日前,Tor项目发布了Tor浏览器14.5版本,可从Tor浏览器下载页面和发行目录页面中获取。此版本标志着连接辅助功能(Connection Assist)正式登陆Android客户端,让受到严格审查的移动用户只需按下按钮即可解锁Tor。此外,该版本还为Tor浏览器的Windows客户端和Android客户端增加了三种语言:白俄罗斯语、保加利亚语和葡萄牙语。
Tor浏览器14.5版本更新的内容 新增Android连接助手 Tor致力于将尽可能多的人连接到自由开放的互联网。但是,如果Tor网络在一些国家/地区、被当地的ISP或本地网络屏蔽了,Tor浏览器提供了绕过屏蔽的网桥:一种使用各种技术(统称为可插拔传输技术)来躲避审查的中继,并一直呼吁志愿者帮忙建立更多的网桥。但是,Tor项目表示,由于各国的审查人员可能已经发现并屏蔽了某些网桥,导致适用于一个国家/地区或网络的方法可能不适用于另一个国家/地区或网络。这意味着找到一个可以解除Tor屏蔽的网桥的过程需要反复试验,并给受到严格审查的用户带来过度负担。
为了简化此过程并帮助更多用户连接到Tor,Tor项目在Tor浏览器11.5大版本中发布了适用于Linux、macOS和Windows的连接助手(Connection Assist)。这样,如果Tor浏览器无法直接连接到Tor网络,连接助手将自动为用户查找并尝试桥接。由于技术原因,连接助手的功能一直未在Tor浏览器的Android客户端实现。
在此功能在Android上推出之前,Tor项目已经进行了多年的技术努力,重构了跨平台的Tor集成。该技术现已达到一个重要的里程碑,从而实现了Android版连接助手的正式发布。
Tor项目称,从技术层面来看,这意味着Windows客户端和Android客户端现在都能在一定程度上共享后端,并且由于大量遗留和冗余代码的消除,代码库也更加精简。从人性化层面来看,不仅连接辅助功能现在可在安卓系统上使用,而且Tor浏览器用户也能享受到更稳定、更不易出错的连接体验。此外,此次重构也为未来的改进奠定了更坚实的基础,例如在安卓系统上提供线路显示功能,或者在未来可能过渡到Arti。
新增三种语言 为了让尽可能多的人都能访问Tor浏览器,通过Tor志愿者的辛勤工作和奉献,以及本地化实验室(Localization Lab)的持续支持,现在Tor浏览器的Windows客户端和Android客户端都新增了三种语言:白俄罗斯语、保加利亚语和葡萄牙语。要使用这些语言,可以按照以下步骤更改Tor浏览器的语言:
在Linux、macOS或Windows上,转到☰>设置>通用>语言和外观>语言。 在Android上,前往⋮>设置>通用>语言。 Tor项目希望更多用户成为其志愿者或者Tor翻译员,其表示这是帮助处于危险之中和受到审查的互联网用户安全访问Tor的最有效方式之一。Tor项目称,如果用户发现这些语言或其他语言中的错误,可以在Tor项目的社区门户上了解更多关于如何为Tor浏览器、文档和网站的翻译做出贡献的信息。
虽小但强大的改进 Tor项目表示,这次大版本的升级还有一些小的改进,这些小改进与重大改进一样重要,并且有助于提升Tor浏览器的长期可用性和稳定性。其开发人员投入了大量时间进行了如下修复:
继Tor浏览器13.5中对Android客户端进行类似改进后,Windows客户端的Tor日志的布局也得到了增强,以提高可读性。现在,日志也会在桌面上实时“流式传输”,因此用户无需再关闭并重新打开对话框来刷新日志。
连接辅助逻辑中的各种边缘情况已得到解决,Tor浏览器现在在诊断连接问题时使用moat(一种使用域名前置的简短非Tor连接)的调用次数也减少了。当Tor浏览器的连接设置更改(例如配置网桥)应用失败时,Windows版本的Tor浏览器还会发出警告,而不是像以前那样默默地失败。
现在,通过Android上的“退出”菜单项退出Tor浏览器可以更彻底地结束后台进程并清除最近任务。同时,他们恢复了一项旧功能:如果用户急着退出Tor浏览器,该功能会自动退出并关闭所有标签页——这在紧急情况下非常方便。
这些只是这个大版本的一些小型改进的几个例子。要查看所有更改的完整记录,请参阅Tor官方博客的更新日志。
Tails操作系统发布6.14.2小版本 就在前一天,Tor项目紧急发布了Tails操作系统的6.14.2小版本,用于修复Linux内核和Perl编程语言实现中的安全漏洞。
变更和更新 将Linux更新至6.1.133,修复了可能导致权限提升或信息泄露的多个安全漏洞。
将perl更新至5.36.0-7+deb12u2,修复了基于堆的缓冲区溢出漏洞,该漏洞可能导致拒绝服务,或可能执行任意代码。
Tor的社区驱动模式是抵御隐私泄露威胁的最后堡垒之一,为开放网络提供了集体防御。Tor项目长期致力于推动Tor生态的发展,保护用户的隐私安全。频繁的Tor浏览器的更新,是他们不懈的努力成果之一。
扩展WebTunnel:成长和学习的一年 去年11月下旬,Tor项目呼吁Tor和Internet Freedom社区帮助扩大WebTunnel桥接器的规模。Tor项目的目标是部署200个新的WebTunnel桥接器。Tor项目很高兴地报告,Tor项目能够超越之前的目标,成功部署了207个新的WebTunnel桥接器。就在一年前,Tor项目仅有60个WebTunnel桥接器,而现在全球部署有300多个WebTunnel桥接器。
Tor项目称感谢为此次活动做出贡献的每一个人。这包括启动WebTunnel桥接的每位中继运营商,以及以其他方式做出贡献的运营商。Tor项目收到了来自运营商和其他志愿者的大量宝贵反馈、错误修复和文档注释,以改善用户体验。
Tor项目表示WebTunnel是一种安全的规避机制,在许多方面都具有颠覆性。以下是Tor项目迄今为止了解到的情况:
更强的抵抗力:在审查制度严格的地区(如伊朗、俄罗斯等地),WebTunnel桥接已被证明可以在其他规避方法(如obfs4桥接)被阻止的情况下发挥作用。
更高性能:这些地区的用户报告了积极的体验,WebTunnel在速度和可靠性方面通常优于其他桥接类型,因此成为首选。
更多分析:但是,还需要进一步研究来确定这些改进是WebTunnel本身固有的还是受到较低并发用户流量等因素的影响。
Tor项目感谢许多运营商提供的宝贵的技术反馈,为成功扩展WebTunnel桥接做出了贡献,并帮助完善了未来的部署流程,并称这是集体的力量——在行动。
旧版本Tor浏览器会因为火狐的证书到期而触发崩溃 Mozilla用于Firefox 115.12及以下版本附加组件验证的根证书已经于2025年3月14日到期,这可能会突然禁用扩展程序(包括内置的NoScript),并导致安全滑块等功能在13.5.11旧版之前的Tor浏览器版本上无法使用。
Tor项目要求Tor浏览器用户更新到其操作系统的最新版本。
Tor浏览器 14.0.8版本(仅限 Windows)修复重大安全漏洞 Tor浏览器14.0.8版本是仅适用于 Windows 的紧急版本,现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。
此版本包含针对Windows版本火狐(Firefox)浏览器的非常紧急的安全更新。因此建议Windows用户立即更新。
完整更新日志 Tor浏览器14.0.7版本以来的完整更新日志如下:
Windows Bug tor-browser#43553:反向移植 tor-browser#43504:实现用户调查 UX(桌面) Bug tor-browser#43592:从 Firefox 128.8.1esr 反向移植安全修复 构建系统 Windows Bug tor-browser-build#41375:反向移植 Bug 41374+40799:删除 update_responses 中对 migration_archs 和 migration_langs 的支持 + 删除 update-responses 和 dmg2mar 中的旧语言环境迭代 Bug tor-browser-build#41383:将 clairehurst 添加到可接受的 firefox/geckoview 签名者列表中 Bug tor-browser-build#41384:OpenSSL 哈希文件格式已改变 Bug tor-browser-build#41399:将 snowflake 更新至 2.11.0,将 lyrebird 更新至 0.6.0 Bug tor-browser-build#41378:反向移植 Bug 41363:为每个平台单独提交 update_responses
最近几天,Mozilla和Tor项目发布了各自的最新版本网络浏览器,这意味着Tails操作系统的更新也不会落后。
3月6日,Tails项目宣布推出Tails 6.13版本,这是其以隐私为中心的Linux发行版的最新版本,它带来了最新版本的Tor浏览器,引入了改进的Wi-Fi故障排除工具以及针对持久存储和安装工作流程的修复。
随着Tails的每次发布,我们通常也会看到操作系统的改进,这个版本也不例外。在Tails 6.13中,当未检测到Wi-Fi硬件时,Tor连接助手会显示一条新的错误消息。
增强的Wi-Fi硬件检测和诊断 Tails 6.13中的一个突出功能是其升级的Tor连接助手,它现在可以检测丢失的Wi-Fi硬件并显示明确的警告:“未检测到 Wi-Fi 硬件”。
开发人员指出,不幸的是,Wi-Fi问题在Tails和Linux上相当常见,因此通过添加这个更友好的错误屏幕,新用户应该会有更好的体验。
如果未检测到Wi-Fi硬件,系统会向用户提供一些提示供其尝试。此更新旨在减少新用户遇到兼容性问题(尤其是较旧的或不受支持的 Wi-Fi 适配器)时的困惑。
发行说明推荐了一些解决方法,例如使用USB以太网适配器、移动网络共享或购买与Tails兼容的USB Wi-Fi硬件。
Tor浏览器和Tor客户端升级 底层隐私工具在此版本中得到及时更新。Tor浏览器升级到14.0.7版本,整合了Firefox 128.0.8esr的安全补丁和来自Firefox 136的反向移植。
同时,Tor客户端升级至0.4.8.14版本,确保与最新的网络协议和中继兼容。这些更新可消除潜在漏洞并增强加密标准,这对于在高风险环境中操作的用户至关重要。
持久存储和安装修复 Tails 6.13解决了分区错误(#20797),该错误之前阻碍了在新映像的USB驱动器上创建持久存储。
操作系统现在可以在初始设置期间检测文件系统不一致,从而防止配置加密存储时出现故障。
此外,此版本还纠正了第三方软件安装过程中配置和显示日志按钮无响应的问题(#20781)。用户现在会收到明确的通知,例如“您的附加软件安装失败”,从而简化了错误解决。
对于那些小白用户来说,Tails是一个旨在让用户保持匿名的操作系统。从Tails 6.0及以上版本可以自动更新到Tails 6.13,强烈建议尽快更新以避免使用不安全的软件。
Firefox发布的最新更新 在最近的Firefox 136更新中,Mozilla的网络浏览器获得了多项改进和新功能,包括位于新侧边栏的垂直标签,当您打开大量标签时,它可以提供更好的概览。此更新通过修复漏洞提高了安全性,这些漏洞也适用于Firefox ESR和Tor浏览器。
Mozilla的2025-14安全公告报告显示,Firefox 136中至少修复了15个漏洞,外部研究人员报告的5个漏洞被评为“高”风险等级。例如,CVE-2025-1930漏洞可用于突破Windows上的浏览器沙盒。
此外,还有三条关于内部发现漏洞的汇总条目,这些漏洞的风险评级也很高。利用这些漏洞会导致“潜在的可利用崩溃”以及任意代码注入和执行的可能性。除此之外,Mozilla不会提供有关所涵盖漏洞的确切数量的信息。
Tor浏览器发布的最新更新 最近的Tor浏览器14.0.7更新,包含了Firefox浏览器的所有重要安全更新。将Tor浏览器版本重新定位到Firefox 128.0.8esr,从Firefox 136反向移植了安全修复程序,此外,还将OpenSSL版本更新至3.0.16。
2025年1月30日,Tor项目官方的X(以前称为Twitter)帐户遭到入侵,并被用于推广欺诈性的加密货币计划。Tor项目迅速在其他社交媒体提醒用户对网络钓鱼和诈骗保持警惕,尤其是涉及加密货币的诈骗。截至目前,Tor项目已经重新获取账号控制权限,并删除了盗号者发布的诈骗推广推文。
发现X账户被入侵后,Tor项目迅速通过其包括BlueSky和Mastodon账户在内的其他官方社交媒体渠道发出了警告:
Our X (Twitter) account has been compromised. We are working to regain access.
Please do not trust or interact with any posts, DMs, or links from our account until further notice.
Tor项目在声明中确认其X帐户已被入侵,并敦促粉丝不要信任或与来自被黑帐户的任何帖子、直接消息或链接互动。他们向用户保证,正在努力重新控制该帐户(最新:账户已经恢复)。
Tor项目建议其社区通过其博客和Mastodon等经过验证的渠道获取最新信息,并敦促其粉丝在另行通知之前不要与受感染的X帐户分享的任何帖子或链接互动。
在评论中,有网友在评价中质疑这一切怎么发生的,称X账户是怎么被盗的,他们应该知道什么是安全密码和2FA?还有网友说Tor项目的X账户被黑了,本来可以走得更远,赚更多的钱,结果只发了一条推文?
盗号者利用Tor项目官方X账户推广是的一个基于Solana区块链的Meme币$TOR,地址为:Du24pykXZDNvpcJBRfDaXV8AtwoxN1UB6AGcjPvupump,盗号者精心设计了该Meme币,并盗取Tor项目官方X账户进行推广,已经成功销售(骗取)了超过340万美元。
这一事件凸显了网络犯罪分子瞄准知名账户、利用其信誉进行诈骗日益增多的趋势。此次X账户被盗事件也强调了加强数字平台安全措施的必要性。
“暗网下/AWX”强烈建议用户在进行任何在线加密货币投资交易之前核实来自官方来源的信息。如需了解Tor项目的真实最新情况,需同时访问Tor项目自己的博客或关注其在其他平台上的已验证帐户。
最近,Tor项目先后发布Tor浏览器、Tails操作系统的最新版本更新,其中,Tor 浏览器 14.0.4包含 Firefox 的重要安全更新,Tails 6.11 修复了外部审计期间发现的几个严重的安全漏洞。此外,下一代Tor客户端Arti也发布了1.3.2版本,包含了洋葱服务、RPC、中继等功能的开发更新。
Tor浏览器14.0.4新版本发布 Tor浏览器14.0.4现在已经可以从Tor浏览器下载页面以及Tor官方网站的分发目录中获取。
此版本包含 Firefox 的最新的重要安全更新。
完整更新日志 Tor浏览器14.0.3以来的完整更新日志如下:
所有平台 已将 NoScript 更新至 12.1.1 Bug tor-browser#42125:锁定 RFP 第 2 部分 Bug tor-browser#43176:控制台中的 noscript-marker CSP 警告 Bug tor-browser#43282:无法单击/点击/选择 WebGL 占位符附近的任何内容 Bug tor-browser#43296:NoScript 阻止的视频内容占位符未居中 Bug tor-browser#43338:自定义缩放 + “仅缩放文本”破坏了 pdfjs Bug tor-browser#43343:删除 YEC 2024 Bug tor-browser#43352:NoScript 更新期间记录的对多播 IPv6 ff00:::443 的连接尝试失败 Bug tor-browser#43366:请勿在输入中使用系统强调色 Bug tor-browser#43382:将 Tor 浏览器稳定版本重新调整至 128.6.0esr Bug tor-browser#43384:从 Firefox 134 反向移植安全修复 Bug tor-browser-build#41333:更新 Snowflake 内置桥中的 STUN 服务器 Bug tor-browser-build#41338:添加 CDN77 meek 桥 Windows + macOS + Linux Firefox 已更新至 128.
Tor官方在2024年底对该非盈利性重大隐私保护工程一年的工作进行了回顾,“暗网下/AWX”对Tor项目的文章进行了翻译与总结。Tor官方称,每当人们谈论Tor时,总会提到几个关键问题:性能、安全性和网络健康、审查规避以及第三方集成的兼容性。这些是Tor项目工作的重中之重,2024年Tor项目在这些领域都取得了重大进展,这篇文章里,Tor官方回顾了其是如何为解决这些核心问题和挑战而开展的一些新项目和正在进行的项目。
一、提高性能和安全性 洋葱服务改进:洋葱服务是一种使用Tor网络交换数据的通信技术。它们通过将所有通信保留在Tor网络内,来提供端到端加密和增强的匿名性。2024年,Tor项目推出了OnionSpray,这是一款即插即用的工具包,可以更轻松地将现有明网网站转换为可以使用.onion域名访问的暗网网站。OnionSpray具有代理功能,允许现有网站与“洋葱服务”无缝集成。通过简化设置,运营者可以快速受益于.onion暗网网站的抗审查和拒绝服务保护功能,而无需修改其现有基础设施。如需深入了解该功能,可以查看Tor项目早期采用者之一的案例研究。
支持Vanguards:从2024年夏天开始,Arti支持Vanguards,这是一种针对针对洋葱服务和洋葱服务客户端的防护发现攻击的防御措施。Vanguards于2018年首次作为v3洋葱服务的附加组件推出,旨在降低去匿名化攻击的风险并确保用户安全。
内存配额跟踪:Tor工程师和志愿者在Arti方面取得了重大进展,Arti是Tor核心的现代重写版本,采用Rust语言编写。Arti的模块化设计提高了可维护性、安全性和性能。为了抵御内存耗尽攻击,2024年Tor项目实现了内存配额跟踪。此功能允许Tor监控和限制其内存使用情况,优先关闭较旧的连接,以降低内存使用率并保持系统稳定性。这为所有用户提高了可靠性,并降低了高流量期间系统超负荷的风险。
带宽扫描仪:Tor保持网络稳定和健康的持续策略依赖于有效利用网络数据的能力。带宽扫描仪通过测量Tor网络中的中继容量,在网络的性能和安全性中发挥着重要作用。然后,这些数据会被用来指导如何构建与Tor网络连接的路径。这样做的目的是优化网络中的负载分布,最终提高浏览速度和可靠性。
二、扩大抗审查能力 发布WebTunnel:2024年年初,Tor项目成功推出了WebTunnel,这是一种新型桥接器,旨在与普通网络流量无缝融合,使审查者更难阻止Tor连接。通过模仿常见的互联网协议,WebTunnel提高了Tor网络在审查严格的地区的适应能力和弹性。自2024年上半年推出以来,该桥接器确保优先考虑较小流量的下载,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛使用的浏览器的特性。这使得Webtunnel对普通用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。在为用户提供可靠的开放网络访问方面,这种方法已经显示出良好的前景,尤其是在像俄罗斯这样审查严格的地区。Tor官方一直希望扩大这些努力,如果有用户愿意通过运行新桥接器来支持Tor,可以考虑参与并学习相关的技术知识。
Snowflake更新:浏览器扩展程序Snowflake于2021年推出,是Tor对抗网络审查的一大飞跃。它使设置代理变得像打开网页一样简单。为了遵守Google Chrome扩展程序框架的变化,Tor项目重新设计了Snowflake的WebExtension,以符合Manifest V3标准。更新后的版本已于9月份成功部署,确保在Google逐步停止对Manifest V2的支持后,Chrome浏览器上的用户仍可使用Snowflake。Tor项目还通过自动化发布流程、替换过时的内容交付网络和修订协议来不断改进Snowflake。这些努力确保Snowflake对全球用户保持可靠和有效。
过渡到Rdsys:2024年,Tor项目从BridgeDB成功过渡到Rdsys,这是Tor项目的下一代桥接分发系统。Rdsys采用模块化架构,可帮助Tor项目快速适应新出现的审查策略,并允许Tor项目试验桥接分发渠道,更有效地覆盖用户所在的地理位置。
三、推进外联和宣传 与Tails联手:合作一直是Tor项目工作的核心,例如Tor项目与Tails的合并,就是一个很好的例子。Tails是一个便携式操作系统,使用Tor保护用户免受数字监控。2024年,Tails推出了几项影响深远的更新,包括一项防止数据丢失的新备份功能。展望未来,该团队正在探索如何在Tails上支持Signal等消息应用程序,使用户能够安全地进行通信,同时将敏感通信与可能受到入侵的设备隔离开来。
分散培训工作:Tor官方从自己开展全球培训课程转变为为当地培训师提供教授Tor的技能。Tor官方将2022年首次启动的”隐私弹性资助计划“扩展到49个国家/地区,使培训师能够开展本地化的Tor活动。培训师们报告了培训带来的重大影响,例如改善了对监控和协作学习的保护。
中继倡导:Tor官方继续扩大与大学的合作伙伴关系,以促进中继运营。这些努力不仅通过访问强大的中继节点增强了Tor网络,而且还通过树立积极的榜样鼓励更多组织为其基础设施做出贡献。
四、为Tor的未来做好准备 RPC子系统:2024年Arti最重要的进展之一是开发了一个完全重新构想的RPC子系统。该系统通过提供进程外应用程序接口(out-of-process API)、改进模块化和应用隔离,重新定义了应用程序与Tor的交互方式。与现有的控制端口不同,RPC子系统可防止应用程序访问敏感信息。。这种设计将使开发人员能够更轻松、更安全地构建使用Tor的工具和服务。
人性化的.onion地址:冗长复杂的.onion域名一直是可用性方面的难题与挑战。今年,Tor官方开始研究创建更人性化的替代方案,旨在提高新用户的可访问性,同时保持强大的安全性。这些努力将使”洋葱服务“更加平易近人,更加方便用户使用。
Android版本辅助功能:为了准备使用“辅助功能”——一项意在自动规避审查的功能——Tor项目重新设计了Android版本Tor浏览器的连接体验,采用了全新的“原生”实现方式。这是Tor项目长期努力将“连接辅助”引入安卓系统的长期努力的必要步骤,并为安卓用户提供了一系列小的改进,使其体验与桌面更加一致,并允许用户在连接前访问设置,从而实现更顺畅的故障排除和更高的可访问性。
Tor官方最后总结称,所有这一切都得益于Tor社区和用户的持续支持。Tor官方可以共同为数字权利打造一个更强大、更具弹性的未来。
昨日,Tor项目在官方博客发布新文章,向Tor社区、隐私社区和互联网自由社区发出紧急呼吁,希望志愿者在年底前帮助部署200个新的WebTunnel网桥,以对抗俄罗斯政府日益升级的网络审查。
目前,Tor项目运营着143个WebTunnel网桥,帮助审查严格地区的用户绕过互联网访问限制和网站封锁。
此举是为了回应俄罗斯日益升级的审查制度,Tor项目表示,目前这影响了浏览器内置的审查规避机制,包括obfs4连接和Snowflake。
Tor项目认为,建立更多的WebTunnel桥接器是对这种审查升级的最佳回应,因为分析新的策略和开发解决方法需要时间,这会导致用户容易受到攻击并与免费互联网隔绝。
俄罗斯严格的网络审查 Tor项目称,俄罗斯Tor用户最近的报告显示,网络审查制度正在升级,目的是阻止对Tor和其他规避工具的访问。这一新举措包括试图阻止Tor项目开发的Tor桥接器和可插入设备的网络传输、从应用程序商店中删除应用程序以及要求热门的托管服务提供商停止服务,从而降低绕过审查的空间。尽管多项行动仍在继续,但Tor目前仍然有效。
但是,一个令人担忧的趋势是,俄罗斯联邦通信监管局有针对性地封锁了热门托管服务提供商。由于许多规避工具都在使用这些服务,这一举措导致许多俄罗斯用户无法访问一些Tor网桥。随着俄罗斯联邦通信监管局和俄罗斯的互联网服务提供商加大封锁力度,对更多WebTunnel桥的需求变得迫在眉睫。
WebTunnels如何帮助绕过审查 WebTunnels是Tor项目于2024年3月推出的一种新型网桥,专门用于将Tor流量与常规网络流量混合。该系统通过运行具有有效SSL/TLS证书的Web服务器来实现这一点,将Tor流量伪装成常规HTTPS流量。与使用obfs4等特定协议(这使其识别起来更容易)的标准Tor网桥相反,WebTunnel网桥“隐藏在众目睽睽之下”。这使它们能够抵抗严格的审查。
自今年早些时候推出以来,WebTunnels确保优先考虑较小的下载大小,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛浏览器的特性。这使得Webtunnel对一般用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。Tor项目称:这使审查人员更难检测和阻止,特别适合躲避审查者的监视。
Tor项目提出呼吁 Tor项目呼吁Tor社区和互联网自由社区帮助扩大WebTunnel桥接器的规模。如果热心的志愿者曾经想过运行 Tor 桥接器,那么现在是时候了。Tor项目的目标是在今年(2024 年)12月底之前部署200个新的WebTunnel桥接器,为俄罗斯用户开放安全访问。
Tor项目启动了一项新活动,活动于2024年11月28日开始,并将持续到2025年3月10日,呼吁志愿者建立和维护新的WebTunnel网桥。在此期间设立五座或更多WebTunnel网桥桥的人员将收到该组织赠送的一件T恤作为“感谢”礼物。
一旦网桥建立并运行,网桥的运营者可以向“[email protected]”发送电子邮件并提供详细信息,以注册参与该活动。
如何运行Tor的WebTunnel网桥 作为志愿者,所需要的只是一个静态IPv4地址、一个自托管网站、一个有效的SSL/TLS证书以及至少1TB/月的带宽。具体而言,有两个方法:
使用Docker:使用Tor项目提供的Docker映像,可简化Tor桥接器和WebTunnel传输的部署。需要对您的 Web 服务器进行一些额外配置。 Ansible自动化:由社区成员Jacobo Nájera创建的WebTunnel Ansible角色提供了另一种快速建立 WebTunnel桥的方法。 可以在Tor项目的WebTunnel指南中找到技术要求。简而言之,需要:
静态IPv4地址(首选) 自托管网站 有效的SSL/TLS证书(例如 Let’s Encrypt) 带宽使用量:至少1TB/月,但建议更多。 网桥活动参与规则 参与要求如下:
每个IPv4地址一个WebTunnel网桥;允许子域名或不同的域名。 请提供有效的电子邮件地址作为联系信息。否则无法确认并验证是否参与了此活动。 保持网桥运行至少一年。 确保网桥正常运行,几乎全天候运行;允许重新启动以进行更新。 网桥在活动期间必须保持正常运转的功能。 避免托管在Hetzner上。 有关如何设置和运行WebTunnel桥的更多信息,志愿者可以查看此官方指南。
俄罗斯审查者瞄准可插拔传输 Tor浏览器等Tor驱动的应用程序包含内置的审查规避功能,但俄罗斯的审查者越来越多地针对这些机制。例如,用户报告表明obfs4连接在俄罗斯的一些4G移动网络上被阻止。尽管如此,obfs4仍然是该国Tor用户最广泛使用的可插入传输。Snowflake也在某些提供商处经历了部分屏蔽,Tor的反审查团队一直在调查。
分析审查策略、开发修复方案并实施新的缓解措施需要时间和资源。与此同时,Tor WebTunnel桥接器是绕过俄罗斯审查的一种紧急且直接的方法。
Tor驱动的应用程序对于在严格限制的地区打击网络审查至关重要。在一个“最大的银行被指示惩罚使用信用卡支付 VPN服务的客户”的国家,Tor等免费开源工具是为数不多的让用户保持连接的替代方案之一。
背景:Tor网络在俄罗斯被封锁(2021年) 2021年末,俄罗斯政府试图封锁Tor网络,正如Tor项目在博客文章中详细介绍的那样。尽管俄罗斯审查人员尽了最大努力,但俄罗斯用户还是能够使用Tor网桥绕过封锁。
2024年初推出WebTunnel时,仅有60个WebTunnel网桥。如今,这个数字已经增加了一倍多,达到143个。然而,Tor项目表示必须还要加大努力,以满足不断增长的需求,并应对不断变化的审查形势。
Tor项目希望,如果有热心人士曾考虑过运行Tor网桥,那么现在正是开始的好时机。
11月6日,X用户Andrew Morris(@Andrew___Morris)发布推文称,有人正在攻击Tor,而且已经持续了几周。攻击者伪造了Tor出口和目录节点的IP地址,并在TCP/22端口上肆意发送TCP SYN数据包——这引发了托管服务提供商大量的滥用投诉,然后托管服务提供商就会临时屏蔽/禁止实际上并没有做错任何事的Tor基础设施。
Quick PSA: Someone is attacking Tor right now and has been for a few weeks. The attacker is spoofing the IPs of Tor Exit and Directory nodes, and blasting TCP SYN packets indiscriminately on 22/TCP- spurring a large amount of abuse complaints to hosting providers, which are…
— Andrew Morris (@Andrew___Morris) November 6, 2024 目前,Andrew Morris建议所有主机提供商忽略“SSH 扫描”或 “22/TCP 端口扫描”并来自以下任何 IP 的滥用投诉:https://pastebin.com/idKU0agt。Andrew Morris表示这是一种巧妙的攻击,他正在与合作伙伴合作,以三角测量这些流量的真正来源,然后设法断开连接。他在推文后面提供了来自攻击者的奇怪网站:r00t[.]monster,并给出了社区报告的参考:
https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85
https://archive.torproject.org/websites/lists.torproject.org/pipermail/tor-relays/2024-October/021953.html
11月8日,Tor官方在博客做出回复,称正在保卫Tor网络,号召社区共同努力,减少针对Tor的IP欺骗。
Tor官方称,10月底,Tor目录管理机构、中继运营者,甚至Tor项目系统管理团队都收到了来自其提供商的关于端口扫描的多项滥用投诉。这些投诉被追溯到一次有组织的IP欺骗攻击,攻击者欺骗非出口中继和其他Tor相关IP,以触发滥用报告,目的是破坏Tor项目和Tor网络。
10月31日是万圣节前夜,”暗网下/AWX“注意到,Tor官方一口气发布了Tor浏览器、Tails操作系统以及新Tor客户端Arti三个正在维护中的项目的版本更新,修复了一些安全问题以及Bug错误。Tor项目目前正在密集举办和参与各类会议和活动,以推广和宣称Tor网络;同时,积极完善其产品,以保证Tor网络的安全性与匿名性。
新版本:Tor浏览器 14.0.1 一周前,Tor官方刚刚发布了基于Firefox ESR最新版本的Tor浏览器14.0版本,现在又更新了一个新的小版本14.0.1。
Tor浏览器14.0.1现在可以从Tor浏览器下载页面以及Tor官方网站的分发目录中获取。
此版本包含Firefox的重要安全更新。
已修复的问题 aarch64 macOS(M1及以上版本)的Tor守护进程在访问某些洋葱服务网站时会崩溃,导致Tor浏览器无法运行。虽然用户可以通过重新启动Tor浏览器来暂时解决这个问题,但在新的修复程序推出之前,特定的导致访问失败的洋葱服务网站将持续无法访问。此问题正在tor-browser#43245中跟踪。
新版本:Tails 6.9 Tails是一个侧重安全,基于Debian专注于个人隐私和匿名性,并将非匿名通信进行封锁的操作系统。 这个系统所有的外部通信均强制通过Tor进行传送, 此系统设计为使用Live DVD或者Live USB进行引导,且不让计算机在非显式行为下留下数据痕迹。另外,Tor Project对于此项开发提供经济支持,并在近期已经与Tor项目合作运营。
变更和更新 将Tor浏览器更新至14.0.1。
将Tor客户端更新至0.4.8.13。
将Thunderbird更新至115.16.0。
已修复的问题 修复自动升级在下载成功后仍会出现 “无法下载升级 ”的错误信息。(#20593)
欲了解更多详情,可以阅读Tails的更新日志。
Arti 1.3.0发布:内存配额跟踪、洋葱服务等 Arti是Tor官方正在进行的项目,旨在用Rust创建下一代Tor客户端。现在Tor官方在其官方博客宣布正式发布了最新版本Arti 1.3.0。
此版本是Arti的一个重要的里程碑:Tor官方称Rust版本在大多数主要客户端功能上已与C版本的Tor实现对等,并表示许多其他主要工作也在进行中!Arti Relay的工作正在加速进行,RPC系统也在进行中。
有关Arti的完整详细信息,以及许多较小和不太明显的变化的信息,请参阅CHANGELOG。
有关使用Arti的更多信息,可以参阅顶级README和arti二进制文件的文档。
4个月前,”暗网下/AWX“抢先报道Tor项目推出了Tor浏览器 13.5大版本,并在加紧新版本的开发。Tor项目的效率相当高,这4个月中进行了多次小版本的更新。
10月23日,Tor项目发布了Tor浏览器 14.0大版本,这标志着这款以隐私为重点的开源、跨平台、免费的网络浏览器进行了重大的稳定更新,旨在保护用户在使用Tor匿名网络的时候可以逃避跟踪、监视和审查。
Tor浏览器 14.0基于Mozilla Firefox ESR 128(扩展支持版本)系列,融合了Firefox一年的上游变化,并针对桌面和安卓(Android)用户提供了大量增强功能。并且Tor项目还完成了年度ESR过渡审计,其中审查并解决了200多个Bugzilla问题。
Android版本的New circuit 对于安卓用户,Tor浏览器 14.0引入了一种新方法,即通过将“此网站的新线路”(New circuit for this site)桌面功能移植到安卓端,为访问失败的网站请求新线路,而无需重置身份。用户现在可以通过点击“新线路”(New circuit)项直接从Tor浏览器的hamburger菜单中请求新线路。请求新线路时,Tor浏览器会关闭所有选项卡、清除所有cookie并清除用户的浏览历史记录。
Tor浏览器的开发人员解释道:
在以前的安卓版Tor浏览器中,用户可以通过与Tor浏览器运行时出现的持续通知交互来请求“新身份”。然而,这并不寻常,原因有以下几点:首先,应用程序的用户界面本身并不提供此类功能,只能通过安卓的通知抽屉在应用程序外部启用。其次,此功能不会执行与桌面版 Tor 浏览器相同的重置身份的步骤,例如关闭所有选项卡、清除所有 cookie 和清除浏览历史记录。
扩展对旧操作系统的支持 Tor浏览器 14.0还扩展了对Windows 7、Windows 8和Windows 8.1以及macOS 10.12、macOS 10.13和macOS 10.14等旧平台的支持,这些旧平台的用户将继续临时收到关键安全更新,至少到2025年3月。
Tor浏览器的开发人员解释道:
微软于2023年1月终止了对Windows 7、8和8.1的支持,而苹果会继续为之前的三个版本的macOS提供支持。另外,Mozilla去年曾将这些版本的支持转移到Firefox的扩展支持版本(ESR),并表示ESR 115将是支持这些平台的Firefox的最后一个版本。然而,Mozilla此后又宣布,ESR 115将继续收到关键安全更新,至少到2025年3月,并打算在明年初重新评估情况。因此Tor浏览器的支持时间与Firefox相同。
因此,每当Firefox ESR 115有关键安全更新可用时,Tor项目将继续发布Tor浏览器 13.5的新版本。最终,这种支持只是暂时的,并且取决于Mozilla的时间表。这意味着Tor浏览器用户群将分为两个更新路径:
Windows 10或更高版本和macOS 10.15或更高版本的用户将更新至Tor浏览器 14.0。 Windows 7、8和8.1以及macOS 10.12、10.13和10.14的用户将继续使用Tor 浏览器 13.5。 其他变化 新版本具有更新的字体,包括更粗的标题和行高,以提高字体兼容性和可访问性,以及提高指纹保护的可用性和兼容性,以实现画中画、屏幕截图等实用功能,同时又不损害用户隐私。
将安卓版Tor浏览器的代码库统一到单个存储库中,改变了Tor浏览器用户代理的欺骗方式,减少了x86和x86_64平台的安卓APK大小,改进了安卓APK生成,并修复了大量错误。
请查看发布公告页面上的完整更新日志,了解有关此Tor浏览器新主要更新中包含的更改的更多详细信息。Tor浏览器现在可以从官方网站下载,在Tor浏览器的下载页面和Tor项目的分发目录中提供。