Выпуск web-браузера Tor Browser 6.5

25 января 2017 года

Подготовлен значительный релиз специализированного браузера Tor Browser 6.5, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и примечателен тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяется fteproxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае.

В новой версии Tor Browser произведено обновление до выпуска Firefox 45.7.0esr, в котором устранены 4 критические уязвимости. В сборке также обновлены версии Tor 0.2.9.9, OpenSSL 1.0.2j, HTTPS-Everywhere 5.2.9 и NoScript 2.9.5.3. Введена полная блокировка внешних JAR-файлов и прекращена поддержки SHA-1 в механизме привязки открытых ключей (HPKP, HTTP Public Key Pinning), позволяющем явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Из новых веток Firefox бэкптированы изменения для использования недоступных на запись страниц памяти в JIT-компиляторе.

Из функциональных изменений в Tor Browser 6.5 отмечается переработка интерфейса пользователя. Изменено оформление меню управления безопасностью (секция Security Settings в кнопке Tor) и переработаны предоставляемые в нём метки безопасности. Настройки приватности из Torbutton перенесены в основной раздел настроек Firefox. Многие возможности Torbutton перенесены в Firefox, что упростило процесс их передачи в основную (upstream) кодовую базу Firefox и позволило решить несколько давно мешавших работе проблем с масштабированием окон.

Для усиления защиты от отслеживания перемещения пользователя и выделения специфичных для конкретного посетителя особенностей в новом выпуске обращения к скриптам SharedWorker ограничены только изначальным доменом (обращения к сторонним доменам блокируются). Предприняты дополнительные меры защиты от определения особенностей работы таймера через вызовы AudioContext, HTMLMediaElement и Mediastream. Добавлена защита от получения сведений о пользователе через анализ содержимого страницы "resource://".