根据Tor项目官方博客的消息,Tor浏览器13.5版本现已从Tor浏览器下载页面和Tor项目的分发目录中提供。
经常阅读”暗网下/AWX“文章和Tor官方博客文章的朋友们一定知道,在过去的两年里,Tor官方一直在逐步提高Tor项目的能力,不仅维护了Tor浏览器,而且还为Android版Tor浏览器带来了切实的改进。在这方面,Tor浏览器13.5版本具有里程碑的意义:除了更新日志中提到的数十个错误修复和小改进之外,该版本还对Android的连接体验进行了重大更改,为将来添加连接辅助功能做准备,包括在连接前完全访问”设置“,以及为Tor日志提供一个永久的新主页。
对于桌面版本Tor浏览器,Tor官方将继续努力改善指纹保护的用户体验。继Tor官方在Tor浏览器13.0桌面版中引入新窗口大小的更改之后,此版本又对letterboxing设计进行了受欢迎的更改,包括记住用户上次使用的窗口大小和在常规设置中调整letterboxing对齐方式的新选项。桥接(Bridge)用户还将发现桥接设置中的大量改进,包括桥接卡的全面重新设计和共享功能的改进,以及旨在帮助用户在其他地方找到更多桥接的新部分。最后,洋葱网站错误的设计已进行了视觉更新,使它们与Tor浏览器中其他类型的网络错误保持一致。
Android版本Tor浏览器有哪些新功能? 全新的连接体验 Tor官方已用全新的“原生”实现完全替换了Android版Tor浏览器的连接界面。这是Tor官方长期努力的第一步,也是必要的一步,Tor官方将在未来的主要版本中为安卓系统带来”连接辅助“(Connection Assist)——一种可以自动规避 Tor 网络审查的功能。。然而,在等待连接辅助功能到来的同时,Tor浏览器的新连接屏幕已经为安卓用户提供了一系列小改进。
为了建立坚实的基础,以便在未来可以扩展Android版本Tor浏览器的连接功能,这些屏幕也与桌面版本更加一致。最终,希望能够实现成功绕过桌面版本审查的用户也能够使用安卓版本,而无需重新学习其工作原理。
除了视觉更新之外,用户现在还可以在启动应用程序时启用自动连接选项(基于上次使用的连接设置)。此外,用户还可以在连接到Tor之前访问完整的设置菜单——通过点击设置图标,或通过新按钮“配置连接”——在这里也可以找到新的Tor日志。
Tor日志的永久主页 正如许多人可能了解的那样,Tor浏览器会保留Tor后台活动的日志,以便在出现问题时帮助排除故障。Tor日志不包含有关用户浏览活动的任何敏感信息,而只是揭示Tor在幕后试图做什么——例如,这些日志通常包括Tor启动进度的记录,以及发生的任何警告或错误。
如果用户遇到问题并联系技术支持人员,支持人员可能会要求提供Tor日志副本,以帮助他们诊断问题。但是,在安卓版Tor浏览器的早期版本中,只有在连接过程中向侧面滑动才能找到Tor日志。这意味着一旦Tor浏览器成功建立连接,用户就无法返回此屏幕查看和复制他们的Tor日志。
为了解决这个问题,Tor官方重建了Tor日志并将其重新定位到“设置”中名为“连接设置”的新部分——在桌面版本Tor浏览器也可以在这里找到Tor日志。鉴于现在无论用户的连接状态如何都可以访问设置菜单,这意味着用户可以在使用Tor浏览器时随时检索Tor日志。最后,”暗网下/AWX“看到,还有一个方便的按钮,用户可以使用它来一键复制所有日志,而不需要费力地选择文本。
桌面版本Tor浏览器有哪些新功能? 介绍 Betterboxing 新用户经常提问:“那些灰色条是什么?”Tor官方的支持网站上也有自己的条目。答案是:letterboxing!
回顾一下,Tor浏览器的9.0版本引入了letterboxing模式,通过将内部内容窗口四舍五入到最接近的100像素,用户可以调整浏览器窗口大小而不必担心被指纹识别。该技术的工作原理是将大多数用户的窗口大小分组到一系列公共“桶”中,保护这些桶中的个人用户不会根据其窗口或屏幕大小被单独挑出。
虽然现有的letterboxing模式实现可以很好地防止指纹识别,但其视觉设计经常会被新用户误解为浏览器的错误或正在浏览的网站的渲染问题。
用户在浏览暗网网站时可能会遇到一些问题。根据Tor官方在网上收集的用户反馈、用户研究活动和培训课程中发现的问题,发现了以下问题:
设计看起来不太刻意,因此用户会误解letterboxing是浏览器故障。为此,Tor官方对letterboxing的视觉设计进行了些许润色——但引入的元素被刻意保持低调,以避免分散用户对实际浏览内容的注意力。 letterboxing功能在“设置”中的任何地方都没有提及,因为以前版本没有任何选项可以配置。从此版本开始,用户现在可以在“常规设置”中找到一个新的letterboxing部分,其中包括记住上次已知的窗口大小的选项,以及选择是否希望letterboxing与浏览器窗口的顶部或中间对齐。 专业提示:如果需要手动调整Tor浏览器的大小以隐藏letterboxing功能引入的边距,现在可以双击letterboxing边距,以将Tor浏览器缩小到下一个窗口大小。
更好的网桥设置 桥接用户会注意到,此版本中对连接设置进行了一系列改进,旨在帮助受审查的用户找到可用的网桥,并改进添加多个网桥时的管理。
桥接卡首次在Tor浏览器11.5版本中推出,现在显示在一张更紧凑的卡片中,而不是以前的一堆卡片。为了帮助用户记住桥接的来源,新的桥接卡还预先标明了桥接的来源,无论是内置的、从Tor请求的,还是用户自行添加的。最后,当用户添加三张或更少的桥接卡时,现在可以一次共享所有桥接卡,而不是像以前那样每次只能共享一张。
当Tor浏览器的内置选项无法满足用户的需求时,用户还可以找到一个新的“查找更多桥接”部分,它为受审查用户提供了获取桥接的其他渠道,包括Telegram、“获取桥接”网站和电子邮件。现有的“请求桥接”功能也已移至此处,允许用户从Tor浏览器的内置桥接机器人检索桥接,而无需先连接到Tor。
简化的洋葱网站错误 除非是完美主义者,否则可能在某个时候拼错了暗网网站地址,结果却进入了错误界面。当用户遇到类似问题时收到的用户友好信息被称为”网络错误“(Network Errors),简称”网错“(neterrors),火狐浏览器早在1.5版本中就引入了这种信息。
”暗网下“发现,在过去的Tor浏览器版本中,洋葱网站错误与Tor浏览器中的其他类型的网络错误有所不同。尽管这一变化背后的设计决策初衷是出于好意,但有时会导致人们对问题根源产生混淆。作为回应,Tor官方简化了洋葱网站错误的设计,使用户体验与在浏览洋葱网站时可能遇到的其他类型的网络错误保持一致。
版本说明 本站(anwangxia.com)注意到,Tor浏览器13.5版本将是支持Windows 8.1及更旧Windows版本和macOS 10.14及更旧macOS版本的最后一个主要版本。
保持Tor浏览器的最新版本对于维护用户的隐私、安全和匿名性至关重要。”暗网下“看到,Tor官方已经表示,在Tor浏览器14.0于今年第四季度发布后,这些平台的用户将不再收到重要更新。因此,强烈建议受影响的用户在下一个版本发布前将其操作系统升级到受支持的Windows和macOS版本,运行旧版本Windows和macOS的用户将开始在Tor浏览器中看到相关提示信息。
3月19日与3月22日,Tor项目连续发布Tor浏览器的两个小版本紧急更新,修复了Firefox多个重大安全漏洞。”暗网下/AWX“提醒大家尽快升级最新版本的Tor浏览器。
Tor浏览器 13.0.12 版本 3月19日,Tor项目发布Tor浏览器 13.0.12 版本,该版本一方面取消了.onion网站的自动优先级排序,另一方面完成了Firefox的重要安全更新。
Tor项目表示最近收到了通知,称有关自动”洋葱位置“(Onion-Location)重定向存在潜在的指纹识别漏洞。为了谨慎起见,暂时从Tor浏览器中删除了“已知.onion网站时优先处理”的选项。Tor团队正在进一步研究这个问题,一旦有更多研究成果和建议将及时提供更新。
根据Tor官网的介绍:
浏览器指纹识别
指纹识别是收集有关设备或服务的信息,以便对其身份或特征进行推测的过程。独特的行为或响应可用于识别所分析的设备或服务。Tor浏览器可防止指纹识别。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.12 版本(基于Firefox ESR 115.9)中修复的安全漏洞如下:
CVE-2024-0743:NSS TLS 方法崩溃 CVE-2024-2605:Windows 错误报告器可用作沙箱逃逸向量 CVE-2024-2607:JIT 代码无法保存 Armv7-A 上的返回寄存器 CVE-2024-2608:整数溢出可能导致越界写入 CVE-2024-2616:改进 ICU 内存不足情况的处理 CVE-2023-5388:NSS 容易受到针对 RSA 解密的定时攻击 CVE-2024-2610:html 和 body 标签处理不当导致 CSP 随机数泄漏 CVE-2024-2611:点击劫持漏洞可能导致用户意外授予权限 CVE-2024-2612:自引用对象可能会导致释放后使用 CVE-2024-2614:Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中修复的内存安全错误 Tor浏览器 13.0.13 版本 3月22日,Tor项目发布Tor浏览器 13.0.13 版本,该版本是一个计划之外的紧急更新版本,其中包含针对桌面平台Firefox的重要安全更新。安卓版本的Tor浏览器不受影响。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.13 版本(基于Firefox ESR 115.9.1)中修复的安全漏洞如下:
CVE-2024-29944:通过事件处理程序执行特权 JavaScript (攻击者能够将事件处理程序注入特权对象,从而允许在父进程中执行任意 JavaScript。注意:此漏洞仅影响桌面版 Firefox,不影响移动版 Firefox。)
如果您已经安装了Tor浏览器,请尽快通过Tor浏览器本身的“检查更新”按钮及时进行更新。
“暗网下/AWX”刚刚报道有传言称Tor浏览器的网桥WebTunnel存在被流量识别问题,WebTunnel又传来新的消息。
根据Tor项目官方博客的文章,在3月12日世界反网络审查日,Tor项目的反审查团队很高兴地正式宣布推出WebTunnel,这是一种新型的Tor桥接器,旨在帮助严格审查地区的用户连接到Tor网络。WebTunnel现已在Tor浏览器的稳定版本中提供使用,它加入了由Tor项目开发和维护的审查规避技术集合。
开发不同类型的桥接技术对于提高Tor抵御审查的能力以及在高度动态和不断变化的审查环境中领先对手至关重要。尤其是在即将迎来2024年全球大选之际,规避审查的技术在捍卫互联网自由方面的作用变得尤为重要。用户可以在Tor社区门户中找到运行WebTunnel网桥的要求和说明。
什么是WebTunnel以及它如何工作? WebTunnel是一种抗审查的可插拔传输方式,其设计灵感来自HTTPT,用于模仿加密网络流量(HTTPS)。它的工作原理是将有效载荷连接包装成类似WebSocket的HTTPS连接,在网络观察者看来就是普通的HTTPS(WebSocket)连接。因此,对于不知道隐藏路径的旁观者来说,它看起来就像与网页服务器的普通HTTP连接,让人以为用户只是在浏览网页。
事实上,WebTunnel与普通Web流量非常相似,它可以与同一网络端点上的网站共存,即相同的域名、IP地址和端口。这种共存允许标准流量反向代理将普通Web流量和WebTunnel转发到各自的应用程序服务器。因此,当有人试图访问共享网络地址上的网站时,他们只会看到该网站地址的内容,而不会注意到秘密桥梁(WebTunnel)的存在。
WebTunnel与obfs4网桥的比较 对于大多数Tor浏览器用户来说,WebTunnel可以用作obfs4的替代品。虽然obfs4和其他完全加密的流量旨在完全不同且无法识别,但WebTunnel模仿已知和典型Web流量的方法使其在存在协议允许列表和默认拒绝网络环境的情况下更加有效。
将网络流量审查机制视为硬币分类机,硬币代表流动的流量。传统上,这样的机器会检查硬币是否符合已知的形状,如果符合则允许其通过,如果不符合则将其丢弃。在完全加密、未知流量的情况下,不符合任何特定形状,它将受到审查。在WebTunnel的硬币类比中,硬币不仅必须不符合任何已知的被阻止协议的形状,而且还需要符合公认的允许形状——否则,它就会被丢弃。Obfs4流量既不匹配任何已知允许的协议,也不匹配文本协议,因此会被拒绝。相反,类似于HTTPS流量(一种允许的协议)的WebTunnel流量将有可能被通过。
如何使用WebTunnel桥接器? 🌉步骤1-获取WebTunnel网桥 目前,WebTunnel网桥仅通过Tor项目网桥网站分发。Tor项目计划加入更多的分发方式,例如Telegram和moat。
使用常规网络浏览器访问网站:https://bridges.torproject.org/options
在“高级选项”中,从下拉菜单中选择“Webtunnel”,然后单击“获取网桥”。输入正确的验证码后复制网桥链接线路。
💻步骤2-下载并安装桌面版Tor浏览器 注意:WebTunnel桥接器不适用于旧版本的Tor浏览器(12.5.x)。
下载并安装最新版本的桌面版Tor浏览器。打开Tor浏览器并转到连接首选项窗口(或单击“配置连接”)。
单击“手动添加桥”并添加步骤1中提供的网桥链接线路。关闭网桥对话框并单击“连接”。
📲或下载并安装Android版Tor浏览器 下载并安装最新版本的Android版Tor浏览器。运行Tor浏览器并选择配置网桥的选项。
选择“提供我知道的网桥”并输入提供的网桥地址。点击“确定”,如果一切正常,它将连接。
Tor项目宣称其目标是确保Tor适合所有人,目前全球有60个WebTunnel网桥,每天有700多名活跃用户在不同平台上使用WebTunnel。目前除了在伊朗的某些地区无法使用外,WebTunnel在多个地区可以使用。但是,中国社区的用户对该技术嗤之以鼻,一些中国网友评论称,这已经是被玩剩下来了,基本属于淘汰了的技术。
根据Tor项目的官方预告,该组织将于2024年1月25日–2024年1月26日举办Tor的邮箱发布活动。Tor项目号召Tor用户与其一起启动Tor的邮箱,这是一个见证中心,展示来自全球Tor用户的故事!🌍
Tor项目表示:发布会上,将可以聆听数字权利倡导者、记者和其他网络隐私专家就外联、宣传、2024年面临的挑战以及他们对数字权利未来的展望分享见解。了解如何利用Tor项目等资源推进基层工作。他们邀请了来自大赦科技(Amnesty Tech)、The Intercept、Internews和Article 19的发言人。
由于该活动页面没有更多的介绍,且互联网及暗网都没有相关的新闻报道,”暗网下/AWX“目前尚无法判断Tor的邮箱(Tor’s Postbox)代表什么意思,是物理上的邮政信箱,还是电子邮箱服务,还是仅是一次在线交流活动,让我们拭目以待。
大家可以在2024年1月25日访问Tor项目的Youtube直播页面收看:https://www.youtube.com/watch?v=-K8ki7zBArs
目前Tor网络上的邮箱服务比较杂乱,这里列出一些常见的电子邮箱服务:
ProtonMail
http://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion
https://www.protonmail.com
RiseUp
http://3xeiol2bnhrsqhcsaifwtnlqkylrerdspzua7bcjrh26qlrrrctfobid.onion
https://help.riseup.net/en/email
Mail2Tor
http://mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion
http://mail2tor.com
Cock.li
http://rurcblzhmdk22kttfkel2zduhyu3r6to7knyc7wiorzrx5gw4c3lftad.onion
https://cock.li
Dainwin1210.de
http://danielas3rtn54uwmofdo3x2bsdifr47huasnmbgqzfrec5ubupvtpid.onion
https://danwin1210.de
SecTor.City
http://sector2nyjrxphgrj3cvnueanomz4trvgyxofvu3cexltoxuegtlmzid.onion
https://sector.city
OnionMail.org
http://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion
https://onionmail.org
OnionMail.info
http://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion
https://onionmail.info
Volatile.bz
http://u45ylsmarbsqs6brxp3aq2wvksrpajkp23vvvxaejsg63w2fx6oap3ad.onion
https://volatile.bz/registration.xht
Systemli.org
http://7sk2kov2xwx6cbc32phynrifegg6pklmzs7luwcggtzrnlsolxxuyfyd.onion
https://www.systemli.org
Dozaru Onion Mail Server
http://eot3almpracnkz7gz3r5yr3qaymngqsrmvbica2shw5zuc52az2gxoqd.onion
Hobe Onion Mail
http://ovhcd6qhuz22bid42pw7unwfqf7i55rghb5x62q4kxchjnk2gz2ot6id.onion
Torbox
http://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion
Hidden Mail Onion Server
http://5nm4mdhzyfbif6i5qv3kh4i7j2trlbuvujsencsqn55opaa3d6qhfcqd.onion
SecretMail
http://2nxpboa3ya52j5au4gxwkdt4nxoh5g4y4f3tuqedlza46y35jmv6doid.onion
以上暗网邮箱服务,”暗网下/AWX“不保证全部可靠,请用户们使用后进行反馈。Tor项目本次的官方预告,”暗网下/AWX“将及时关注。
2023年对Tor项目而言是艰难且辛苦的,本文是Tor项目针对2023年的总结文章,总结了Tor项目团队的辛勤工作,回顾了他们在改善Tor的功能以及为全球数百万用户带来的体验方面所取得的许多值得一提的成就。一方面通过重写Tor的代码库提高了Tor网络的性能和安全性,使其更易于维护并嵌入到新的第三方应用程序中,另一方面通过本地化、推广、宣传和培训使Tor技术更广泛地可用。
总结中,Tor项目团队隆重感谢了他们的捐助者、支持者和志愿者的慷慨捐助,同时也感谢他们的用户、志愿者、中继运营商、合作伙伴和捐助者社区,大家的支持使得2023年成为取得诸多成就的一年。Tor项目2023年推出了许多新版本,得益于来自世界各地的志愿者花费无数时间测试新工具并为提供宝贵反馈的直接结果,持续帮助官方改进和部署新功能。
Mullvad浏览器的主要视觉效果 Tor项目与Mullvad VPN合作推出了Mullvad浏览器,这是一款基于Tor浏览器原理构建的注重隐私的Web浏览器。它提供与Tor浏览器类似的隐私功能,例如防指纹和防跟踪保护,但独立于Tor网络运行。Tor浏览器将继续作为匿名上网的强大选择而存在,而Mulvad浏览器则提供替代的隐私浏览器。
Tor项目提供了一个如何以不同方式打造技术的示例。Mullvad浏览器就是一个很好的例子,它证明了以隐私为核心的技术是可以被数百万人使用的。
通过这种合作关系,Tor项目能够对Tor浏览器进行必要的改进,使两款浏览器和更大的隐私技术生态系统都从中受益。Tor项目团队可以更自由地开发实验性功能,满足Mullvad浏览器alpha频道用户的需求,同时又不影响Tor浏览器严格的匿名标准。
Tor浏览器 在2023年发布的Tor浏览器12.5和13版本的新功能中,一些有益的连锁反应已经显现。Tor项目团队解决了许多遗留问题,并对Tor浏览器的自定义组件进行了可访问性审查。尤其值得注意的是,在过渡到Firefox ESR 115后,Tor浏览器的可访问性得到了改善,同时用户界面的视觉效果也发生了变化,这对于使用屏幕阅读器和其他辅助技术的用户来说,无疑将大大提高浏览器的性能。
2023年全年,Tor项目团队旨在打造成熟的用户体验,推动Tor浏览器在质量和用户UI方面更加走向主流,包括更新的网络显示、.onion网站的新图标、连接体验的改进、应用程序图标的更新、主页功能,以及更大的新窗户。最新版本还删除了与Torbutton相关的遗留代码,这使得Tor代码库更加面向未来,并提供更好的集成和更无缝地过渡到新的Arti实施。
Arti Tor项目团队在2023年用Rust重写Tor的多年项目Arti并完成了反审查支持,提供了功能齐全的桥梁和可插拔传输。团队还对洋葱服务方面做了大量工作,为可用的客户端支持和即将到来的服务器端准备铺平了道路,并与应用程序团队合作探索各种API设计,将Arti打造成Tor浏览器之外各种程序和服务的基础。除了简化可维护性和可扩展性之外,Arti还通过网络团队的众多努力解决了安全和性能问题。
网络团队 2023年,网络团队部署了关键的新功能,以改进Tor网络的防御机制、速度和性能。拥塞控制(Congestion Control)和流量聚合(Conflux)这两项设计旨在通过选择不那么拥塞的中继站和创建多条网络路径来优化流量,目前已经取得了可喜的成果,包括下载速度提高了2倍,以及通过更长时间的连接提供了更稳定的用户体验。
该团队还投入了大量工作来减轻对Tor网络的攻击,并增强对洋葱服务的防御,最终在Tor 0.4.8版本中引入了工作量证明(PoW)防御。这种动态PoW机制优先考虑来自真实用户的流量,从而有效的阻止攻击者使用大规模DoS攻击来发动攻击。
这些根据流量需求动态调整的强大解决方案是用户反馈、赞助项目和志愿者贡献的直接结果。Tor项目团队称要感谢中继运营商社区在功能发布期间升级到0.4.8的快速部署,再次证明Tor网络的优势在于其协作精神,可以满足数百万用户不断增长的需求。
社区工作和外联 但是,要建立一个可信赖的网络,不仅需要不断迭代和改进技术解决方案,还需要在志愿者、中继运营商、盟友、捐助者和赞助商社区中保持这种协作精神。在这一年中,社区团队实施了多项综合计划,强调社区建设、教育和积极主动的倡议,以增强Tor项目的全球影响力。
无论是在月度聚会、活动中的一对一会议、专用聊天频道、Tor论坛还是活跃的邮件列表中,Tor的中继运营者社区都会定期进行交流,目的是介绍想法、促进倡议并建立共识。这种团结对于维护分布式网络的力量和防御恶意行为者非常重要。
作为Tor项目团队深入社区活动的一部分,Tor项目在全球范围内为记者、活动家、人权维护者和律师举办了数字安全和Tor培训。许多在线和线下会议吸引了来自全球多数国家的参与者,并在东非和拉丁美洲组织了地区会议,分享最新信息,解决合作伙伴面临的具体挑战,并利用这些见解推出新功能。
2023年最引人注目的活动是Tor培训学院,聚集了20多名网络安全从业人员,参加为期两天的现场训练营。该学院旨在培训从业人员教授Tor,内容涵盖Tor网络和工具生态系统的细微差别。来自网络干扰开放观察站的特邀演讲者讨论了网络篡改测量问题,而本地化实验室则介绍了他们通过将Tor工具本地化为更多语言,使Tor工具更广泛地使用所做的努力。为此,Tor项目团队还创建了斯瓦希里语、中文和阿拉伯语的本地化视频系列,其中包含有关如何使用Tor浏览器、Bridges和OnionShare的简单易懂的教育内容。
然而,由于有组织或者个人蓄意阻止访问,更多用户仍然被禁止访问Tor网络,无法获得Tor网络提供的隐私和匿名优势。
反审查工作 幸运的是,Tor项目的反审查团队在前几年应对大规模审查事件的过程中学到了很多,测试并发现了现有的抗审查基础设施的弱点。2023年,Tor项目团队投入了大量的时间和精力来改进其中一些系统,扩展和改进Tor工具包中的工具,以便在审查事件发生时能更好地做出反应。
Tor项目团队专注于开发和测试新工具:WebTunnel和Conjure。WebTunnel是一种可插拔的传输方式,它能使流量看起来像与网站的常规安全连接,从而使审查人员很难确定该网站是否也是WebTunnel桥接器。Conjure利用友好的ISP提供商地址空间中大量未使用的IPv6地址。由于这个空间非常大,并且连接地址可能不断变化,因此审查者很难在不对部署ISP托管的真实网站造成重大附带损害的情况下阻止所有潜在的”幽灵“代理。
Tor项目团队在2023年面临的一项重大挑战是协助解决土库曼斯坦的审查制度。这确实挑战了Tor现有反审查工具的极限。他们的许多策略并不像其他地区那样有效,因为土库曼斯坦审查机构毫不犹豫地封锁了整个IP区块。虽然我们能够通过meek和obfs4网桥支持一些用户,但Tor所依赖的一些域名前端提供商将在2024年停止提供服务。
Tor项目团队称,这说明了为什么Tor项目需要不断投资,建立先进的反审查对策,开发新的工具,以便在高度动态和不断变化的审查环境中领先于对手。其掌握的工具越多,就越能有的放矢地采取应对措施,让审查者无所遁形,让数百万用户能够访问自由开放的互联网。
Tor项目团队表示,他们的目标是确保Tor适合所有人。地缘政治冲突和气候灾难使数百万人面临风险,互联网对于人们沟通交流、了解世界各地正在发生的事情、组织、捍卫人权和建立团结至关重要。”暗网下/AWX“将持续保持关注与跟进报道Tor项目在2024年的进步发展。
本文是Tor项目针对斯诺登泄密事件发生十年后的思考总结文章,通过对斯诺登泄密事件讲述公民隐私权的重要性,讲述Tor网络保护在线隐私的职责,讲述了Tor项目2024年的展望。在2023年的最后一天,“暗网下/AWX”借此文与大家分享,暗网催生了大量的网络犯罪,也改进了在线的隐私,孰是孰非,自有天论。
十年前,即2013年6月,爱德华·斯诺登(Edward Snowden)冒着失去自由的风险与媒体分享文件,揭露了美国政府大规模监控项目的范围。他的过程需要专业的操作安全和每一步的匿名性有力保证。这也是斯诺登求助于Tor网络和Tails的部分原因,Tails是一种可以通过Tor传输电脑流量的操作系统,以便与可信赖的记者进行交流。
斯诺登的泄密事件显示,美国国家安全局正在通过互联网对美国公众进行广泛的监视。这一消息引发了许多关于监控在社会中的地位以及网络隐私保护是否重要的公开辩论。人们在互联网上是否有隐私权?在这些辩论中,人们的普遍反应是,当他们使用互联网时,他们“没有什么可隐瞒的”,那么为什么他们需要隐私呢?
自斯诺登泄密事件发生以来,人们看到了许多具体的例子,说明各国政府和企业在网络上侵犯隐私的行为如何影响一个社会的社会环境和每个人的生活。作为个人,我们也对科技行业及其滥用的商业模式有了更多的了解,该模式专注于收集有关我们网络行为的信息,就好像它是可供开发的新自然资源一样。
我们已经看到,通过网络监控收集到的大量数据集,政府和企业可以利用对我们的了解来操纵公众舆论。利用这些数据开展的针对性极强的宣传活动,尤其是那些利用假新闻或仇恨言论的宣传活动,已经促使各国做出了影响全球社会的决定。英国脱欧公投活动、美国特朗普的竞选活动以及巴西博尔索纳罗的竞选活动都明确使用了这些策略。
目睹这种数据操纵对现实世界的影响,让我们许多人明白,隐私与有所隐瞒无关。相反,隐私意味着保护你这个人,保护让你成为你的所有个人细节。你关心什么,爱什么,恨什么,好奇什么,欢笑什么,恐惧什么。最重要的是,你可以选择何时分享这些信息,以及与谁分享。关于隐私的争论已经从有什么东西需要隐藏变成了能够行使我们的代理权。
这种观念上的转变导致客户要求科技行业提供更好的隐私保护,并通过立法(如 GDPR 和 CCPA)试图帮助消费者对我们在使用服务或应用程序时产生的数据行使一些权利。
至少在营销活动中,科技行业已经蜕变为将隐私放在首位,以避免遭到客户的拒绝,以及因新立法而面临数百万美元罚款的风险。之所以说“变形”,是因为即使是以隐私为重点的信息传播这层薄薄的面纱,也无法改变建立在收集用户数据基础上的商业模式,也无法限制这些数据的使用方式。科技公司所做的改变只是为了在不损失利润的情况下满足要求,比如谷歌正在逐步淘汰谷歌 Chrome 浏览器中的第三方 Cookie,取而代之的是自己的数据跟踪和广告服务技术,并试图将其作为用户隐私的好处来推销。
Tor项目提供了一个如何以不同方式打造技术的示例。构建供数百万人使用的以隐私为核心的技术是可能的。Tor项目建立技术来推进这一权利,以帮助用户重新获得他们在数字空间中的主导权。Tor项目希望成为在不断变化的世界中开发保护隐私技术的参照点。
变革是可能的。Tor项目看到了它的雏形,他们很自豪地看到,业界其他公司也在采用 Tor 浏览器和 Tor 网络的一部分而开发的创新功能。网络浏览器现在已经开始提供针对第三方 cookie 或指纹识别的保护,而这些功能Tor项目已经提供了十多年,苹果等公司也在试用私人中继(Private Relay)等功能,这是一个模仿 Tor 网络模式的测试版功能。
但是,要抓住这次巨变的机会,不仅要向大科技公司施压,迫使其做出改变,还要取代这些选择。而是要用从设计之初就考虑到隐私的工具来取代这些选择。Mullvad Browser、OnionShare、Tails、Quiet 和 Ricochet Refresh 等工具都是这种新型生态系统的一部分。
2024年,Tor项目将继续开展改善在线隐私的重要工作,而且将持续面临全球范围内的挑战。明年,世界41%的人口将参加全国大选。从滥用数据收集和操纵广告技术到全面关闭网络和网站审查,政治活动和选举越来越多地受到互联网自由的破坏。与此同时,世界各地的立法也威胁着加密的合法性。各国政府还通过新技术和扩大法律权力来加强监控,比如我们在美国就看到了情报委员会提出的法案 H.R.6611,即《2023 年外国情报监视法改革和重新授权法案》。
2024 年,Tor 将在这里迎接这些挑战。Tor项目将通过实时用户支持渠道、本地化、与社区合作伙伴开展培训,以及跟踪全球互联网自由的发展情况,扩大全球对 Tor 的访问。Tor项目将继续为洋葱服务运营商开发管理工具,为希望发布洋葱网站的组织提供支持,从而推动洋葱服务的采用。Tor项目将加强 Tor 网络抵御攻击的能力,多年来一直致力于减少网络上的恶意中继活动。Tor项目将进入用 Rust 重写 Tor 的第三年,Rust 是一种更安全、更现代的语言,能让 Tor 更容易集成到各种应用程序和服务中。Tor项目表示将参与网络人权的斗争。
“暗网下/AWX”祝大家元旦快乐。
最近,有俄罗斯媒体在Telegram称,从数据分析,他们认为自2006年以来由“Tor项目”(The Tor Project)运营的Tor是美国军事情报机构的产品。该消息说,他们是根据“Tor项目”的财务报告来判断的,统计数据略有变化,但本质保持不变。
文章称,非营利组织“Tor项目”2021-2022年资金来源的财务报告近期已发布,并提交给美国税务机关,根据财务报告,当期“Tor项目”的收入为700万美元,其中53.5%来自美国政府或者与美国政府有联系。而在2006-2018年,“Tor项目”共获得了3250万美元,其中80%来自美国政府(美国国务院和美国国防部)。
该俄罗斯媒体认为,众所周知,谁付钱谁就说了算。就Tor而言,付了钱的人能够掌握有关用户活动的数据。
该俄罗斯媒体说,有人可能会说他们是阴谋论,但事实证明,在适当的时候,所有的指令和命令都是明确执行的,而如何安排则是技术问题。
该媒体也引用了一个案例,说道,只需回顾一下,据称在一名网络爱好者的帮助下,美国联邦调查局 (FBI)员工成功利用这一技术对RagnarLocker 勒索软件团伙的暗网泄露站点进行了去匿名化,嫌疑人也被起诉;并对臭名昭著的Wazawaka(又名 m1x、又名 Boriselcin、又名 Uhodiransomwar)提出指控。
该媒体最后表示,就在一年前他们这么解读的时候,大多数订阅者都会说他们偏执并且过度散布了阴谋论。但最近发生的事件清楚地表明,在正确的时刻,所有用户权利和自由立即被打上引号。匿名就是这样的匿名。
“暗网下/AWX”认为,该媒体的文章只能当阴谋论看看,毕竟文章中提及的案件有之前的文章可以解释:安全研究人员Sh1ttyKids 发布了一种新方法的详细信息,该方法可根据 HTTP 响应标头中的实体标记 (ETag) 对Tor服务器进行去匿名化。
但是从Tor的原理看,出口节点是能够掌握暗网中的许多流量数据的,因此只要美国政府能够控制着绝大多数的Tor出口节点,那自然可以创造出针对Tor的棱镜。
另外,一旦Tor网络中存在漏洞,或者各种利用方法(如ETag溯源),研究人员都会第一时间提交给美国当局,使得FBI可以更加容易追踪到网络犯罪分子。
因此,“暗网下/AWX”不认为“Tor项目”与美国军事情报机构有关,读者们以为呢?
近日,Tor项目发布Tor 0.4.8版本,正式推出了针对洋葱服务的工作量防御机制(Proof-of-Work Defense),旨在优先处理经过验证的网络流量,以阻止拒绝服务(DoS)攻击。
Tor的工作量证明(PoW)防御机制是一种动态的反应机制,在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时,该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后,洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。
此举旨在将DoS攻击的成本增加到难以维持的水平,同时优先考虑合法流量,抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际,从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。
如果攻击者向onion服务发送大量连接请求,PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的,所耗费时间从5毫秒到30毫秒。攻击流量增加,工作量就会增加,最多需要1分钟的工作量。整个过程对用户是不可见的。
为什么需要更新? 洋葱服务通过混淆IP地址来优先考虑用户隐私,这种固有设计使其容易受到DoS攻击,而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案,Tor项目设计了一种涉及客户端难题的工作量证明机制,以在不损害用户隐私的情况下阻止DoS攻击。
它是如何工作的? 工作量证明就像一个票据系统,默认情况下关闭,但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前,必须解决一个小难题,证明客户端已经完成了一些“工作”。谜题越难,证明用户所做的工作越多,从而证明用户是真实的,而不是试图充斥洋葱服务的僵尸。最终,工作量证明机制阻止了攻击者,同时为真实用户提供了到达目的地的机会。
这对于攻击者和用户意味着什么? 如果攻击者试图向洋葱服务发送大量请求,并淹没洋葱服务,PoW防御就会启动,并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作,而随着计算力的增加,回报也会越来越少。
然而,对于倾向于一次只提交几个请求的日常用户来说,解决难题所增加的计算量对于大多数设备来说是可以承受的,对于速度较快与稍慢的计算机来说,每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加,工作量就会增加,最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的,并且使得等待工作量证明解决方案与等待慢速网络连接相当,但它具有明显的优势,那就是通过证明自己的非机器属性,即使在Tor网络面临压力的情况下,也能为用户提供访问Tor网络的机会。
在过去的一年里,Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一,而且一旦被各大网站采用,还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载,确保对洋葱服务的访问更加稳定可靠。
上周,Tor项目向众多Tor中继运营商宣布,正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输(PT),它是一个抗审查的代理,试图模仿HTTPS流量,基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行,并鼓励网桥运营商建立WebTunnel网桥,以发现这个新的可插拔传输的实施中的问题。
WebTunnel是如何工作的 连接到WebTunnel Bridge时,客户端通过加密连接向负载均衡器发送http 1.1升级请求,就像WebSocket的工作方式一样。因此,从观察者的角度来看,这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站,那么将呈现的将是该前置网站。如果没有完整的URL路径,就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。
技术要求 要设置WebTunnel桥接,用户需要一个自我托管的网站,一个能自主控制的域名,一个可配置的负载平衡器,静态IPv4,以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程,但这不是必需的。
设置指南可在此处获取:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup
如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前,WebTunnel只通过HTTPS分发(torrc设置:’BridgeDistribution https’)。
用户可以在Tor项目的GitLab上报告问题:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel
鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用,中继运营商目前不应期望有大量的使用或大量的用户。
Tor项目称,如果用户在设置WebTunnel时遇到任何困难,请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。
经过几年的发展,Tor项目近期的Git显示,其已经成功地将其“工作量证明”(PoW)功能合并到Tor软件包的主要分支中。这意味着,在发布下一个Tor软件补丁并在节点中广泛实施后,困扰网络多年的拒绝服务(DoS或DDoS)攻击应该会大大减少。
Tor网络在2022年的大部分时间里都受到持续的DDoS攻击的困扰,这不仅导致几个主要的暗网市场以及暗网论坛在数周或数月内无法访问,而且还产生了更广泛的影响,即几乎所有用户都觉得整个Tor网络的速度在变慢。然而,此类攻击对Tor来说并不是什么新鲜事,多年来,如何缓解这些攻击的解决方案一直是开发人员争论的主题。
2020年8月,Tor项目发布了一篇博文,解释了如何使用“工作量证明”的实施来使试图对网络进行DDoS攻击的攻击者付出更高的代价。2022年10月,在此类攻击达到临界水平后,Tor项目发布了工作量证明技术实施的状态更新,并于2023年3月17日正式引入了一项技术提案。近日,该提案的努力被合并到了Tor的主要代码库中,尽管这些变化将对DDoS攻击产生什么防护效果还有待观察。
While Proof-Of-Work has been traditionally used to power blockchains, it was originally suggested for DoS protection. Tor devs have been exploring the space and we believe that such a system could work wonders against the DoS attacks the network is currently experiencing. (7/8)
— The Tor Project (@torproject) September 9, 2020 Tor项目于2020年9月发布推文称:
“虽然工作量证明传统上一直用于为区块链提供动力,但最初建议用于DoS保护。Tor开发人员一直在探索这个空间,我们相信这样的系统可以在抵御网络目前正在经历的DoS攻击方面创造奇迹。”
工作量证明的概念是在1999年首次提出的。它于2002年在一篇题为“Hashcash–拒绝服务防护措施”(Hashcash – A Denial of Service Counter-Measure)的论文中正式纳入Adam Back的hashcash系统。Hashcash旨在通过要求电子邮件发件人执行少量计算工作来防止垃圾邮件;其“证明”已添加到电子邮件标题中。然后可以通过可验证的方式确定包含此类标头的电子邮件不包含垃圾邮件。
尽管hashcash仅在今天的少数实现中使用,但著名的工作量证明在2009年被比特币采用,用于比特币挖矿。目前使用工作量证明进行区块链挖矿的其他流行加密货币包括狗狗币、莱特币和门罗币。