Вышел Tor Browser 9.5 с новыми интересными функциями
2 июня 2020 года на странице скачивания опубликована новая версия браузера Tor Browser 9.5 для всех платформ. Одновременно сделаны важные обновления безопасности для Firefox.
В этой версии Tor Browser реализована функция автоматического предложения onion-сервисов (opt-in), как только они становятся доступны для любого сайта. В дальнейшем браузер будет автоматически открывать onion-версию, даже если ввести обычный URL.
Onion-версия по умолчанию
Например, если открыть сайт издания ProPublica в браузере Tor, то он выведет всплывающее окно с предложением перейти на версию .onion, как показано на скриншоте.
В этом же всплывающем окне опцию можно включить на постоянной основе, так что браузер станет автоматически переадресовывать вас на защищённую версию сайта, даже если ввести обычный URL (Always Prioritize Onions).
Onion-версии существуют для Facebook, DuckDuckGo, New York Times, BBC, PornHub и многих других сайтов. Например, если ввести в адресной строке DuckDuckGo.com, браузер в будущем автоматически переадресует вас на https://3g2upl4pq6kufc4m.onion (в будущем, потому что поисковая система пока не прописала нужный заголовок на веб-сервере, см. ниже). Соответственно, вместо ProPublica.org откроется https://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion . Очень удобное нововведение, ведь onion-адреса сайтов обычному человеку сложно запомнить. Теперь они подставляются самостоятельно.
«Впервые пользователи Tor Browser на десктопе смогут автоматически подписаться на использование сайтов onion сразу, когда веб-сайт делает их доступными, — пишут разработчики. — В течение многих лет некоторые веб-сайты незаметно использовали альтернативные сервисы (alt-svc), и они по-прежнему остаются отличным вариантом». Но теперь появился новый механизм выбора, когда пользователям прямо в браузере предлагают обновить соединение и переключиться на конфиденциальную версию сайта в сети луковичной маршрутизации, то есть подключиться на onion-версию.
Чтобы пользователь увидел такое предложение, нужно добавить в конфигурационный файл веб-сервера HTTP-заголовок, см. инструкцию для разработчиков.
Например, в веб-сервер Apache конфигурация VirtualHost будет выглядеть так:
В Nginx сначала создаём onion-сервис в torrc :
Затем добавляем заголовок в конфигурационный файл:
Читаемые имена
Из-за криптографического шифрования человеку нелегко запомнить адреса onion-сервисов, такие как expyuzz4wqqyqhjn.onion (torproject.org). В связи с этим родилась идея ввести человекочитаемые версии адресов в доменной зоне .tor.onion.
В партнёрстве с разработчиками сервиса HTTPS Everywhere из Фонда электронных рубежей и Фондом свободы прессы реализован экспериментальный концепт с человекочитаемыми адресами для некоторых onion-сервисов:
Так, onion-сервис SecureDrop для анонимного слива документов на сайте The Intercept теперь доступен по адресу theintercept.securedrop.tor.onion параллельно с обычным адресом http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion .
Аутентификация Onion
Ещё одна новая функция Tor Browser 9.5 даёт возможность админам onion-сервисов добавить на сайт дополнительный слой безопасности, установив пару ключей для контроля доступа и аутентификации.
Пользователи Tor Browser могут сохранить ключи и управлять ими в разделе about:preferences#privacy настроек Onion Services Authentication.
Вот инструкция для разработчиков, как добавить авторизацию в onion-сервис. Если вкратце, в OpenSSL генерируется пара ключей, они переводятся в base32 и на сервере создаётся новый файл с одним или несколькими открытыми ключами. Соответствующий закрытый ключ из сгенерированной пары передаётся клиенту. Его можно напрямую ввести в интерфейс Tor Browser, как показано на скриншоте вверху, и хранить в браузере, как показано на скриншоте внизу.
В Tor Browser 9.5 улучшены индикаторы безопасности в адресной строке в соответствии с изменениями в дизайне, которые случились в 2019 году в некоторых браузерах. Как известно, Chrome отказался от зелёной иконки с замком, которая символизирует защищённое подключение по HTTPS. Эта иконка стала серой. Остальные браузеры тоже идут по этому пути изменения UI.
В браузере Tor обновлён ряд индикаторов безопасности, чтобы более явно демонстрировать пользователям факт незащищённого подключения.
Доработаны сообщения об ошибках, которые Tor Browser выдаёт при невозможности подключения к onion-сайту. В частности, браузер теперь показывает упрощённую схему подключения с указанием места, в котором произошёл сбой на пути от клиента к серверу.
Tor Browser также исправляет ряд уязвимостей в безопасности Firefox, выявленных в последнее время.
Что такое клиентская или onion-аутентификация?
Аутентифицированный onion-ресурс – тот, который для доступа к ресурсу требует от вас предоставить аутентифицирующий токен (в данном случае – секретный ключ). Секретный ключ не передается на этот сервис. Он лишь используется для локальной расшифровки дескриптора. Реквизиты доступа можно получить у оператора onion-ресурса. Свяжитесь с ним и попросите доступ. Подробнее о том, как использовать onion-аутентификацию в Tor Browser, рассказано здесь. Если вы хотите создать onion-ресурс с клиентской аутентификацией, пожалуйста, обратитесь к разделу Client Authorization на портале сообщества Tor Project.
-
Свой вклад внесли: cypherpunk
- Редактировать этот элемент — Отправить отзыв — Постоянная ссылка
Скачать Tor Browser
Скачайте Tor Browser – познайте поистине приватный интернет без слежки и цензуры.
Наша миссия:
продвижение прав и свобод человека путем создания и внедрения бесплатных технологий анонимности и конфиденциальности с открытым исходным кодом, поддержка их неограниченной доступности и использования, а также содействие их научному и общественному пониманию.
Как получить доступ к сайтам .onion (также известным как скрытые службы Tor)
Адреса веб-сайтов, заканчивающиеся на «.onion», не похожи на обычные доменные имена, и вы не можете получить к ним доступ с помощью обычного веб-браузера. Адреса, заканчивающиеся на «.onion», указывают на скрытые службы Tor в «глубокой сети».
Предупреждение : Многие сайты .onion содержат очень неприятные вещи, и многие из них, скорее всего, являются мошенничеством. Мы рекомендуем держаться подальше от «просмотра» сайтов .onion — вместо этого используйте это, только если у вас есть конкретный сайт, к которому вы хотите получить доступ по уважительной причине.
Что такое сайт .onion?
Tor — сокращение от лукового маршрутизатора — это анонимизирующая компьютерная сеть . Он частично финансируется правительством США и предназначен для помощи людям в странах, где доступ в Интернет может подвергаться цензуре или контролю. Когда вы подключаетесь к Tor, ваша интернет-активность передается через сеть Tor, анонимизируя вашу интернет-активность, чтобы ее нельзя было отследить, и чтобы вы могли получить доступ к веб-сайтам, которые могут быть заблокированы в вашей стране.
Итак, когда вы заходите на сайт google.com через Tor, ваш запрос переходит от ретранслятора Tor к ретранслятору Tor прежде, чем он достигнет «узел выхода» . Затем этот выходной узел связывается для вас с Google.com и отправляет вам обратно данные, которыми Google ответил. Google видит в этом IP-адрес выходного узла, связываясь с ним, а не ваш IP-адрес.
Но это означает, что «последняя миля» трафика может быть отслежена организацией, отслеживающей или даже запускающей выходные узлы, особенно если ваш трафик не зашифрован. Адрес «.onion» указывает на скрытую службу Tor, которая представляет собой сервер, к которому вы можете получить доступ только через Tor. Это означает, что ваши действия в браузере не могут быть отслежены кем-то, кто наблюдает за выходными узлами Tor. Это также означает, что кто-то, размещающий веб-сайт, может скрыть этот сервер с помощью сети Tor, чтобы никто не мог его найти — теоретически.
Например, Facebook поддерживает официальный адрес скрытых служб Tor по адресу «https://facebookcorewwwi.onion/». Это позволяет вам получить доступ к Facebook через Tor, и ваше соединение никогда не покидает Tor, где его можно будет отслеживать. Это может быть полезно, например, в странах, где заблокирован Facebook.
Необязательно использовать Tor постоянно, так как это медленнее, чем обычный просмотр. Но это полезный инструмент для анонимности вашей интернет-активности и обхода цензуры.
Как получить доступ к сайтам .onion с помощью браузера Tor
Чтобы получить доступ к адресу .onion, вам необходимо получить к нему доступ через браузер Tor. Это модифицированная версия Firefox, настроенная для подключения к сайтам через сеть Tor.
Загрузите браузер Tor с веб-сайта проекта Tor, чтобы продолжить. Он доступен для Windows, Mac и Linux.
На телефоны и планшеты Android вы можете скачать официальную Прокси-приложение Orbot или Браузер Orfox из Google Play. Проект Tor не предлагает официальных приложений Tor для iPhone или iPad.
После запуска браузера Tor введите адрес .onion в его адресную строку. Например, чтобы получить доступ к скрытой службе Facebook, вы должны ввести следующий адрес:
Или, чтобы получить доступ к скрытой службе поисковой системы DuckDuckGo, вы должны ввести:
При использовании браузера Tor вы можете нажимать ссылки на адреса .onion, и они загружаются нормально. Но они будут работать только в браузере Tor, когда они подключены к Tor.
Не заходите на сайты .onion через прокси, такие как Tor2Web
Вы также можете получить доступ к сайтам .onion без запуска Tor через прокси, которые подключаются к Tor за вас. Прокси-сервер подключается к Tor для вас, а затем перенаправляет вам трафик через обычный Интернет.
Однако это очень плохая идея! Вы теряете анонимность, которую обычно имеете при подключении к сайту .onion через браузер Tor. В конце концов, в этом весь смысл адреса .onion. Веб-сайт, к которому вы получаете доступ, сохраняет свою анонимность, но кто-то, отслеживающий ваше соединение, может увидеть, к какому веб-сайту вы подключаетесь. Провайдер услуг также может видеть, к чему вы подключаетесь, и отслеживать любые пароли и другую личную информацию, которую вы предоставляете через соединение.
Tor2web функционирует таким образом, но вам не следует его использовать. Например, если вы пытаетесь подключиться к скрытой службе Facebook используя Tor2web , Facebook блокирует соединение и говорит вам, что это плохая идея.
Ищете списки сайтов .onion? Поищите в Интернете списки сайтов .onion, и вы найдете с чего начать. Однако многие каталоги сайтов .onion сами хранятся на сайтах .onion, к которым вы можете получить доступ только через Tor.
Опять же, будьте осторожны: многие сайты .onion содержат очень неприятные вещи, и многие из них, вероятно, являются мошенничеством. Мы рекомендуем по возможности держаться от них подальше. Этот прием лучше всего использовать, когда вы хотите перейти на определенный сайт .onion.
Безопасность: двухфакторная аутентификация на сайте HYDRA
Двухфакторная аутентификация (2FA) — это дополнительная защита аккаунта при входе на какой-либо интернет-ресурс.
Как пользоваться 2FA на HYDRA?
На сайтах, которые заботятся о безопасности пользователей, вкладку "двухфакторная авторизация" (или "двухфакторная аутентификация") обычно можно найти в личном кабинете. Чтобы включить 2FA на площадке HYDRA, войдите в свою учётную запись и кликните на свой никнейм в правом верхнем углу.
После нажатия откроется страница личного кабинета "Мои настройки", где можно менять пароль, фотографию аватара, а также вводить свой публичный PGP-ключ.
Нас интересует следующая вкладка под названием "Двухфакторная аутентификация".
HYDRA предлагает 2 варианта управления 2FA: с помощью PGP-ключа (что такое PGP, читайте здесь) и с помощью специальных приложений (например, Authy или Google Autenticator).
Двухфакторная аутентификация через приложение — это по сути дополнительный одноразовый пароль, который постоянно меняется, а не только когда пользователь запрашивает вход на сайт.
Это означает, что помимо стандартного пароля, а также капчи, придётся ввести код, который придёт на смартфон или планшет, или отсканировать QR-код. Выбираем удобный способ и нажимаем "Включить".
1. 2FA с помощью PGP-ключа.
Чтобы использовать PGP-ключ, необходимо для начала ознакомиться с этой статьёй, а затем ввести свой публичный PGP-ключ на странице "Мои настройки".
Потом выбираем вкладку "Двухфакторная аутентификация", PGP-верификация и вводим свой PGP-ключ в ответ на запрос сайта.
Однако большинство пользователей предпочитает способ подтверждения через приложение
2. 2FA с помощью приложения.
После выбора аутентификации через приложение, сайт предлагает 2 варианта: сканировать QR-код или ввести код вручную. Выбранный способ ни на что не влияет, однако удобнее и быстрее воспользоваться QR-кодом.
Для начала сохраните отдельно ключ из скриншота выше, чтобы получить доступ к аккаунту, если смартфон будет потерян.
Далее, какой бы вариант мы ни выбрали, на этом этапе потребуется установленное приложение (в статье в качестве примера скриншот из приложения Google Autenticator).
Сразу после установки приложения на смартфон или планшет появляется выбор, каким способом добавить аккаунт:
Из приложения Google Autenticator
Для примера выбираем "Сканировать штрихкод". Сразу же открывается камера с рамкой, которую нужно наложить на QR-код на HYDRA. Нажимать ничего не требуется, аккаунт добавляется автоматически, как только рамка камеры совпадает с кодом.
Такая надпись появляется после успешного скана кода
Теперь осталось ввести цифры из приложения в пустое поле на странице HYDRA. Обратите внимание, что код меняется в режиме реального времени, поэтому проверьте его актуальность перед подтверждением ввода на сайте.
Теперь проверим, как это работает. Выходим с сайта и пробуем заново залогиниться. Вводим капчу, потом логин, пароль и ещё одну капчу, и видим требование ввести код:
Вводим код, который в данный момент актуален в приложении и нажимаем "Продолжить". Если код введён правильно, попадаем в свою учётную запись.
Итак, краткая инструкция:
- Установить приложение на смартфон (работает как на Android, так и на iOC)
- Выбрать на сайте HYDRA способ аутентификации
- Отсканировать с помощью приложения QR-код или ввести указанный там же код вручную
- Ввести полученный в приложении код на сайт HYDRA
Прелесть этой программы в том, что даже если злоумышленники похитили ваш логин и пароль, они всё равно не смогут авторизоваться от вашего имени без информации, которая есть только у вас при себе, к тому же набор цифр обновляется каждые несколько секунд (а значит код нельзя подсмотреть и запомнить). Также огромным плюсом является работа приложения без Интернета. Одно приложение может одновременно иметь несколько аккаунтов (значит, можно включать 2FA на нескольких сайтах, используя один и тот же смартфон).
Часто пользователи не используют эту необходимую для защиты программу из-за страха, что Google увидит аккаунты, но это не более чем заблуждение, поскольку коды привязаны только к устройству.
Плюсы PGP-верификации практически те же: код известен только вам и хранится в надёжном месте.
Кстати, у каждой приличной криптобиржи есть функция 2FA. Связанно это с тем, что сейчас хакеры обратили пристальное внимание на аккаунты владельцев криптовалют, и потребовалась простая и удобная дополнительная защита.
Мы рекомендуем всем пользоваться 2FA для работы с сайтом HYDRA и другими ресурсами, чтобы защитить и деньги, и приватные данные.