Исходное сообщение
"Доступны Tor Browser 8.5 и первая стабильная версия Tor Brow..." Отправлено opennews, 22-Май-19 10:52
После десяти месяцев разработки сформирован (https://blog.torproject.org/new-release-tor-browser-85) значительный релиз специализированного браузера Tor Browser 8.5 (https://www.torproject.org/projects/torbrowser.html.en), в котором продолжено развитие функциональности на базе ESR-ветки Firefox 60 (https://www.opennet.ru/opennews/art.shtml?num=48565). Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix (https://www.opennet.ru/opennews/art.shtml?num=42115)). Сборки Tor Browser подготовлены (https://www.torproject.org/projects/torbrowser.html.en) для Linux, Windows, macOS и Android. Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere (https://www.opennet.ru/opennews/art.shtml?num=35036), позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript (http://noscript.net/). Для борьбы с блокировкой и инспектированием трафика применяются fteproxy (https://fteproxy.org/) и obfs4proxy (https://github.com/Yawning/obfs4/tree/master/obfs4proxy). Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются  альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для  защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и  screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns. В новом выпуске: -  Проведена реорганизация панели и упрощён (https://gitweb.torproject.org/tor-browser-spec.git/tree/prop...) доступ к индикатору уровня защиты, который вынесен из меню Torbutton на основную панель. Кнопка Torbutton  перенесена в правую часть панели. По умолчанию с панели убраны индикаторы дополнений HTTPS Everywhere и NoScript (можно вернуть в интерфейсе настройки панели). Индикатор HTTPS Everywhere убран так как он не несёт полезной информации и перенаправление на HTTPS всегда применяется по умолчанию. А индикатор NoScript убран так как переключение между базовыми уровнями зашиты предоставляется в Torbutton, а кнопка NoScript часто вводит в заблуждение предупреждениями, возникающими из-за принятых в Tor Browser  по умолчанию настроек, а также предоставляет доступ к обширным настройкам NoScript, при изменении которых легко допустить ошибки, которые могут негативно повлиять на безопасность. Контроль блокировки JavaScript для конкретных сайтов может быть произведён через секцию дополнительных полномочий в контекстном меню в адресной строке (кнопка "i"); -   Откорректирован стиль и обеспечена совместимость Tor Browser c новым оформлением Firefox, подготовленным в рамках проекта "Photon (https://wiki.mozilla.org/Firefox/Photon/Updates)". Изменено и унифицировано для всех платформ оформление стартовой страницы "about:tor"; -  Представлены новые логотипы Tor Browser. -  Обновлены версии компонентов браузера: Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, te OpenSSL  1.0.2r, Tor Launcher 0.2.18.3; -  Сборки сформированы с флагом "MOZILLA_OFFICIAL (https://developer.mozilla.org/en-US/docs/Archive/B2G_OS/Deve...)", применяемом для официальных сброк Mozilla. -  Подготовлен первый стабильный выпуск мобильной редакции Tor Browser для платформы Android, построенного на кодовой базе Firefox 60.7.0 для Android и позволяющего работать только через сеть Tor, блокируя любые попытки установки прямого сетевого соединения. В состав включены дополнения HTTPS Everywhere и Tor Button. По функциональности редакция для Android пока отстаёт от настольной версии, но обеспечивает практически тот же по уровень защиты и обеспечения конфиденциальности. Мобильная версия размещена (https://play.google.com/store/apps/details?id=org.torproject...) в Google Play, но также доступна (https://www.torproject.org/download/#android) в форме APK-пакета с сайта проекта. В ближайшее время ожидается публикация в каталоге F-droid. Поддерживается работа на устройствах с Android 4.1 или более новая версией платформы. Ключевые отличия Tor Browser для Android от Firefox для Android: -  Блокирование кода для отслеживания перемещений. Каждый сайт изолируется от перекрёстных запросов, а все Cookie автоматически удаляются  после завершения сеанса; -  Защита от вмешательства в трафик и наблюдения за активностью пользователя. Всё взаимодействие с внешним миром происходит только через сеть Tor и  в случае перехвата трафика между пользователем и провайдером атакующий может увидеть только то, что пользователь использует Tor, но не может определить какие сайты открывает пользователь. Защита от вмешательства особенно актуальна в условиях, когда некоторые отечественные операторы мобильной связи  не считают зазорным вклиниваться в незашифрованный пользовательский HTTP-трафик и подставлять свои виджеты (Билайн (https://www.opennet.ru/opennews/art.shtml?num=43918)) или рекламные баннеры (Теле2 (https://vc.ru/marketing/36042-tele2-polzovateli-mogut-otkaza...) и Мегафон (https://meduza.io/slides/mobilnye-operatory-podsovyvayut-abo...)); -  Защита от определения специфичных для конкретного посетителя особенностей и от отслеживания пользователей с помощью методов скрытой (https://www.opennet.ru/opennews/art.shtml?num=46046) идентификации ("browser fingerprinting"). Все пользователи Tor Browser со стороны выглядят одинаково и неотличимы между собой при использовании расширенных методов косвенной идентификации. Например, кроме сохранения идентификатора через Cookie и API локального хранения данных для идентификации могут учитываться специфичные для пользователя список установленных дополнений (https://www.opennet.ru/opennews/art.shtml?num=47103), часовой пояс, список поддерживаемых MIME-типов, параметры экрана, список доступных шрифтов, артефакты (https://www.opennet.ru/opennews/art.shtml?num=48736) при отрисовке с использованием canvas  и WebGL,  параметры в заголовках HTTP/2 (https://www.opennet.ru/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.ru/opennews/art.shtml?num=42943),  манера работы   с клавиатурой (https://www.opennet.ru/opennews/art.shtml?num=42685) и мышью (https://www.opennet.ru/opennews/art.shtml?num=44027); -  Применение многоуровневого шифрования. Помимо защиты HTTPS  трафик пользователя при прохождении через Tor дополнительно шифруется как минимум три раза (применяется многослойная схема шифрования, при которой пакеты обёртываются в серию слоёв с применением шифрования по открытым ключам, при которых каждый узел Tor на своём этапе обработки раскрывает очередной слой и знает лишь следующий этап передачи, а  лишь последний узел может определить адрес назначения); -  Возможность доступа к блокируемым провайдером ресурсам или централизованно цензурируемым сайтам. По статистике (https://reestr.rublacklist.net/visual/) проекта Роскомсвобода 97% блокируемых ныне в РФ сайтов заблокировано неправомерно (находятся в одних подсетях с заблокированными ресурсами).... URL: https://blog.torproject.org/new-release-tor-browser-85 Новость: https://www.opennet.ru/opennews/art.shtml?num=50719