Tor Browser

Подготовлен значительный релиз специализированного браузера Tor Browser 6.5, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и примечателен тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяется fteproxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае.

В новой версии Tor Browser произведено обновление до выпуска Firefox 45.7.0esr, в котором устранены 4 критические уязвимости. В сборке также обновлены версии Tor 0.2.9.9, OpenSSL 1.0.2j, HTTPS-Everywhere 5.2.9 и NoScript 2.9.5.3. Введена полная блокировка внешних JAR-файлов и прекращена поддержки SHA-1 в механизме привязки открытых ключей (HPKP, HTTP Public Key Pinning), позволяющем явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Из новых веток Firefox бэкптированы изменения для использования недоступных на запись страниц памяти в JIT-компиляторе.

Из функциональных изменений в Tor Browser 6.5 отмечается переработка интерфейса пользователя. Изменено оформление меню управления безопасностью (секция Security Settings в кнопке Tor) и переработаны предоставляемые в нём метки безопасности. Настройки приватности из Torbutton перенесены в основной раздел настроек Firefox. Многие возможности Torbutton перенесены в Firefox, что упростило процесс их передачи в основную (upstream) кодовую базу Firefox и позволило решить несколько давно мешавших работе проблем с масштабированием окон.

0_1485338312.png Для усиления защиты от отслеживания перемещения пользователя и выделения специфичных для конкретного посетителя особенностей в новом выпуске обращения к скриптам SharedWorker ограничены только изначальным доменом (обращения к сторонним доменам блокируются). Предприняты дополнительные меры защиты от определения особенностей работы таймера через вызовы AudioContext, HTMLMediaElement и Mediastream. Добавлена защита от получения сведений о пользователе через анализ содержимого страницы "resource://".
OpenNews: Выпуск web-браузера Tor Browser 6.5
 
Последнее редактирование:
Релиз Tor browser 7.0
Доступен релиз специализированного браузера Tor Browser 7.0, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяется fteproxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае.

В новой версии Tor Browser осуществлён переход на ESR-ветку Firefox 52 и новый значительный выпуск Tor 0.3.0.7 (ранее применялись Firefox 45 и Tor 0.2.x). В сборке также обновлены версии NoScript 5.0.5, HTTPS-Everywhere 5.2.17, Tor Launcher 0.2.12.2 и Torbutton 1.9.7.3. Обновлён сборочный инструментарий, вместо GCC для формирования сборок под все платформы теперь применяется clang/cctools. Следуя изменениям в Firefox 52, в новой версии Tor Browser для Linux и macOS (для Windows появится позднее) по умолчанию включен многопроцессный режим (e10s) и sandbox-изоляция обработчиков контента, ограничивающая доступ дочерних процессов к системным вызовам, файловой системе и сторонним процессам. Дополнительно для Linux и macOS предоставлена опция, обеспечивающая взаимодействие Tor Browser с Tor только через Unix-сокеты.

Для усиления защиты от отслеживания перемещения пользователя и выделения специфичных для конкретного посетителя особенностей в новом выпуске обработка cookies, запросов view-source и Permissions API изолирована базовым доменом, указанным в адресной строке. Отключены или модифицированы для предотвращения отслеживания API WebGL2, WebAudio, Social, SpeechSynthesis и Touch, а также свойство MediaError.message.
Tor Browser 7.0 is released | The Tor Blog
 
Последнее редактирование:
Доступен корректирующий релиз специализированного браузера Tor Browser 7.0.3, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая при открытии специально оформленного URL, напрямую обратиться к внешнему ресурсу с реального IP-адреса текущей системы.

Проблема затрагивает только Linux-дистрибутивы, в которых присутствует сервис GVfs (GNOME Virtual file system) и используется библиотека GIO (GNOME Input/Output). Код поддержки GVfs/GIO в Firefox допускает запуск системного обработчика URL (например, smb://, sftp:// и т.п.), при помощи которого может быть осуществлено обращение к ресурсам в обход настроек прокси, что даёт возможность через GIO совершить прямое соединение на внешний хост и деанонимизировать пользователя.

Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть из производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов).

Например, при открытии ссылки "smb://8.8.8.8" или "sftp://8.8.8.8/" будет выполнено обращение к хосту 8.8.8.8 по сетевым портам 139 и 22:

$ sudo tcpdump -n -i wlan0 host 8.8.8.8

14:06:12.577697 IP 192.168.1.11.39142 > 8.8.8.8.139: Flags,
0_1501233432.png
OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
 
Последнее редактирование модератором:
Выпуск web-браузера Tor Browser 7.5
После полугода разработки подготовлен значительный релиз специализированного браузера Tor Browser 7.5, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 52. Браузер ориентирован на обеспечение анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяется fteproxy.

Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.

В новом выпуске изменено оформление некоторых частей интерфейса, в том числе значительной переработке подверглась организация взаимодействия с пользователем в Tor Launcher. Упрощён экран первого запуска (Welcome Screen), предлагающий опции для настройки дальнейшей работы. Разработчики попытались избавиться от усложнений в процессе настройки и сделать работу конфигуратора более очевидной и понятной. Добавлены подсказки, описывающих в каких случаях может возникнуть необходимость применения дополнительных настроек. Обновлены логотип и элементы брендинга.
0_1516778908.png
Проведена большая работа по упрощению настройки методов обхода различных видов блокировки Tor. Все тексты проанализированы на предмет простоты восприятия и понятности целей применения. В меню выбора видов транспорта для обхода блокировки добавлены подсказки, позволяющие выбрать наиболее эффективный вариант для определённой страны.
0_1516778926.png
В раздел настройки параметров прокси добавлена подсказка с описанием того, в каких случаях требуется изменение данных настроек (возникала путаница, некоторые пользователи думали, что создают свой прокси для последующего обращения к нему, а не настраивают параметры выхода во внешний мир через прокси в сетях, недопускающих прямые соединения).
0_1516778939.png
Среди других изменений:
  • Осуществлён переход на новую ветку инструментария Tor 0.3.2, в котором появилась поддержка скрытых сервисов третьего поколения (56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024);
  • В сборках для Windows по умолчанию включен многопроцессный режим (e10s) и sandbox-изоляция обработчиков контента, ограничивающая доступ дочерних процессов к системным вызовам, файловой системе и сторонним процессам (в сборках для Linux и macOS подобная изоляция была включена в прошлом выпуске);
  • Улучшена реализация sandbox-изоляции в Linux, решены проблемы с работой опции Печать в файл ("Print to File");
  • В сборках для macOS применены дополнительные меры защиты на этапе сборки;
  • Окружение для обеспечения повторяемых сборок переведено с использования набора Gitian/tor-browser-bundle на rbm/tor-browser-build, который упрощает реализацию повторяемых сборок для новых платформ и архитектур;
  • Обновлены версии интегрированных компонентов Tor 0.3.2.9, OpenSSL 1.0.2n, Torbutton 1.9.8.5, Tor Launcher 0.2.14.3, HTTPS Everywhere 2018.1.11 и NoScript 5.1.8.3. Браузерные компоненты синхронизированы с кодовой базой Firefox 52.6.0esr, в которой устранено 11 уязвимостей, в том числе две проблемы, имеющие критический характер.
OpenNews: Выпуск web-браузера Tor Browser 7.5
 
Последнее редактирование:
Подскажите, почему TOR нормально открывает сайт флибусты (с расширением onion), но не открывает самые обычные mail и google?
 
но не открывает самые обычные mail и google?
Количество выходных нод ограничено и они известны, а это значит их можно заблокировать, что и было сделано.
 
Извините, не понял.
Следует ли понимать, что TOR будет открывать ограниченное количество сайтов, а все остальные ему не под силу?
Или как?
 
Нет, просто администратор сайта может решить, что ему не нужен трафик из сети ТОР и заблокировать у себя IP адреса выходных нод, т.е. при попытке зайти через ТОР получим, что сайт недоступен.
 
Вот теперь понятно, спасибо!
Я почему-то думал, что TOR позволяет зайти на любые сайты (как это делает любой другой браузер), просто соединение будет осуществляться медленнее из-за извилистого трафика.
А оказывается, вон оно как, Семен Семеныч ))))
 
Релиз Tor Browser 8.0
После восьми месяцев разработки сформирован значительный релиз специализированного браузера Tor Browser 8.0, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 60. Браузер ориентирован на обеспечение анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor.

Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.
Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае.

Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.
В новом выпуске:
  • Осуществлён переход на новый значительный выпуск Tor 0.3.3 и ESR-ветку Firefox 60, в которой прекращена поддержка XUL-дополнений (ранее применялись Firefox 52 и Tor 0.3.2). Также обновлены HTTPS Everywhere 2018.8.22, Torbutton 2.0.6, Tor Launcher 0.2.16.3, meek 0.33, obfs4proxy 0.0.7, OpenSSL 1.0.2p и Libevent 2.1.8;
  • В связи с прекращением поддержки XUL задействован выпуск дополнения NoScript 10.1.9.1, переписанный с использованием API WebExtension, но отстающий по функциональности (нет поддержки ClearClick для защиты от Clickjacking и ABE (Application Boundaries Enforcer) для защиты от CSRF).
  • Полностью переработана презентация для новых пользователей, позволяющая познакомиться с основными принципами работы в Tor Browser и особенностями использования анонимной сети Tor. Презентация вызывается через клик на значок в верхнем левом углу стартовой страницы;

  • 0_1536214289.png

  • Улучшен интерфейс выбора узлов подключения к сети Tor для обращения к анонимной сети в странах с жесткой цензурой и обхода попыток блокировки. Для получения списка дополнительных узлов теперь не нужно отправлять запрос по email или открывать сайт проекта, а достаточно ввести капчу в штатном конфигураторе Tor Launcher; 0_1536216419.png

  • Началась поставка 64-разрядных сборок для Windows, которые отмечены как более стабильные по сравнению с 32-разрядными сборками;
  • При открытии локальных файлов через URI file://, их обработка теперь ограничена только отображением содержимого в формате HTML;
  • Решены проблемы с работой на Linux-системах с новыми выпусками libstdc++ и обеспечена работа на системах без /proc. В число минимально необходимых зависимостей включена поддержка инструкций SSE2. В системе сборки добавлена поддержка компонентов на языке Rust.
Дополнительно можно отметить начало тестирования первого альфа-выпуска следующей значительной ветки Tor Browser 8.5, которая отличается от ветки 8.0 переходом на инструменатрий Tor 0.3.4.7-rc и решением проблем с работой сервиса Moat при использовании транспорта meek (meek-amazon, meek-azure).

OpenNews: Выпуск web-браузера Tor Browser 8.0
 
Последнее редактирование:
Назад
Сверху Снизу