内建翻墙功能的匿名网络浏览器Tor Browser 6.5.1发布修复

Tor Browser 是个内建「翻墙」功能的网络浏览器，藉由「洋葱路由, The Onion Router (Tor)」匿名浏览技术，将上网时所传递的讯息层层加密保护，让使用者在浏览网站时不被监控或侧录，也无法查处原本的 IP 地址或追踪真实的使用者身份。

Tor Browser 是个相对安全一些但速度没法太快的匿名上网服务，没法拿来下载 BT 或其他 P2P，用来看高画质的在线影片也会吃力些，但相对于其他类似服务来说就是安全许多。

Tor Browser 的本体是个修改、强化过的 Mozilla Firefox 浏览器，除了整合了 Tor 相关功能之外，还默认启用了 HTTPS Everywhere 与 NoScript 等扩充套件，藉由停用 JavaScript, Flash, Silverlight, Java… 与某些特殊的句柄来避免某些设计绕过 Tor 而取得你的真实 IP 与相关信息，并以强制 HTTPS 加密联机的方式大幅提升上网时的安全性。

Tor Browser 浏览器把 Tor 服务与操作简单化，只要会上网的人就能轻松享受 Tor 的翻墙与匿名保护…等好处。如果你常常需要突破防火墙来浏览被禁止的网站，或不想在某些情况下被监控或记录，可以直接下载 Tor Browser 浏览器来用。

Tor Browser 6.5.1 is now available from the Tor Browser Project page and also from our distribution directory.
This release features important security updates to Firefox.
This is the first minor release in the 6.5 series and it mainly contains updates to several of our Tor Browser components: Firefox got updated to 45.8.0esr, Tor to 0.2.9.10, OpenSSL to 1.0.1k, and HTTPS-Everywhere to 5.2.11.
Additionally, we updated the bridges we ship with Tor Browser and fixed some regressions that came with our last release.
In Tor Browser 6.5 we introduced filtering of content requests to resource:// and chrome:// URIs in order to neuter a fingerprinting vector. This change however breaks the Session Manager addon. Users who think having extensions like that one working is much more important than avoiding the possible information leakage associated with that can now toggle the 'extensions.torbutton.resource_and_chrome_uri_fingerprinting' preference, setting it to 'true' to disable our defense against this type of fingerprinting.
An other regression introduced in Tor Browser 6.5 is the resizing of the window. We are currently working on a fix for this issue.
Here is the full changelog since 6.5:

• All Platforms
  • Update Firefox to 45.8.0esr
  • Tor to 0.2.9.10
  • OpenSSL to 1.0.2k
  • Update Torbutton to 1.9.6.14
    • Bug 21396: Allow leaking of resource/chrome URIs (off by default)
    • Bug 21574: Add link for zh manual and create manual links dynamically
    • Bug 21330: Non-usable scrollbar appears in tor browser security settings
    • Translation updates
      
  • Update HTTPS-Everywhere to 5.2.11
  • Bug 21514: Restore W^X JIT implementation removed from ESR45
  • Bug 21536: Remove scramblesuit bridge
  • Bug 21342: Move meek-azure to the meek.azureedge.net backend and cymrubridge02 bridge
    
• Linux
  
  • Bug 21326: Update the "Using a system-installed Tor" section in start script
    

来源：https://blog.torproject.org/blog/tor-browser-651-released

http://t-browser.sourceforge.net/

需求者可以下载看看

Tor“重返”中国：翻墙与进入“深网”

在美剧《纸牌屋》第二季第二集里，当新闻报主编Lucas Goodwin苦于寻找一个黑客，企图黑入美国电信服务器窃取副总统和已故女友的通话记录时，同事告诉他，网络世界中还存在着一个类似于但丁《神曲》所里描述的混沌狱（LIMBO）一般的，游离于普通互联网之外的“深网”（Deep Web），在那里，能够获取几乎一切的需求。

深网
用户通过特殊的技术手段隐匿用户信息（如IP地址等）登陆“深网”以后，就能完全脱离世间法律或NSA（美国国家安全局）等政府管制力量的钳制和监管，在那里，你可以通过网站肆意的购买枪支弹药，可以发布悬赏杀人的告示，可以购买冰毒和可卡因，可以随意浏览儿童色情网站，也可以办理各种假证伪造身份。仅有4%的网络数据是可以通过搜索引擎找到的，其他的都深藏在“深网”中。


但这些网站的服务器实体可能分布在互联网管制薄弱的东欧国家，背后由深谙网络安全技术的黑客维护，多以 .onion作为域名，采用特殊的加密机制，不能通过搜索引擎查找，即使知道域名也无法采用传统的HTTP方式直接访问，必须采用特殊手段才能接入，就好像只有游吟诗人维吉尔的引领，但丁才可以窥见Limbo里的曲径通幽处。

而今天我们所要介绍的这个引路人就是—Tor（The Onion Router），直译过来为“洋葱路由”。


Tor：匿名上网


说起Tor，就不得不介绍一下他的来历，就好像本拉登等基地组织是美国军方一手训练出来的一样，这个目前让美国国家安全局和美国联邦调查局头疼不已的玩意也是美国军方一手炮制的。1995年，美国海军研究试验室（United States Naval Research Laboratory）和国防部高级研究项目署（DARPA）资助研究一种匿名的互联网通讯工具，可以避免人们的行迹在Internet上被追踪到。他们把这个技术叫做“洋葱路由”（Tor）。（PS：大名鼎鼎的美国海军研究实验室是因大发明家爱迪生的倡导而设立的，实验室大门还塑有爱迪生半身铜像。）

“洋葱路由”利用P2P网络， 把网络流量随机的通过P2P的节点进行转发， 这样可以掩盖源地址与目标地址的路径。 使得在Internet上难以确定使用者的身份和地址这就好像你送一封匿名信， 不是自己送或者通过邮差送， 而是大街上随便找一个不认识的人让他帮你送，然后这个不认识的人再找一个不认识的人帮忙送信，这个转送的过程总共进行三次，此时的收信人几乎不可能知晓原始的发件人是谁。

Tor之所以被称为洋葱，就是因为它的这种转发机制跟洋葱的结构一样，其数据核心被一层层的加密措施包围，上图所示，客户电脑接入 Tor 之后会选择三个节点层层转发并加密，最后才到达目标服务器。


最初这个项目仅仅是用来保护军方情报人员通过互联网匿名通信不被第三方监听和侦破，到2004年美国海军将此项目转为民用并将其开源，成为电子前哨基金会（Electronic Frontier Foundation）旗下的一个项目。

“棱镜门”的主角爱德华斯诺登身为前NSA的设备分析师，也正是通过 TOR 来掩盖自己在互联网上的行踪，甚至在出事前，他还在檀香山领导这一个名为“Crypto Party”的组织来向周边的居民推广如何Tor匿名使用互联网。

用Tor接入深网
Tor的早期产品需要复杂的设定才能通过浏览器连接，这对于普通用户来说是一个较高的门槛，但现在TorProject已经推出了以 Firefox ESR 的专属浏览器： Tor Browser Bundle（简称TBB），将Tor和 Firefox 浏览器进行捆绑，使用者只需要通过网站下载 最新的4.0 版本到本地，解压缩安装以后就可以直接上网浏览，省去了其中复杂繁琐的过程。

TBB 对linxu、Mac和Windows各平台都有良好的支持，整个安装过程也十分简单，不在复述，下面介绍一下具体的接入方法：

安装完毕以后，首先应该点击会进入第一个网络设置界面：



是询问你当前使用的互联网接入是否受限，是否需要通过代理才能接入 Internet 网，中国大陆的网民都在GFW的墙内，因此选择第二项“需要代理或者桥接”。


接下来会询问你是否需要代理才能接入 Internet，一般情况下无论是家庭还是公司网络都是不需要的，点击进入下一步


接下来会问ISP（移动电信之类）是否屏蔽了互联网接入，因为有 GFW 的存在，我们要选择“yes”。


下面到了最关键的一步，TBB 4.0 最大的更新就是采用了meek插件的混淆机制（如果想了解更多关于 meek 的细节请点击这里）因为GFW把Tor绝大部分的节点都屏蔽掉了，因此在以前的版本中，Tor要么需要费力的设置网桥，要么就必须要搭配其他的翻墙工具进行双重代理才可以使用。

而这一次 TBB 利用微软的Azure和Amazon的VPS或ETC2搭建了代理平台，并对流量进行了混淆加密使得GFW无法识别。

因此选择第一项“需要桥接”，然后选择“meek-amazon”或者“meek-azure”即可（google服务器已经在今年年中被GFW墙掉，而微软和亚马逊的服务器暂时还不会被屏蔽，否则对国内影响太大）



点击“Connect“，系统开始连接，第一次连接需要的时间稍长一些，最后弹出如下图中的浏览器的界面就表示成功了。

深网深几许
既然已经通过 Tor 打开了“深网”的大门，那么让我们就将其一窥究竟，因为广大的深网网站都无法被搜索引擎收录，所以我们必须要找到一个收录各类深网网站的索引站点，“Hidden Wiki”就是其中较为出名的一个，它收录了各类深网网站地址。

将下面的链接地址复制到 Tor 浏览器当中：

http://zqktlwi4fecvo6ri.onion/wiki/

如果这个网站无法访问，还可以浏览它的镜像网站：

http://torlinkbgs6aabns.onion/
http://wikitjerrta4qgz4.onion/
http://jh32yv5zgayyyts3.onion/

Hiddeen Wiki收录了各类网站，我们打开两个网站为例（以下网站都需要用 Tor 打开）：譬如，这个网站售卖枪支弹药，一只沙漠之鹰手枪公开叫卖1.836BTC，因为比特币（BTC）有着无法查询交易记录的优势，因此深海网站多用它作为交易工具，按照最近的BTC对美元的汇率，应该在700美元左右，而网站上标准的市场价格在1500美元左右，看来网销渠道的优势在黑市上继续得到发扬。除了武器以外，通过深海网站贩卖毒品和违禁药物也得到广泛运用，号称有“毒品亚马逊“之称的 Silk Road （丝绸之路）在查禁前每年的销售额已经突破3亿美元，通过深海网站订货，然后使用快递发货已经成为了美国毒品贩卖的新渠道。而这个网站站上明目张胆的公开售卖各类高纯度可卡因，冰毒和致幻药物。通过wiki还可以找到办理假证的，雇佣杀手的，销赃的（主要是Iphone手机），兑换比特币的（BTC），还有各种成人色情网站，就不在这里一一列举了。

同时还发现，深网网站开始向大陆渗透，其中就发现了一个中文深网站点号称是中国深网第一站，上面架设了一个论坛，不过还没有发布任何有效信息，有兴趣的朋友可以访问。

最后要声明的是，以上内容是让各位认识“深网”和 Tor 技术，本人是坚决反对以上非法网站存在的，也请各位读者谨慎使用，不要将 Tor 技术用于非法途径。

用Tor翻墙
其实，作为通过 TBB 我们不仅能够访问冰下下隐藏的“深网”，我们也轻松的跨越了GFW，但是由于 TBB 4.0 需要通过Amazon或Azure的服务器翻墙再通过 Tor的三个中继节点层层加密，导致的一个结果就是访问速度巨慢无比，严重影响使用体验。

而且 meek 这个新推出的流量混淆插件，是不是也会像它的前任 Obfs3 一样，最后也被 GFW 屏蔽掉都不得而知。所以先利用 Tor 三重加密隐匿身份，而与其他快速翻墙工具搭配形成双重代理无疑是更好的选择，可以更流畅的访问“深网”，同时安全性能更高，具体方法如下：

在上一个章节中的第二个设置界面，当系统询问“主机是否需要代理才能访问Internet？”时，选择“Yes”


接着就在下面界面填写设置代理的转发端口，例如，我们可以用 Goagent作为前端代理，Goagent的介绍可以参见《翻墙七种武器之长生剑》。打开客户端后，我们只需要将代理类型设置为“HTTP/HTTPS”，将地址设置为“127.0.0.1”，端口号设置为“8087”，同理我们还可以设置其他 Socks 类代理等等。

另外也可以用 VPN 作为前端代理，例如使用免费的 VPNgate ，具体可以参见翻墙七种武器之离别钩:VPN Gate ，也可以使用其他付费的翻墙工具获得更好的使用体验。

总之，TBB 4.0 的发布为广大网友又增加了一条翻墙的途径，meek 流量混淆插件的使用使得这个老牌的翻墙工具重新焕发青春，也为GFW墙后的网友安全使用网络提升了保障，在后续的文章里我们还将陆续介绍 Tor 的网络安全应用。


转至：泡泡网