最近,Tor项目先后发布Tor浏览器、Tails操作系统的最新版本更新,其中,Tor 浏览器 14.0.4包含 Firefox 的重要安全更新,Tails 6.11 修复了外部审计期间发现的几个严重的安全漏洞。此外,下一代Tor客户端Arti也发布了1.3.2版本,包含了洋葱服务、RPC、中继等功能的开发更新。
Tor浏览器14.0.4新版本发布 Tor浏览器14.0.4现在已经可以从Tor浏览器下载页面以及Tor官方网站的分发目录中获取。
此版本包含 Firefox 的最新的重要安全更新。
完整更新日志 Tor浏览器14.0.3以来的完整更新日志如下:
所有平台 已将 NoScript 更新至 12.1.1 Bug tor-browser#42125:锁定 RFP 第 2 部分 Bug tor-browser#43176:控制台中的 noscript-marker CSP 警告 Bug tor-browser#43282:无法单击/点击/选择 WebGL 占位符附近的任何内容 Bug tor-browser#43296:NoScript 阻止的视频内容占位符未居中 Bug tor-browser#43338:自定义缩放 + “仅缩放文本”破坏了 pdfjs Bug tor-browser#43343:删除 YEC 2024 Bug tor-browser#43352:NoScript 更新期间记录的对多播 IPv6 ff00:::443 的连接尝试失败 Bug tor-browser#43366:请勿在输入中使用系统强调色 Bug tor-browser#43382:将 Tor 浏览器稳定版本重新调整至 128.6.0esr Bug tor-browser#43384:从 Firefox 134 反向移植安全修复 Bug tor-browser-build#41333:更新 Snowflake 内置桥中的 STUN 服务器 Bug tor-browser-build#41338:添加 CDN77 meek 桥 Windows + macOS + Linux Firefox 已更新至 128.
Tor官方在2024年底对该非盈利性重大隐私保护工程一年的工作进行了回顾,“暗网下/AWX”对Tor项目的文章进行了翻译与总结。Tor官方称,每当人们谈论Tor时,总会提到几个关键问题:性能、安全性和网络健康、审查规避以及第三方集成的兼容性。这些是Tor项目工作的重中之重,2024年Tor项目在这些领域都取得了重大进展,这篇文章里,Tor官方回顾了其是如何为解决这些核心问题和挑战而开展的一些新项目和正在进行的项目。
一、提高性能和安全性 洋葱服务改进:洋葱服务是一种使用Tor网络交换数据的通信技术。它们通过将所有通信保留在Tor网络内,来提供端到端加密和增强的匿名性。2024年,Tor项目推出了OnionSpray,这是一款即插即用的工具包,可以更轻松地将现有明网网站转换为可以使用.onion域名访问的暗网网站。OnionSpray具有代理功能,允许现有网站与“洋葱服务”无缝集成。通过简化设置,运营者可以快速受益于.onion暗网网站的抗审查和拒绝服务保护功能,而无需修改其现有基础设施。如需深入了解该功能,可以查看Tor项目早期采用者之一的案例研究。
支持Vanguards:从2024年夏天开始,Arti支持Vanguards,这是一种针对针对洋葱服务和洋葱服务客户端的防护发现攻击的防御措施。Vanguards于2018年首次作为v3洋葱服务的附加组件推出,旨在降低去匿名化攻击的风险并确保用户安全。
内存配额跟踪:Tor工程师和志愿者在Arti方面取得了重大进展,Arti是Tor核心的现代重写版本,采用Rust语言编写。Arti的模块化设计提高了可维护性、安全性和性能。为了抵御内存耗尽攻击,2024年Tor项目实现了内存配额跟踪。此功能允许Tor监控和限制其内存使用情况,优先关闭较旧的连接,以降低内存使用率并保持系统稳定性。这为所有用户提高了可靠性,并降低了高流量期间系统超负荷的风险。
带宽扫描仪:Tor保持网络稳定和健康的持续策略依赖于有效利用网络数据的能力。带宽扫描仪通过测量Tor网络中的中继容量,在网络的性能和安全性中发挥着重要作用。然后,这些数据会被用来指导如何构建与Tor网络连接的路径。这样做的目的是优化网络中的负载分布,最终提高浏览速度和可靠性。
二、扩大抗审查能力 发布WebTunnel:2024年年初,Tor项目成功推出了WebTunnel,这是一种新型桥接器,旨在与普通网络流量无缝融合,使审查者更难阻止Tor连接。通过模仿常见的互联网协议,WebTunnel提高了Tor网络在审查严格的地区的适应能力和弹性。自2024年上半年推出以来,该桥接器确保优先考虑较小流量的下载,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛使用的浏览器的特性。这使得Webtunnel对普通用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。在为用户提供可靠的开放网络访问方面,这种方法已经显示出良好的前景,尤其是在像俄罗斯这样审查严格的地区。Tor官方一直希望扩大这些努力,如果有用户愿意通过运行新桥接器来支持Tor,可以考虑参与并学习相关的技术知识。
Snowflake更新:浏览器扩展程序Snowflake于2021年推出,是Tor对抗网络审查的一大飞跃。它使设置代理变得像打开网页一样简单。为了遵守Google Chrome扩展程序框架的变化,Tor项目重新设计了Snowflake的WebExtension,以符合Manifest V3标准。更新后的版本已于9月份成功部署,确保在Google逐步停止对Manifest V2的支持后,Chrome浏览器上的用户仍可使用Snowflake。Tor项目还通过自动化发布流程、替换过时的内容交付网络和修订协议来不断改进Snowflake。这些努力确保Snowflake对全球用户保持可靠和有效。
过渡到Rdsys:2024年,Tor项目从BridgeDB成功过渡到Rdsys,这是Tor项目的下一代桥接分发系统。Rdsys采用模块化架构,可帮助Tor项目快速适应新出现的审查策略,并允许Tor项目试验桥接分发渠道,更有效地覆盖用户所在的地理位置。
三、推进外联和宣传 与Tails联手:合作一直是Tor项目工作的核心,例如Tor项目与Tails的合并,就是一个很好的例子。Tails是一个便携式操作系统,使用Tor保护用户免受数字监控。2024年,Tails推出了几项影响深远的更新,包括一项防止数据丢失的新备份功能。展望未来,该团队正在探索如何在Tails上支持Signal等消息应用程序,使用户能够安全地进行通信,同时将敏感通信与可能受到入侵的设备隔离开来。
分散培训工作:Tor官方从自己开展全球培训课程转变为为当地培训师提供教授Tor的技能。Tor官方将2022年首次启动的”隐私弹性资助计划“扩展到49个国家/地区,使培训师能够开展本地化的Tor活动。培训师们报告了培训带来的重大影响,例如改善了对监控和协作学习的保护。
中继倡导:Tor官方继续扩大与大学的合作伙伴关系,以促进中继运营。这些努力不仅通过访问强大的中继节点增强了Tor网络,而且还通过树立积极的榜样鼓励更多组织为其基础设施做出贡献。
四、为Tor的未来做好准备 RPC子系统:2024年Arti最重要的进展之一是开发了一个完全重新构想的RPC子系统。该系统通过提供进程外应用程序接口(out-of-process API)、改进模块化和应用隔离,重新定义了应用程序与Tor的交互方式。与现有的控制端口不同,RPC子系统可防止应用程序访问敏感信息。。这种设计将使开发人员能够更轻松、更安全地构建使用Tor的工具和服务。
人性化的.onion地址:冗长复杂的.onion域名一直是可用性方面的难题与挑战。今年,Tor官方开始研究创建更人性化的替代方案,旨在提高新用户的可访问性,同时保持强大的安全性。这些努力将使”洋葱服务“更加平易近人,更加方便用户使用。
Android版本辅助功能:为了准备使用“辅助功能”——一项意在自动规避审查的功能——Tor项目重新设计了Android版本Tor浏览器的连接体验,采用了全新的“原生”实现方式。这是Tor项目长期努力将“连接辅助”引入安卓系统的长期努力的必要步骤,并为安卓用户提供了一系列小的改进,使其体验与桌面更加一致,并允许用户在连接前访问设置,从而实现更顺畅的故障排除和更高的可访问性。
Tor官方最后总结称,所有这一切都得益于Tor社区和用户的持续支持。Tor官方可以共同为数字权利打造一个更强大、更具弹性的未来。
根据Tor项目的官方博客:Arti是Tor项目正在进行的用Rust语言创建的下一代Tor客户端的项目,现在发布最新版本Arti 1.2.7;Tor浏览器更新13.5.3版本,现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。
根据@torproject在X发表的推文,🦀 Arti 1.2.7添加了对受限发现模式的支持,并包含错误修复、清理以及对DoS抗性和中继基础设施等方面的改进。🖥️ Tor 浏览器 13.5.3 包含对 Firefox 的重要安全更新。
Latest release alert:
🦀 Arti 1.2.7 adds support for restricted discovery mode & contains bugfixes, cleanup, and improvements to DoS resistance and relay infrastructure among others.
🖥️ Tor Browser 13.5.3 includes important security updates to Firefox
For full details, visit our…
— The Tor Project (@torproject) September 4, 2024 对于Arti 1.2.7,该版本在 Arti 的隐藏服务(.onion 服务)实现中添加了对受限发现模式(之前称为 “客户端授权”)的支持。该版本还包含大量错误修复、清理和改进,以及 RPC 子系统、DoS 防御和中继基础架构的幕后工作。Tor项目表示,如需了解这些工作的全部细节,以及许多较小和不太明显的改动,可以参阅更新日志。
Arti是一个以高安全性语言Rust重新开发的Tor,官方认为这个版本代码更具模块化设计,也对其安全性更有信心。
Tor官方近日发布一个用Rust重新开发的Tor版本Arti 1.0.0,目前这个版本已经可用于生产环境。Arti与C客户端Tor具有类似的隐私度、可用性和稳定性,而嵌入器(Embedder)API也接近完全稳定阶段。
用户现在已经可使用Arti代理连接Tor网络,匿名化网络连接,官方提醒,不建议用户使用传统网络浏览器指向Arti,因为传统浏览器会泄漏许多隐私和可识别信息,最好使用Tor浏览器。
为什么是Arti?以及如何实现? 从2020年Tor官方就已经开始着手以Rust语言开发Tor协议,而之所以要用Rust语言重写Tor,官方解释,在2001年的时候,C语言是一个合理的选择,但他们逐渐发现C语言的限制,比如C语言鼓励对许多编程问题采用不必要的低级方法,解决程序开发问题,而且要安全地使用C语言,需要付出许多精力,也由于这些限制,C语言的开发速度总是比期望更慢。
还有另一个重要原因,C语言发展这么多年,早已成为一个不那么模块化的设计,几乎所有东西都连结在一起,而这使得代码分析和进行安全性改进都变得困难。而转向以Rust开发,是解决这些问题的好方法,在2017年的时候,官方就曾尝试在C Tor代码库中添加Rust,希望有一天能逐步替换代码。
Rust于2010年在Mozilla开始,现在由Rust基金会维护,经过多年的发展,Rust已经成为一种独立维护的编程语言,具有很好的人体工程学和性能,以及强大的安全属性。
因为C语言代码没有足够的模块化,不容易重写,但要获得Rust代码带来的好处,需要一次重写整个模组,而不是一次只重写一个函数。但那些被隔离的、足以替换的代码部分大多是微不足道的,真正需要更换的部分又全部交织在一起,因此要在不破坏代码稳定性的情况下,要逐步替换成Rust开发,官方认为是不可能的工作。
在2020年,Tor共同创办人Nick Mathewson开始着手Rust Tor版本开发,随后更名Arti作为Tor官方版本,并获得Zcash社区补助金(Zcash Community Grants)的资助,使得Tor公司得以雇用更多的开发者加入开发,历经数个测试版本,现在终于达到1.0.0的里程碑。
那么,Rust 怎么样? 从开发语言改变来看,官方提到,在每个可比较的开发阶段,以Rust语言开发碰到的Bug,都比C语言开发阶段少得多,会遇到的错误几乎都是语义/算法上的错误,也就是真正的编程问题,而不是使用Rust语言及其设施上的错误。
Rust以其困难的语言和挑剔的编译器而闻名,而且编译器的挑剔性代表着非常严谨,官方提到,一般而言,只要Rust代码能够编译并通过测试,那么在相同条件下,它比C代码更有可能是正确的。虽然是第二次建构Tor,类似功能开发速度本来就会比较快,但官方强调,速度的提高有一部分是由于Rust的语义更具表现力和更可用的库生态系统,但很大一部分是由于Rust的安全性带来的信心。
不过Rust还是有一些缺点,虽然Rust可移植性比C语言更好,但还是需要处理操作系统之间的差异,另外,因为Rust的标准库并不会默认安装在目标系统上,也因此增加可执行文件的大小,虽然通过使用平台原生TLS开发改进支持,已经足以消除这个问题,但是仍有一些工作要进行。
比起C Tor,官方发现Arti更吸引贡献者,获得的代码贡献量更大且摩擦更小,由于Rust强大的类型系统、优秀的API文档支持和安全性,极大程度帮助新的贡献者入手。这些特性可以帮助他们找到要修改的地方,也可以让他们在修改不熟悉的代码时更有信心。