Tor Browser: Mit Meek gegen Zensoren
Mit der Integration des Meek-Protokolls in Version 4.0 des Tor Browser Bundles sollen die Zensoren in China Nutzer des Tor-Netzwerks nicht mehr erkennen können. Außerdem gibt es jetzt einen Browser-internen Updater.
Das Tor-Team hat Version 4.0 seines Browser Bundles freigegeben. Darin ist erstmals das Meeks-Protokoll enthalten. Damit werden Datenpakete zusätzlich verschleiert, um die Arbeit der Zensurbehörden in China und anderen Ländern zu erschweren. Außerdem enthält die aktuelle Version zahlreiche Bugfixes, die teils große Sicherheitslücken schließen.
Künftig werden Updates wie bei Firefox über den Browser selbst eingespielt. Das erfordert allerdings eine komplett neue Ordnerstruktur. Deshalb könne Version 4.0 nicht einfach über die vorangegangene Version 3.6 installiert werden, warnen die Entwickler in einem Blogeintrag. Allerdings raten sie noch von der Nutzung des internen Updaters ab, wenn Benutzer Wert auf erhöhte Sicherheit legen und normalerweise GPG-Signaturen von Aktualisierungen selbst prüfen. In naher Zukunft will das Tor-Team die Aktualisierungen mit Certificate Pinning und Paketsignaturen zusätzlich absichern.
Mit Meek gegen Zensoren
In Version 4.0 wurden erstmals Plugins für das sogenannte Meek-Protokoll integriert. Das Protokoll versteckt Tor-spezifische Einträge in Datenpaketen, damit sie auch mit Deep Packet Inspection für Zensoren kaum aufzuspüren sind. Vordergründig wird der Datenverkehr zunächst durch Server von großen Content Delivery Networks (CDN) geleitet, etwa von Googles App Engine, Amazons Cloudfront oder Microsofts Azure - das sogenannte Domain Fronting. In den Datenpaketen selbst werden die Informationen für den Zugriff auf Tor-Server verschlüsselt übertragen. Den Informationen des Tor-Teams zufolge sollen vor allem die Plugins meek-amazon und meek-azure in China effektiv nutzbar sein. Allerdings soll das Protokoll in nächster Zeit noch beschleunigt werden. Vor allem gegen Zensurmaßnahmen in China kämpfen die Tor-Nutzer seit längerem.
Schließlich haben die Entwickler die Firefox Version auf ESR 31.2 aktualisiert und damit auch zahlreiche Reparaturen aus der Originalversion übernommen. Außerdem wurde SSLv3 wegen der jüngst entdeckten Poodle-Schwachstelle deaktiviert. Das Tor Browser Bundle 4.0 steht auf der Webseite des Projekts zum Download bereit.
