Tor Project kondigt nieuw ontwikkelmodel aan voor Tor Browser
Het Tor Project heeft een nieuw ontwikkelmodel voor Tor Browser aangekondigd, wat gevolgen heeft voor testers en eindgebruikers. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het Tor-netwerk is te gebruiken via Tor Browser, dat bestaat uit een aangepaste Firefox ESR-versie en software om verbinding met het Tor-netwerk te maken.
Firefox Extended Support Release (ESR) is een Firefox-versie die alleen maar beveiligingsupdates ontvangt. Deze versie is vooral bedoeld voor zakelijke omgevingen. Nieuwe features in Firefox worden daardoor minder vaak en op een later moment pas aan Tor Browser toegevoegd. Op dit moment brengt het Tor Project twee keer per jaar een "feature release" uit, met nieuwe features die eerder al door Mozilla aan Firefox zijn toegevoegd.
Vanaf volgend jaar zal er nog maar één keer per jaar een feature release verschijnen, gepland voor het derde kwartaal. Daarnaast is er ook een testversie van Tor Browser, genaamd Tor Browser Alpha. Deze testversie was altijd gebaseerd op Firefox ESR, maar het Tor Project heeft nu besloten de laatste standaard Firefox-versie te gaan gebruiken. Daardoor zullen er sneller nieuwe features in de testversie van Tor Browser beschikbaar zijn.
Volgens het Tor Project moet het nieuwe ontwikkelmodel ervoor zorgen dat men efficiënter Tor Browser kan ontwikkelen en onderhouden en stress bij ontwikkelaars wordt verminderd. Zo moet het eenvoudiger worden om nieuwe features aan de browser toe te voegen en met meer vertrouwen naar een nieuwe Firefox-versie voor Tor Browser over te stappen. Gebruikers van Tor Browser Alpha worden wel gewaarschuwd dat het nieuwe ontwikkelmodel voor potentieel minder veilige releases kan zorgen. Gebruikers die risico lopen, zich zorgen maken over hun privacy of een betrouwbare browser willen, worden opgeroepen de Alpha-versie niet te gebruiken.
Dus ga er maar van uit dat bepaalde kwetsbaarheden niet opgelost worden en dat je dus kwetsbaar bent...
(Zie https://hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html)
document.createElement('canvas').getContext('webgl') ||
document.createElement('canvas').getContext('experimental-webgl')" )
wordt normaliter gedetecteerd door NoScript en kan dan worden geblokkeerd.
Uit een oud blog met achterhaalde speculaties van ene Dr. Neal Krawetz (Texas A&M), van meer dan vijf jaar geleden.
De €50 DDoS aanval, security slider incident, UA string leak, etc... Allemaal van dit of vorig jaar.
Ik vind het jammer.
Dus ga er maar van uit dat bepaalde kwetsbaarheden niet opgelost worden en dat je dus kwetsbaar bent...
(Zie https://hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html)
Je haalt een bron aan van vijf jaar oud! Tor is niet perfect en biedt geen garanties, maar het is nog altijd de meest anonieme manier om gebruik te maken van Internet.
Het Tor netwerk kan ook worden gebruikt met Brave (browser), Briar (messenger), Cwtch (messenger), Molly (chat afgeleid van Signal), CryptPad (drive storage, office suite), OnionShare (file transfer). Iedere Proton service werkt ook via Tor. De tijd dat het Tor netwerk slechts alleen te gebruiken was met de standaard Tor Browser ligt allang achter ons.
Zo krijgt Google toch weer heel wat binnen.
In de Veiliger en Veiligste Tor Browser modus zijn audio en video (HTML5-media) en WebGL klikken-voor-afspelen.
Alleen websitefuncties toestaan die voor statische websites en basisservices zijn vereist. Deze wijzigingen zijn van invloed op afbeeldingen, media en scripts:
o JavaScript is standaard uitgeschakeld op alle websites.
o Sommige lettertypen, pictogrammen, wiskundige symbolen en afbeeldingen zijn uitgeschakeld.
o Audio en video (HTML5-media) en WebGL zijn klikken-voor-afspelen.
https://support.torproject.org/tor-browser/features/security-levels/
De kans dat die 'Onion Browser Button' een van de standaard Tor Browser afwijkende, en dus herkenbare fingerprint, veroorzaakt, is levensgroot.[1] Mocht je overwegen om een of andere Tor add-on te willen gebruiken onder de Mullvad Browser, wat ik je niet aanraad, dan kun je beter net zo goed de Tor Browser zelf gebruiken.
Wat betreft de Brave Browser (brave.com), die browser wordt ontwikkeld door een grote organisatie met veel rugdekking. Toch kan ook de fingerprint van de 'Private Window with Tor' van Brave op subtiele wijze afwijken van die van de Tor Browser. Wil je het risico daarvan geheel wegnemen, gebruik dan alleen de Tor Browser (en schaf Brave af).
In het verleden werkte het Tor Project ooit zelf met een 'TorButton' (een te installeren browser add-on), maar daar zijn ze van afgestapt, omdat bleek dat dat te risicovol is. Vanwege het grote aanvalsoppervlak van add-ons, en het risico dat de gebruikers de Tor-modus en het 'gewone' internet per ongeluk met elkaar verwisselen, met alle gevaren van dien.
Can I use plugins, add-ons, or extensions in Tor Browser?
https://support.torproject.org/tor-browser/features/plugins/
[1] Deze add-on niet te verwarren met de 'Onion Browser' app onder Apple iOS, die van een andere ontwikkelaar is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?