«Незащищённое соединение» на всех сайтах в Tor Browser

Хммм, переустановка с чисткой всех кешей не помогла. Я не особо горю желанием арч переустанавливать. Что ещё стоит попробовать?

не особо горю желанием арч переустанавливать

Это весьма правильно, ибо незачем.

Подтверждаю проблему.

Тоже арч?

Странно, у меня всё работает, но у меня официальная сборка.

ТС, а профиль там случайно не сохраняется? Если сохраняется — надо создать чистый и попробовать с ним, если проблема остаётся — вероятно, что-то напутали с самим пакетом установки.

Могу подсказать, как именно создать чистый профиль, если нужно.

P.S. С ЛОР https точно рабочий, ибо тут HSTS.

Да, арч и тор-браузер из аур. Снос ~/.tor-browser не помогает.

Попробовал создать чистый профиль, проблема остаётся. И после очистки браузера встроенной функцией тоже.

Качнул с torproject, всё тоже самое.

Ладно, попробую скачать сейчас, хотя странно, я 4-го обновлял

Гражданин не мешайте нам работать.

Подтверждаю. У самого высвечивает «Незащищённое соединение», более того, всплывающие окна а ля «Подтвердите, что вам есть 18» не выводятся. Как теперь честным людям прон смотреть?

P.S. С DDG, что характерно, всё в порядке.

У меня в ddg не всё в порядке. И есть уточнения про расширения: ublock всё таки блочит рекламу, но вот пипетка не работает. И darkreader страницы не красит. Как будто с css какие-то проблемы.

Arksunix, Prosto_user:

Вы проверяли подпись архива с браузером? Инструкция вот тут:

https://support.torproject.org/tbb/how-to-verify-signature/

Только что скачал браузер и проверил — всё работает нормально. Из странностей заметил только один момент — я попробовал запустить версию 10.0.8 и встроенная проверка обновлений не обнаружила, что достаточно странно...

Если у всех троих арч — может что-то с системным OpenSSL? Я проверку проводил с Gentoo и Win7.

P.S. Прямо сейчас пишу со свежезагруженного браузера в Gentoo.

Да, я ж ещё в самом посте написал, что проверил

Openssl обновлялся в декабре, уже бы всплыла проблема. И меня смущает, что в лисе всё норм.

Я ставил torbrowser-launcher из репозитория, если что.

Вы проверяли подпись архива с браузером?

По идее, оно у меня должно само проверять, нет? Во всяком случае, я видел надпись «checking PGP signature», когда то загружало архив.

может что-то с системным OpenSSL?

Если так, то это на моей памяти впервые такое.

Из странностей заметил только один момент — я попробовал запустить версию 10.0.8 и встроенная проверка обновлений не обнаружила, что достаточно странно…

У меня 10.0.10, вчера ставил.

Кстати, проверил скачанный лаунчером архив ключом с сайта – всё в порядке.

[korchevatel@korch ~]$ gpgv --keyring ./tor.keyring ~/Downloads/Falkon/tor-browser-linux64-10.0.10_en-US.tar.xz.asc ~/.cache/torbrowser/download/tor-browser-linux64-10.0.10_en-US.tar.xzgpgv: Signature made Thu Feb  4 08:28:43 2021 EET
gpgv:                using RSA key EB774491D9FF06E2
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Вижу, интересовал ответ остальных.

Раз подпись верная — вариант с вмешательством в загрузку отсекаем, тем более что на других устройствах работает.

Тем более странно, что Firefox работает как надо.

А если попробовать с системным демоном Tor?

cast Prosto_user Korchevatel

А если попробовать с системным демоном Tor?

Можно ссылку?

Попробуй галку поставить что провайдер блокирует работу тора, чекни очевидное в виде успешного mitm-а

Могу своими словами:

Для начала pacman -S tor, затем отредактировать /etc/tor/torrc, добавив туда:

SocksPort 9150
ControlPort 9051

Затем открыть папку с встроенным профилем /Путь_до_папки_с_браузером/TorBrowser/Data/Browser/profile.default, создать файл prefs.js и вписать туда это:

user_pref("network.proxy.socks", 127.0.0.1);
user_pref("network.proxy.socks_port", 9150);
user_pref("network.security.ports.banned", [...],9150,9051);
user_pref("extensions.torbutton.inserted_button", true);
user_pref("extensions.torbutton.launch_warning", false);
user_pref("extensions.torbutton.loglevel", 2);
user_pref("extensions.torbutton.logmethod", 0);
user_pref("extensions.torbutton.noscript_inited", true);
user_pref("extensions.torbutton.startup", true);
user_pref("extensions.torlauncher.control_port", 9051);
user_pref("extensions.torlauncher.loglevel", 2);
user_pref("extensions.torlauncher.logmethod", 0);
user_pref("extensions.torlauncher.prompt_at_startup", false);
user_pref("extensions.torlauncher.should_remove_meek_helper_profiles", false);
user_pref("extensions.torlauncher.start_tor", false);

Затем запустить как обычно и проверить работоспособность.

Параллельно можно проверить и обычный Firefox, вписав в настройки прокси в поле socks адрес 127.0.0.1 порт 9150

А если попробовать с системным демоном Tor?

Тот же Firefox и Falkon всё прекрасно открывают, везде «соединение защищено». И даже прон воспроизводится.

А по способу выше как будет?

А где оно должно лежать, если через лаунчер загружало?

Смотреть в about:profiles, там же можно сразу открыть.

У меня либо лыжи не едут, либо у меня лапки. Вставил без замены prefs.js – всё равно что без неё, выбивает ошибку с пустым логом (не желает к демону с другими портами подключаться, требует перезагрузки оного), заменил файл – не грузится вообще ничего, бесконечная загрузка.

Ни в тор браузере, скачанном с аура, ни в том что с сайта это не помогло. В лисе тоже проверил, при том теперь я даже не просто лису скачал, а именно ту, на которой основан тор браузер 10.0.10 - firefox 78.7.0 esr. И всё равно в лисе всё супер, хоть через тор, хоть без него. Меня всё же смущают ещё и неполадки с css, мне кажется это важная деталь.

SocksPort на 9150 работает?

По идее с extensions.torlauncher.start_tor false должно работать. Хотя...

Tor launcher же в AUR ставится отдельно вместе с браузером, а не вшит? Тут не подскажу как — никогда не приходилось собирать в таком виде.

Если так — вероятно, параметр extensions.torlauncher.start_tor либо сбрасывается, либо игнорируется.

Кстати, я ещё что заметил. Хочу в Tor Browser поставить uBlock – а страница расширений отображается как «голый» HTML. А в GitHub автора лаунчера обнаружил интересную тему:

https://blog.torproject.org/new-release-tor-browser-10011: the latest release Tor Browser 10.0.11 is «Windows Only». Can this be fixed in torbrowser-launcher somehow? What is the easiest secure workaround?

Неужели на линуксоидов забили болт?

Попытка установить с aur закончилась

tor-browser-linux64-10.0.10_ru.tar.xz … СБОЙ (неизвестный открытый ключ EB774491D9FF06E2)

точно помню,раньше нормально с аур ставился,хмм

Нет, не забили, там фикс именно виндовой ошибки: https://www.mozilla.org/en-US/security/advisories/mfsa2021-06/

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Значит проблема глубже...

Несколько просьб:

1. Хотелось бы увидеть вывод ldd ~/папка_с_браузером/firefox.real
2. Если возможно, ещё и strace во время запуска и работы, особенно со сломанным css.
3. Производились ли какие-нибудь обновления недавно? Чего-то существенного, что могло косвенно повлиять на работоспособность(ldd подскажет).
4. Нет ли MAC, вроде того же apparmor? Если есть — не установлен ли профиль для firefox.real?

А,точно,так и добавлял. На другом компе дело было,а тор браузером особо не пользуюсь. Благодарю)

arksunix@arch ~> ldd .tor-browser/app/Browser/firefox.real
	linux-vdso.so.1 (0x00007ffd49dfb000)
	libpthread.so.0 => /usr/lib/libpthread.so.0 (0x00007f3f5f20e000)
	libdl.so.2 => /usr/lib/libdl.so.2 (0x00007f3f5f207000)
	librt.so.1 => /usr/lib/librt.so.1 (0x00007f3f5f1fc000)
	libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00007f3f5f01f000)
	libm.so.6 => /usr/lib/libm.so.6 (0x00007f3f5eeda000)
	libgcc_s.so.1 => /usr/lib/libgcc_s.so.1 (0x00007f3f5eec0000)
	libc.so.6 => /usr/lib/libc.so.6 (0x00007f3f5ecf1000)
	/lib64/ld-linux-x86-64.so.2 => /usr/lib64/ld-linux-x86-64.so.2 (0x00007f3f5f2ff000)

Вывод strace: https://pastebin.com/LUfuFcT1. После открытия он ничего не писал, даже когда я сайт открывал или пробовал безуспешено использовать пипетку в юблоке, только после закрытия добавилось несколько строк.

Про обновы не помню.

Ни apparmor, ни что-либо подобное не ставил.

К слову

Если скажите как, могу проверить, есть там всё таки https или нет.

Открыть инструменты разработчика(f12), перейти на вкладку Network и перезагрузить страницу. Если GET-запросы идут через https — значит всё в порядке. Потом выбрать отдельный запрос и на вкладке Security посмотреть сводку.

На некоторых запросах дополнительно будет вкладка Stack Trace, если там будут странные строки — интересно посмотреть.

Проверил на версиях с аур и офф. сайта, везде все как у ТС’а. А Falkon, запущенный через демон, говорит все нормально. Хз, может это вообще нормальное поведение тор-браузера?

Нет, не нормальное. Лично у меня, например, воспроизвести пока не удалось. Можно попробовать через qemu, посмотрим что выйдет.

Всё хорошо, везде https. Во вкладке «стек вызовов» ничего странного не вижу. И я убедился, что в целом uBlock работает - он блокирует запросы к некоторым хостам.

У меня всё через https для того же addons.mozilla.org. Но всё равно «соединение не защищено».

Смотрим логи для https://addons-amo.cdn.mozilla.net/amo-d979d63a550f4cd05385.js (взят произвольный ресурс):

{
    "Connection:":{
        "Protocol version:":"TLSv1.3",
        "Cipher suite:":"TLS_AES_128_GCM_SHA256",
        "Key Exchange Group:":"x25519",
        "Signature Scheme:":"RSA-PSS-SHA256"
    },
    "Host addons-amo.cdn.mozilla.net:":{
        "HTTP Strict Transport Security:":"Disabled",
        "Public Key Pinning:":"Enabled"
    },
    "Certificate:":{
        "Issued To":{
            "Common Name (CN):":"*.cdn.mozilla.net",
            "Organization (O):":"Mozilla Corporation",
            "Organizational Unit (OU):":"<Not Available>"
        },
        "Issued By":{
            "Common Name (CN):":"DigiCert SHA2 Secure Server CA",
            "Organization (O):":"DigiCert Inc",
            "Organizational Unit (OU):":"<Not Available>"
        },
        "Period of Validity":{
            "Begins On:":"October 29, 2020",
            "Expires On:":"November 29, 2021"
        },
        "Fingerprints":{
            "SHA-256 Fingerprint:":"8B:3E:BD:50:8D:61:68:49:F7:D3:B5:8D:61:F5:41:55:06:C8:B0:1D:D6:DD:44:D3:03:C8:AF:5F:AA:2E:CC:C8",
            "SHA1 Fingerprint:":"2C:44:A3:CC:E6:16:89:FA:62:A7:C1:41:94:95:A6:01:D9:05:D7:75"
        },
        "Transparency:":"<Not Available>"
    }
}

Прочитал весь тред, проблема только у арчеводов похоже. Надо на форум арча сходить,чтоли

Подтверждаю. Скачал с сайта версию 10.0.10, на Арче показывается Незащищенное соединение. Запустил виртуальную машину с Xubuntu, сделал все тоже самое, там все в порядке. Как уже упоминали выше, на обычной лисе такого не наблюдается. Пробовал пропускать весь трафик через прокси системного демона Tor, то все аналогично, никаких проблем

А с архивом, скачаным с сайта что? В них ведь всё тоже самое. Видимо дело в обновлении одного из зависимых пакетов. И в этом контексте мне интересно, почему некоторые сайты поломало (у меня, например, сайт с аддонами и gist.github.com) и расширения не могут менять страницу и вообще как-то менять её элементы. Вот тут как раз мог бы быть виноват gtk3, но он в начале января обновлялся последний раз. Тыкну наобум: может проблема у арчеводов на вейленде? xorg-xwayland обновился 4 февраля. У меня sway. Лиса вроде поддерживает вейланд, но вот с тор браузером у меня помнится были проблемы в этом плане.

Не Wayland. Я под «кедами» с «иксами».

И в этом контексте мне интересно, почему некоторые сайты поломало

Очевидно, проблема с парсингом JS. Установил тут Arch в стахановском темпе на QEMU, поставил weston. Прямо сейчас буду запускать.

P.S. Пока, пожалуйста, попробуйте отключить HTTPS Everywhere и перезапустить браузер.

Во всяком случае, я видел надпись «checking PGP signature», когда то загружало архив.

Это может быть внутриархивная проверка на предмет битых частей, а не проверка подлинности содержимого.

Не помогло. Как и отключение носкрипта. Да и я уже пробовал перезапускать без дополнений.

Подтверждаю, в QEMU ошибка воспроизвелась. Теперь будем копать дальше...

P.S. С DDG, что характерно, всё в порядке.

Не всё — браузер видит только onion-сервис, а должен видеть https+onion-сервис.

Подпись верная, с системным демоном всё тоже самое, отключение расширений не помогает. Всё, как у ТС’а.