Sicher surfen: Tor Browser 14 bereinigt Fehler und spaltet Nutzerbasis auf
Tor Browser basiert auf Firefox – und der gibt die Unterstützung alter Betriebssysteme bald auf. Für Android-Nutzer gibt es eine praktische neue Funktion.
Die Entwickler des Tor Browsers haben die vierzehnte Version der Software veröffentlicht. Sie behebt Dutzende Fehler und aktualisiert die Browser-Engine auf Firefox ESR 128. Um das zu leisten, mussten die Tor-Entwickler einen umfangreichen Audit absolvieren. Auch unter Android hat sich einiges getan: Die App wird schlanker und neue Identitäten sind mit wenigen Fingerzeigen angefordert.
Der Tor Browser ist die wohl simpelste Möglichkeit für Anwender, das anonymisierende Netzwerk zu nutzen und sogenannte "hidden services" im Darknet über deren onion-Adresse abzurufen. In seinem Kern basiert der Browser auf Firefox ESR (Extended Support Release), den die Tor-Entwickler weiter anpassen, um ihn weniger geschwätzig zu machen. So modifiziert der Tor Browser die verräterische "User Agent"-Kennung, enthält standardmäßig die Erweiterung "Noscript" zur Unterdrückung neugieriger Skripte und blockiert unsichere oder zum Tracking geeignete Funktionen in drei Sicherheitssstufen.
(Bild: heise security / cku)
Künftig zwei Versionsstränge
Die wichtigste Neuerung betrifft Nutzer älterer Windows- und macOS-Versionen. Ursprünglich hatte das Tor-Team geplant, die Unterstützung von Windows 7, 8 und 8.1 sowie macOS 10.12, 10.13 und 10.14 mit Version 13.5 einzustellen, da das Mozilla-Projekt angekündigt hatte, diese Betriebssysteme nicht weiter zu unterstützen. Diese Entscheidung ist nun zumindest vorübergehend revidiert, sodass auch der Tor Browser noch bis März 2025 Sicherheitsupdates auf den veralteten Betriebssystemen erhält. Allerdings nicht im Versionsbaum 14, sondern in Version 13.5.
Tor Browser 14 setzt auf Firefox ESR 128, Version 13.5 bleibt vorerst auf Firefox ESR 115. Wie bei jedem Versionssprung der Browser-Engine, hat das Tor-Team auch jetzt im Rahmen eines Audits alle möglicherweise sicherheits- und für die Privatsphäre relevanten Änderungen in Firefox ESR unter die Lupe genommen.
Sobald Mozilla mit der Einstellung des Supports Ernst macht, ist auch für den Tor Browser Schluss. Wer also Wert auf sicheres Surfen legt, sollte im Winter ein Betriebssystem-Update einplanen, mahnen die Tor-Entwickler im Blog-Artikel zur neuen Version. Wer den Browser im Windows-eigenen Kompatibilitätsmodus betreibt, muss diesen vor der Aktualisierung auf Version 14 zudem abschalten, sonst verweigert der Browser den Dienst.
Tor-Verbindung unter Android einfacher wechseln
Ein praktisches neues Feature steht Android-Nutzern zur Verfügung: Sie können einfacher eine neue Tor-Verbindung für eine Browsing-Sitzung anfordern. War dies zuvor nur umständlich über eine Benachrichtigung möglich, gibt es mit der neuesten Version im "Kebab-Menü" der App eine eigene Option dafür. Beim Wechsel des "Circuits" (in der deutschen Sprachversion "Kanal") werden die Entry, Middle und Exit Nodes der Tor-Verbindung ausgetauscht und der verschlüsselte Datenverkehr so über frische Knotenpunkte geleitet. Das kann unter anderem Leistungsprobleme beseitigen.
Betriebssystem in HTTP-Header nicht mehr maskiert
Eine Änderung in Tor Browser 14.0 dürfte jedoch nicht jedem Nutzer schmecken: Die Betriebssystem-Kennung im HTTP-Header "User-Agent" wird nun nicht mehr standardmäßig gefälscht, um Browser-Spuren zu verwischen. Stattdessen haben die Entwickler eine neue Konfigurationsdirektive namens privacy.resistFingerprinting.spoofOsInUserAgentHeader eingeführt, deren Standardwert nun "false" lautet. Wer das aus älteren Tor-Browserversionen bekannte Verhalten wiederherstellen möchte, muss sich mit einer manuellen Änderung in about:config behelfen und den Wert dort wieder auf "true" ändern. In den grafischen Konfigurationsdialogen taucht die neue Einstellung nicht auf.
Neben den Engine-Updates hat das Tor Project auch Dutzende Fehler in seinem Browser beseitigt – einige davon hatten das Potential, Nutzer zu überwachen. Ein zügiges Update bietet sich für datenschutzbewusste Anwender also an. Der Tor Browser 14.0 steht für Windows, macOS, Linux und Android auf der Download-Seite des Projekts bereit. Android-Nutzer können die neueste Version auch über Google Play beziehen, wer F-Droid verwendet, sollte jedoch vorerst die APK-Datei direkt von der Tor-Webseite herunterladen.
Die Einstellung privacy.resistFingerprinting.spoofOsInUserAgentHeader ist nun auf "false" voreingestellt, wir haben einen entsprechenden Absatz ergänzt.
(cku)
