Сформирован значительный релиз специализированного браузера Tor Browser 13.0, в котором осуществлён переход на ESR-ветку Firefox 115. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP-адрес пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Android, Windows и macOS.
Для обеспечения дополнительной защиты в Tor Browser включена настройка «HTTPS Only», позволяющая использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.
Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, “link rel=preconnect”, модифицирован libmdns.
В новой версии:
- Осуществлён переход на кодовую базу Firefox 115 ESR и стабильную ветку tor 0.4.8.7. В процессе перехода на новую версию Firefox проведён аудит изменений, внесённых со времени появления ESR-ветки Firefox 102, и отключены патчи, сомнительные с точки зрения безопасности и конфиденциальности. Среди прочего заменён код преобразования string-to-double, отключена функция обмена недавними ссылками, отключён API для сохранения PDF, убраны сервис и интерфейс автоскрытия баннеров подтверждения Cookie, убран интерфейс распознавания текста.
- Обновлены пиктограммы и отточен логотип приложения, при сохранении общей узнаваемости.
- Предложена новая реализация домашней страницы (“about:tor”), примечательная добавлением логотипа, упрощением оформления и оставлением только поисковой строки и переключателя “onionize” для обращения к DuckDuckGo через onion-сервис. При отрисовке домашней страницы улучшена поддержка экранных ридеров и средств для людей с ограниченными возможностями. Включён показ панели закладок. Решена проблема с показом “красного экрана смерти”, возникавшего из-за сбоя при проверке подключения к сети Tor.
Стало:
Было:
- Увеличен размер новых окон, для которых теперь по умолчанию выбирается соотношение сторон, более удобное для пользователей широкоформатных экранов. Для предотвращения утечки информации о размере экрана и окна в Tor Browser применяется механизм letterboxing, добавляющий отступы вокруг содержимого веб-страниц. В прошлых версиях по мере изменения размера окна размер активной области менялся с шагом 200×100 пикселей, но был ограничен максимальным разрешением 1000×1000, что из-за недостаточной ширины создавало проблемы с некоторыми сайтами, которые показывали горизонтальную полосу прокрутки или отображали версию для планшетов и мобильных устройств. Для решения данной проблемы максимальное разрешение увеличено до 1400×900 и изменена логика пошагового изменения размера.
- Осуществлён переход на новую схему наименования пакетов, соответствующую шаблону “${ARTIFACT}-${OS}-${ARCH}-${VERSION}.${EXT}”. Например, сборка для macOS ранее поставлялась как “TorBrowser-12.5-macos_ALL.dmg”, а теперь имеет вид “tor-browser-macos-13.0.dmg”.
- При выборе режима “Safest” для поиска через DuckDuckGo теперь применяется обращение к варианту сайта без JavaScript.
- Усилена защита от утечек через WebRTC.
- Включена очистка в URL параметров, используемых для отслеживания перемещений (например, удаляются параметры mc_eid и fbclid, применяемые при переходе по ссылкам со страниц Facebook).
- Удалена настройка javascript.options.large_arraybuffers.
- На платформе Linux отключена настройка browser.tabs.searchclipboardfor.middleclick.