На проходящей в эти дни в Стокгольме встрече разработчиков Tor отдельная секция посвящена (https://trac.torproject.org/projects/tor/wiki/org/meetings/2...) вопросам интеграции (https://www.opennet.ru/opennews/art.shtml?num=48703) Tor и Firefox. Ключевые задачи сводятся к созданию дополнения, обеспечивающего работу через анонимную сеть Tor в штатном Firefox, а также к переносу разработанных для Tor Browser патчей в основной состав Firefox. Для отслеживания состояния переноса патчей подготовлен специальный сайт torpat.ch (https://torpat.ch/). Перенесено пока 13 патчей, а для 22 патчей заведены обсуждения в багтрекере Mozilla (всего предложено более сотни патчей).Основная идея по интеграции с Firefox заключается в использовании Tor при работе в приватном режиме или в создании дополнительного суперприватного режима с Tor. Так как включение поддержки Tor в основой состав Firefox требует большой работы, решено начать с разработки внешнего дополнения. Дополнение будет поставляться через каталог addons.mozilla.org и будет включать кнопку для включения режима работы через Tor. Поставка в форме дополнения позволит оценить общую концепцию того, как может выглядеть встроенная поддержка Tor.
Код для работы с сетью Tor планируется не переписывать на JavaScript, а скомпилировать из Си в представление WebAssambly, что позволит включить все необходимые проверенные компоненты tor в состав дополнения без привязки к внешним исполняемым файлам и библиотекам.
Проброс в tor будет организован через изменение настроек прокси и использование обработчика tor в качестве прокси. При переходе в режим работы через Tor дополнение также будет менять некоторые настройки, связанные с безопасностью, чтобы блокировать возможные пути обхода обращения минуя прокси и противостоять идентификации системы пользователя, похожие на те, что применяются в Tor Browser.
При этом дополнение будет будет требовать дополнительных привилегий, выходящих за рамки обычных дополнений на база API WebExtension и свойственных системным дополнениям (например, дополнение будет напрямую вызывать функции XPCOM). Подобные привилегированные дополнения должны быть заверены цифровой подписью Mozilla, но так как дополнение предлагается развивать совместно с Mozilla и поставлять от имени Mozilla, с получением дополнительных привилегий не должно возникнуть проблем.
Интерфейс Tor-режима пока обсуждается. Например, предлагается при клике на кнопку Tor открывать новое окно с отдельным профилем. В режиме Tor также предлагается полностью запретить отправку запросов по HTTP, так как содержимое незашифрованного трафика может быть перехвачено и модифицировано на выходящих узлах Tor. Защита от подстановки изменений в HTTP трафик через использование NoScript признана недостаточной, поэтому проще ограничить Tor режим только запросами через HTTPS.
URL: https://trac.torproject.org/projects/tor/wiki/org/meetings/2...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51110