Компьютерный раздел > Интернет браузеры
Tor браузер
Root:
Найден способ найти скрытые сервисы в Tor
В анонимной сети Tor обнаружен ресурс, позволяющий искать скрытые сайты. Об этом сообщило издание Bleeping Computer.
Портал носит название Ichidan и располагается по адресу ichidanv34wrx7m7.onion. Судя по всему, поисковик — улучшенная версия Shodan, системы, которая позволяет осуществлять поиск данных о сайтах.
По мнению исследователя безопасности Виктора Геверса (Victor Gevers), «Ichidan — это просто находка». С его помощью эксперт смог обнаружить несколько скрытых сайтов, а также выявил в них серьезные проблемы с безопасностью. Оказалось, что они имеют несколько незащищенных к подключению портов.
В марте этого года стало известно, что масштабная атака на серверы хостинг-провайдера Freedom Hosting II привела к резкому сокращению числа пользователей сети: из 30 тысяч остались активны не более 4,4 тысячи. Поиск при помощи Ichidan подтверждает эти данные.
В апреле специалисты испанского университета Деусто обнаружили, что анонимная сеть Tor часто использует данные из обычного интернета, что ставит под угрозу приватность пользователей.
student:
Релиз дистрибутива Tails 3.13 и браузера Tor Browser 8.0.7
20.03.2019 08:11
Доступен релиз специализированного дистрибутива Tails 3.13 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб.
В новом выпуске обеспечено сохранение на постоянный носитель резервной копии настроек при каждом их изменении. Обновлены версии приложений: Tor Browser 8.0.7, Thunderbird 65.1.0, Tor 0.3.5.8, ядро Linux 4.19.28. Микрокод Intel обновлён до версии 3.20180807a.2, в котором предложены дополнительные исправления для новых вариантов уязвимостей Spectre, Meltdown и L1TF.
Одновременно, выпущена новая версия специализированного браузера Tor Browser 8.0.7, ориентированного на обеспечение анонимности, безопасности и приватности. В новом выпуске осуществлена синхронизация с выпуском Firefox 60.6.0 ESR, в котором устранено 13 критических уязвимостей (CVE-2019-9792, CVE-2019-9791, CVE-2019-9790, 10 объединены под CVE-2019-9788). Компоненты Tor обновлены до выпуска 0.3.5.8. Улучшена совместимость с дополнением NoScript, благодаря передаче в него сведений о запуске в контексте Tor Browser. Обновлён выпуск встроенного дополнения Torbutton 2.0.11.
student:
Доступны Tor Browser 8.5 и первая стабильная версия Tor Browser для Android
22.05.2019 09:23
После десяти месяцев разработки сформирован значительный релиз специализированного браузера Tor Browser 8.5, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 60. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android.
Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.
Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.
В новом выпуске:
Спойлер : Проведена реорганизация панели и упрощён доступ к индикатору уровня защиты, который вынесен из меню Torbutton на основную панель. Кнопка Torbutton перенесена в правую часть панели. По умолчанию с панели убраны индикаторы дополнений HTTPS Everywhere и NoScript (можно вернуть в интерфейсе настройки панели).
Индикатор HTTPS Everywhere убран так как он не несёт полезной информации и перенаправление на HTTPS всегда применяется по умолчанию. Индикатор NoScript убран так как браузером предоставляется переключение между базовыми уровнями зашиты, а кнопка NoScript часто вводит в заблуждение предупреждениями, возникающими из-за принятых в Tor Browser настроек. Кнопка NoScript также предоставляет доступ к обширным настройкам, без детального понимания которых изменение параметров может привести к проблемам с приватностью и несоответствию установленного в Tor Browser уровня безопасности. Контроль блокировки JavaScript для конкретных сайтов может быть произведён через секцию дополнительных полномочий в контекстном меню адресной строки (кнопка "i");
Откорректирован стиль и обеспечена совместимость Tor Browser c новым оформлением Firefox, подготовленным в рамках проекта "Photon". Изменено и унифицировано для всех платформ оформление стартовой страницы "about:tor";
Представлены новые логотипы Tor Browser.
Обновлены версии компонентов браузера: Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, te OpenSSL 1.0.2r, Tor Launcher 0.2.18.3;
Сборки сформированы с флагом "MOZILLA_OFFICIAL", применяемом для официальных сборок Mozilla.
Подготовлен первый стабильный выпуск мобильной редакции Tor Browser для платформы Android, который построен на кодовой базе Firefox 60.7.0 для Android и допускает работу только через сеть Tor, блокируя любые попытки установки прямого сетевого соединения. В состав включены дополнения HTTPS Everywhere и Tor Button. По функциональности редакция для Android пока отстаёт от настольной версии, но обеспечивает практически тот же по уровень защиты и конфиденциальности.
Мобильная версия размещена в Google Play, но также доступна в форме APK-пакета с сайта проекта. В ближайшее время ожидается публикация в каталоге F-droid. Поддерживается работа на устройствах с Android 4.1 или более новая версией платформы. Разработчики Tor отмечают, что не намерены создавать версию Tor Browser для iOS из-за введённых компанией Apple ограничений и рекомендуют уже доступный для iOS браузер Onion Browser, развиваемый проектом Guardian.
Ключевые отличия Tor Browser для Android от Firefox для Android:
Блокирование кода для отслеживания перемещений. Каждый сайт изолируется от перекрёстных запросов, а все Cookie автоматически удаляются после завершения сеанса;
Защита от вмешательства в трафик и наблюдения за активностью пользователя. Всё взаимодействие с внешним миром происходит только через сеть Tor и в случае перехвата трафика между пользователем и провайдером атакующий может увидеть только то, что пользователь использует Tor, но не может определить какие сайты открывает пользователь. Защита от вмешательства особенно актуальна в условиях, когда некоторые отечественные операторы мобильной связи не считают зазорным вклиниваться в незашифрованный пользовательский HTTP-трафик и подставлять свои виджеты (Билайн) или рекламные баннеры (Теле2 и Мегафон);
Защита от определения специфичных для конкретного посетителя особенностей и от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Все пользователи Tor Browser со стороны выглядят одинаково и неотличимы между собой при использовании расширенных методов косвенной идентификации. Например, кроме сохранения идентификатора через Cookie и API локального хранения данных для идентификации могут учитываться специфичные для пользователя список установленных дополнений, часовой пояс, список поддерживаемых MIME-типов, параметры экрана, список доступных шрифтов, артефакты при отрисовке с использованием canvas и WebGL, параметры в заголовках HTTP/2 и HTTPS, манера работы с клавиатурой и мышью;
Применение многоуровневого шифрования. Помимо защиты HTTPS трафик пользователя при прохождении через Tor дополнительно шифруется как минимум три раза (применяется многослойная схема шифрования, при которой пакеты обёртываются в серию слоёв с применением шифрования по открытым ключам, при которых каждый узел Tor на своём этапе обработки раскрывает очередной слой и знает лишь следующий этап передачи, а лишь последний узел может определить адрес назначения);
Возможность доступа к блокируемым провайдером ресурсам или централизованно цензурируемым сайтам. По статистике проекта Роскомсвобода 97% блокируемых ныне в РФ сайтов заблокировано неправомерно (находятся в одних подсетях с заблокированными ресурсами). Например, до сих пор остаются заблокированными 358 тысяч IP-адресов Digital Ocean, 25 тысяч адресов Amazon WS и 59 тысяч адресов CloudFlare. Под неправомерную блокировку в том числе подпадают многие открытые проекты, включая bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com и midori-browser.org.
student:
Исправлена критическая уязвимость браузера Tor
Пользователям анонимного браузера Tor настоятельно рекомендуется срочно обновить его до новейшей версии 8.5.2. В ней исправлена критическая уязвимость, потенциально позволяющая удаленное исполнение произвольного кода. Она была обнаружена специалистами проекта Google Project Zero и, как выяснилось, уже активно эксплуатируется злоумышленниками в реальных атаках.
Изначально уязвимость была выявлена в браузере Mozilla Firefox, на базе которого построен Tor. Разработчики Mozilla Foundation уже ликвидировали ее, теперь это сделали и специалисты Tor Project. Кроме того, они внесли улучшения в плагин NoScript, который позволяет контролировать запуск JavaScript и исполнение других сценариев на конкретных страницах. В настоящий момент Tor 8.5.2 недоступен для Android - предполагается, что он будет выпущен не позже ближайших выходных. Пока же пользователям Tor на Android-устройствах рекомендовано установить в настройках один из повышенных уровней безопасности - Safer либо Safest, поскольку на них уязвимость не распространяется.
student:
Tor может стать привилегированным расширением браузера Firefox
В столице Швеции Стокгольме прошла встреча разработчиков и активистов проекта Tor. В ходе встречи было, в частности, объявлено, что специалисты Tor и Mozilla Foundation совместно работают над расширением для браузера Firefox, которое позволит пользователям входить в интернет, сохраняя полную анонимность. Ранее представители Mozilla намеревались интегрировать возможности Tor в браузер Firefox как режим «сверх-приватного просмотра» (Super Private Browsing). Однако это решение связано с существенными техническими сложностями, а также может сказаться на быстродействии браузера.
В результате разработчики, судя по всему, склоняются к идее создания привилегированного расширения. Оно будет иметь большие права по сравнению с обычными расширениями и сможет, в частности, изменять настройки браузера с тем, чтобы использовать Tor в качестве прокси и блокировать попытки отслеживания «цифровых отпечатков». Расширение не будет входить в состав браузера, но любой пользователь сможет загрузить его с официального сайта Mozilla Foundation.
Навигация
Перейти к полной версии