2017年3月2日

Firefox <3 Tor Browser

如果你曾用過 Tor,你很可能用過 Tor 瀏覽器;如果你用過 Tor 瀏覽器,你就用過 Firefox。Tor 瀏覽器幾乎就是 Firefox - 雖然有改動和增加一些程式碼,但 Tor 瀏覽器中 95% 左右的程式碼來自 Firefox。Firefox 和 Tor 瀏覽器團隊已經合作了很長一段時間,但在 2016 年,我們開始了前所未有的緊密合作,藉著這些合作,Tor 瀏覽器團隊能更順利的進行他們的工作,為 Firefox 使用者加入更多的隱私性功能,並且讓兩個瀏覽器都更安全。

Tor 瀏覽器團隊利用 Firefox ESR(企業版),再加上一些額外的 patch,來建造 Tor 瀏覽器。這些 patch 提供了 Tor 瀏覽器使用者們重要的隱私功能,但也表示每當 Tor 瀏覽器團隊要使用一版新的 Firefox 時,他們必須修改那些 patch 以符合新版的 Firefox,這樣的工作佔了 Tor 瀏覽器開發大部份的時間。

2016 年,我們開始將 Tor 瀏覽器的 patch 拿來,uplift 到 Firefox。當一個 patch 被 uplift 時,我們把 Tor 瀏覽器的改變加進 Firefox,預設都設為關閉,但可以透過設定開啟。這使 Tor 瀏覽器團隊的工作減少了,因為他們只需要更改設定,而不用更新 patch。這也讓 Firefox 團隊有機會測試 Tor 瀏覽器先進的隱私功能,考慮是否能進一步開放給更多的使用者。

這個 uplift 專案的第一個目標是一個叫 First Party Isolation(譯註:第一方隔離?)的功能,它提供了非常強的反追蹤保護(但可能會使某些網站無法正常顯示)。Mozilla 組成了一個專門的團隊(譯註:有我有我!Fixed bugs 有 12 個是我解的哈哈),使用當初實作 Containers 的技術,將 Tor 瀏覽器中的 First Party Isolation 功能實作到 Firefox 中。這個團隊也透過自動化測試和 QA 的協助來確保 Firefox 的隔離至少和 Tor 瀏覽器一樣強,甚至找到了一些 Tor 瀏覽器可以更加強的地方。這段時間內,Mozilla 的團隊和 Tor 瀏覽器的團隊合作密切,包含每週的視訊會議,以及九月的一次面對面會議。

First Party Isolation 將會被包含在 Firefox 52 中,而 Tor 瀏覽器的下一個版本也會建立在這之上。因此,Tor 瀏覽器團隊將不需要再為這個版本更新 First Party Isolation 的 patch。在 Firefox 中,First Party Isolation 預設是關閉的(因為相容性的問題),但 Firefox 使用者可以透過將 about:config 中的 privacy.firstparty.isolate 設為 true 來打開這個功能。

我們很興奮能在 2017 年持續這份合作。首先我們很快會開始 uplift 一系列的 patch 來防止瀏覽器上的指紋分析 (fingerprinting)。另外對於 sandboxing,我們也會研究如何結合 Yawning Angel 已經在 Tor 瀏覽器上做的,和 Firefox 預計於 2017 年初開始釋出的 sandboxing 功能

最後,我們也不能忘記 Mozilla 和 Tor 專案之間持續合作解決各種安全漏洞。幾週前,我們雙方同時被通知了一個利用 Firefox 中的零時差漏洞針對 Tor 瀏覽器的攻擊。我們合作在 24 小時之內開發、測試、並修復了這兩個瀏覽器。

由 Firefox 和 Tor 瀏覽器團隊的合作,可以看出 Mozilla 的開放、自主參與的原則是如何推動網路的安全和隱私性。我們很自豪在 2016 年和 Tor 瀏覽器完成了這些,我們也期望能持續打造一個更安全且更注重隱私的網路。

原文 / Tor at the Heart: Firefox | The Tor Blog
作者 / Ethan Tseng and Richard Barnes
翻譯 / Po-Hsiang (Jonathan) Hao
授權 / 創用 CC 姓名標示 4.0 國際 授權條款

φ Irvin 編輯

3 則留言: