Проект Tor выпустил новый значительный релиз специализированного браузера Tor Browser, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и примечателен тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и OS X. В силу большого числа изменений автоматическое обновление для ветки 4.0 решено выпустить через неделю.
Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяется fteproxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае.
Основные изменения:
В меню добавлен переключатель уровня безопасности (Security Slider), позволяющий выбрать приемлемый для себя компромисс между защищённостью и функциональностью. При увеличении уровня безопасности производится отключение возможностей, в реализации которых всплывает больше всего уязвимостей. Первый уровень подразумевает отключение opentype в коде отображения шрифтов. Второй уровень - отключение WebAudio и asm.js. Третий уровень - отключение JIT-компилятора, SVG и обработку JavaScript только для HTTPS. Наивысший уровень - отключение внешних шрифтов, JavaScript и всех кодеков за исключением WebM, который останется доступным только после клика.
Проведена модернизация процесса запуска браузера. Для Linux добавлена новая обёртка, позволяющая запускать браузер с открытием ссылки из командной строки или файлового менеджера;
Упрощено меню Tor, вызываемое через кнопку с изображением лука. Через меню теперь показывается информация об используемой для открытия страницы цепочке и добавлена опция для смены этой цепочки прохождения трафика;
Обеспечена возможность повторного использования той же цепочки при активной работе с сайтом, что позволяет избежать таких связанных с изменением IP эффектов, как потеря настроек или завершение аутентифицированного сеанса;
Реализация транспортных модулей obfs2, obfs3 и ScrambleSuit, используемых для скрытия характера трафика между клиентом и узлом Tor, переписана на языке Go. Представлен новый транспорт obfs4, в котором реализован новый метод маскировки трафика Tor под не вызывающие подозрения виды сетевой активности, более стойкий перед системами анализа трафика и глубокого инспектирования пакетов. В частности, obfs4 в настоящее время работоспособен для применяемых в Китае механизмов выявления узлов Tor.
Включены наработки по изоляции браузера в плане противодействия отслеживанию перемещений пользователя. Например, URL блобов ограничены доменом, указанным в адресной строке, а SharedWorker API отключен для предотвращения обращений к сторонним сайтам;
Добавлена изоляция цепочек Tor, позволяющая гарантировать, что все генерируемые при обработке текущего сайта обращения к внешним ресурсам будут осуществляться через ту же цепочку узлов Tor, но при прямом обращении к этому внешнему сайту будет использована другая цепочка;
Добавлены дополнительные меры противодействия определения разрешения экрана и локали на машине пользователя. Запрещён доступ к API работы с сенсорами и свойствам видео;
В качестве поисковой системы по умолчанию задействован метапоисковый сервис Disconnect.
Сборка и обновления для платформы Windows теперь снабжены цифровой подписью, созданной с использованием аппаратного ключа.