10月9日,Mozilla已向Firefox浏览器发布了131.0.2版本的紧急更新,该更新修复了一个远程代码执行漏洞。紧接着,Tor项目发布Tor浏览器13.5.7版本以及Tails操作系统6.8.1版本来跟进修复该漏洞。
Firefox 131.0.2的安全修复(MFSA 2024-51) 根据Mozilla的安全公告报告,该漏洞(CVE-2024-9680)与使用后释放CSS动画有关。网络犯罪分子可以利用此漏洞注入并执行任意恶意代码。
发布时间2024年10月9日影响关键产品Firefox, Firefox ESR修复版本Firefox 131.0.2
Firefox ESR 115.16.1
Firefox ESR 128.3.1 该漏洞编号为CVE-2024-9680: 动画时间线中的 “释放后使用”(use-after-free),漏洞发现者为来自安全公司ESET的 Damien Schaeffer,攻击者可利用 Animation timelines 中的 “use-after-free ”漏洞,在内容进程中执行代码。目前已经收到过关于此漏洞在野外被利用的报告。参考:Bug 1923344
Tor浏览器 13.5.7 Tor浏览器专为访问暗网而设计,基于Firefox而构建,因此也同步修复了该安全漏洞。它还修复了一些bug。
Mozilla已经意识到这种攻击正在野外针对Tor浏览器用户进行。
Tor浏览器 13.5.6以来的完整更新日志如下:
所有平台 Bug tor-browser#43201:Firefox 131.0.2 的安全修复 Bug mullvad-browser#361:巴西一些政府网站上的 SSL_ERROR_NO_CYPHER_OVERLAP 构建系统 Windows + macOS + Linux Bug tor-browser-build#41254:删除 cryptoSafetyPrompt.properties 行 Tails 6.8.1 Tails专为匿名浏览而设计,同步修复了Firefox浏览器(Tor浏览器的基础)中的这个严重安全漏洞,它还改进了持久内存的处理。
根据Tor项目的官方描述,将Tor浏览器更新至13.5.7 版,可修复MFSA 2024-51,这是一个重大的释放后使用漏洞。利用此漏洞,攻击者可以控制Tor浏览器,但可能无法在Tails中将您匿名化。
安全更新是Tails 6.8.1中唯一的变化,它使用了Tor浏览器的补丁修复版本13.5.7。但周三晚上发布的Tails 6.8还有一些变化。开发人员写道,现在可以修复解锁持久存储时检测到的文件系统错误。然而,并非所有文件系统错误都可以安全修复,这就是为什么他们还创建了更详细的文档,其中包含进一步可能的解决方案。
9月中旬发布的Tails 6.7大版本包含匿名聊天功能,如果安全启动出现问题,它可以提供如何启动计算机的说明。9月底,Tails和Tor项目宣布未来将联手,他们希望联手保护全球用户免受监视和审查。
前不久,”暗网下/AWX“报道了Tor浏览器与Tails操作系统同步发布新的版本更新,本周就迎来大新闻:Tor项目将与Tails合并,联手打击监控和审查。
根据Tor项目官方博客的官宣,近日,Tor项目(一家开发在线隐私和匿名工具的全球非营利组织)和Tails(一种使用Tor保护用户免受数字监控的便携式操作系统)已联手协作,并合并运营。将Tails纳入Tor项目的架构后,可以更轻松地进行协作、提高可持续性发展能力、降低管理费用并扩大培训和推广计划,从而可以应对更多的数字威胁。简而言之,联手将增强两个组织保护全球人民免受监控和审查的能力。
Big news! The @TorProject and @Tails_live are joining forces in our fight against surveillance and censorship. By merging operations, we’re making it easier to collaborate and build even better tools for privacy and digital freedom. Learn more: https://t.co/zGgRxsgOrd #Privacy… pic.twitter.com/CblsgULogu
— The Tor Project (@torproject) September 26, 2024 汇集资源,更好地服务全球社会 Tor和Tails旨在应对全球大规模监控和审查对自由互联网的威胁,提供了重要工具,帮助世界各地的人们在网络上保持安全。通过强强联手,这两家隐私倡导者将集中资源,专注于最重要的事情:确保活动家、记者、其他高风险用户和普通用户都能够获得并使用更好的全球顶尖的数字安全工具。
2023年底,Tails向Tor项目提出了合并运营的想法。Tails的规模已经超出了其现有结构。与其独自扩大Tails的运营能力,给Tails员工带来更多压力,不如与Tor项目合并,因为Tor项目拥有更大且更成熟的运营框架,这是一种双赢的解决方案。通过合并,Tails团队现在可以专注于他们的核心任务,即维护和改进Tails OS,探索更多互补的使用案例,同时受益于Tor项目更大的组织结构。
这一解决方案是Tor项目和Tails共同合作和团结历史的自然结果。15年前,Tails的第一个版本在Tor邮件列表中发布,自2015年以来,Tor和Tails的开发人员一直保持着密切合作,最近Tails已成为Tor的次级资助者。对于Tails来说,如果他们要与一个更大的组织接触,并寻求合并的可能性,那么显然那就是Tor项目。
Tor项目的Tails OS团队负责人intrigeri表示:“15年来,作为一个独立项目运营,这是一项艰巨的工作,Tails团队付出了巨大的努力,但原因可能并非你所想的那样。最困难的部分不是技术,而是处理筹款、财务和人力资源等关键任务。在尝试以不同的方式管理这些任务后,我真的很欣慰Tails现在归Tor项目管理。在某种程度上,感觉就像回家一样。”
Tor项目欢迎新用户和合作伙伴加入Tor的社区 无论是寻求访问开放网络的用户还是面临监视的用户,Tor和Tails都能提供互补的保护。Tor浏览器可匿名化网上浏览活动,而Tails可保护整个操作系统——从文件操作到浏览会话。对于在专制地区工作或报道敏感话题的记者来说,Tor和Tails经常被用作保护其通信和消息来源的组合。合并后,将能更有力地应对这些重叠的威胁模式,并为那些在高风险环境中需要网络和系统级安全的人提供全面的解决方案。
合作还将开辟更广泛的培训和推广机会。到目前为止,Tor的教育工作主要集中在其浏览器上。通过将Tails整合到这些项目中后,可以满足更广泛的隐私需求和安全场景。最后,此次合并将提高Tails的知名度。许多熟悉Tor的用户可能还不知道Tails OS。通过将Tails纳入Tor项目,可以向更多需要在恶劣环境中工作时保持匿名的个人和团体介绍这一强大的工具。
“加入Tor意味着我们终于有能力接触到更多需要Tails的人。我们早就知道我们需要扩大我们的影响力,但我们没有足够的资源来做到这一点。”intrigeri说。
Tor项目执行总监Isabela Fernandes表示:“通过将这两个组织整合在一起,我们不仅让团队的工作变得更轻松,而且确保了这些重要工具的可持续发展和进步。通过合作,我们可以更快、更高效地开展协作,将新功能从一种工具快速整合到另一种工具。此次合作加强了我们的使命,并提高了我们应对不断演变的威胁的能力。”
Tor项目最后表示,用户的支持将对此次合并大有裨益,希望大家考虑向Tor项目捐款。如果希望将捐款专门用于Tails活动,可以继续通过Tails的捐款页面进行捐款,直至另行通知。要了解有关Tor项目如何整合捐款基础设施以及捐赠资金将如何使用的更多信息,可以参阅Tor项目更新的捐款常见问题解答。
Tails是一款以安全为重点的基于 Debian的Linux 发行版,旨在保护隐私和匿名性,防止监视。它仅通过匿名网络Tor连接到互联网。该系统设计为以实时 DVD或实时 USB启动,永远不会写入硬盘或SSD,除非明确指示这样做,否则不会在机器上留下任何数字足迹。它也可以作为虚拟机运行,但存在一些额外的安全风险。
根据Tor项目官方博客的消息,本月,Tails操作系统正式推出6.7版本,同时近期,Tor浏览器发布了13.5.4版本,请及时更新最新版本。
Tails 6.7 新版本 变更和更新 将Tor浏览器更新至13.5.3版本。
将Thunderbird更新至115.15.0版本。
将OnionShare从2.2版本更新到2.6版本,其中包含创建匿名聊天室的功能。
已修复的问题 即使在关机期间也要保持防火墙开启。(#20536)
启动系统分区为2.5 GB的旧Tails USB驱动器时停止报告错误。(#20519)
欲了解更多详细信息,请阅读更新日志。
已知问题 Shim SBAT 验证错误
Tor浏览器 13.5.4 新版本 下载Tor浏览器 Tor 浏览器 13.5.4 现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。
此版本包含 Firefox 的重要安全更新。
完整更新日志 Tor浏览器13.5.3版本以来的完整更新日志如下:
所有平台 已将 NoScript 更新至 11.4.37 OpenSSL 已更新至 3.0.15 Windows + macOS + Linux Bug tor-browser#41835:检查默认搜索引擎选项 安卓 Bug tor-browser#43124:为 Android 实现迁移程序 Bug tor-browser#43145:从 130.0.1 反向移植 Android 安全修复 构建系统 所有平台 Bug tor-browser-build#41229:将 OpenSSL 下载位置迁移至 github 版本 macOS Bug tor-browser-build#41231:在 tools/signing/gatekeeper-bundling.
根据Tor项目的官方博客:Arti是Tor项目正在进行的用Rust语言创建的下一代Tor客户端的项目,现在发布最新版本Arti 1.2.7;Tor浏览器更新13.5.3版本,现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。
根据@torproject在X发表的推文,🦀 Arti 1.2.7添加了对受限发现模式的支持,并包含错误修复、清理以及对DoS抗性和中继基础设施等方面的改进。🖥️ Tor 浏览器 13.5.3 包含对 Firefox 的重要安全更新。
Latest release alert:
🦀 Arti 1.2.7 adds support for restricted discovery mode & contains bugfixes, cleanup, and improvements to DoS resistance and relay infrastructure among others.
🖥️ Tor Browser 13.5.3 includes important security updates to Firefox
For full details, visit our…
— The Tor Project (@torproject) September 4, 2024 对于Arti 1.2.7,该版本在 Arti 的隐藏服务(.onion 服务)实现中添加了对受限发现模式(之前称为 “客户端授权”)的支持。该版本还包含大量错误修复、清理和改进,以及 RPC 子系统、DoS 防御和中继基础架构的幕后工作。Tor项目表示,如需了解这些工作的全部细节,以及许多较小和不太明显的改动,可以参阅更新日志。
根据Tor项目官方博客的消息,Tor浏览器13.5版本现已从Tor浏览器下载页面和Tor项目的分发目录中提供。
经常阅读”暗网下/AWX“文章和Tor官方博客文章的朋友们一定知道,在过去的两年里,Tor官方一直在逐步提高Tor项目的能力,不仅维护了Tor浏览器,而且还为Android版Tor浏览器带来了切实的改进。在这方面,Tor浏览器13.5版本具有里程碑的意义:除了更新日志中提到的数十个错误修复和小改进之外,该版本还对Android的连接体验进行了重大更改,为将来添加连接辅助功能做准备,包括在连接前完全访问”设置“,以及为Tor日志提供一个永久的新主页。
对于桌面版本Tor浏览器,Tor官方将继续努力改善指纹保护的用户体验。继Tor官方在Tor浏览器13.0桌面版中引入新窗口大小的更改之后,此版本又对letterboxing设计进行了受欢迎的更改,包括记住用户上次使用的窗口大小和在常规设置中调整letterboxing对齐方式的新选项。桥接(Bridge)用户还将发现桥接设置中的大量改进,包括桥接卡的全面重新设计和共享功能的改进,以及旨在帮助用户在其他地方找到更多桥接的新部分。最后,洋葱网站错误的设计已进行了视觉更新,使它们与Tor浏览器中其他类型的网络错误保持一致。
Android版本Tor浏览器有哪些新功能? 全新的连接体验 Tor官方已用全新的“原生”实现完全替换了Android版Tor浏览器的连接界面。这是Tor官方长期努力的第一步,也是必要的一步,Tor官方将在未来的主要版本中为安卓系统带来”连接辅助“(Connection Assist)——一种可以自动规避 Tor 网络审查的功能。。然而,在等待连接辅助功能到来的同时,Tor浏览器的新连接屏幕已经为安卓用户提供了一系列小改进。
为了建立坚实的基础,以便在未来可以扩展Android版本Tor浏览器的连接功能,这些屏幕也与桌面版本更加一致。最终,希望能够实现成功绕过桌面版本审查的用户也能够使用安卓版本,而无需重新学习其工作原理。
除了视觉更新之外,用户现在还可以在启动应用程序时启用自动连接选项(基于上次使用的连接设置)。此外,用户还可以在连接到Tor之前访问完整的设置菜单——通过点击设置图标,或通过新按钮“配置连接”——在这里也可以找到新的Tor日志。
Tor日志的永久主页 正如许多人可能了解的那样,Tor浏览器会保留Tor后台活动的日志,以便在出现问题时帮助排除故障。Tor日志不包含有关用户浏览活动的任何敏感信息,而只是揭示Tor在幕后试图做什么——例如,这些日志通常包括Tor启动进度的记录,以及发生的任何警告或错误。
如果用户遇到问题并联系技术支持人员,支持人员可能会要求提供Tor日志副本,以帮助他们诊断问题。但是,在安卓版Tor浏览器的早期版本中,只有在连接过程中向侧面滑动才能找到Tor日志。这意味着一旦Tor浏览器成功建立连接,用户就无法返回此屏幕查看和复制他们的Tor日志。
为了解决这个问题,Tor官方重建了Tor日志并将其重新定位到“设置”中名为“连接设置”的新部分——在桌面版本Tor浏览器也可以在这里找到Tor日志。鉴于现在无论用户的连接状态如何都可以访问设置菜单,这意味着用户可以在使用Tor浏览器时随时检索Tor日志。最后,”暗网下/AWX“看到,还有一个方便的按钮,用户可以使用它来一键复制所有日志,而不需要费力地选择文本。
桌面版本Tor浏览器有哪些新功能? 介绍 Betterboxing 新用户经常提问:“那些灰色条是什么?”Tor官方的支持网站上也有自己的条目。答案是:letterboxing!
回顾一下,Tor浏览器的9.0版本引入了letterboxing模式,通过将内部内容窗口四舍五入到最接近的100像素,用户可以调整浏览器窗口大小而不必担心被指纹识别。该技术的工作原理是将大多数用户的窗口大小分组到一系列公共“桶”中,保护这些桶中的个人用户不会根据其窗口或屏幕大小被单独挑出。
虽然现有的letterboxing模式实现可以很好地防止指纹识别,但其视觉设计经常会被新用户误解为浏览器的错误或正在浏览的网站的渲染问题。
用户在浏览暗网网站时可能会遇到一些问题。根据Tor官方在网上收集的用户反馈、用户研究活动和培训课程中发现的问题,发现了以下问题:
设计看起来不太刻意,因此用户会误解letterboxing是浏览器故障。为此,Tor官方对letterboxing的视觉设计进行了些许润色——但引入的元素被刻意保持低调,以避免分散用户对实际浏览内容的注意力。 letterboxing功能在“设置”中的任何地方都没有提及,因为以前版本没有任何选项可以配置。从此版本开始,用户现在可以在“常规设置”中找到一个新的letterboxing部分,其中包括记住上次已知的窗口大小的选项,以及选择是否希望letterboxing与浏览器窗口的顶部或中间对齐。 专业提示:如果需要手动调整Tor浏览器的大小以隐藏letterboxing功能引入的边距,现在可以双击letterboxing边距,以将Tor浏览器缩小到下一个窗口大小。
更好的网桥设置 桥接用户会注意到,此版本中对连接设置进行了一系列改进,旨在帮助受审查的用户找到可用的网桥,并改进添加多个网桥时的管理。
桥接卡首次在Tor浏览器11.5版本中推出,现在显示在一张更紧凑的卡片中,而不是以前的一堆卡片。为了帮助用户记住桥接的来源,新的桥接卡还预先标明了桥接的来源,无论是内置的、从Tor请求的,还是用户自行添加的。最后,当用户添加三张或更少的桥接卡时,现在可以一次共享所有桥接卡,而不是像以前那样每次只能共享一张。
当Tor浏览器的内置选项无法满足用户的需求时,用户还可以找到一个新的“查找更多桥接”部分,它为受审查用户提供了获取桥接的其他渠道,包括Telegram、“获取桥接”网站和电子邮件。现有的“请求桥接”功能也已移至此处,允许用户从Tor浏览器的内置桥接机器人检索桥接,而无需先连接到Tor。
简化的洋葱网站错误 除非是完美主义者,否则可能在某个时候拼错了暗网网站地址,结果却进入了错误界面。当用户遇到类似问题时收到的用户友好信息被称为”网络错误“(Network Errors),简称”网错“(neterrors),火狐浏览器早在1.5版本中就引入了这种信息。
”暗网下“发现,在过去的Tor浏览器版本中,洋葱网站错误与Tor浏览器中的其他类型的网络错误有所不同。尽管这一变化背后的设计决策初衷是出于好意,但有时会导致人们对问题根源产生混淆。作为回应,Tor官方简化了洋葱网站错误的设计,使用户体验与在浏览洋葱网站时可能遇到的其他类型的网络错误保持一致。
版本说明 本站(anwangxia.com)注意到,Tor浏览器13.5版本将是支持Windows 8.1及更旧Windows版本和macOS 10.14及更旧macOS版本的最后一个主要版本。
保持Tor浏览器的最新版本对于维护用户的隐私、安全和匿名性至关重要。”暗网下“看到,Tor官方已经表示,在Tor浏览器14.0于今年第四季度发布后,这些平台的用户将不再收到重要更新。因此,强烈建议受影响的用户在下一个版本发布前将其操作系统升级到受支持的Windows和macOS版本,运行旧版本Windows和macOS的用户将开始在Tor浏览器中看到相关提示信息。
3月19日与3月22日,Tor项目连续发布Tor浏览器的两个小版本紧急更新,修复了Firefox多个重大安全漏洞。”暗网下/AWX“提醒大家尽快升级最新版本的Tor浏览器。
Tor浏览器 13.0.12 版本 3月19日,Tor项目发布Tor浏览器 13.0.12 版本,该版本一方面取消了.onion网站的自动优先级排序,另一方面完成了Firefox的重要安全更新。
Tor项目表示最近收到了通知,称有关自动”洋葱位置“(Onion-Location)重定向存在潜在的指纹识别漏洞。为了谨慎起见,暂时从Tor浏览器中删除了“已知.onion网站时优先处理”的选项。Tor团队正在进一步研究这个问题,一旦有更多研究成果和建议将及时提供更新。
根据Tor官网的介绍:
浏览器指纹识别
指纹识别是收集有关设备或服务的信息,以便对其身份或特征进行推测的过程。独特的行为或响应可用于识别所分析的设备或服务。Tor浏览器可防止指纹识别。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.12 版本(基于Firefox ESR 115.9)中修复的安全漏洞如下:
CVE-2024-0743:NSS TLS 方法崩溃 CVE-2024-2605:Windows 错误报告器可用作沙箱逃逸向量 CVE-2024-2607:JIT 代码无法保存 Armv7-A 上的返回寄存器 CVE-2024-2608:整数溢出可能导致越界写入 CVE-2024-2616:改进 ICU 内存不足情况的处理 CVE-2023-5388:NSS 容易受到针对 RSA 解密的定时攻击 CVE-2024-2610:html 和 body 标签处理不当导致 CSP 随机数泄漏 CVE-2024-2611:点击劫持漏洞可能导致用户意外授予权限 CVE-2024-2612:自引用对象可能会导致释放后使用 CVE-2024-2614:Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中修复的内存安全错误 Tor浏览器 13.0.13 版本 3月22日,Tor项目发布Tor浏览器 13.0.13 版本,该版本是一个计划之外的紧急更新版本,其中包含针对桌面平台Firefox的重要安全更新。安卓版本的Tor浏览器不受影响。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.13 版本(基于Firefox ESR 115.9.1)中修复的安全漏洞如下:
CVE-2024-29944:通过事件处理程序执行特权 JavaScript (攻击者能够将事件处理程序注入特权对象,从而允许在父进程中执行任意 JavaScript。注意:此漏洞仅影响桌面版 Firefox,不影响移动版 Firefox。)
如果您已经安装了Tor浏览器,请尽快通过Tor浏览器本身的“检查更新”按钮及时进行更新。
“暗网下/AWX”刚刚报道有传言称Tor浏览器的网桥WebTunnel存在被流量识别问题,WebTunnel又传来新的消息。
根据Tor项目官方博客的文章,在3月12日世界反网络审查日,Tor项目的反审查团队很高兴地正式宣布推出WebTunnel,这是一种新型的Tor桥接器,旨在帮助严格审查地区的用户连接到Tor网络。WebTunnel现已在Tor浏览器的稳定版本中提供使用,它加入了由Tor项目开发和维护的审查规避技术集合。
开发不同类型的桥接技术对于提高Tor抵御审查的能力以及在高度动态和不断变化的审查环境中领先对手至关重要。尤其是在即将迎来2024年全球大选之际,规避审查的技术在捍卫互联网自由方面的作用变得尤为重要。用户可以在Tor社区门户中找到运行WebTunnel网桥的要求和说明。
什么是WebTunnel以及它如何工作? WebTunnel是一种抗审查的可插拔传输方式,其设计灵感来自HTTPT,用于模仿加密网络流量(HTTPS)。它的工作原理是将有效载荷连接包装成类似WebSocket的HTTPS连接,在网络观察者看来就是普通的HTTPS(WebSocket)连接。因此,对于不知道隐藏路径的旁观者来说,它看起来就像与网页服务器的普通HTTP连接,让人以为用户只是在浏览网页。
事实上,WebTunnel与普通Web流量非常相似,它可以与同一网络端点上的网站共存,即相同的域名、IP地址和端口。这种共存允许标准流量反向代理将普通Web流量和WebTunnel转发到各自的应用程序服务器。因此,当有人试图访问共享网络地址上的网站时,他们只会看到该网站地址的内容,而不会注意到秘密桥梁(WebTunnel)的存在。
WebTunnel与obfs4网桥的比较 对于大多数Tor浏览器用户来说,WebTunnel可以用作obfs4的替代品。虽然obfs4和其他完全加密的流量旨在完全不同且无法识别,但WebTunnel模仿已知和典型Web流量的方法使其在存在协议允许列表和默认拒绝网络环境的情况下更加有效。
将网络流量审查机制视为硬币分类机,硬币代表流动的流量。传统上,这样的机器会检查硬币是否符合已知的形状,如果符合则允许其通过,如果不符合则将其丢弃。在完全加密、未知流量的情况下,不符合任何特定形状,它将受到审查。在WebTunnel的硬币类比中,硬币不仅必须不符合任何已知的被阻止协议的形状,而且还需要符合公认的允许形状——否则,它就会被丢弃。Obfs4流量既不匹配任何已知允许的协议,也不匹配文本协议,因此会被拒绝。相反,类似于HTTPS流量(一种允许的协议)的WebTunnel流量将有可能被通过。
如何使用WebTunnel桥接器? 🌉步骤1-获取WebTunnel网桥 目前,WebTunnel网桥仅通过Tor项目网桥网站分发。Tor项目计划加入更多的分发方式,例如Telegram和moat。
使用常规网络浏览器访问网站:https://bridges.torproject.org/options
在“高级选项”中,从下拉菜单中选择“Webtunnel”,然后单击“获取网桥”。输入正确的验证码后复制网桥链接线路。
💻步骤2-下载并安装桌面版Tor浏览器 注意:WebTunnel桥接器不适用于旧版本的Tor浏览器(12.5.x)。
下载并安装最新版本的桌面版Tor浏览器。打开Tor浏览器并转到连接首选项窗口(或单击“配置连接”)。
单击“手动添加桥”并添加步骤1中提供的网桥链接线路。关闭网桥对话框并单击“连接”。
📲或下载并安装Android版Tor浏览器 下载并安装最新版本的Android版Tor浏览器。运行Tor浏览器并选择配置网桥的选项。
选择“提供我知道的网桥”并输入提供的网桥地址。点击“确定”,如果一切正常,它将连接。
Tor项目宣称其目标是确保Tor适合所有人,目前全球有60个WebTunnel网桥,每天有700多名活跃用户在不同平台上使用WebTunnel。目前除了在伊朗的某些地区无法使用外,WebTunnel在多个地区可以使用。但是,中国社区的用户对该技术嗤之以鼻,一些中国网友评论称,这已经是被玩剩下来了,基本属于淘汰了的技术。
3月6日,Tor项目发布了Tor浏览器13.0.11小版本,Tor项目称这是一个紧急更新版本,修复了域名前置(domain fronting)问题引起的snowflake连接问题。
Tor项目官方博客发布更新公告,宣布Tor浏览器 13.0.11现在已经可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。文章称这是一个紧急版本,更新了Snowflake可插拔传输的域前端配置,以及审查规避系统使用的rdsys 后端的Moat连接。
根据@tor4zh之前的说法,部分用户反馈,2024年3月1日起,Tor浏览器内置的Snowflake开始在俄罗斯等部分国家出现连接问题,影响了Tor浏览器用户和Orbot用户的使用。
具体表现为Tor浏览器无法启动引导,如果检查日志文件,会显示类似这样的提醒:
[notice] Managed proxy "./client": offer created
[notice] Managed proxy "./client": broker failure Unexpected error, no answer. 原因似乎因为这个(Fastly阻止了域名前置):
https://lists.torproject.org/pipermail/anti-censorship-team/2023-October/000328.html
Tor官方论坛提醒大家:如果遇到这个问题,可以尝试手动添加网桥地址来解决。具体地址请见官方论坛的这个帖子:
https://forum.torproject.org/t/fix-problems-with-snowflake-since-2024-03-01-broker-failure-unexpected-error-no-answer/11755
本次更新后,Tor浏览器 13.0.11修复了此问题,增强了Tor浏览器连接的稳定性。
获取网桥地址 由于网桥地址不是公开的,用户需自行索取。方式如下:
1、访问 bridges.torproject.org 并按照说明操作,或者使用 Gmail 或 Riseup 的邮箱服务发送电子邮件至[email protected]
2、在 Tor 浏览器中使用 Moat 获取网桥。
3、通过 Telegram 向 @GetBridgesBot 发送消息。在聊天中点击“开始”,或者输入/Start或/bridges。
使用网桥地址 Tor 浏览器桌面版:点击汉堡菜单 (≡) 的“设置”,然后点击侧栏中的“连接”。 在“网桥”部分,找到选项“输入已知网桥”,点击“手动添加网桥”,然后分行输入网桥地址。
Tor 浏览器 Android 版:点击“设置”'(⚙️),然后点击“配置网桥”。开启“使用网桥”并选择“输入已知网桥”,并输入网桥地址。
近日,Tor项目官方博客发布文章,推荐了隐私操作系统Tails的6.0新版本。
Tails是基于Debian的专注于安全隐私的Linux发行版,旨在保护互联网隐私和提供匿名性,“暗网下/AWX”曾介绍过5.1版本,目前已更新至版本6.0,这是一个引入大量新功能和更新组件的主要版本。
Tails 6.0基于最新的Debian GNU/Linux 12 “Bookworm”操作系统系列,默认附带GNOME 43桌面环境,并具有持久存储错误检测功能,可帮助用户诊断硬件故障、防范恶意USB设备并支持自动安装外部设备。
新的自动挂载功能支持加密设备,因此系统会提示用户输入密码以自动解锁加密。但是,作为安全防护功能,新的“针对恶意USB设备的防护”将在屏幕锁定时自动忽略插入计算机的任何设备。
随着新的GNOME 43桌面更新,Tails 6.0还引入了对黑暗模式的支持。此外,现在还有夜灯模式,可以将屏幕更改为更暖的颜色和更低的亮度。此外,GNOME 43还带来了内置的屏幕截图和截屏功能。
此版本还包括在Mozilla Thunderbird电子邮件客户端中更轻松地配置Gmail帐户,因为用户现在可以直接登录,而无需配置任何特殊内容。此外,持久存储密码现在可以生成加泰罗尼亚语、德语、意大利语、葡萄牙语和西班牙语。
Tails 6.0中包含的默认软件包括Tor Browser 13.0.10匿名网络浏览器、KeePassXC 2.7.4密码管理器、Electrum 4.3.4比特币钱包、Metadata Cleaner 2.4.0隐私工具、Inkscape 1.2.2 SVG编辑器、Audacity 3.2.4音频编辑器、GIMP 2.10.34图像编辑器和Kleopatra 22.12证书管理器。
Tails 6.0现已可以从官方网站下载ISO或USB镜像。现有用户必须按照这些说明执行手动升级。有关此更新中包含的更改的更多详细信息,请查看完整的发行说明。
新功能 持久存储上的错误检测 Tails 6.0会在用户从Tails USB设备中读取或写入数据时发生错误时提出警告。
这些警报可以帮助用户诊断U盘上的硬件故障,并在出现问题之前备份用户的持久存储。
自动挂载外部设备 当用户插入外部存储设备(U盘或移动硬盘)时,Tails 6.0会自动挂载。如果存储设备包含加密分区,Tails 6.0会自动解锁加密。
此功能还简化了解锁VeraCrypt加密卷的方法。
防范恶意USB设备 如果攻击者设法将恶意USB设备插入用户的电脑,他们可能会在用户不知情的情况下运行软件,破坏Tails内置的安全性。
为了在用户离开电脑时防止此类攻击,Tails 6.0会忽略屏幕锁定状态下时插入的任何USB设备。
只有在屏幕解锁时插入新的USB设备,用户才能使用它们。
深色模式和夜灯 从Tails 6.0的系统菜单中,用户现在可以在以下各项之间切换:
颜色更冷、亮度更高的默认灯光模式 黑暗模式 色彩较暖、亮度较低的夜光模式 暗光模式和夜光模式的组合 更方便的截图和截屏 GNOME 43在系统菜单中引入了一个新的快捷方式,使截屏或录制截屏视频变得更容易。
Thunderbird中使用Gmail更简单 由于Thunderbird和Gmail的变化,在Tails 6.0系统里,Thunderbird中配置Gmail帐户变得更加容易。
除了常规的两步验证之外,用户无需在Gmail帐户中进行任何特殊配置。
在Thunderbird中配置Gmail帐户时,用户可以直接登录该帐户。
Diceware密码短语支持另外5种语言 创建持久存储时,建议的口令现在还能以加泰罗尼亚语、德语、意大利语、葡萄牙语和西班牙语生成。
更改和更新 附带软件 Tails 6.0更新了Tails中包含的大部分应用程序,其中包括:
Tor浏览器升级至13.0.10; Electrum从4.0.9升级到4.3.4,改进对闪电协议和硬件钱包的支持; KeePassXC从2.
近日,Tor官方发布公告称,Radially Open Security完成Tor项目的代码审计。针对Tor匿名网络的多个组件的全面代码安全审计发现了十多个漏洞,其中包括一个被归类为“高风险”的问题。
这项审计由非营利网络安全咨询公司Radiically Open Security在2023年4月至8月期间进行,涵盖了Tor浏览器、出口中继、暴露的服务、基础设施以及测试和分析工具。评估结果已经于本周公布。
根据Tor博客发布的公告,本次代码审计重点关注Tor生态系统的几个组成部分:
Tor浏览器和安卓版Tor浏览器; 出口中继器(Tor核心); 公开服务(度量服务器、SWBS、Onionoo API); 基础设施组件(监控和警报)以及测试/归档工具。 此次审计是一项水晶盒(白盒)渗透测试(测试人员可以访问源代码),主要目的是评估为提高Tor网络速度和可靠性而进行的软件更改,总共发现了17个安全问题,并提出了一系列建议,例如:
减少面向公众的基础设施的潜在攻击面; 解决过时的库和软件问题; 实施现代网络安全标准; 在所有HTTP客户端中默认遵循重定向。 发现的问题大多数是中低风险缺陷,可被利用来发起DoS攻击、降级或绕过安全性以及获取信息访问权限。有些问题与使用过时或未维护的第三方组件有关。
最严重的漏洞是影响洋葱带宽扫描器(Onbasca)的跨站点请求伪造(CSRF)错误。此高风险漏洞可能允许未经身份验证的攻击者向数据库注入桥接程序。
Onbasca是一种带宽扫描器,由目录管理机构(维护当前运行中继站列表的特殊中继站)运行。带宽扫描器可以帮助监控性能、分配Tor网络的负载和检测攻击。
桥接器是一种未列入名单的中继器,由于更难被阻止,因此对高压政权下的用户很有帮助。
“只要受害者的浏览器与Onbasca在同一个网络中运行,攻击者就能将目录授权受害者引诱到他们的网站,并成功实施CSRF攻击。当受害者使用Django Web界面时就是这种情况。因此,经过预先身份验证的攻击者可以将攻击者控制的IP注入数据库。”Radically Open Security在其报告中解释道。
Radically Open Security补充说:“当调用定期运行的bridgescan(桥接扫描)命令时,Onbasca应用程序将连接到攻击者控制的网桥。通过这样做,攻击者可能能够对Onbasca的托管实例进行守护进程,或实施进一步的攻击。”
此外,修复与拒绝服务漏洞、本地攻击、不安全权限和输入验证不足相关的问题也被认为是当务之急。
在这次最新的安全审计之前,渗透测试公司Cure53进行了一次安全评估,该评估的重点是识别用户界面变化带来的漏洞以及与规避审查制度相关的审计。
Radially Open Security(@ROSecurity)提供非营利计算机安全咨询,介绍自己是一群理想主义的安全研究人员、网络/取证极客和夺旗获胜者,他们热衷于让世界变得更加安全,他们相信透明度和开放性,目标是首先确保社会的安全,让他们能够经营一家公司。
Tor官方表示,衷心感谢开放安全公司(Radically Open Security)执行此次审计,感谢美国国务院民主、人权和劳工局(DRL)赞助此项目,并“为全球各地的互联网用户提供更快、更可靠的Tor网络”。
如果您是技术人员,想要了解更多详情和信息,请点击此处查阅完整的审计报告。