Tor-Browser 4.5 angesehen: Mehr Privatsphäre für Surfer
Die Version 4.5 des Tor-Browsers(öffnet im neuen Fenster) bringt nicht nur unsichtbare Verbesserungen zum anonymisierten Surfen, auch an der Benutzeroberfläche wurde gefeilt. Insgesamt soll die Privatsphäre der Nutzer jetzt besser geschützt sein, wenn sie über Tor im Internet browsen.
Der aktuelle Tor-Browser basiert auf Firefox 31.6.0 ESR (Extended Support Release), das von Mozilla neun Monate lang ausschließlich mit Sicherheitsupdates versorgt wird. Im Sommer soll es ein Update auf Firefox 38 geben. Die seit Version 4 des Tor-Browsers integrierte Update-Funktion nutzt fortan nicht eine HTTPS-Verbindung, sondern prüft auch die Signaturen der nächsten Version, bevor sie installiert wird.
Eine gute Nachricht gibt es für Windows-Benutzer: Das Tor-Browser-Bundle hat ein Zertifikat von Digicert erhalten. Damit entfällt künftig die Meldung, der Tor-Browser stamme aus einer unbekannten Quelle.
Mehr Isolierung wurde eingebaut
Für mehr Anonymität soll zum einen die Deaktivierung der Sharedworker-API sorgen. Damit wird die Kommunikation einer Webseite zu externen Domains unterbunden. Außerdem dürfen sogenannte Blobs, also beispielsweise Javascripts, nur noch im Kontext des aufgerufenen URI (Uniform Resource Identifier) gestartet werden. Beides soll etwa verhindern, dass in einer Webseite integrierte Facebook- oder Google+-Schaltflächen Informationen sammeln können, die einen Anwender auch auf anderen Webseiten identifizieren. Anfragen an Dritte werden über eine andere Tor-Verbindung geleitet als die der ursprünglich aufgerufenen Domain. Das soll für mehr Anonymität sorgen, entlastet aber auch zusätzlich das Netzwerk selbst. Diese Isolierungsfunktionen bleiben selbst dann aktiv, wenn langlebige HTTP-Verbindungen aufgebaut werden.
Außerdem wurden in Tors Version des Firefox-Browsers die APIs für den Zugriff auf Sensoren eines mobilen Geräts ( Sensor API(öffnet im neuen Fenster) ) und das Sammeln der Bildschirmwiederholraten deaktiviert. Schaltet man den Tor-Browser in den Vollbildmodus, erscheint ein Warnhinweis, die spezifische Auflösung könne einen Benutzer verraten.
Übersichtliche Einstellungen zur Privatsphäre
Neu ist der Schieberegler im Dialogfeld Privatsphäre- und Sicherheitseinstellungen, das über das Zwiebelsymbol in der Menüleiste geöffnet werden kann. Dort lassen sich schnell Sicherheitslevels in vier Stufen definieren, von "gering" bis "hoch". In der voreingestellten niedrigsten Stufe sind sämtliche Funktionen im Browser freigegeben, was für weitgehend uneingeschränktes Surfen sorgen soll. Werden die Einstellungen geändert, muss eine bereits angesteuerte Webseite jedoch neu geladen werden.
Lediglich der private Modus ist dabei aktiv, so dass weder Cookies noch Verlaufsdaten gespeichert werden. Außerdem werden Detailinformationen geändert, die eindeutige Merkmale des Browsers übertragen. Nicht alle können aber deaktiviert werden, etwa die Informationen über die Fenstergröße des Browsers, die Webseiten benötigen, um Inhalte korrekt darzustellen. Folgerichtig warnt der Tor-Browser, wenn er im Vollbildmodus läuft. Die damit übertragenen Informationen zur Bildschirmauflösung könnten zu einer eindeutigen Identifizierung des Benutzers verwendet werden. Ebenfalls deaktiviert sind das Speichern von Cookies von Drittanbietern und auch Browser-Erweiterungen wie der Flash-Player. Diese Einstellungen zur Privatsphäre lassen sich einzeln und unabhängig von den Einstellungen der Sicherheitslevels deaktivieren.
Noscript sorgt für mehr Sicherheit
Wird der Schieberegler auf die zweite Stufe – genannt "unteres Mittel" – gesetzt, werden HTML5-Videos und Audiodateien nur auf Wunsch des Benutzers angezeigt und abgespielt. Dafür sorgt die integrierte Erweiterung Noscript. Zusätzlich wird das Laden von Java-Dateien im JAR-Format verhindert und das Anzeigen mancher mathematischen Formeln – sprich MathML – deaktiviert. Einige Ausführungsoptimierungen für Javascript werden unterbunden, darunter Mozillas Just-in-Time-Compiler Ionmonkey, ASM.js-Code und die Verarbeitung von Typinferenzen. Das kann laut Tor-Entwicklern dazu führen, dass Scripts auf einigen Webseiten langsamer laufen.
In der nächsten Stufe namens "oberes Mittel" sind hingegen sämtliche Javascript-Optimierungen deaktiviert. Ist eine Webseite nicht über HTTPS erreichbar, wird dort Javascript komplett ausgeschaltet. Über eine Schaltfläche kann der Benutzer Javascript für einzelne Webseiten wieder aktivieren. Auch hier sorgt Noscript für das Blockieren. Außerdem wird die Verarbeitung von Fonts in Webseiten eingeschränkt, weder SVG- noch Graphite-Schriften werden verarbeitet.
Externe Fonts werden nicht geladen
Die Fonts werden dann in der höchsten Sicherheitsstufe nochmals begrenzt, so dass die Fonts der Webseiten nicht mehr verwendet, sondern stattdessen lokale Schriftarten genutzt werden. Zusätzlich wird hier auch das Anzeigen von SVG-Bildern verhindert und der Just-in-Time-Compiler von Javascript komplett deaktiviert. Diese Einstellungen folgen den Empfehlungen des Unternehmens iSec Partners(öffnet im neuen Fenster) , das die Historie von Schwachstellen in Browsern untersuchte.
Mehr Kontrolle über Tor-Kanäle
Über das Zwiebelsymbol wird jetzt auch angezeigt, über welche Tor-Knoten der Browser auf eine Webseite zugreift. Solange eine Webseite geöffnet bleibt, ändert sich die Route nicht. Das soll künftig verhindern, dass Webseiten den Benutzer plötzlich ausloggen oder in einer anderen Sprache angezeigt werden, weil der Exit-Knoten zwischenzeitlich in ein anderes Land gewechselt hat. Dort kann auch eine neue Route durch das Tor-Netzwerk angefragt werden.
Die Standardsuchmaschine wurde von Startpage und Duckduckgo auf Disconnect geändert. Als Grund nennen die Entwickler, dass Disconnect bessere Suchergebnisse liefere als Duckduckgo und zusätzlich noch mehr für die Privatsphäre der Nutzer sorge. Disconnect ist nicht mit einer eigenen Suchmaschine ausgestattet, sondern reicht Benutzeranfragen durch eigene Proxys an wahlweise Google oder Bing weiter und nutzt dabei sowohl TLS als auch Perfect Forward Secrecy (PFS). Der Dienst verspricht, keinerlei Benutzerdaten bei sich zu speichern. Die Tor-Entwickler haben auch eine Spende des Dienstes erhalten, der vom ehemaligen Google-Entwickler Brian Kennish und dem US-Anwalt für Verbraucherrechte Casey Oppenheim gegründet wurde.
Unter der Haube wurden die Verschleierungsmechanismen Obfs2, Obfs3 und Scramblesuit in der Programmiersprache Golang umgeschrieben. Zudem wurde das Transportprotokoll Obfs4 umgesetzt, das robuster gegen Deep Packet Inspections sein und das automatische Scannen von Tor-Brücken verhindern soll. Frisch aufgesetzte Tor-Brücken mit dem neuen Protokoll sollen bis auf weiteres auch wieder in China hinter der Great Firewall funktionieren.
Fazit
Die neuen Erweiterungen im Tor-Browser sorgen für ein fast völlig neues Surferlebnis. Vor allem der Schieberegler zur Einstellung der Privatsphäre macht es Einsteigern deutlich einfacher, möglichst anonym im Web zu surfen, ohne sich durch komplizierte Einstellungen klicken zu müssen. In den Standardeinstellungen sehen Webseiten so aus, wie sie auch ohne Anonymisierungsnetzwerk aufgerufen werden.
Abgesehen davon laden Webseiten dennoch gefühlt schneller als in vorherigen Versionen, auch wenn die Verbindung zu der Webseite selbst manchmal auffällig lange dauert. Dann kann aber schnell ein neuer Tor-Kanal aufgebaut werden. Wer die Einstellungen zur Privatsphäre für eine bestimmte Webseite ändern will, sollte aber daran denken, sie anzupassen, bevor er sie aufruft.