Tor project最近 发布 了沙盒版的Tor浏览器(Sandboxed Tor Browser 0.0.2)Alpha版本。可能绝大部分小伙伴并不知道,以前的Tor浏览器是没有沙盒的!所以这个沙盒版的出现,就是为了进一步保证Tor用户的真实身份不会泄露。
众所周知,Tor浏览器能够给用户提供匿名服务,而Tor用户追求的就是匿名性。打脸的是,去年FBI利用一个TOR浏览器的0-day漏洞对儿童色情网站(Playpen)进行调查,发现有20多万恋童癖者。随后FBI侵入了其中的8700个访问者的电脑完成后续的案件侦破。(文章回顾传送门)
这些访问者赖以生存的“面具”被揭开无疑是对TOR浏览器的一个讽刺。
针对FBI的这次行动,Tor Project曾升级过一次TOR浏览器,令身份追踪难度进一步加大,但是难度加大不代表用户的隐私就安全了。这一次Tor Project直接给出了新的答复——Sandboxed Tor Browser 0.0.2。
今年9月Tor Project正式开始了新版Tor浏览器的开发。这个新版本浏览器终于带上了沙盒特性,能够将Tor浏览器和其他系统进程隔离开来,并限制其查询低级别API及交互的能力,防止真实IP地址、Mac地址、计算机名等信息曝光。
沙盒是一种将运行中的程序隔离开的安全机制。 应用程序沙盒化时,其进程运行在与底层操作系统不同的环境中,所以黑客就无法利用该应用程序中的错误或安全问题影响操作系统的其他部分。沙盒应用程序会在独立的隔离区和内存中运行,不会对其他应用程序或操作系统造成威胁。
现在的主流浏览器,包括Chrome,Firefox和Edge,都已经使用沙箱环境将自己与操作系统分离。Tor浏览器本身是基于开源的Firefox火狐浏览器,但却一直都没有使用沙盒环境——所以即便Tor有多重隐私防护特性,在某些情况下还是不够安全。
此次发布的Tor浏览器是Tor开发人员放出的Alpha版本,因此可能存在一些可以预见的bug,当然还有潜在的bug。
开发人员之一描述了浏览器的功能:
· 我们的UI基于Gtk + 3,用于下载/安装/更新Tor Browser,配置tor、启动沙箱浏览器。 想象一下“tor-browser-launcher”,是在一堆容器中运行Tor浏览器。
· Linux seccomp-bpf(限制影响到系统内核的资源访问的Linux沙盒之一)配合基于命名空间的容器,围绕 bubblewrap (所需的runtime),能够防止或减轻攻击并将个人可识别信息的数量减少到最小。
目前该版本仅适用于Linux。 官方的二进制文件应该在下周的某个时间放出。 当然,如果你够自信,可以从 源代码 自己编译,不过小编强烈建议等待官方的版本。
* 参考来源: thehackernews ,FB小编bimeover编译,转载请注明来自FreeBuf.COM