4 June

Вышел Tor Browser 9.5 с новыми интересными функциями

ITSumma corporate blogFirefoxInformation SecurityServer AdministrationBrowsers


2 июня 2020 года на странице скачивания опубликована новая версия браузера Tor Browser 9.5 для всех платформ. Одновременно сделаны важные обновления безопасности для Firefox.

В этой версии Tor Browser реализована функция автоматического предложения onion-сервисов (opt-in), как только они становятся доступны для любого сайта. В дальнейшем браузер будет автоматически открывать onion-версию, даже если ввести обычный URL.

Onion-версия по умолчанию


Например, если открыть сайт издания ProPublica в браузере Tor, то он выведет всплывающее окно с предложением перейти на версию .onion, как показано на скриншоте.



В этом же всплывающем окне опцию можно включить на постоянной основе, так что браузер станет автоматически переадресовывать вас на защищённую версию сайта, даже если ввести обычный URL (Always Prioritize Onions).



Onion-версии существуют для Facebook, DuckDuckGo, New York Times, BBC, PornHub и многих других сайтов. Например, если ввести в адресной строке DuckDuckGo.com, браузер в будущем автоматически переадресует вас на https://3g2upl4pq6kufc4m.onion (в будущем, потому что поисковая система пока не прописала нужный заголовок на веб-сервере, см. ниже). Соответственно, вместо ProPublica.org откроется https://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion. Очень удобное нововведение, ведь onion-адреса сайтов обычному человеку сложно запомнить. Теперь они подставляются самостоятельно.

«Впервые пользователи Tor Browser на десктопе смогут автоматически подписаться на использование сайтов onion сразу, когда веб-сайт делает их доступными, — пишут разработчики. — В течение многих лет некоторые веб-сайты незаметно использовали альтернативные сервисы (alt-svc), и они по-прежнему остаются отличным вариантом». Но теперь появился новый механизм выбора, когда пользователям прямо в браузере предлагают обновить соединение и переключиться на конфиденциальную версию сайта в сети луковичной маршрутизации, то есть подключиться на onion-версию.

Чтобы пользователь увидел такое предложение, нужно добавить в конфигурационный файл веб-сервера HTTP-заголовок, см. инструкцию для разработчиков.

Например, в веб-сервер Apache конфигурация VirtualHost будет выглядеть так:

     <VirtualHost *:443>
       ServerName <your-website.tld>
       DocumentRoot /path/to/htdocs

       Header set Onion-Location "http://your-onion-address.onion%{REQUEST_URI}s"

       SSLEngine on
       SSLCertificateFile "/path/to/www.example.com.cert"
       SSLCertificateKeyFile "/path/to/www.example.com.key"
     </VirtualHost>

В Nginx сначала создаём onion-сервис в torrc:

HiddenServiceDir /var/lib/tor/hs-my-website/
HiddenServiceVersion 3
HiddenServicePort 80 unix:/var/run/tor-hs-my-website.sock

Затем добавляем заголовок в конфигурационный файл:

    add_header Onion-Location http://<your-onion-address>.onion$request_uri;

Читаемые имена


Из-за криптографического шифрования человеку нелегко запомнить адреса onion-сервисов, такие как expyuzz4wqqyqhjn.onion (torproject.org). В связи с этим родилась идея ввести человекочитаемые версии адресов в доменной зоне .tor.onion.

В партнёрстве с разработчиками сервиса HTTPS Everywhere из Фонда электронных рубежей и Фондом свободы прессы реализован экспериментальный концепт с человекочитаемыми адресами для некоторых onion-сервисов:

Так, onion-сервис SecureDrop для анонимного слива документов на сайте The Intercept теперь доступен по адресу theintercept.securedrop.tor.onion параллельно с обычным адресом http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion.



Аутентификация Onion


Ещё одна новая функция Tor Browser 9.5 даёт возможность админам onion-сервисов добавить на сайт дополнительный слой безопасности, установив пару ключей для контроля доступа и аутентификации.



Пользователи Tor Browser могут сохранить ключи и управлять ими в разделе about:preferences#privacy настроек Onion Services Authentication.

Вот инструкция для разработчиков, как добавить авторизацию в onion-сервис. Если вкратце, в OpenSSL генерируется пара ключей, они переводятся в base32 и на сервере создаётся новый файл с одним или несколькими открытыми ключами. Соответствующий закрытый ключ из сгенерированной пары передаётся клиенту. Его можно напрямую ввести в интерфейс Tor Browser, как показано на скриншоте вверху, и хранить в браузере, как показано на скриншоте внизу.



В Tor Browser 9.5 улучшены индикаторы безопасности в адресной строке в соответствии с изменениями в дизайне, которые случились в 2019 году в некоторых браузерах. Как известно, Chrome отказался от зелёной иконки с замком, которая символизирует защищённое подключение по HTTPS. Эта иконка стала серой. Остальные браузеры тоже идут по этому пути изменения UI.



В браузере Tor обновлён ряд индикаторов безопасности, чтобы более явно демонстрировать пользователям факт незащищённого подключения.



Доработаны сообщения об ошибках, которые Tor Browser выдаёт при невозможности подключения к onion-сайту. В частности, браузер теперь показывает упрощённую схему подключения с указанием места, в котором произошёл сбой на пути от клиента к серверу.

Tor Browser также исправляет ряд уязвимостей в безопасности Firefox, выявленных в последнее время.
Tags:ITSummaToronionконфиденциальностьдарквеб
Hubs: ITSumma corporate blog Firefox Information Security Server Administration Browsers
+46
9.5k 13
Comments 15
Top of the last 24 hours