根据Tor项目的官方预告,该组织将于2024年1月25日–2024年1月26日举办Tor的邮箱发布活动。Tor项目号召Tor用户与其一起启动Tor的邮箱,这是一个见证中心,展示来自全球Tor用户的故事!🌍
Tor项目表示:发布会上,将可以聆听数字权利倡导者、记者和其他网络隐私专家就外联、宣传、2024年面临的挑战以及他们对数字权利未来的展望分享见解。了解如何利用Tor项目等资源推进基层工作。他们邀请了来自大赦科技(Amnesty Tech)、The Intercept、Internews和Article 19的发言人。
由于该活动页面没有更多的介绍,且互联网及暗网都没有相关的新闻报道,”暗网下/AWX“目前尚无法判断Tor的邮箱(Tor’s Postbox)代表什么意思,是物理上的邮政信箱,还是电子邮箱服务,还是仅是一次在线交流活动,让我们拭目以待。
大家可以在2024年1月25日访问Tor项目的Youtube直播页面收看:https://www.youtube.com/watch?v=-K8ki7zBArs
目前Tor网络上的邮箱服务比较杂乱,这里列出一些常见的电子邮箱服务:
ProtonMail
http://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion
https://www.protonmail.com
RiseUp
http://3xeiol2bnhrsqhcsaifwtnlqkylrerdspzua7bcjrh26qlrrrctfobid.onion
https://help.riseup.net/en/email
Mail2Tor
http://mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion
http://mail2tor.com
Cock.li
http://rurcblzhmdk22kttfkel2zduhyu3r6to7knyc7wiorzrx5gw4c3lftad.onion
https://cock.li
Dainwin1210.de
http://danielas3rtn54uwmofdo3x2bsdifr47huasnmbgqzfrec5ubupvtpid.onion
https://danwin1210.de
SecTor.City
http://sector2nyjrxphgrj3cvnueanomz4trvgyxofvu3cexltoxuegtlmzid.onion
https://sector.city
OnionMail.org
http://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion
https://onionmail.org
OnionMail.info
http://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion
https://onionmail.info
Volatile.bz
http://u45ylsmarbsqs6brxp3aq2wvksrpajkp23vvvxaejsg63w2fx6oap3ad.onion
https://volatile.bz/registration.xht
Systemli.org
http://7sk2kov2xwx6cbc32phynrifegg6pklmzs7luwcggtzrnlsolxxuyfyd.onion
https://www.systemli.org
Dozaru Onion Mail Server
http://eot3almpracnkz7gz3r5yr3qaymngqsrmvbica2shw5zuc52az2gxoqd.onion
Hobe Onion Mail
http://ovhcd6qhuz22bid42pw7unwfqf7i55rghb5x62q4kxchjnk2gz2ot6id.onion
Torbox
http://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion
Hidden Mail Onion Server
http://5nm4mdhzyfbif6i5qv3kh4i7j2trlbuvujsencsqn55opaa3d6qhfcqd.onion
SecretMail
http://2nxpboa3ya52j5au4gxwkdt4nxoh5g4y4f3tuqedlza46y35jmv6doid.onion
以上暗网邮箱服务,”暗网下/AWX“不保证全部可靠,请用户们使用后进行反馈。Tor项目本次的官方预告,”暗网下/AWX“将及时关注。
2023年对Tor项目而言是艰难且辛苦的,本文是Tor项目针对2023年的总结文章,总结了Tor项目团队的辛勤工作,回顾了他们在改善Tor的功能以及为全球数百万用户带来的体验方面所取得的许多值得一提的成就。一方面通过重写Tor的代码库提高了Tor网络的性能和安全性,使其更易于维护并嵌入到新的第三方应用程序中,另一方面通过本地化、推广、宣传和培训使Tor技术更广泛地可用。
总结中,Tor项目团队隆重感谢了他们的捐助者、支持者和志愿者的慷慨捐助,同时也感谢他们的用户、志愿者、中继运营商、合作伙伴和捐助者社区,大家的支持使得2023年成为取得诸多成就的一年。Tor项目2023年推出了许多新版本,得益于来自世界各地的志愿者花费无数时间测试新工具并为提供宝贵反馈的直接结果,持续帮助官方改进和部署新功能。
Mullvad浏览器的主要视觉效果 Tor项目与Mullvad VPN合作推出了Mullvad浏览器,这是一款基于Tor浏览器原理构建的注重隐私的Web浏览器。它提供与Tor浏览器类似的隐私功能,例如防指纹和防跟踪保护,但独立于Tor网络运行。Tor浏览器将继续作为匿名上网的强大选择而存在,而Mulvad浏览器则提供替代的隐私浏览器。
Tor项目提供了一个如何以不同方式打造技术的示例。Mullvad浏览器就是一个很好的例子,它证明了以隐私为核心的技术是可以被数百万人使用的。
通过这种合作关系,Tor项目能够对Tor浏览器进行必要的改进,使两款浏览器和更大的隐私技术生态系统都从中受益。Tor项目团队可以更自由地开发实验性功能,满足Mullvad浏览器alpha频道用户的需求,同时又不影响Tor浏览器严格的匿名标准。
Tor浏览器 在2023年发布的Tor浏览器12.5和13版本的新功能中,一些有益的连锁反应已经显现。Tor项目团队解决了许多遗留问题,并对Tor浏览器的自定义组件进行了可访问性审查。尤其值得注意的是,在过渡到Firefox ESR 115后,Tor浏览器的可访问性得到了改善,同时用户界面的视觉效果也发生了变化,这对于使用屏幕阅读器和其他辅助技术的用户来说,无疑将大大提高浏览器的性能。
2023年全年,Tor项目团队旨在打造成熟的用户体验,推动Tor浏览器在质量和用户UI方面更加走向主流,包括更新的网络显示、.onion网站的新图标、连接体验的改进、应用程序图标的更新、主页功能,以及更大的新窗户。最新版本还删除了与Torbutton相关的遗留代码,这使得Tor代码库更加面向未来,并提供更好的集成和更无缝地过渡到新的Arti实施。
Arti Tor项目团队在2023年用Rust重写Tor的多年项目Arti并完成了反审查支持,提供了功能齐全的桥梁和可插拔传输。团队还对洋葱服务方面做了大量工作,为可用的客户端支持和即将到来的服务器端准备铺平了道路,并与应用程序团队合作探索各种API设计,将Arti打造成Tor浏览器之外各种程序和服务的基础。除了简化可维护性和可扩展性之外,Arti还通过网络团队的众多努力解决了安全和性能问题。
网络团队 2023年,网络团队部署了关键的新功能,以改进Tor网络的防御机制、速度和性能。拥塞控制(Congestion Control)和流量聚合(Conflux)这两项设计旨在通过选择不那么拥塞的中继站和创建多条网络路径来优化流量,目前已经取得了可喜的成果,包括下载速度提高了2倍,以及通过更长时间的连接提供了更稳定的用户体验。
该团队还投入了大量工作来减轻对Tor网络的攻击,并增强对洋葱服务的防御,最终在Tor 0.4.8版本中引入了工作量证明(PoW)防御。这种动态PoW机制优先考虑来自真实用户的流量,从而有效的阻止攻击者使用大规模DoS攻击来发动攻击。
这些根据流量需求动态调整的强大解决方案是用户反馈、赞助项目和志愿者贡献的直接结果。Tor项目团队称要感谢中继运营商社区在功能发布期间升级到0.4.8的快速部署,再次证明Tor网络的优势在于其协作精神,可以满足数百万用户不断增长的需求。
社区工作和外联 但是,要建立一个可信赖的网络,不仅需要不断迭代和改进技术解决方案,还需要在志愿者、中继运营商、盟友、捐助者和赞助商社区中保持这种协作精神。在这一年中,社区团队实施了多项综合计划,强调社区建设、教育和积极主动的倡议,以增强Tor项目的全球影响力。
无论是在月度聚会、活动中的一对一会议、专用聊天频道、Tor论坛还是活跃的邮件列表中,Tor的中继运营者社区都会定期进行交流,目的是介绍想法、促进倡议并建立共识。这种团结对于维护分布式网络的力量和防御恶意行为者非常重要。
作为Tor项目团队深入社区活动的一部分,Tor项目在全球范围内为记者、活动家、人权维护者和律师举办了数字安全和Tor培训。许多在线和线下会议吸引了来自全球多数国家的参与者,并在东非和拉丁美洲组织了地区会议,分享最新信息,解决合作伙伴面临的具体挑战,并利用这些见解推出新功能。
2023年最引人注目的活动是Tor培训学院,聚集了20多名网络安全从业人员,参加为期两天的现场训练营。该学院旨在培训从业人员教授Tor,内容涵盖Tor网络和工具生态系统的细微差别。来自网络干扰开放观察站的特邀演讲者讨论了网络篡改测量问题,而本地化实验室则介绍了他们通过将Tor工具本地化为更多语言,使Tor工具更广泛地使用所做的努力。为此,Tor项目团队还创建了斯瓦希里语、中文和阿拉伯语的本地化视频系列,其中包含有关如何使用Tor浏览器、Bridges和OnionShare的简单易懂的教育内容。
然而,由于有组织或者个人蓄意阻止访问,更多用户仍然被禁止访问Tor网络,无法获得Tor网络提供的隐私和匿名优势。
反审查工作 幸运的是,Tor项目的反审查团队在前几年应对大规模审查事件的过程中学到了很多,测试并发现了现有的抗审查基础设施的弱点。2023年,Tor项目团队投入了大量的时间和精力来改进其中一些系统,扩展和改进Tor工具包中的工具,以便在审查事件发生时能更好地做出反应。
Tor项目团队专注于开发和测试新工具:WebTunnel和Conjure。WebTunnel是一种可插拔的传输方式,它能使流量看起来像与网站的常规安全连接,从而使审查人员很难确定该网站是否也是WebTunnel桥接器。Conjure利用友好的ISP提供商地址空间中大量未使用的IPv6地址。由于这个空间非常大,并且连接地址可能不断变化,因此审查者很难在不对部署ISP托管的真实网站造成重大附带损害的情况下阻止所有潜在的”幽灵“代理。
Tor项目团队在2023年面临的一项重大挑战是协助解决土库曼斯坦的审查制度。这确实挑战了Tor现有反审查工具的极限。他们的许多策略并不像其他地区那样有效,因为土库曼斯坦审查机构毫不犹豫地封锁了整个IP区块。虽然我们能够通过meek和obfs4网桥支持一些用户,但Tor所依赖的一些域名前端提供商将在2024年停止提供服务。
Tor项目团队称,这说明了为什么Tor项目需要不断投资,建立先进的反审查对策,开发新的工具,以便在高度动态和不断变化的审查环境中领先于对手。其掌握的工具越多,就越能有的放矢地采取应对措施,让审查者无所遁形,让数百万用户能够访问自由开放的互联网。
Tor项目团队表示,他们的目标是确保Tor适合所有人。地缘政治冲突和气候灾难使数百万人面临风险,互联网对于人们沟通交流、了解世界各地正在发生的事情、组织、捍卫人权和建立团结至关重要。”暗网下/AWX“将持续保持关注与跟进报道Tor项目在2024年的进步发展。
本文是Tor项目针对斯诺登泄密事件发生十年后的思考总结文章,通过对斯诺登泄密事件讲述公民隐私权的重要性,讲述Tor网络保护在线隐私的职责,讲述了Tor项目2024年的展望。在2023年的最后一天,“暗网下/AWX”借此文与大家分享,暗网催生了大量的网络犯罪,也改进了在线的隐私,孰是孰非,自有天论。
十年前,即2013年6月,爱德华·斯诺登(Edward Snowden)冒着失去自由的风险与媒体分享文件,揭露了美国政府大规模监控项目的范围。他的过程需要专业的操作安全和每一步的匿名性有力保证。这也是斯诺登求助于Tor网络和Tails的部分原因,Tails是一种可以通过Tor传输电脑流量的操作系统,以便与可信赖的记者进行交流。
斯诺登的泄密事件显示,美国国家安全局正在通过互联网对美国公众进行广泛的监视。这一消息引发了许多关于监控在社会中的地位以及网络隐私保护是否重要的公开辩论。人们在互联网上是否有隐私权?在这些辩论中,人们的普遍反应是,当他们使用互联网时,他们“没有什么可隐瞒的”,那么为什么他们需要隐私呢?
自斯诺登泄密事件发生以来,人们看到了许多具体的例子,说明各国政府和企业在网络上侵犯隐私的行为如何影响一个社会的社会环境和每个人的生活。作为个人,我们也对科技行业及其滥用的商业模式有了更多的了解,该模式专注于收集有关我们网络行为的信息,就好像它是可供开发的新自然资源一样。
我们已经看到,通过网络监控收集到的大量数据集,政府和企业可以利用对我们的了解来操纵公众舆论。利用这些数据开展的针对性极强的宣传活动,尤其是那些利用假新闻或仇恨言论的宣传活动,已经促使各国做出了影响全球社会的决定。英国脱欧公投活动、美国特朗普的竞选活动以及巴西博尔索纳罗的竞选活动都明确使用了这些策略。
目睹这种数据操纵对现实世界的影响,让我们许多人明白,隐私与有所隐瞒无关。相反,隐私意味着保护你这个人,保护让你成为你的所有个人细节。你关心什么,爱什么,恨什么,好奇什么,欢笑什么,恐惧什么。最重要的是,你可以选择何时分享这些信息,以及与谁分享。关于隐私的争论已经从有什么东西需要隐藏变成了能够行使我们的代理权。
这种观念上的转变导致客户要求科技行业提供更好的隐私保护,并通过立法(如 GDPR 和 CCPA)试图帮助消费者对我们在使用服务或应用程序时产生的数据行使一些权利。
至少在营销活动中,科技行业已经蜕变为将隐私放在首位,以避免遭到客户的拒绝,以及因新立法而面临数百万美元罚款的风险。之所以说“变形”,是因为即使是以隐私为重点的信息传播这层薄薄的面纱,也无法改变建立在收集用户数据基础上的商业模式,也无法限制这些数据的使用方式。科技公司所做的改变只是为了在不损失利润的情况下满足要求,比如谷歌正在逐步淘汰谷歌 Chrome 浏览器中的第三方 Cookie,取而代之的是自己的数据跟踪和广告服务技术,并试图将其作为用户隐私的好处来推销。
Tor项目提供了一个如何以不同方式打造技术的示例。构建供数百万人使用的以隐私为核心的技术是可能的。Tor项目建立技术来推进这一权利,以帮助用户重新获得他们在数字空间中的主导权。Tor项目希望成为在不断变化的世界中开发保护隐私技术的参照点。
变革是可能的。Tor项目看到了它的雏形,他们很自豪地看到,业界其他公司也在采用 Tor 浏览器和 Tor 网络的一部分而开发的创新功能。网络浏览器现在已经开始提供针对第三方 cookie 或指纹识别的保护,而这些功能Tor项目已经提供了十多年,苹果等公司也在试用私人中继(Private Relay)等功能,这是一个模仿 Tor 网络模式的测试版功能。
但是,要抓住这次巨变的机会,不仅要向大科技公司施压,迫使其做出改变,还要取代这些选择。而是要用从设计之初就考虑到隐私的工具来取代这些选择。Mullvad Browser、OnionShare、Tails、Quiet 和 Ricochet Refresh 等工具都是这种新型生态系统的一部分。
2024年,Tor项目将继续开展改善在线隐私的重要工作,而且将持续面临全球范围内的挑战。明年,世界41%的人口将参加全国大选。从滥用数据收集和操纵广告技术到全面关闭网络和网站审查,政治活动和选举越来越多地受到互联网自由的破坏。与此同时,世界各地的立法也威胁着加密的合法性。各国政府还通过新技术和扩大法律权力来加强监控,比如我们在美国就看到了情报委员会提出的法案 H.R.6611,即《2023 年外国情报监视法改革和重新授权法案》。
2024 年,Tor 将在这里迎接这些挑战。Tor项目将通过实时用户支持渠道、本地化、与社区合作伙伴开展培训,以及跟踪全球互联网自由的发展情况,扩大全球对 Tor 的访问。Tor项目将继续为洋葱服务运营商开发管理工具,为希望发布洋葱网站的组织提供支持,从而推动洋葱服务的采用。Tor项目将加强 Tor 网络抵御攻击的能力,多年来一直致力于减少网络上的恶意中继活动。Tor项目将进入用 Rust 重写 Tor 的第三年,Rust 是一种更安全、更现代的语言,能让 Tor 更容易集成到各种应用程序和服务中。Tor项目表示将参与网络人权的斗争。
“暗网下/AWX”祝大家元旦快乐。
本月初,Tor项目官方宣布,他们欢迎不断壮大的洋葱服务社区的最新成员:国际人权非营利组织国际特赦组织(大赦国际)。
国际特赦组织正在推出 .onion 网站:
http://amnestyl337aduwuvpf57irfl54ggtnuera45ygcxzuftwxjvvmpuzqd.onion
许多国家利用审查制度阻止获取人权资源,包括国际特赦组织出版的人权资源。寻求访问Amnesty.org网站上这些资源的访问者现在可以安全可靠地使用暗网访问这些资源,访问者可以确保通过端到端身份验证到达所需目的地,同时消除与其会话相关的所有元数据,从而使他们的身份或互联网活动无法被跟踪。从位置隐藏到端到端加密,.onion 网站在最大化互联网用户的隐私和匿名方面特别有用,因为他们永远不会离开 Tor 网络。
国际特赦组织技术实验室负责人 Donncha Ó Cearbhaill 表示:“ .onion 网站为世界各地的个人提供了一种在安全可靠的在线环境中行使其隐私权、言论自由权、和平集会自由权以及结社自由权的途径。”。“通过将国际特赦组织的网站作为 Tor 上的安全 .onion 网站提供,更多的人将能够阅读我们的人权研究报告,并参与向权力表达真相和捍卫人权的重要工作。”
洋葱服务是目前安全的技术,因为没有互联网提供商或政府可以检测到 .onion 地址的连接或阻止对其的访问。洋葱服务的加密和去中心化性质使它们对举报人很有价值,可以确保免受监视并允许在互联网访问受限的地区访问信息。这就是为什么许多新闻媒体(如 BBC、《纽约时报》和德国之声)或社交媒体平台(如 Facebook 或 Reddit)以及消息服务和人权组织在 Tor 网络上设有 .onion 网站,以为其用户提供安全和未经审查的访问。
2022 年,Tor项目成立了洋葱支持小组,以解决洋葱服务利用不足和缺乏了解的问题,并进一步提高民间社会团体和人权组织对洋葱服务的采用率。Tor项目称,其非常高兴最受认可的人权组织之一采用了洋葱服务,为那些寻求信息、支持和宣传的人提供更大的在线保护。国际特赦组织选择提供其网站的洋葱版本,突显了这种开源隐私技术作为共同推进人权工作的重要工具所发挥的作用。Tor项目表示,鼓励其他人效仿并为 Tor 网络和 .onion 网站的更广泛接受做出贡献。
如果用户想了解有关洋葱服务的更多信息,并且有兴趣建立自己的 .onion 网站,请查看Tor项目的洋葱服务资源。用户还可以在Tor 项目论坛上提出问题并开始讨论。
Tor项目为洋葱服务部署提供高级支持,并就与 Tor 相关的所有事项对团队成员进行培训,共同开展围绕 Tor 网络和洋葱服务的宣传活动。
Tor浏览器13.0现在可以从Tor浏览器下载页面和Tor项目的分发目录中获取。
这是基于Firefox ESR 115的Tor浏览器的第一个稳定版本,它整合了一年来上游发布的变更。在此过程中,Tor项目的工作人员审查了Firefox的变更日志,以查找可能对Tor浏览器用户的隐私和安全产生负面影响的问题,并在必要时禁用任何有问题的补丁。
特别值得注意的是,Tor浏览器在过渡到Firefox ESR 115后获得了可访问性方面的改进。虽然眼尖的用户可能已经注意到用户界面的细微视觉变化(例如,内部链接现在带有下划线),但Tor 浏览器 13.0的第一个版本继承了Mozilla在Firefox 113中引入的重新设计的辅助功能引擎,显著提高了使用屏幕阅读器和其他辅助技术的人们的性能。
本次大版本更新的变化:
更新了应用程序图标 Tor项目的工作人员称,今年早些时候花了一些时间将Mullvad浏览器的图标艺术化,以创建支持其在各个平台发布所需的各种资源,包括符合各平台约定的应用程序、安装程序和文档图标。在了解每个平台的当前要求的同时,他们还发现了Tor浏览器存在一些差距,于是开始同时为Tor浏览器开发新图标。
需要指出的是,Tor浏览器目前的图标(有时被称为”洋葱标志”)是在四年多前通过社区投票选择的,以取代Tor浏览器8.5中的较旧的紫色和绿色地球。考虑到社区对其选择的参与度、网民的认可度以及大家仍然喜欢现有图标的简单事实,官方工作人员选择将焦点放在改进而不是完全替换它。
这样的工作背后的一个动机是不忘初心的理念,即保护隐私的产品不应该是纯粹的功利性,而还可以激发快乐。然而,也有实际的好处:遵循平台约定提供更好的一致性,可识别的应用程序和安装程序图标有助于防止用户错误,吸引新用户使每个人受益,因为匿名喜欢陪伴。
更新了主页 Tor项目的工作人员称,在过去的一年里,他们一直在重写Tor浏览器的后端,这提供了机会来重建一直没有改变的少数内部页面之一:主页(通常以内部引用“about:tor”)。Tor浏览器13.0的主页现在展示了新的应用程序图标、简化的设计以及通过切换到DuckDuckGo洋葱站点来“洋葱化”DuckDuckGo搜索的功能。继续改进浏览器可访问性的工作,重新设计的主页还为使用屏幕阅读器和其他辅助技术的用户提供了更好的支持。
现有的Tor浏览器用户可以庆幸的是,以前的主页会偶尔陷入的臭名昭著的“红屏”错误状态已经远去。在后端重写的过程中,删除了自动连接Tor网络的检查,该检查是旧版Tor启动器的保留,其中引导是由在浏览器界面出现之前运行的扩展处理的。由于在Tor浏览器10.5中引入的更紧密的tor集成和浏览器内引导体验,该检查背后的旧逻辑经常会失败,并在某些情况下向一些用户显示“红屏”,即使他们的连接正常。
官方表示,事实上,自从Tor浏览器10.5以来,其收到的关于默认tor配置下的用户看到“红屏”的所有报告都被证明是误报,导致了不必要的警报。尽管该检查对于运行非默认配置的用户来说仍然有用,但这样做的两个主要环境(Tails和Whonix)都没有使用“about:tor”作为默认的新选项卡或主页。对于其他人,其在重新设计的主页上添加了一个新横幅来代替红屏,以检查Tor是否已连接并按预期工作。
更新了大的窗口 旧的Tor浏览器窗口比较小,是为了避免指纹识别,但是从浏览器而言,新窗口应该更大,并且在Tor浏览器 13.0中,对于大多数桌面用户来说,应该以更有用的横向纵横比呈现。
在Tor浏览器 9.0中引入了字母装箱技术(Letterboxing),以允许用户调整浏览器窗口的大小,而无需担心根据内部内容窗口(有时被称为”视口”)舍入到200 x 100像素的倍数来调整浏览器窗口的大小,而不必担心被指纹识别。该技术的工作原理是将大多数用户的窗口大小分组到一系列常见的“存储桶”中,从而保护这些存储桶中的各个用户不被根据其窗口或屏幕大小挑选出来。
为了在打开新窗口时保留这些保护措施,旧版本的Tor浏览器覆盖了平台的默认设置,并会选择一个符合字母装箱步骤的尺寸,最大不超过1000 x 1000像素。然而,虽然在过去可能还好,但1000像素的最大宽度对于现代Web不再适用。例如,在许多新网站上,第一个响应式断点位于1000-1200像素的范围内,这意味着默认情况下,Tor浏览器用户将收到为平板电脑和移动设备设计的网站菜单和布局。或者,在某些网站上,用户将收到桌面版本,但会有水平滚动条的干扰。这自然会导致这些网站的用户需要手动展开每个新窗口才能使用。
为此,新版本的Tor浏览器将新窗口的最大尺寸提高到1400 x 900像素,并修改了字母装箱步骤以匹配。由于宽度的增加,Tor浏览器13.0中的桌面版本应该不再会在较大屏幕上触发响应式断点,而绝大多数桌面用户将看到与现代浏览器更为一致的横向纵横比。选择这个特定尺寸是通过分析数据来提供更大的新窗口空间,而不会超过它们的实用性。作为额外的好处,Tor浏览器用户不再需要像以前那样频繁地手动更改窗口大小,从而将更多的用户保持在默认桶中。
这是Tor浏览器 13.0的主要更新。这一版本包括一系列可访问性和用户体验的改进,以及更现代的应用程序图标和主页。这些变化旨在提高Tor浏览器的性能和可用性,使其更适合广大用户,尤其是使用屏幕阅读器和辅助技术的人们。新版本还解决了一些以往版本中的问题,例如”红屏”错误状态,同时改进了窗口大小和显示效果,以更好地适应现代Web。
用户可以从Tor浏览器下载页面或分发目录中获取Tor浏览器13.0,体验这些新功能和改进。
近日,Tor项目发布Tor 0.4.8版本,正式推出了针对洋葱服务的工作量防御机制(Proof-of-Work Defense),旨在优先处理经过验证的网络流量,以阻止拒绝服务(DoS)攻击。
Tor的工作量证明(PoW)防御机制是一种动态的反应机制,在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时,该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后,洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。
此举旨在将DoS攻击的成本增加到难以维持的水平,同时优先考虑合法流量,抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际,从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。
如果攻击者向onion服务发送大量连接请求,PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的,所耗费时间从5毫秒到30毫秒。攻击流量增加,工作量就会增加,最多需要1分钟的工作量。整个过程对用户是不可见的。
为什么需要更新? 洋葱服务通过混淆IP地址来优先考虑用户隐私,这种固有设计使其容易受到DoS攻击,而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案,Tor项目设计了一种涉及客户端难题的工作量证明机制,以在不损害用户隐私的情况下阻止DoS攻击。
它是如何工作的? 工作量证明就像一个票据系统,默认情况下关闭,但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前,必须解决一个小难题,证明客户端已经完成了一些“工作”。谜题越难,证明用户所做的工作越多,从而证明用户是真实的,而不是试图充斥洋葱服务的僵尸。最终,工作量证明机制阻止了攻击者,同时为真实用户提供了到达目的地的机会。
这对于攻击者和用户意味着什么? 如果攻击者试图向洋葱服务发送大量请求,并淹没洋葱服务,PoW防御就会启动,并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作,而随着计算力的增加,回报也会越来越少。
然而,对于倾向于一次只提交几个请求的日常用户来说,解决难题所增加的计算量对于大多数设备来说是可以承受的,对于速度较快与稍慢的计算机来说,每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加,工作量就会增加,最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的,并且使得等待工作量证明解决方案与等待慢速网络连接相当,但它具有明显的优势,那就是通过证明自己的非机器属性,即使在Tor网络面临压力的情况下,也能为用户提供访问Tor网络的机会。
在过去的一年里,Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一,而且一旦被各大网站采用,还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载,确保对洋葱服务的访问更加稳定可靠。
上周,Tor项目向众多Tor中继运营商宣布,正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输(PT),它是一个抗审查的代理,试图模仿HTTPS流量,基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行,并鼓励网桥运营商建立WebTunnel网桥,以发现这个新的可插拔传输的实施中的问题。
WebTunnel是如何工作的 连接到WebTunnel Bridge时,客户端通过加密连接向负载均衡器发送http 1.1升级请求,就像WebSocket的工作方式一样。因此,从观察者的角度来看,这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站,那么将呈现的将是该前置网站。如果没有完整的URL路径,就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。
技术要求 要设置WebTunnel桥接,用户需要一个自我托管的网站,一个能自主控制的域名,一个可配置的负载平衡器,静态IPv4,以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程,但这不是必需的。
设置指南可在此处获取:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup
如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前,WebTunnel只通过HTTPS分发(torrc设置:’BridgeDistribution https’)。
用户可以在Tor项目的GitLab上报告问题:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel
鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用,中继运营商目前不应期望有大量的使用或大量的用户。
Tor项目称,如果用户在设置WebTunnel时遇到任何困难,请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。
经过几年的发展,Tor项目近期的Git显示,其已经成功地将其“工作量证明”(PoW)功能合并到Tor软件包的主要分支中。这意味着,在发布下一个Tor软件补丁并在节点中广泛实施后,困扰网络多年的拒绝服务(DoS或DDoS)攻击应该会大大减少。
Tor网络在2022年的大部分时间里都受到持续的DDoS攻击的困扰,这不仅导致几个主要的暗网市场以及暗网论坛在数周或数月内无法访问,而且还产生了更广泛的影响,即几乎所有用户都觉得整个Tor网络的速度在变慢。然而,此类攻击对Tor来说并不是什么新鲜事,多年来,如何缓解这些攻击的解决方案一直是开发人员争论的主题。
2020年8月,Tor项目发布了一篇博文,解释了如何使用“工作量证明”的实施来使试图对网络进行DDoS攻击的攻击者付出更高的代价。2022年10月,在此类攻击达到临界水平后,Tor项目发布了工作量证明技术实施的状态更新,并于2023年3月17日正式引入了一项技术提案。近日,该提案的努力被合并到了Tor的主要代码库中,尽管这些变化将对DDoS攻击产生什么防护效果还有待观察。
While Proof-Of-Work has been traditionally used to power blockchains, it was originally suggested for DoS protection. Tor devs have been exploring the space and we believe that such a system could work wonders against the DoS attacks the network is currently experiencing. (7/8)
— The Tor Project (@torproject) September 9, 2020 Tor项目于2020年9月发布推文称:
“虽然工作量证明传统上一直用于为区块链提供动力,但最初建议用于DoS保护。Tor开发人员一直在探索这个空间,我们相信这样的系统可以在抵御网络目前正在经历的DoS攻击方面创造奇迹。”
工作量证明的概念是在1999年首次提出的。它于2002年在一篇题为“Hashcash–拒绝服务防护措施”(Hashcash – A Denial of Service Counter-Measure)的论文中正式纳入Adam Back的hashcash系统。Hashcash旨在通过要求电子邮件发件人执行少量计算工作来防止垃圾邮件;其“证明”已添加到电子邮件标题中。然后可以通过可验证的方式确定包含此类标头的电子邮件不包含垃圾邮件。
尽管hashcash仅在今天的少数实现中使用,但著名的工作量证明在2009年被比特币采用,用于比特币挖矿。目前使用工作量证明进行区块链挖矿的其他流行加密货币包括狗狗币、莱特币和门罗币。
Mullvad浏览器是非营利组织Tor项目和Mullvad VPN之间的合作的产品,提供了一个反追踪浏览器,旨在与VPN一起使用。
Today we announced the Mullvad Browser – built by the Tor Project. A browser allowing anyone to take advantage of the privacy protections of Tor Browser without Tor.
👀 Learn more here: https://t.co/TW9MfXFrK5
— The Tor Project (@torproject) April 3, 2023 使用数字匿名服务Tor的最简单方法是通过Tor浏览器。你下载并像普通浏览器一样使用它,它会在您使用时覆盖您的数字足迹,让任何人都很难跟踪您的在线活动。最重要的是,Tor浏览器设计有反监视措施,可以阻止追踪者并阻止设备指纹识别方法。但是您可能不想一直使用Tor浏览器,因为它的页面加载时间相对较慢,而且可能有点麻烦。但今天推出的一款由Tor项目的用户体验和应用程序团队开发的新浏览器提供了相同的隐私重点,该浏览器使用不同的基础架构构建,纳入了VPN支持而不是Tor。
该工具被称为Mullvad浏览器,出自Tor项目和VPN制造商Mullvad之间的合作。这个免费的开源浏览器现在可供下载。VPN领域很拥挤,有一些有问题的参与者,但Mullvad一直是备受推崇和信任的VPN,因为它是开源的,不通过用户数据获利,并对其系统和基础设施提供独立的第三方审计。尽管如此,Mullvad浏览器可以与您信任的任何VPN一起使用,也可以在没有VPN的情况下仅作为一个注重隐私的浏览器使用。
“我们来这里不是为了竞争和赢得浏览器的市场份额;我们来到这里是因为我们的使命是通过技术促进人权,”Tor项目执行董事伊莎贝拉·费尔南德斯(Isabela Fernandez)说,“因此,我们希望为需要隐私和审查制度绕过的人提供替代方案。”
Tor网络和虚拟专用网络(VPN)都会加密您的网络流量,并通过一个中介进行隧道传输,但Tor专注于通过一系列“跃点”或特殊服务器发送流量的特定方案所带来的匿名性。相比之下,VPN不会煞费苦心地匿名化您的流量,而是专注于通过创建一个只有您和VPN提供商可以看到您的网络活动的系统来提供隐私保护。因此,VPN的声誉很复杂,因为它们只有在VPN提供商值得信赖时才具有私密性。不过,根据您的使用情况和环境,它们可能是一个有价值的工具。
“Mullvad的使命是让大规模监控变得不切实际,仅靠VPN还不足以实现在线隐私——您还需要一个注重隐私的Web浏览器,”Mullvad首席执行官Jan Jonsson说。“我们希望提供与Tor浏览器一样出色的以隐私为中心的浏览器,专门适用于那些希望通过VPN而不是Tor网络连接到互联网的用户。这次合作的目的是为人们提供更多的隐私选择。”
Tor项目和Mullvad都表示,他们被对方在人权和数字隐私倡议方面的记录所吸引而进行合作。Mullvad一直是非营利组织Tor项目的长期财务支持者。
还有其他广受好评的隐私浏览器,如Brave,它们也可以与VPN一起使用,甚至具有内置的VPN功能。但Tor项目说,他们多年来开创反追踪技术的经验,如cookie隔离和其他反监视技术,意味着Mullvad浏览器是以非常高的质量推出的。Tor项目的Fernandez补充说,在开发Mullvad浏览器的过程中,该团队做出了一些发现和改进,这些发现和改进现在已被重新整合到Tor浏览器中。
Fernandez说:“也许这款新浏览器会吸引我们现在无法触及的受众。”“多个替代方案可以共存并相互支持。我们正在与其他组织合作,建立替代方案,因为这是一场大的战斗。我们的对手是大公司,所以我们需要共同努力。”
此外,Mullvad浏览器也具有一些其他的隐私功能。例如,它会自动阻止嵌入式广告和社交媒体跟踪器,还可以通过随机化用户代理标头来增加隐私保护。它还使用一个名为“FingerprintJS”的JavaScript库,该库可以检测设备指纹技术,并模糊化设备指纹信息以防止其被用于跟踪用户。
总的来说,Mullvad浏览器是一个非常注重隐私保护的浏览器,它集成了一些反监视技术和VPN支持,可以提供额外的隐私保护和匿名性。然而,就像使用任何VPN或其他隐私工具一样,使用Mullvad浏览器并不能完全保证您的隐私和匿名性,因为这些技术都不是绝对的。但是,它仍然是一个很好的选择,特别是对于那些担心隐私问题的用户。
Tor项目鼓励您检查Mullvad浏览器及其功能。它可以在没有Mullvad VPN的情况下使用,但建议结合使用。如果您想了解有关此合作伙伴关系的更多信息,可以访问Mullvad.net/browser。
2022年2月,Tor官方中成立了一个名为”洋葱支持小组“的小团队。它的发起目标很简单,即提高民间团体、人权组织和新闻媒体机构对洋葱服务的采用率。
促使Tor官方创建该小组的原因是,其意识到洋葱服务并未得到充分利用,而且它们的功能在那些促进人权的人中也没有被很好地理解。更重要的是,对于世界各地想要建立自己的洋葱网站的团体,没有足够的支持和指导。
在开放技术基金的支持下,Tor官方已经能够帮助许多组织了解洋葱的世界并建立他们自己的洋葱服务。Tor官方通过为他们部署洋葱服务然后将其移交给他们使用来支持各家组织,但对于具有技术能力的组织,Tor官方为洋葱服务部署提供高级支持。此外,还对团队成员进行了与Tor相关的一切培训,并围绕Tor网络和洋葱服务共同开展了宣传活动。
因此,今天,当人员在Tor浏览器上访问各家组织的网站时,越来越多的组织会出现“.onion available”紫色提示。
使洋葱服务更广泛可用的工具 在上述工作的同时,Tor官方发布了开源工具,以更广泛地支持洋葱服务开发,包括:
Onionprobe,这是一个开源工具,用于监控洋葱服务的状态和正常运行时间,并使服务运营商能够诊断问题:https://gitlab.torproject.org/tpo/onion-services/onionprobe,Debian软件包,Arch Linux软件包 Onion Launchpad,一个可定制的登陆页面,向普通观众解释如何下载Tor浏览器、连接到Tor和访问指定的Onion服务(内容被翻译成超过61种语言):https://gitlab.torproject.org/tpo/onion-services/onion-launchpad Onionmine,一个方便的包装器,用于地址和TLS证书生成:https://gitlab.torproject.org/tpo/onion-services/onionmine。 倡导洋葱服务 Tor官方也一直在利用这段时间反思其团队如何谈论洋葱,以及该如何以理性和负责任的方式促进洋葱服务的使用。Tor官方喜欢用一种方式来框定洋葱服务,即它们是目前最耐审查的技术。从某种意义上说,这在技术上是不真实的,因为只要用户没有访问Tor网络,他们就无法访问任何洋葱服务。但我们所说的抗审查性来自于洋葱地址本身是不可审查的,没有互联网供应商或政府可以检测到与该服务的连接并阻止对它的访问。
此外,当连接到洋葱服务时,可以确保的是,通信是端到端加密的,并且不会在用户活动中记录任何元数据。用户也在为去中心化网络做出贡献,因为要启动洋葱服务,不需要静态IP地址或购买域名;事实上,洋葱地址基本上就是一个公钥。
一个无国界的、与国家无关的空间 Tor官方一直在做一个思想实验,就是把这个洋葱空间想成一个无国界的国家空间。当通过VPN访问一个网站时,你会从位于特定国家的VPN服务器退出,而浏览该网站的体验将根据你从哪个国家访问它而有所不同(即VPN服务器的位置)。当通过Tor访问一个网站时,这取决于出口节点的位置。另一方面,当访问洋葱服务时,您不会从任何地方“退出”,而是会遇到Tor网络内的网站。
以这种方式考虑洋葱服务有积极的一面:
与国家无关的访问意味着可以消除不同司法管辖区提出的风险和压力(类似于VPN提供商和Tor出口节点面临的风险)。 一个无边界互联网类似于一个安静祥和的房间,远离Tor网络和“常规”互联网之外的喧嚣。 最后,与访问常规站点或通过Tor访问站点相比,洋葱服务可最大程度地减少危害。 Tor官方认为与朋友或同事分享.onion地址是一种温和地影响他们仅使用Tor浏览器打开和浏览网站的方式。通过这种方式,可以保证他们不会用普通的浏览器访问,冒着被发现访问敏感内容的风险,并因此而暴露在一系列的威胁之下。
如果某个组织有兴趣了解更多关于洋葱和洋葱支持的信息,请通过这个表格联系Tor官方:https://nc.torproject.net/apps/forms/s/bGswKTbTj8ikYb4oPen9W9ig,同时也可以在The Tor Project论坛上提出问题并展开讨论。