходу блокувань у конфігураторі, що може знадобитися у разі проблем з автоматичним підключенням. Розділ із налаштуваннями Tor перейменований у «Connection settings». У верхній частині вкладки з налаштуваннями забезпечено відображення поточного стану з'єднання та надано кнопку для перевірки працездатності прямого підключення (не через Tor), що дозволяє діагностувати джерело проблем зі з'єднанням.
Змінено оформлення інформаційних карток з даними мостових вузлів, за допомогою яких можна зберігати працюючі мости та обмінюватися ними з іншими користувачами. Крім кнопок для копіювання та відправлення карти мостового вузла доданий QR-код, який можна відсканувати у версії Tor Browser для Android.
За наявності кількох збережених карток вони групуються в компактний список, елементи якого розкриваються під час кліку. Міст, що використовується, позначається значком «✔ Connected». Для наочного поділу властивостей мостів задіяні малюнки «emoji». Прибрано довгий список полів та опцій мостових вузлів, доступні методи додавання нового моста винесені в окремий блок.
- В основний склад включено документацію з сайту tb-manual.torproject.org, на яку є посилання з конфігуратора. Таким чином, у разі проблем із підключенням документація тепер доступна у offline-режимі. Документацію також можна переглянути через меню «Application Menu > Help > Tor Browser Manual» та службову сторінку «about:manual».
- За замовчуванням увімкнено режим HTTPS-Only, у якому всі запити, які виконуються без шифрування, автоматично перенаправляються на захищені варіанти сторінок («http://» замінюється на «https://»). Додаток HTTPS-Everywhere, який раніше застосовувався для перенаправлення на HTTPS, видалено з версії Tor Browser для настільних систем, але залишено у версії для Android.
- Поліпшено підтримку шрифтів. Для захисту від ідентифікації системи шляхом перебору доступних шрифтів Tor Browser поставляється фіксований набір шрифтів, а доступ до системних шрифтів блокується. Таке обмеження призводило до порушення відображення інформації на деяких сайтах, які використовують системні шрифти, що не входять до вбудованого в Tor Browser набору шрифтів. Для вирішення проблеми в новому випуску вбудований набір шрифтів було розширено, зокрема до складу додані шрифти з сімейства Noto.
Джерело: opennet.ru