Brave是一款免费的开源网络浏览器,它可以让你在不使用Tor浏览器的情况下浏览暗网。虽然这听起来像是进入暗网的一个方便的选择,但它并不是官方的、久经考验的方法的良好替代品。
一、Brave浏览器不是为了匿名而建的 Brave的桌面版本提供了一种通过“使用Tor的私人窗口”设置浏览暗网的方法。此功能会在浏览器中打开一个新窗口,让你能够通过Tor网络运行的代理访问暗网。
Brave是一款注重隐私的网络浏览器。而Tor浏览器则是为匿名浏览暗网而设计的。
隐私和匿名是两个经常混淆的术语,但它们是不同的。本质上,Tor通过删除数字指纹信息、加密数据并通过全球多个中继发送匿名互联网流量来掩盖用户的身份。但是,Brave默认不会删除用户的身份信息。因此,通过Brave中的Tor代理浏览暗网比仅仅使用Tor浏览器更引人注目。
虽然Brave非常适合大多数隐私爱好者使用,但与Tor浏览器相比,它在保持完全匿名方面做得并不好。
二、Brave浏览的Tor功能非常有限 Brave主要用于浏览明网(搜索引擎索引的公共、常规互联网部分)。其Tor模式是后来作为辅助功能推出的,但并非核心重点。过去,该浏览器曾出现过一个问题,即用户的暗网浏览历史会暴露给互联网服务提供商(ISP)。虽然这个问题早已解决,但还是建议用户使用Tor项目官方的Tor浏览器,以获得最大的安全性和隐私性。
Brave的指纹保护不如Tor浏览器有效。使用一款开源工具CreepJS(用于检查设备在网上的可识别程度)进行测试可以发现,在使用Tor浏览器的时候,该工具仅仅可以识别浏览器信息,并大致确定用户使用的操作系统,但几乎没有透露其他信息。但是,使用Brave的Tor私人窗口时,CreepJS发现了更多详细信息,包括用户所在的时区、确切的操作系统、GPU和屏幕分辨率。
虽然这些信息看起来可能不是很敏感,但恶意行为者可以结合这些信息在各个网站上进行跟踪,就像cookie的工作方式一样。Tor通过为所有用户标准化用户代理字符串、屏幕尺寸和字体来降低这种风险。如果每个人看起来都一模一样,就很难发现个人。
一般不建议使用Brave这样的单一浏览器同时进行明网和暗网活动。Brave的正常浏览窗口和Tor窗口看起来非常相似。可能会发生错误,并且有可能将敏感数据暴露给恶意行为者。
三、Brave浏览器官方也推荐使用Tor浏览器实现完全匿名 “暗网下/AWX”注意到,使用Tor浏览器而不是Brave浏览器的另一个主要原因可能是,Brave公司本身也向“个人安全取决于保持匿名”的用户推荐使用Tor浏览器。由于Brave不包含Tor浏览器的所有隐私保护,因此很难保证浏览器具有相同级别的匿名性。
因此,如果用户需要安全匿名地浏览暗网,强烈推荐使用Tor浏览器。它专注于保护用户的身份,用户的互联网活动(以及在暗网内的活动)完全被掩盖。它也是跨平台的、易于安装的,并且非常易于使用。
当然,如果用户不介意在浏览暗网时暴露一些身份信息,Brave仍是一个不错的选择。例如,如果只是在查看或研究某个暗网页面。但是,如果需要更多隐私和匿名,Tor浏览器是更好的选择。
如果一定要使用Brave浏览器,为了获得更多保护,请考虑在“设置”>“屏蔽”下打开“阻止指纹识别”,安装NoScript附加组件,并在Tor模式开启时使用其他浏览器进行明网访问。
4个月前,”暗网下/AWX“抢先报道Tor项目推出了Tor浏览器 13.5大版本,并在加紧新版本的开发。Tor项目的效率相当高,这4个月中进行了多次小版本的更新。
10月23日,Tor项目发布了Tor浏览器 14.0大版本,这标志着这款以隐私为重点的开源、跨平台、免费的网络浏览器进行了重大的稳定更新,旨在保护用户在使用Tor匿名网络的时候可以逃避跟踪、监视和审查。
Tor浏览器 14.0基于Mozilla Firefox ESR 128(扩展支持版本)系列,融合了Firefox一年的上游变化,并针对桌面和安卓(Android)用户提供了大量增强功能。并且Tor项目还完成了年度ESR过渡审计,其中审查并解决了200多个Bugzilla问题。
Android版本的New circuit 对于安卓用户,Tor浏览器 14.0引入了一种新方法,即通过将“此网站的新线路”(New circuit for this site)桌面功能移植到安卓端,为访问失败的网站请求新线路,而无需重置身份。用户现在可以通过点击“新线路”(New circuit)项直接从Tor浏览器的hamburger菜单中请求新线路。请求新线路时,Tor浏览器会关闭所有选项卡、清除所有cookie并清除用户的浏览历史记录。
Tor浏览器的开发人员解释道:
在以前的安卓版Tor浏览器中,用户可以通过与Tor浏览器运行时出现的持续通知交互来请求“新身份”。然而,这并不寻常,原因有以下几点:首先,应用程序的用户界面本身并不提供此类功能,只能通过安卓的通知抽屉在应用程序外部启用。其次,此功能不会执行与桌面版 Tor 浏览器相同的重置身份的步骤,例如关闭所有选项卡、清除所有 cookie 和清除浏览历史记录。
扩展对旧操作系统的支持 Tor浏览器 14.0还扩展了对Windows 7、Windows 8和Windows 8.1以及macOS 10.12、macOS 10.13和macOS 10.14等旧平台的支持,这些旧平台的用户将继续临时收到关键安全更新,至少到2025年3月。
Tor浏览器的开发人员解释道:
微软于2023年1月终止了对Windows 7、8和8.1的支持,而苹果会继续为之前的三个版本的macOS提供支持。另外,Mozilla去年曾将这些版本的支持转移到Firefox的扩展支持版本(ESR),并表示ESR 115将是支持这些平台的Firefox的最后一个版本。然而,Mozilla此后又宣布,ESR 115将继续收到关键安全更新,至少到2025年3月,并打算在明年初重新评估情况。因此Tor浏览器的支持时间与Firefox相同。
因此,每当Firefox ESR 115有关键安全更新可用时,Tor项目将继续发布Tor浏览器 13.5的新版本。最终,这种支持只是暂时的,并且取决于Mozilla的时间表。这意味着Tor浏览器用户群将分为两个更新路径:
Windows 10或更高版本和macOS 10.15或更高版本的用户将更新至Tor浏览器 14.0。 Windows 7、8和8.1以及macOS 10.12、10.13和10.14的用户将继续使用Tor 浏览器 13.5。 其他变化 新版本具有更新的字体,包括更粗的标题和行高,以提高字体兼容性和可访问性,以及提高指纹保护的可用性和兼容性,以实现画中画、屏幕截图等实用功能,同时又不损害用户隐私。
将安卓版Tor浏览器的代码库统一到单个存储库中,改变了Tor浏览器用户代理的欺骗方式,减少了x86和x86_64平台的安卓APK大小,改进了安卓APK生成,并修复了大量错误。
请查看发布公告页面上的完整更新日志,了解有关此Tor浏览器新主要更新中包含的更改的更多详细信息。Tor浏览器现在可以从官方网站下载,在Tor浏览器的下载页面和Tor项目的分发目录中提供。
10月9日,Mozilla已向Firefox浏览器发布了131.0.2版本的紧急更新,该更新修复了一个远程代码执行漏洞。紧接着,Tor项目发布Tor浏览器13.5.7版本以及Tails操作系统6.8.1版本来跟进修复该漏洞。
Firefox 131.0.2的安全修复(MFSA 2024-51) 根据Mozilla的安全公告报告,该漏洞(CVE-2024-9680)与使用后释放CSS动画有关。网络犯罪分子可以利用此漏洞注入并执行任意恶意代码。
发布时间2024年10月9日影响关键产品Firefox, Firefox ESR修复版本Firefox 131.0.2
Firefox ESR 115.16.1
Firefox ESR 128.3.1 该漏洞编号为CVE-2024-9680: 动画时间线中的 “释放后使用”(use-after-free),漏洞发现者为来自安全公司ESET的 Damien Schaeffer,攻击者可利用 Animation timelines 中的 “use-after-free ”漏洞,在内容进程中执行代码。目前已经收到过关于此漏洞在野外被利用的报告。参考:Bug 1923344
Tor浏览器 13.5.7 Tor浏览器专为访问暗网而设计,基于Firefox而构建,因此也同步修复了该安全漏洞。它还修复了一些bug。
Mozilla已经意识到这种攻击正在野外针对Tor浏览器用户进行。
Tor浏览器 13.5.6以来的完整更新日志如下:
所有平台 Bug tor-browser#43201:Firefox 131.0.2 的安全修复 Bug mullvad-browser#361:巴西一些政府网站上的 SSL_ERROR_NO_CYPHER_OVERLAP 构建系统 Windows + macOS + Linux Bug tor-browser-build#41254:删除 cryptoSafetyPrompt.properties 行 Tails 6.8.1 Tails专为匿名浏览而设计,同步修复了Firefox浏览器(Tor浏览器的基础)中的这个严重安全漏洞,它还改进了持久内存的处理。
根据Tor项目的官方描述,将Tor浏览器更新至13.5.7 版,可修复MFSA 2024-51,这是一个重大的释放后使用漏洞。利用此漏洞,攻击者可以控制Tor浏览器,但可能无法在Tails中将您匿名化。
安全更新是Tails 6.8.1中唯一的变化,它使用了Tor浏览器的补丁修复版本13.5.7。但周三晚上发布的Tails 6.8还有一些变化。开发人员写道,现在可以修复解锁持久存储时检测到的文件系统错误。然而,并非所有文件系统错误都可以安全修复,这就是为什么他们还创建了更详细的文档,其中包含进一步可能的解决方案。
9月中旬发布的Tails 6.7大版本包含匿名聊天功能,如果安全启动出现问题,它可以提供如何启动计算机的说明。9月底,Tails和Tor项目宣布未来将联手,他们希望联手保护全球用户免受监视和审查。
Tails是一款以安全为重点的基于 Debian的Linux 发行版,旨在保护隐私和匿名性,防止监视。它仅通过匿名网络Tor连接到互联网。该系统设计为以实时 DVD或实时 USB启动,永远不会写入硬盘或SSD,除非明确指示这样做,否则不会在机器上留下任何数字足迹。它也可以作为虚拟机运行,但存在一些额外的安全风险。
根据Tor项目官方博客的消息,本月,Tails操作系统正式推出6.7版本,同时近期,Tor浏览器发布了13.5.4版本,请及时更新最新版本。
Tails 6.7 新版本 变更和更新 将Tor浏览器更新至13.5.3版本。
将Thunderbird更新至115.15.0版本。
将OnionShare从2.2版本更新到2.6版本,其中包含创建匿名聊天室的功能。
已修复的问题 即使在关机期间也要保持防火墙开启。(#20536)
启动系统分区为2.5 GB的旧Tails USB驱动器时停止报告错误。(#20519)
欲了解更多详细信息,请阅读更新日志。
已知问题 Shim SBAT 验证错误
Tor浏览器 13.5.4 新版本 下载Tor浏览器 Tor 浏览器 13.5.4 现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。
此版本包含 Firefox 的重要安全更新。
完整更新日志 Tor浏览器13.5.3版本以来的完整更新日志如下:
所有平台 已将 NoScript 更新至 11.4.37 OpenSSL 已更新至 3.0.15 Windows + macOS + Linux Bug tor-browser#41835:检查默认搜索引擎选项 安卓 Bug tor-browser#43124:为 Android 实现迁移程序 Bug tor-browser#43145:从 130.0.1 反向移植 Android 安全修复 构建系统 所有平台 Bug tor-browser-build#41229:将 OpenSSL 下载位置迁移至 github 版本 macOS Bug tor-browser-build#41231:在 tools/signing/gatekeeper-bundling.
根据Tor项目的官方博客:Arti是Tor项目正在进行的用Rust语言创建的下一代Tor客户端的项目,现在发布最新版本Arti 1.2.7;Tor浏览器更新13.5.3版本,现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。
根据@torproject在X发表的推文,🦀 Arti 1.2.7添加了对受限发现模式的支持,并包含错误修复、清理以及对DoS抗性和中继基础设施等方面的改进。🖥️ Tor 浏览器 13.5.3 包含对 Firefox 的重要安全更新。
Latest release alert:
🦀 Arti 1.2.7 adds support for restricted discovery mode & contains bugfixes, cleanup, and improvements to DoS resistance and relay infrastructure among others.
🖥️ Tor Browser 13.5.3 includes important security updates to Firefox
For full details, visit our…
— The Tor Project (@torproject) September 4, 2024 对于Arti 1.2.7,该版本在 Arti 的隐藏服务(.onion 服务)实现中添加了对受限发现模式(之前称为 “客户端授权”)的支持。该版本还包含大量错误修复、清理和改进,以及 RPC 子系统、DoS 防御和中继基础架构的幕后工作。Tor项目表示,如需了解这些工作的全部细节,以及许多较小和不太明显的改动,可以参阅更新日志。
根据Tor项目官方博客的消息,Tor浏览器13.5版本现已从Tor浏览器下载页面和Tor项目的分发目录中提供。
经常阅读”暗网下/AWX“文章和Tor官方博客文章的朋友们一定知道,在过去的两年里,Tor官方一直在逐步提高Tor项目的能力,不仅维护了Tor浏览器,而且还为Android版Tor浏览器带来了切实的改进。在这方面,Tor浏览器13.5版本具有里程碑的意义:除了更新日志中提到的数十个错误修复和小改进之外,该版本还对Android的连接体验进行了重大更改,为将来添加连接辅助功能做准备,包括在连接前完全访问”设置“,以及为Tor日志提供一个永久的新主页。
对于桌面版本Tor浏览器,Tor官方将继续努力改善指纹保护的用户体验。继Tor官方在Tor浏览器13.0桌面版中引入新窗口大小的更改之后,此版本又对letterboxing设计进行了受欢迎的更改,包括记住用户上次使用的窗口大小和在常规设置中调整letterboxing对齐方式的新选项。桥接(Bridge)用户还将发现桥接设置中的大量改进,包括桥接卡的全面重新设计和共享功能的改进,以及旨在帮助用户在其他地方找到更多桥接的新部分。最后,洋葱网站错误的设计已进行了视觉更新,使它们与Tor浏览器中其他类型的网络错误保持一致。
Android版本Tor浏览器有哪些新功能? 全新的连接体验 Tor官方已用全新的“原生”实现完全替换了Android版Tor浏览器的连接界面。这是Tor官方长期努力的第一步,也是必要的一步,Tor官方将在未来的主要版本中为安卓系统带来”连接辅助“(Connection Assist)——一种可以自动规避 Tor 网络审查的功能。。然而,在等待连接辅助功能到来的同时,Tor浏览器的新连接屏幕已经为安卓用户提供了一系列小改进。
为了建立坚实的基础,以便在未来可以扩展Android版本Tor浏览器的连接功能,这些屏幕也与桌面版本更加一致。最终,希望能够实现成功绕过桌面版本审查的用户也能够使用安卓版本,而无需重新学习其工作原理。
除了视觉更新之外,用户现在还可以在启动应用程序时启用自动连接选项(基于上次使用的连接设置)。此外,用户还可以在连接到Tor之前访问完整的设置菜单——通过点击设置图标,或通过新按钮“配置连接”——在这里也可以找到新的Tor日志。
Tor日志的永久主页 正如许多人可能了解的那样,Tor浏览器会保留Tor后台活动的日志,以便在出现问题时帮助排除故障。Tor日志不包含有关用户浏览活动的任何敏感信息,而只是揭示Tor在幕后试图做什么——例如,这些日志通常包括Tor启动进度的记录,以及发生的任何警告或错误。
如果用户遇到问题并联系技术支持人员,支持人员可能会要求提供Tor日志副本,以帮助他们诊断问题。但是,在安卓版Tor浏览器的早期版本中,只有在连接过程中向侧面滑动才能找到Tor日志。这意味着一旦Tor浏览器成功建立连接,用户就无法返回此屏幕查看和复制他们的Tor日志。
为了解决这个问题,Tor官方重建了Tor日志并将其重新定位到“设置”中名为“连接设置”的新部分——在桌面版本Tor浏览器也可以在这里找到Tor日志。鉴于现在无论用户的连接状态如何都可以访问设置菜单,这意味着用户可以在使用Tor浏览器时随时检索Tor日志。最后,”暗网下/AWX“看到,还有一个方便的按钮,用户可以使用它来一键复制所有日志,而不需要费力地选择文本。
桌面版本Tor浏览器有哪些新功能? 介绍 Betterboxing 新用户经常提问:“那些灰色条是什么?”Tor官方的支持网站上也有自己的条目。答案是:letterboxing!
回顾一下,Tor浏览器的9.0版本引入了letterboxing模式,通过将内部内容窗口四舍五入到最接近的100像素,用户可以调整浏览器窗口大小而不必担心被指纹识别。该技术的工作原理是将大多数用户的窗口大小分组到一系列公共“桶”中,保护这些桶中的个人用户不会根据其窗口或屏幕大小被单独挑出。
虽然现有的letterboxing模式实现可以很好地防止指纹识别,但其视觉设计经常会被新用户误解为浏览器的错误或正在浏览的网站的渲染问题。
用户在浏览暗网网站时可能会遇到一些问题。根据Tor官方在网上收集的用户反馈、用户研究活动和培训课程中发现的问题,发现了以下问题:
设计看起来不太刻意,因此用户会误解letterboxing是浏览器故障。为此,Tor官方对letterboxing的视觉设计进行了些许润色——但引入的元素被刻意保持低调,以避免分散用户对实际浏览内容的注意力。 letterboxing功能在“设置”中的任何地方都没有提及,因为以前版本没有任何选项可以配置。从此版本开始,用户现在可以在“常规设置”中找到一个新的letterboxing部分,其中包括记住上次已知的窗口大小的选项,以及选择是否希望letterboxing与浏览器窗口的顶部或中间对齐。 专业提示:如果需要手动调整Tor浏览器的大小以隐藏letterboxing功能引入的边距,现在可以双击letterboxing边距,以将Tor浏览器缩小到下一个窗口大小。
更好的网桥设置 桥接用户会注意到,此版本中对连接设置进行了一系列改进,旨在帮助受审查的用户找到可用的网桥,并改进添加多个网桥时的管理。
桥接卡首次在Tor浏览器11.5版本中推出,现在显示在一张更紧凑的卡片中,而不是以前的一堆卡片。为了帮助用户记住桥接的来源,新的桥接卡还预先标明了桥接的来源,无论是内置的、从Tor请求的,还是用户自行添加的。最后,当用户添加三张或更少的桥接卡时,现在可以一次共享所有桥接卡,而不是像以前那样每次只能共享一张。
当Tor浏览器的内置选项无法满足用户的需求时,用户还可以找到一个新的“查找更多桥接”部分,它为受审查用户提供了获取桥接的其他渠道,包括Telegram、“获取桥接”网站和电子邮件。现有的“请求桥接”功能也已移至此处,允许用户从Tor浏览器的内置桥接机器人检索桥接,而无需先连接到Tor。
简化的洋葱网站错误 除非是完美主义者,否则可能在某个时候拼错了暗网网站地址,结果却进入了错误界面。当用户遇到类似问题时收到的用户友好信息被称为”网络错误“(Network Errors),简称”网错“(neterrors),火狐浏览器早在1.5版本中就引入了这种信息。
”暗网下“发现,在过去的Tor浏览器版本中,洋葱网站错误与Tor浏览器中的其他类型的网络错误有所不同。尽管这一变化背后的设计决策初衷是出于好意,但有时会导致人们对问题根源产生混淆。作为回应,Tor官方简化了洋葱网站错误的设计,使用户体验与在浏览洋葱网站时可能遇到的其他类型的网络错误保持一致。
版本说明 本站(anwangxia.com)注意到,Tor浏览器13.5版本将是支持Windows 8.1及更旧Windows版本和macOS 10.14及更旧macOS版本的最后一个主要版本。
保持Tor浏览器的最新版本对于维护用户的隐私、安全和匿名性至关重要。”暗网下“看到,Tor官方已经表示,在Tor浏览器14.0于今年第四季度发布后,这些平台的用户将不再收到重要更新。因此,强烈建议受影响的用户在下一个版本发布前将其操作系统升级到受支持的Windows和macOS版本,运行旧版本Windows和macOS的用户将开始在Tor浏览器中看到相关提示信息。
3月19日与3月22日,Tor项目连续发布Tor浏览器的两个小版本紧急更新,修复了Firefox多个重大安全漏洞。”暗网下/AWX“提醒大家尽快升级最新版本的Tor浏览器。
Tor浏览器 13.0.12 版本 3月19日,Tor项目发布Tor浏览器 13.0.12 版本,该版本一方面取消了.onion网站的自动优先级排序,另一方面完成了Firefox的重要安全更新。
Tor项目表示最近收到了通知,称有关自动”洋葱位置“(Onion-Location)重定向存在潜在的指纹识别漏洞。为了谨慎起见,暂时从Tor浏览器中删除了“已知.onion网站时优先处理”的选项。Tor团队正在进一步研究这个问题,一旦有更多研究成果和建议将及时提供更新。
根据Tor官网的介绍:
浏览器指纹识别
指纹识别是收集有关设备或服务的信息,以便对其身份或特征进行推测的过程。独特的行为或响应可用于识别所分析的设备或服务。Tor浏览器可防止指纹识别。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.12 版本(基于Firefox ESR 115.9)中修复的安全漏洞如下:
CVE-2024-0743:NSS TLS 方法崩溃 CVE-2024-2605:Windows 错误报告器可用作沙箱逃逸向量 CVE-2024-2607:JIT 代码无法保存 Armv7-A 上的返回寄存器 CVE-2024-2608:整数溢出可能导致越界写入 CVE-2024-2616:改进 ICU 内存不足情况的处理 CVE-2023-5388:NSS 容易受到针对 RSA 解密的定时攻击 CVE-2024-2610:html 和 body 标签处理不当导致 CSP 随机数泄漏 CVE-2024-2611:点击劫持漏洞可能导致用户意外授予权限 CVE-2024-2612:自引用对象可能会导致释放后使用 CVE-2024-2614:Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中修复的内存安全错误 Tor浏览器 13.0.13 版本 3月22日,Tor项目发布Tor浏览器 13.0.13 版本,该版本是一个计划之外的紧急更新版本,其中包含针对桌面平台Firefox的重要安全更新。安卓版本的Tor浏览器不受影响。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.13 版本(基于Firefox ESR 115.9.1)中修复的安全漏洞如下:
CVE-2024-29944:通过事件处理程序执行特权 JavaScript (攻击者能够将事件处理程序注入特权对象,从而允许在父进程中执行任意 JavaScript。注意:此漏洞仅影响桌面版 Firefox,不影响移动版 Firefox。)
如果您已经安装了Tor浏览器,请尽快通过Tor浏览器本身的“检查更新”按钮及时进行更新。
近日,有网友向“暗网下/AWX”表示,Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题,原因是:
一是传输的TLS是Go语言的crypto/tls库。通过测试发现,网桥的TLS Client Hello长度是317字节,而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多,暴露了Go普遍使用的TLS库不规范的短板。
二是大多数用于WebTunnel网桥的服务器普遍使用Nginx。Nginx服务器未配置的情况下会出现默认页面,并没有任何伪装,很容易被识别。
Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题:
一、传输的TLS是Go语言的crypto/tls库。我们通过测试发现,网桥的TLS Client Hello长度是317字节,而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多,暴露了Go普遍使用的TLS库不规范的短板。
[…] pic.twitter.com/TCPjb8STmO
— 稀神サグメ⭐️ @[email protected] (@kishinsagi) March 10, 2024 该网友建议的解决办法是换用比较规范的Rust,其TLS Client Hello长度达到517字节。或直接使用C语言的TLS库,如Chromium的tls.h,以达到伪装浏览器流量的目的。
该网友还建议将crypto/tls库替换为uTLS亦可缓解此TLS指纹。uTLS 是“crypto/tls”的一个分支,它提供了 ClientHello 指纹识别、握手的低级访问、伪造会话票证和一些其他功能。握手仍然由“crypto/tls”执行,该库仅更改其中的 ClientHello 部分并提供低级访问。
tls.go的代码:
package tls
import (
“crypto/tls”
“errors”
“net”
)
type Config struct {
ServerName string
}
func NewTLSTransport(config *Config) (Transport, error) {
return Transport{kind: “tls”, serverName: config.ServerName}, nil
}
type Transport struct {
kind string
serverName string
}
func (t Transport) Client(conn net.
3月6日,Tor项目发布了Tor浏览器13.0.11小版本,Tor项目称这是一个紧急更新版本,修复了域名前置(domain fronting)问题引起的snowflake连接问题。
Tor项目官方博客发布更新公告,宣布Tor浏览器 13.0.11现在已经可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。文章称这是一个紧急版本,更新了Snowflake可插拔传输的域前端配置,以及审查规避系统使用的rdsys 后端的Moat连接。
根据@tor4zh之前的说法,部分用户反馈,2024年3月1日起,Tor浏览器内置的Snowflake开始在俄罗斯等部分国家出现连接问题,影响了Tor浏览器用户和Orbot用户的使用。
具体表现为Tor浏览器无法启动引导,如果检查日志文件,会显示类似这样的提醒:
[notice] Managed proxy "./client": offer created
[notice] Managed proxy "./client": broker failure Unexpected error, no answer. 原因似乎因为这个(Fastly阻止了域名前置):
https://lists.torproject.org/pipermail/anti-censorship-team/2023-October/000328.html
Tor官方论坛提醒大家:如果遇到这个问题,可以尝试手动添加网桥地址来解决。具体地址请见官方论坛的这个帖子:
https://forum.torproject.org/t/fix-problems-with-snowflake-since-2024-03-01-broker-failure-unexpected-error-no-answer/11755
本次更新后,Tor浏览器 13.0.11修复了此问题,增强了Tor浏览器连接的稳定性。
获取网桥地址 由于网桥地址不是公开的,用户需自行索取。方式如下:
1、访问 bridges.torproject.org 并按照说明操作,或者使用 Gmail 或 Riseup 的邮箱服务发送电子邮件至[email protected]
2、在 Tor 浏览器中使用 Moat 获取网桥。
3、通过 Telegram 向 @GetBridgesBot 发送消息。在聊天中点击“开始”,或者输入/Start或/bridges。
使用网桥地址 Tor 浏览器桌面版:点击汉堡菜单 (≡) 的“设置”,然后点击侧栏中的“连接”。 在“网桥”部分,找到选项“输入已知网桥”,点击“手动添加网桥”,然后分行输入网桥地址。
Tor 浏览器 Android 版:点击“设置”'(⚙️),然后点击“配置网桥”。开启“使用网桥”并选择“输入已知网桥”,并输入网桥地址。
Amnesty International(国家特赦组织)近期发布了一篇介绍Tor原理的科普文章,被Tor项目等人权组织推荐了,本文将介绍该篇文章。
Amnesty写道,我们在网上的隐私权和信息公开权比以往任何时候都更岌岌可危。许多国家的政府利用间谍软件打击人权捍卫者,封锁所有谈论人权的网站。事实上,生活在俄罗斯、伊朗和朝鲜等国家的人们完全无法访问国家特赦组织的网站,就因为我们敢于直面这些国家侵犯人权的行为。
Amnesty表示,幸运的是,有人正在寻找应对这一威胁的方法。其中包括Tor项目,这是一个非营利组织,致力于开发可帮助用户保持网络安全的技术 。
什么是Tor? Tor是“洋葱路由器”(The Onion Router)的首字母缩写,它的软件让追踪网络用户的上网行为变得异常困难。它就像一个虚拟私人网络(VPN)或私人浏览器,但更加安全。
当用户使用Tor浏览器或基于Tor网络的洋葱服务时,用户在网络活动的信息会通过Tor项目志愿者运行的全球中继网络进行加密。这意味着有多层加密保护用户的隐私,就像洋葱有很多层一样。
Tor浏览器与其他普通浏览器有何不同? 在解释Tor浏览器与其他浏览器的区别之前,应该首先了解一下普通浏览器的基本工作原理。
Chrome、Safari或Firefox等普通浏览器使用DNS(域名系统)搜索网站。DNS使用分布式系统网络来定位用户需要访问的网站所在的Web服务器。然后,用户的设备将直接连接到该网络服务器。该网络服务器和你用来连接该服务器的互联网路由器都掌握用户自身的IP地址,因为这是它们需要知道将内容发送到哪里。
这类似于我们通过邮寄发送实体信件的方式。您的信件要经过一系列邮局才能最终到达目的地。就像信件上有寄信人地址一样,您的IP地址也包含在所传递的信息中。
这就是隐私成为问题的地方。当一个普通人浏览网页时,他会在互联网上留下他的IP地址痕迹,这样就有可能在别人不知情的情况下追踪到他的网上活动。
使用Tor浏览器会在将任何信息发送到用户正在访问的网站之前通过多层加密和Tor网络中继点来隐藏用户的真实IP地址,从而使浏览更加安全、更加私密。
什么是洋葱域名? 使用Tor可以建立的最安全、最私密的连接是与在洋葱域名(.onion)上发布的网站建立的连接。这些网站在Tor网络内部创建,并进行端到端加密,这意味着离开Tor网络后,任何信息都不会通过公共互联网传递。
根据官方公告,2023年起,Amnesty已经开始在.onion域名上发布他们的研究和活动,使他们的支持者能够在不损害隐私的情况下更好地访问人权信息。
虽然Tor浏览器是避免上网的时候共享IP地址的好方法,但使用正常的互联网基础设施仍然存在风险。即使用户的IP 地址已经被隐藏了,但是网络也很有可能知道其正在使用Tor,这可能会带来额外的挑战。为了应对这种情况,Tor还提供了更多的网络桥梁,使任何监视用户的互联网流量的人更难确定该用户正在使用Tor。
如何使用Tor? Amnesty介绍道,用户可以通过下载Tor浏览器来访问Tor网络,其工作方式与其他浏览器相同,只是它连接到了Tor网络,可以打开.onion后缀的域名。
Tor如何帮助促进人权? Amnesty最后说,我们都有隐私权。这项权利在世界各地的法律中都有详细记载,包括《世界人权宣言》。然而,我们仍然能够看到有国家使用监控系统来追踪互联网浏览和消息应用程序的使用的报道。
有的政府还使用高度侵入性的间谍软件和有针对性的监视系统来监视那些反对他们的人。这些风险不仅影响最直言不讳的人权捍卫者。2021年,飞马计划(Pegasus)项目揭露了监控公司 NSO Group 的间谍软件被用来代表政府客户攻击多达5万部手机的真相。
Amnesty与全球一起呼吁结束这种侵入性和系统性的监视,但他们知道这些计划仍然是一个严重的威胁。这就是为什么像Tor这样的举措对于对抗当今的互联网监控危害如此重要。Tor提供了一条通往网络的替代路径,让人们可以从开放和自由的信息中获益,而不必被迫泄露自己的隐私。