Tor прекращает разработку hardened-версии своего браузера

2 месяца ago admin 0

Проект Tor объявил о прекращении разработки hardened-версии браузера, которая развивалась параллельно с основным Tor Browser. Hardened-версия развивалась в качестве эксперимента, который показал, что вариант поставки отдельной защищённой версии не оправдан и более предпочтительным является развитие проекта по запуску штатного Tor Browser в изолированном окружении.

Отмечается, что включение расширенных отладочных опций и методов противодействия эксплуатации уязвимостей (например, при сборке включались Address Sanitizer и Undefined Behavior Sanitizer для блокирования выхода за допустимые границы памяти и выявления ситуаций неопределённого поведения) приводило к более активному проявлению проблем со стабильностью. Поставка отдельной hardened-версии также вызывала замешательство среди пользователей, так как кроме средств усиления базопасности также нацеливалась на выполнение отладочных задач и раннего выявления ошибок.

В связи с этим решено упразднить hardened-версию, вместо которой предложить для отладки и защиты два отдельных инструмента. Для отладки решено вернуться к практике формирования ночных сборок, которые будут обновляться каждый день и включать полный набор отладочных средств.

Для усиления безопасности вместо hardened-версии будет продвигаться прослойка для запуска Tor Browser в изолированном контейнере позволяет не только локализовать возможные уязвимости, но и блокировать получение информации о системе и параметрах сетевого подключения в случае успешной эксплуатации уязвимостей. Cетевое окружение внутри контейнера допускает только работу через Tor, а перенаправление трафика в Tor осуществляется вне контейнера. Обращение к сетевым ресурсам напрямую и изменение настроек Tor из контейнера невозможно, что исключает определение реального IP через отправку проверочного запроса к внешнему хосту.


Source: pirates.in.ua