WebTunnel

Tor项目感谢志愿者部署WebTunnel网桥,并敦促Windows用户更新Tor浏览器

Tor官方动态, 暗网动态
Tor的社区驱动模式是抵御隐私泄露威胁的最后堡垒之一,为开放网络提供了集体防御。Tor项目长期致力于推动Tor生态的发展,保护用户的隐私安全。频繁的Tor浏览器的更新,是他们不懈的努力成果之一。 扩展WebTunnel:成长和学习的一年 去年11月下旬,Tor项目呼吁Tor和Internet Freedom社区帮助扩大WebTunnel桥接器的规模。Tor项目的目标是部署200个新的WebTunnel桥接器。Tor项目很高兴地报告,Tor项目能够超越之前的目标,成功部署了207个新的WebTunnel桥接器。就在一年前,Tor项目仅有60个WebTunnel桥接器,而现在全球部署有300多个WebTunnel桥接器。 Tor项目称感谢为此次活动做出贡献的每一个人。这包括启动WebTunnel桥接的每位中继运营商,以及以其他方式做出贡献的运营商。Tor项目收到了来自运营商和其他志愿者的大量宝贵反馈、错误修复和文档注释,以改善用户体验。 Tor项目表示WebTunnel是一种安全的规避机制,在许多方面都具有颠覆性。以下是Tor项目迄今为止了解到的情况: 更强的抵抗力:在审查制度严格的地区(如伊朗、俄罗斯等地),WebTunnel桥接已被证明可以在其他规避方法(如obfs4桥接)被阻止的情况下发挥作用。 更高性能:这些地区的用户报告了积极的体验,WebTunnel在速度和可靠性方面通常优于其他桥接类型,因此成为首选。 更多分析:但是,还需要进一步研究来确定这些改进是WebTunnel本身固有的还是受到较低并发用户流量等因素的影响。 Tor项目感谢许多运营商提供的宝贵的技术反馈,为成功扩展WebTunnel桥接做出了贡献,并帮助完善了未来的部署流程,并称这是集体的力量——在行动。 旧版本Tor浏览器会因为火狐的证书到期而触发崩溃 Mozilla用于Firefox 115.12及以下版本附加组件验证的根证书已经于2025年3月14日到期,这可能会突然禁用扩展程序(包括内置的NoScript),并导致安全滑块等功能在13.5.11旧版之前的Tor浏览器版本上无法使用。 Tor项目要求Tor浏览器用户更新到其操作系统的最新版本。 Tor浏览器 14.0.8版本(仅限 Windows)修复重大安全漏洞 Tor浏览器14.0.8版本是仅适用于 Windows 的紧急版本,现在可以从Tor浏览器下载页面以及Tor项目的分发目录中获取。 此版本包含针对Windows版本火狐(Firefox)浏览器的非常紧急的安全更新。因此建议Windows用户立即更新。 完整更新日志 Tor浏览器14.0.7版本以来的完整更新日志如下: Windows Bug tor-browser#43553:反向移植 tor-browser#43504:实现用户调查 UX(桌面) Bug tor-browser#43592:从 Firefox 128.8.1esr 反向移植安全修复 构建系统 Windows Bug tor-browser-build#41375:反向移植 Bug 41374+40799:删除 update_responses 中对 migration_archs 和 migration_langs 的支持 + 删除 update-responses 和 dmg2mar 中的旧语言环境迭代 Bug tor-browser-build#41383:将 clairehurst 添加到可接受的 firefox/geckoview 签名者列表中 Bug tor-browser-build#41384:OpenSSL 哈希文件格式已改变 Bug tor-browser-build#41399:将 snowflake 更新至 2.11.0,将 lyrebird 更新至 0.6.0 Bug tor-browser-build#41378:反向移植 Bug 41363:为每个平台单独提交 update_responses

Tor官方的2024年年度回顾

Tor官方动态, 暗网动态
Tor官方在2024年底对该非盈利性重大隐私保护工程一年的工作进行了回顾,“暗网下/AWX”对Tor项目的文章进行了翻译与总结。Tor官方称,每当人们谈论Tor时,总会提到几个关键问题:性能、安全性和网络健康、审查规避以及第三方集成的兼容性。这些是Tor项目工作的重中之重,2024年Tor项目在这些领域都取得了重大进展,这篇文章里,Tor官方回顾了其是如何为解决这些核心问题和挑战而开展的一些新项目和正在进行的项目。 一、提高性能和安全性 洋葱服务改进:洋葱服务是一种使用Tor网络交换数据的通信技术。它们通过将所有通信保留在Tor网络内,来提供端到端加密和增强的匿名性。2024年,Tor项目推出了OnionSpray,这是一款即插即用的工具包,可以更轻松地将现有明网网站转换为可以使用.onion域名访问的暗网网站。OnionSpray具有代理功能,允许现有网站与“洋葱服务”无缝集成。通过简化设置,运营者可以快速受益于.onion暗网网站的抗审查和拒绝服务保护功能,而无需修改其现有基础设施。如需深入了解该功能,可以查看Tor项目早期采用者之一的案例研究。 支持Vanguards:从2024年夏天开始,Arti支持Vanguards,这是一种针对针对洋葱服务和洋葱服务客户端的防护发现攻击的防御措施。Vanguards于2018年首次作为v3洋葱服务的附加组件推出,旨在降低去匿名化攻击的风险并确保用户安全。 内存配额跟踪:Tor工程师和志愿者在Arti方面取得了重大进展,Arti是Tor核心的现代重写版本,采用Rust语言编写。Arti的模块化设计提高了可维护性、安全性和性能。为了抵御内存耗尽攻击,2024年Tor项目实现了内存配额跟踪。此功能允许Tor监控和限制其内存使用情况,优先关闭较旧的连接,以降低内存使用率并保持系统稳定性。这为所有用户提高了可靠性,并降低了高流量期间系统超负荷的风险。 带宽扫描仪:Tor保持网络稳定和健康的持续策略依赖于有效利用网络数据的能力。带宽扫描仪通过测量Tor网络中的中继容量,在网络的性能和安全性中发挥着重要作用。然后,这些数据会被用来指导如何构建与Tor网络连接的路径。这样做的目的是优化网络中的负载分布,最终提高浏览速度和可靠性。 二、扩大抗审查能力 发布WebTunnel:2024年年初,Tor项目成功推出了WebTunnel,这是一种新型桥接器,旨在与普通网络流量无缝融合,使审查者更难阻止Tor连接。通过模仿常见的互联网协议,WebTunnel提高了Tor网络在审查严格的地区的适应能力和弹性。自2024年上半年推出以来,该桥接器确保优先考虑较小流量的下载,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛使用的浏览器的特性。这使得Webtunnel对普通用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。在为用户提供可靠的开放网络访问方面,这种方法已经显示出良好的前景,尤其是在像俄罗斯这样审查严格的地区。Tor官方一直希望扩大这些努力,如果有用户愿意通过运行新桥接器来支持Tor,可以考虑参与并学习相关的技术知识。 Snowflake更新:浏览器扩展程序Snowflake于2021年推出,是Tor对抗网络审查的一大飞跃。它使设置代理变得像打开网页一样简单。为了遵守Google Chrome扩展程序框架的变化,Tor项目重新设计了Snowflake的WebExtension,以符合Manifest V3标准。更新后的版本已于9月份成功部署,确保在Google逐步停止对Manifest V2的支持后,Chrome浏览器上的用户仍可使用Snowflake。Tor项目还通过自动化发布流程、替换过时的内容交付网络和修订协议来不断改进Snowflake。这些努力确保Snowflake对全球用户保持可靠和有效。 过渡到Rdsys:2024年,Tor项目从BridgeDB成功过渡到Rdsys,这是Tor项目的下一代桥接分发系统。Rdsys采用模块化架构,可帮助Tor项目快速适应新出现的审查策略,并允许Tor项目试验桥接分发渠道,更有效地覆盖用户所在的地理位置。 三、推进外联和宣传 与Tails联手:合作一直是Tor项目工作的核心,例如Tor项目与Tails的合并,就是一个很好的例子。Tails是一个便携式操作系统,使用Tor保护用户免受数字监控。2024年,Tails推出了几项影响深远的更新,包括一项防止数据丢失的新备份功能。展望未来,该团队正在探索如何在Tails上支持Signal等消息应用程序,使用户能够安全地进行通信,同时将敏感通信与可能受到入侵的设备隔离开来。 分散培训工作:Tor官方从自己开展全球培训课程转变为为当地培训师提供教授Tor的技能。Tor官方将2022年首次启动的”隐私弹性资助计划“扩展到49个国家/地区,使培训师能够开展本地化的Tor活动。培训师们报告了培训带来的重大影响,例如改善了对监控和协作学习的保护。 中继倡导:Tor官方继续扩大与大学的合作伙伴关系,以促进中继运营。这些努力不仅通过访问强大的中继节点增强了Tor网络,而且还通过树立积极的榜样鼓励更多组织为其基础设施做出贡献。 四、为Tor的未来做好准备 RPC子系统:2024年Arti最重要的进展之一是开发了一个完全重新构想的RPC子系统。该系统通过提供进程外应用程序接口(out-of-process API)、改进模块化和应用隔离,重新定义了应用程序与Tor的交互方式。与现有的控制端口不同,RPC子系统可防止应用程序访问敏感信息。。这种设计将使开发人员能够更轻松、更安全地构建使用Tor的工具和服务。 人性化的.onion地址:冗长复杂的.onion域名一直是可用性方面的难题与挑战。今年,Tor官方开始研究创建更人性化的替代方案,旨在提高新用户的可访问性,同时保持强大的安全性。这些努力将使”洋葱服务“更加平易近人,更加方便用户使用。 Android版本辅助功能:为了准备使用“辅助功能”——一项意在自动规避审查的功能——Tor项目重新设计了Android版本Tor浏览器的连接体验,采用了全新的“原生”实现方式。这是Tor项目长期努力将“连接辅助”引入安卓系统的长期努力的必要步骤,并为安卓用户提供了一系列小的改进,使其体验与桌面更加一致,并允许用户在连接前访问设置,从而实现更顺畅的故障排除和更高的可访问性。 Tor官方最后总结称,所有这一切都得益于Tor社区和用户的持续支持。Tor官方可以共同为数字权利打造一个更强大、更具弹性的未来。

为应对俄罗斯的网络审查,Tor项目呼吁建立更多的WebTunnel网桥

Tor官方动态, 暗网动态
昨日,Tor项目在官方博客发布新文章,向Tor社区、隐私社区和互联网自由社区发出紧急呼吁,希望志愿者在年底前帮助部署200个新的WebTunnel网桥,以对抗俄罗斯政府日益升级的网络审查。 目前,Tor项目运营着143个WebTunnel网桥,帮助审查严格地区的用户绕过互联网访问限制和网站封锁。 此举是为了回应俄罗斯日益升级的审查制度,Tor项目表示,目前这影响了浏览器内置的审查规避机制,包括obfs4连接和Snowflake。 Tor项目认为,建立更多的WebTunnel桥接器是对这种审查升级的最佳回应,因为分析新的策略和开发解决方法需要时间,这会导致用户容易受到攻击并与免费互联网隔绝。 俄罗斯严格的网络审查 Tor项目称,俄罗斯Tor用户最近的报告显示,网络审查制度正在升级,目的是阻止对Tor和其他规避工具的访问。这一新举措包括试图阻止Tor项目开发的Tor桥接器和可插入设备的网络传输、从应用程序商店中删除应用程序以及要求热门的托管服务提供商停止服务,从而降低绕过审查的空间。尽管多项行动仍在继续,但Tor目前仍然有效。 但是,一个令人担忧的趋势是,俄罗斯联邦通信监管局有针对性地封锁了热门托管服务提供商。由于许多规避工具都在使用这些服务,这一举措导致许多俄罗斯用户无法访问一些Tor网桥。随着俄罗斯联邦通信监管局和俄罗斯的互联网服务提供商加大封锁力度,对更多WebTunnel桥的需求变得迫在眉睫。 WebTunnels如何帮助绕过审查 WebTunnels是Tor项目于2024年3月推出的一种新型网桥,专门用于将Tor流量与常规网络流量混合。该系统通过运行具有有效SSL/TLS证书的Web服务器来实现这一点,将Tor流量伪装成常规HTTPS流量。与使用obfs4等特定协议(这使其识别起来更容易)的标准Tor网桥相反,WebTunnel网桥“隐藏在众目睽睽之下”。这使它们能够抵抗严格的审查。 自今年早些时候推出以来,WebTunnels确保优先考虑较小的下载大小,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛浏览器的特性。这使得Webtunnel对一般用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。Tor项目称:这使审查人员更难检测和阻止,特别适合躲避审查者的监视。 Tor项目提出呼吁 Tor项目呼吁Tor社区和互联网自由社区帮助扩大WebTunnel桥接器的规模。如果热心的志愿者曾经想过运行 Tor 桥接器,那么现在是时候了。Tor项目的目标是在今年(2024 年)12月底之前部署200个新的WebTunnel桥接器,为俄罗斯用户开放安全访问。 Tor项目启动了一项新活动,活动于2024年11月28日开始,并将持续到2025年3月10日,呼吁志愿者建立和维护新的WebTunnel网桥。在此期间设立五座或更多WebTunnel网桥桥的人员将收到该组织赠送的一件T恤作为“感谢”礼物。 一旦网桥建立并运行,网桥的运营者可以向“[email protected]”发送电子邮件并提供详细信息,以注册参与该活动。 如何运行Tor的WebTunnel网桥 作为志愿者,所需要的只是一个静态IPv4地址、一个自托管网站、一个有效的SSL/TLS证书以及至少1TB/月的带宽。具体而言,有两个方法: 使用Docker:使用Tor项目提供的Docker映像,可简化Tor桥接器和WebTunnel传输的部署。需要对您的 Web 服务器进行一些额外配置。 Ansible自动化:由社区成员Jacobo Nájera创建的WebTunnel Ansible角色提供了另一种快速建立 WebTunnel桥的方法。 可以在Tor项目的WebTunnel指南中找到技术要求。简而言之,需要: 静态IPv4地址(首选) 自托管网站 有效的SSL/TLS证书(例如 Let’s Encrypt) 带宽使用量:至少1TB/月,但建议更多。 网桥活动参与规则 参与要求如下: 每个IPv4地址一个WebTunnel网桥;允许子域名或不同的域名。 请提供有效的电子邮件地址作为联系信息。否则无法确认并验证是否参与了此活动。 保持网桥运行至少一年。 确保网桥正常运行,几乎全天候运行;允许重新启动以进行更新。 网桥在活动期间必须保持正常运转的功能。 避免托管在Hetzner上。 有关如何设置和运行WebTunnel桥的更多信息,志愿者可以查看此官方指南。 俄罗斯审查者瞄准可插拔传输 Tor浏览器等Tor驱动的应用程序包含内置的审查规避功能,但俄罗斯的审查者越来越多地针对这些机制。例如,用户报告表明obfs4连接在俄罗斯的一些4G移动网络上被阻止。尽管如此,obfs4仍然是该国Tor用户最广泛使用的可插入传输。Snowflake也在某些提供商处经历了部分屏蔽,Tor的反审查团队一直在调查。 分析审查策略、开发修复方案并实施新的缓解措施需要时间和资源。与此同时,Tor WebTunnel桥接器是绕过俄罗斯审查的一种紧急且直接的方法。 Tor驱动的应用程序对于在严格限制的地区打击网络审查至关重要。在一个“最大的银行被指示惩罚使用信用卡支付 VPN服务的客户”的国家,Tor等免费开源工具是为数不多的让用户保持连接的替代方案之一。 背景:Tor网络在俄罗斯被封锁(2021年) 2021年末,俄罗斯政府试图封锁Tor网络,正如Tor项目在博客文章中详细介绍的那样。尽管俄罗斯审查人员尽了最大努力,但俄罗斯用户还是能够使用Tor网桥绕过封锁。 2024年初推出WebTunnel时,仅有60个WebTunnel网桥。如今,这个数字已经增加了一倍多,达到143个。然而,Tor项目表示必须还要加大努力,以满足不断增长的需求,并应对不断变化的审查形势。 Tor项目希望,如果有热心人士曾考虑过运行Tor网桥,那么现在正是开始的好时机。

Tor项目推出新的WebTunnel桥接方式,模仿HTTPS流量

Tor官方动态, 暗网动态
“暗网下/AWX”刚刚报道有传言称Tor浏览器的网桥WebTunnel存在被流量识别问题,WebTunnel又传来新的消息。 根据Tor项目官方博客的文章,在3月12日世界反网络审查日,Tor项目的反审查团队很高兴地正式宣布推出WebTunnel,这是一种新型的Tor桥接器,旨在帮助严格审查地区的用户连接到Tor网络。WebTunnel现已在Tor浏览器的稳定版本中提供使用,它加入了由Tor项目开发和维护的审查规避技术集合。 开发不同类型的桥接技术对于提高Tor抵御审查的能力以及在高度动态和不断变化的审查环境中领先对手至关重要。尤其是在即将迎来2024年全球大选之际,规避审查的技术在捍卫互联网自由方面的作用变得尤为重要。用户可以在Tor社区门户中找到运行WebTunnel网桥的要求和说明。 什么是WebTunnel以及它如何工作? WebTunnel是一种抗审查的可插拔传输方式,其设计灵感来自HTTPT,用于模仿加密网络流量(HTTPS)。它的工作原理是将有效载荷连接包装成类似WebSocket的HTTPS连接,在网络观察者看来就是普通的HTTPS(WebSocket)连接。因此,对于不知道隐藏路径的旁观者来说,它看起来就像与网页服务器的普通HTTP连接,让人以为用户只是在浏览网页。 事实上,WebTunnel与普通Web流量非常相似,它可以与同一网络端点上的网站共存,即相同的域名、IP地址和端口。这种共存允许标准流量反向代理将普通Web流量和WebTunnel转发到各自的应用程序服务器。因此,当有人试图访问共享网络地址上的网站时,他们只会看到该网站地址的内容,而不会注意到秘密桥梁(WebTunnel)的存在。 WebTunnel与obfs4网桥的比较 对于大多数Tor浏览器用户来说,WebTunnel可以用作obfs4的替代品。虽然obfs4和其他完全加密的流量旨在完全不同且无法识别,但WebTunnel模仿已知和典型Web流量的方法使其在存在协议允许列表和默认拒绝网络环境的情况下更加有效。 将网络流量审查机制视为硬币分类机,硬币代表流动的流量。传统上,这样的机器会检查硬币是否符合已知的形状,如果符合则允许其通过,如果不符合则将其丢弃。在完全加密、未知流量的情况下,不符合任何特定形状,它将受到审查。在WebTunnel的硬币类比中,硬币不仅必须不符合任何已知的被阻止协议的形状,而且还需要符合公认的允许形状——否则,它就会被丢弃。Obfs4流量既不匹配任何已知允许的协议,也不匹配文本协议,因此会被拒绝。相反,类似于HTTPS流量(一种允许的协议)的WebTunnel流量将有可能被通过。 如何使用WebTunnel桥接器? 🌉步骤1-获取WebTunnel网桥 目前,WebTunnel网桥仅通过Tor项目网桥网站分发。Tor项目计划加入更多的分发方式,例如Telegram和moat。 使用常规网络浏览器访问网站:https://bridges.torproject.org/options 在“高级选项”中,从下拉菜单中选择“Webtunnel”,然后单击“获取网桥”。输入正确的验证码后复制网桥链接线路。 💻步骤2-下载并安装桌面版Tor浏览器 注意:WebTunnel桥接器不适用于旧版本的Tor浏览器(12.5.x)。 下载并安装最新版本的桌面版Tor浏览器。打开Tor浏览器并转到连接首选项窗口(或单击“配置连接”)。 单击“手动添加桥”并添加步骤1中提供的网桥链接线路。关闭网桥对话框并单击“连接”。 📲或下载并安装Android版Tor浏览器 下载并安装最新版本的Android版Tor浏览器。运行Tor浏览器并选择配置网桥的选项。 选择“提供我知道的网桥”并输入提供的网桥地址。点击“确定”,如果一切正常,它将连接。 Tor项目宣称其目标是确保Tor适合所有人,目前全球有60个WebTunnel网桥,每天有700多名活跃用户在不同平台上使用WebTunnel。目前除了在伊朗的某些地区无法使用外,WebTunnel在多个地区可以使用。但是,中国社区的用户对该技术嗤之以鼻,一些中国网友评论称,这已经是被玩剩下来了,基本属于淘汰了的技术。

网传Tor浏览器的网桥WebTunnel存在被流量识别问题

暗网技术, 独家报道
近日,有网友向“暗网下/AWX”表示,Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题,原因是: 一是传输的TLS是Go语言的crypto/tls库。通过测试发现,网桥的TLS Client Hello长度是317字节,而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多,暴露了Go普遍使用的TLS库不规范的短板。 二是大多数用于WebTunnel网桥的服务器普遍使用Nginx。Nginx服务器未配置的情况下会出现默认页面,并没有任何伪装,很容易被识别。 Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题: 一、传输的TLS是Go语言的crypto/tls库。我们通过测试发现,网桥的TLS Client Hello长度是317字节,而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多,暴露了Go普遍使用的TLS库不规范的短板。 […] pic.twitter.com/TCPjb8STmO — 稀神サグメ⭐️ @[email protected] (@kishinsagi) March 10, 2024 该网友建议的解决办法是换用比较规范的Rust,其TLS Client Hello长度达到517字节。或直接使用C语言的TLS库,如Chromium的tls.h,以达到伪装浏览器流量的目的。 该网友还建议将crypto/tls库替换为uTLS亦可缓解此TLS指纹。uTLS 是“crypto/tls”的一个分支,它提供了 ClientHello 指纹识别、握手的低级访问、伪造会话票证和一些其他功能。握手仍然由“crypto/tls”执行,该库仅更改其中的 ClientHello 部分并提供低级访问。 tls.go的代码: package tls import ( “crypto/tls” “errors” “net” ) type Config struct { ServerName string } func NewTLSTransport(config *Config) (Transport, error) { return Transport{kind: “tls”, serverName: config.ServerName}, nil } type Transport struct { kind string serverName string } func (t Transport) Client(conn net.

Tor项目称,WebTunnel,一种新的可插拔网桥传输,现已可供部署测试

Tor官方动态, 暗网动态, 暗网技术
上周,Tor项目向众多Tor中继运营商宣布,正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输(PT),它是一个抗审查的代理,试图模仿HTTPS流量,基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行,并鼓励网桥运营商建立WebTunnel网桥,以发现这个新的可插拔传输的实施中的问题。 WebTunnel是如何工作的 连接到WebTunnel Bridge时,客户端通过加密连接向负载均衡器发送http 1.1升级请求,就像WebSocket的工作方式一样。因此,从观察者的角度来看,这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站,那么将呈现的将是该前置网站。如果没有完整的URL路径,就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。 技术要求 要设置WebTunnel桥接,用户需要一个自我托管的网站,一个能自主控制的域名,一个可配置的负载平衡器,静态IPv4,以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程,但这不是必需的。 设置指南可在此处获取:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup 如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前,WebTunnel只通过HTTPS分发(torrc设置:’BridgeDistribution https’)。 用户可以在Tor项目的GitLab上报告问题:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel 鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用,中继运营商目前不应期望有大量的使用或大量的用户。 Tor项目称,如果用户在设置WebTunnel时遇到任何困难,请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。