Merge remote-tracking branch 'arthur/28082'
[torbutton.git] / website / index.html.en
blob5909b26efe67fe9ed36a4804eaa8ff9edcfc20bb
1 <html>
2 <head>
3 <title>Torbutton - Quickly toggle Firefox's use of the Tor network</title>
4 <LINK REL="stylesheet" TYPE="text/css" HREF="gimpy.css">
6 <link rel="search" type="application/opensearchdescription+xml" title="Google Canada" href="search/google-ca.xml">
7 <link rel="search" type="application/opensearchdescription+xml" title="Google UK" href="http://torbutton.torproject.org/dev/search/google-uk.xml">
8 <link rel="search" type="application/opensearchdescription+xml" title="Google USA" href="search/google-us.xml">
9 <script>
11 function addSearchProvider(prov) {
13 try {
14 window.external.AddSearchProvider(prov);
17 catch (e) {
18 alert("Search plugins require Firefox 2");
19 return;
23 function addEngine(name,ext,cat,pid)
25   if ((typeof window.sidebar == "object") && (typeof window.sidebar.addSearchEngine == "function")) {
26     window.sidebar.addSearchEngine(
27       "http://mycroft.mozdev.org/install.php/" + pid + "/" + name + ".src",
28       "http://mycroft.mozdev.org/install.php/" + pid + "/" + name + "."+ ext, name, cat );
29   } else {
30     alert("You will need a browser which supports Sherlock to install this plugin.");
31   }
34 function addOpenSearch(name,ext,cat,pid,meth)
36   if ((typeof window.external == "object") && ((typeof window.external.AddSearchProvider == "unknown") || (typeof window.external.AddSearchProvider == "function"))) {
37     if ((typeof window.external.AddSearchProvider == "unknown") && meth == "p") {
38       alert("This plugin uses POST which is not currently supported by Internet Explorer's implementation of OpenSearch.");
39     } else {
40       window.external.AddSearchProvider(
41         "http://mycroft.mozdev.org/installos.php/" + pid + "/" + name + ".xml");
42     }
43   } else {
44     alert("You will need a browser which supports OpenSearch to install this plugin.");
45   }
48 function addOpenSearch2(name,ext,cat,pid,meth)
50   if ((typeof window.external == "object") && ((typeof window.external.AddSearchProvider == "unknown") || (typeof window.external.AddSearchProvider == "function"))) {
51     if ((typeof window.external.AddSearchProvider == "unknown") && meth == "p") {
52       alert("This plugin uses POST which is not currently supported by Internet Explorer's implementation of OpenSearch.");
53     } else {
54       window.external.AddSearchProvider(
55         "http://torbutton.torproject.org/dev/search/" + name + ".xml");
56     }
57   } else {
58     alert("You will need a browser which supports OpenSearch to install this plugin.");
59   }
62 function install (aEvent)
64   var params = {
65     "Torbutton": { URL: aEvent.target.href,
66              Hash: aEvent.target.getAttribute("hash"),
67              toString: function () { return this.URL; }
68     }
69   };
70   InstallTrigger.install(params);
72   return false;
76 </script>
77 </head>
78 <body>
80 <h1>Torbutton Development Branch</h1>
81 <strong>Current version:</strong> 1.2.0rc6 (12 Jul 2008)<br/>
82 <br/>
83 <strong>Authors:</strong> Scott Squires &amp; Mike Perry<br>
84 <strong>Email:</strong> squires at freehaven dot net, mikeperry (o) fscked/org<br/>
85 <br/>
86 <strong>Install:</strong> 
87 <a href="http://torbutton.torproject.org/dev/torbutton-current.xpi"
88   hash="sha1:7f01c577641b6222781cd880c9825d6f50ff1cc4"
89   onclick="return install(event);">Local (Javascript verified)</a><br/>
90 <strong>Past Releases:</strong> <a href="releases/">Local (non-https)</a><br/>
91 <strong>Developer Documentation:</strong> <a href="design/">Torbutton Design Document</a> and <a href="design/MozillaBrownBag.pdf">Slides (Not actively updated)</a><br/>
92 <strong>Extras:</strong> 
94 Google search plugins for
96 <a href="/jsreq.html" title="Ref: 14938 (googleCA)"
97  onClick="addOpenSearch('GoogleCanada','ico','General','14937','g');return false">Google CA</a>, and 
99 <a href="/jsreq.html" title="Ref: 14938 (googleCA)"
100  onClick="addOpenSearch('googleuk_web','png','General','14445','g');return false">Google UK</a>.
101 <br/>
102 <!--
103 <strong>Install:</strong> <a href="torbutton-1.0.4.xpi">torbutton-1.0.4.xpi</a><br/>
105 <strong>Source:</strong> You can <a href="https://tor-svn.freehaven.net/svn/torbutton/trunk/">browse the repository</a> or simply unzip the xpi.
106 <br/>
107 <strong>Bug Reports:</strong> <a href="https://bugs.torproject.org/flyspray/index.php?tasks=all&project=5">Torproject flyspray</a><br/>
108 <strong>Documents:</strong> <b>[</b> <a href="#FAQ">FAQ</a> <b>|</b> <a href="CHANGELOG">changelog</a> <b>|</b> <a href="LICENSE">license</a> <b>|</b> <a href="CREDITS">credits</a> <b>]</b><br/>
109 <h2>About</h2>
111 Torbutton is a 1-click way for Firefox users to enable or disable the browser's use of <a href="https://www.torproject.org/">Tor</a>.  It adds a panel to the statusbar that says "Tor Enabled" (in green) or "Tor Disabled" (in red).  The user may click on the panel to toggle the status.  If the user (or some other extension) changes the proxy settings, the change is automatically reflected in the statusbar.
112 </p><p>
113 Some users may prefer a toolbar button instead of a statusbar panel.  Such a button is included, and one adds it to the toolbar by right-clicking on the desired toolbar, selecting "Customize...", and then dragging the Torbutton icon onto the toolbar.  There is an option in the preferences to hide the statusbar panel (Tools-&gt;Extensions, select Torbutton, and click on Preferences).
114 </p>
116 Newer Firefoxes have the ability to send DNS resolves through the socks proxy, and Torbutton will make use of this feature if it is available in your version of Firefox.
117 </p>
119 <a id="FAQ"></a><h2>FAQ</h2>
121 <strong>I can't click on links or hit reload after I toggle Tor! Why?</strong>
124 Due to <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=409737">Firefox
125 Bug 409737</a>, pages can still open popups and perform Javascript redirects
126 and history access after Tor has been toggled. These popups and redirects can
127 be blocked, but unfortunately they are indistinguishable from normal user
128 interactions with the page (such as clicking on links, opening them in new
129 tabs/windows, or using the history buttons), and so those are blocked as a
130 side effect. Once that Firefox bug is fixed, this degree of isolation will
131 become optional (for people who do not want to accidentally click on links and
132 give away information via referrers). A workaround is to right click on the
133 link, and open it in a new tab or window. The tab or window won't load
134 automatically, but you can hit enter in the URL bar, and it will begin
135 loading. Hitting enter in the URL bar will also reload the page without
136 clicking the reload button.
138 </p>
140 <strong>My browser is in some weird state where nothing works right!</strong>
143 Try to disable Tor by clicking on the button, and then open a new window. If
144 that doesn't fix the issue, go to the preferences page and hit 'Restore
145 Defaults'. This should reset the extension and Firefox to a known good
146 configuration.  If you can manage to reproduce whatever issue gets your
147 Firefox wedged, please file details at <a
148 href="https://bugs.torproject.org/flyspray/index.php?tasks=all&project=5">the
149 bug tracker</a>.
151 </p>
153 <strong>When I toggle Tor, my sites that use javascript stop working. Why?</strong>
156 Javascript can do things like wait until you have disabled Tor before trying
157 to contact its source site, thus revealing your IP address. As such, Torbutton
158 must disable Javascript, Meta-Refresh tags, and certain CSS behavior when Tor
159 state changes from the state that was used to load a given page. These features 
160 are re-enabled when Torbutton goes back into the state that was used to load
161 the page, but in some cases (particularly with Javascript and CSS) it is
162 sometimes not possible to fully recover from the resulting errors, and the
163 page is broken. Unfortunately, the only thing you can do (and still remain
164 safe from having your IP address leak) is to reload the page when you toggle
165 Tor, or just ensure you do all your work in a page before switching tor state.
167 </p>
170 <strong>When I use Tor, Firefox is no longer filling in logins/search boxes
171 for me. Why?</strong>
174 Currently, this is tied to the "<b>Block history writes during Tor</b>"
175 setting. If you have enabled that setting, all formfill functionality (both
176 saving and reading) is disabled. If this bothers you, you can uncheck that
177 option, but both history and forms will be saved. To prevent history
178 disclosure attacks via Non-Tor usage, it is recommended you disable Non-Tor
179 history reads if you allow history writing during Tor.
181 </p>
184 <strong>Which Firefox extensions should I avoid using?</strong>
187 This is a tough one. There are thousands of Firefox extensions: making a
188 complete list of ones that are bad for anonymity is near impossible. However,
189 here are a few examples that should get you started as to what sorts of
190 behavior are dangerous.
192 <ol>
193  <li>StumbleUpon, et al</li>
194  These extensions will send all sorts of information about the websites you
195  visit to the stumbleupon servers, and correlate this information with a
196  unique identifier. This is obviously terrible for your anonymity.
197  More generally, any sort of extension that requires registration, or even
198  extensions that provide information about websites you visit should be
199  suspect.
201  <li>FoxyProxy</li>
203 While FoxyProxy is a nice idea in theory, in practice it is impossible to
204 configure securely for Tor usage without Torbutton. Like all vanilla third
205 party proxy plugins, the main risks are <a
206 href="http://www.metasploit.com/research/projects/decloak/">plugin leakage</a>
207 and <a href="http://ha.ckers.org/weird/CSS-history.cgi">history
208 disclosure</a>, followed closely by cookie theft by exit nodes and tracking by
209 adservers (see the <a href="design/index.html#adversary">Torbutton Adversary
210 Model</a> for more information). However, even with Torbutton installed in
211 tandem and always enabled, it is still very difficult (though not impossible)
212 to configure FoxyProxy securely. Since FoxyProxy's 'Patterns' mode only
213 applies to specific urls, and not to an entire tab, setting FoxyProxy to only
214 send specific sites through Tor will still allow adservers to still learn your
215 real IP. Worse, if those sites use offsite logging services such as Google
216 Analytics, you may still end up in their logs with your real IP. Malicious
217 exit nodes can also cooperate with sites to inject images into pages that
218 bypass your filters. Setting FoxyProxy to only send certain URLs via Non-Tor
219 is much more viable, but be very careful with the filters you allow. For
220 example, something as simple as allowing *google* to go via Non-Tor will still
221 cause you to end up in all the logs of all websites that use Google Analytics!
222 See <a href="http://foxyproxy.mozdev.org/faq.html#privacy-01">this
223 question</a> on the FoxyProxy FAQ for more information.
225  <li>NoScript</li>
226  Torbutton currently mitigates all known anonymity issues with Javascript.
227  While it may be tempting to get better security by disabling Javascript for
228  certain sites, you are far better off with an all-or-nothing approach.
229  NoScript is exceedingly complicated, and has many subtleties that can surprise
230  even advanced users. For example, addons.mozilla.org verifies extension
231  integrity via Javascript over https, but downloads them in the clear. Not 
232  adding it to your whitelist effectively
233  means you are pulling down unverified extensions. Worse still, using NoScript
234  can actually disable protections that Torbutton itself provides via
235  Javascript, yet still allow malicious exit nodes to compromise your
236  anonymity via the default whitelist (which they can spoof to inject any script  they want). 
238 </ol>
240 </p>
242 <strong>Which Firefox extensions do you recommend?</strong>
244 <ol>
245  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/953">RefControl</a></li>
246  Mentioned above, this extension allows more fine-grained referrer spoofing
247 than Torbutton currently provides. It should break less sites than Torbutton's
248 referrer spoofing option.
249  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/1474">SafeCache</a></li>
250  If you use Tor excessively, and rarely disable it, you probably want to
251 install this extension to minimize the ability of sites to store long term
252 identifiers in your cache. This extension applies same origin policy to the
253 cache, so that elements are retrieved from the cache only if they are fetched
254 from a document in the same origin domain as the cached element. 
255 </ol>
257 </p>
259 <strong>Are there any other issues I should be concerned about?</strong>
262 There is currently one known unfixed security issue with Torbutton: it is
263 possible to unmask the javascript hooks that wrap the Date object to conceal
264 your timezone in Firefox 2, and the timezone masking code does not work at all
265 on Firefox 3. We are working with the Firefox team to fix one of <a
266 href="https://bugzilla.mozilla.org/show_bug.cgi?id=392274">Bug 399274</a> or
267 <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=419598">Bug 419598</a>
268 to address this. In the meantime, it is possible to set the <b>TZ</b>
269 environment variable to <b>UTC</b> to cause the browser to use UTC as your
270 timezone. Under Linux, you can add an <b>export TZ=UTC</b> to the
271 /usr/bin/firefox script, or edit your system bashrc to do the same. Under
272 Windows, you can set either a <a
273 href="http://support.microsoft.com/kb/310519">User or System Environment
274 Variable</a> for TZ via My Computer's properties. In MacOS, the situation is
276 href="http://developer.apple.com/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/EnvironmentVars.html#//apple_ref/doc/uid/20002093-BCIJIJBH">a
277 lot more complicated</a>, unfortunately.
279 </p>
283 In addition, RSS readers such as Firefox Livemarks can perform
284 periodic fetches. Due to <a
285 href="https://bugzilla.mozilla.org/show_bug.cgi?id=436250">Firefox Bug
286 436250</a>, there is no way to disable Livemark fetches during Tor. This can
287 be a problem if you have a lot of custom Livemark urls that can give away
288 information about your identity.
290 </p>
292 <h2>Description of Options</h2>
294 <p>The development branch of Torbutton adds several new security features to
295 protect your anonymity from all the major threats the author is aware of. The
296 defaults should be fine for most people, but in case you are the tweaker type,
297 or if you prefer to try to outsource some options to more flexible extensions,
298 here is the complete list. (In an ideal world, these descriptions should all be
299 tooltips in the extension itself, but Firefox bugs <a
300 href="https://bugzilla.mozilla.org/show_bug.cgi?id=45375">45375</a> and <a
301 href="https://bugzilla.mozilla.org/show_bug.cgi?id=218223">218223</a> currently
302 prevent this).</p>
304 <ul>
305  <li>Disable plugins on Tor Usage (crucial)</li>
307   This option is key to Tor security. Plugins perform their own networking
308 independent of the browser, and many plugins only partially obey even their own
309 proxy settings.
311   <li>Isolate Dynamic Content to Tor State (crucial)</li>
313   Another crucial option, this setting causes the plugin to disable Javascript
314   on tabs that are loaded during a Tor state different than the current one,
315   to prevent delayed fetches of injected URLs that contain unique identifiers,
316   and to prevent meta-refresh tags from revealing your IP when you turn off
317   Tor. It also prevents all fetches from tabs loaded with an opposite Tor
318   state. This serves to block non-Javascript dynamic content such as CSS
319   popups from revealing your IP address if you disable Tor.
321   <li>Hook Dangerous Javascript (crucial)</li>
323 This setting enables the Javascript hooking code. Javascript is injected into
324 pages to hook the Date object to mask your timezone, and to hook the navigator
325 object to mask OS and user agent properties not handled by the standard
326 Firefox user agent override settings.
328   <li>Resize window dimensions to multiples of 50px on toggle (recommended)</li>
330 To cut down on the amount of state available to fingerprint users uniquely, 
331 this pref causes windows to be resized to a multiple of 50 pixels on each
332 side when Tor is enabled and pages are loaded.
334   <li>Disable Updates During Tor (recommended)</li>
336 Under Firefox 2, many extension authors did not update their extensions from 
337 SSL-enabled websites. It is possible for malicious Tor nodes to hijack these extensions and replace them with malicious ones, or add malicious code to 
338 existing extensions. Since Firefox 3 now enforces encrypted and/or
339 authenticated updates, this setting is no longer as important as it once
340 was (though updates do leak information about which extensions you have, it is
341 fairly infrequent).
343   <li>Disable Search Suggestions during Tor (optional)</li>
345 This optional setting governs if you get Google search suggestions during Tor
346 usage. Since no cookie is transmitted during search suggestions, this is a
347 relatively benign behavior.
349   <li>Block Tor/Non-Tor access to network from file:// urls (recommended)</li>
351 These settings prevent local html documents from transmitting local files to
352 arbitrary websites <a href="http://www.gnucitizen.org/blog/content-disposition-hacking/">under Firefox 2</a>. Since exit nodes can insert headers that
353 force the browser to save arbitrary pages locally (and also inject script into
354 arbitrary html files you save to disk via Tor), it is probably a good idea to
355 leave this setting on.
357   <li>Close all Non-Tor/Tor windows and tabs on toggle (optional)</li>
359 These two settings allow you to obtain a greater degree of assurance that
360 after you toggle out of Tor, the pages are really gone and can't perform any
361 extra network activity. Currently, there is no known way that pages can still
362 perform activity after toggle, but these options exist as a backup measure
363 just in case a flaw is discovered. They can also serve as a handy 'Boss
364 Button' feature for clearing all Tor browsing off your screen in a hurry.
366   <li>Isolate access to history navigation to Tor state (crucial)</li>
368 This setting prevents both Javascript and accidental user clicks from causing
369 the session history to load pages that were fetched in a different Tor state
370 than the current one. Since this can be used to correlate Tor and Non-Tor
371 activity and thus determine your IP address, it is marked as a crucial 
372 setting.
374   <li>Block History Reads during Tor (crucial)</li>
376   Based on code contributed by <a href="http://www.collinjackson.com/">Collin
377   Jackson</a>, when enabled and Tor is enabled, this setting prevents the
378 rendering engine from knowing if certain links were visited.  This mechanism
379 defeats all document-based history disclosure attacks, including CSS-only
380 attacks.
382   <li>Block History Reads during Non-Tor (recommended)</li>
384   This setting accomplishes the same but for your Non-Tor activity.
386   <li>Block History Writes during Tor (recommended)</li>
388   This setting prevents the rendering engine from recording visited URLs, and
389 also disables download manager history. Note that if you allow writing of Tor history,
390 it is recommended that you disable non-Tor history reads, since malicious
391 websites you visit without Tor can query your history for .onion sites and
392 other history recorded during Tor usage (such as Google queries).
394   <li>Block History Writes during Non-Tor (optional)</li>
396 This setting also disables recording any history information during Non-Tor
397 usage.
399 <li>Clear History During Tor Toggle (optional)</li>
401   This is an alternate setting to use instead of (or in addition to) blocking
402 history reads or writes.
404   <li>Block Password+Form saving during Tor/Non-Tor</li>
406   These options govern if the browser writes your passwords and search
407   submissions to disk for the given state.
409   <li>Block Tor disk cache and clear all cache on Tor Toggle</li>
411   Since the browser cache can be leveraged to store unique identifiers, cache
412 must not persist across Tor sessions. This option keeps the memory cache active
413 during Tor usage for performance, but blocks disk access for caching.
415   <li>Block disk and memory cache during Tor</li>
417   This setting entirely blocks the cache during Tor, but preserves it for
418 Non-Tor usage.
420   <li>Clear Cookies on Tor Toggle</li>
422   Fully clears all cookies on Tor toggle.
423   
424   <li>Store Non-Tor cookies in a protected jar</li>
426   This option stores your persistent Non-Tor cookies in a special cookie jar
427   file, in case you wish to preserve some cookies. Based on code contributed
428   by <a href="http://www.collinjackson.com/">Collin Jackson</a>. It is
429   compatible with third party extensions that you use to manage your Non-Tor
430   cookies. Your Tor cookies will be cleared on toggle, of course.
432   <li>Store both Non-Tor and Tor cookies in a protected jar (dangerous)</li>
434   This option stores your persistent Tor and Non-Tor cookies 
435   separate cookie jar files. Note that it is a bad idea to keep Tor
436   cookies around for any length of time, as they can be retrieved by exit
437   nodes that inject spoofed forms into plaintext pages you fetch.
439   <li>Manage My Own Cookies (dangerous)</li>
441   This setting allows you to manage your own cookies with an alternate
442 extension, such as <a href="https://addons.mozilla.org/firefox/addon/82">CookieCuller</a>. Note that this is particularly dangerous,
443 since malicious exit nodes can spoof document elements that appear to be from
444 sites you have preserved cookies for (and can then do things like fetch your
445 entire gmail inbox, even if you were not using gmail or visiting any google
446 pages at the time!).
448   <li>Do not write Tor/Non-Tor cookies to disk</li>
450   These settings prevent Firefox from writing any cookies to disk during the
451   corresponding Tor state. If cookie jars are enabled, those jars will
452   exist in memory only, and will be cleared when Firefox exits.
454   <li>Disable DOM Storage during Tor usage (crucial)</li>
456   Firefox has recently added the ability to store additional state and
457   identifiers in persistent tables, called <a
458   href="http://developer.mozilla.org/en/docs/DOM:Storage">DOM Storage</a>.
459   Obviously this can compromise your anonymity if stored content can be
460   fetched across Tor-state.
462   <li>Clear HTTP auth sessions (recommended)</li>
464   HTTP authentication credentials can be probed by exit nodes and used to both confirm that you visit a certain site that uses HTTP auth, and also impersonate you on this site. 
466   <li>Clear cookies on Tor/Non-Tor shutdown</li>
468   These settings install a shutdown handler to clear cookies on Tor
469 and/or Non-Tor browser shutdown. It is independent of your Clear Private Data
470 settings, and does in fact clear the corresponding cookie jars.
472   <li>Prevent session store from saving Tor-loaded tabs (recommended)</li>
474   This option augments the session store to prevent it from writing out
475   Tor-loaded tabs to disk. Unfortunately, this also disables your ability to 
476   undo closed tabs. The reason why this setting is recommended is because
477   after a session crash, your browser will be in an undefined Tor state, and
478   can potentially load a bunch of Tor tabs without Tor. The following option
479   is another alternative to protect against this.
481   <li>On normal startup, set state to: Tor, Non-Tor, Shutdown State</li>
483   This setting allows you to choose which Tor state you want the browser to
484   start in normally: Tor, Non-Tor, or whatever state the browser shut down in.
486   <li>On crash recovery or session restored startup, restore via: Tor, Non-Tor</li>
488   When Firefox crashes, the Tor state upon restart usually is completely
489   random, and depending on your choice for the above option, may load 
490   a bunch of tabs in the wrong state. This setting allows you to choose
491   which state the crashed session should always be restored in to.
493   <li>Prevent session store from saving Non-Tor/Tor-loaded tabs</li>
494   
495   These two settings allow you to control what the Firefox Session Store
496   writes to disk. Since the session store state is used to automatically
497   load websites after a crash or upgrade, it is advisable not to allow
498   Tor tabs to be written to disk, or they may get loaded in Non-Tor
499   after a crash (or the reverse, depending upon the crash recovery setting, 
500   of course).
501   
502   <li>Set user agent during Tor usage (crucial)</li>
504   User agent masking is done with the idea of making all Tor users appear
505 uniform. A recent Firefox 2.0.0.4 Windows build was chosen to mimic for this
506 string and supporting navigator.* properties, and this version will remain the
507 same for all TorButton versions until such time as specific incompatibility
508 issues are demonstrated. Uniformity of this value is obviously very important
509 to anonymity. Note that for this option to have full effectiveness, the user
510 must also allow Hook Dangerous Javascript ensure that the navigator.*
511 properties are reset correctly.  The browser does not set some of them via the
512 exposed user agent override preferences.
514   <li>Spoof US English Browser</li>
516 This option causes Firefox to send http headers as if it were an English
517 browser. Useful for internationalized users.
519   <li>Don't send referrer during Tor Usage</li>
521 This option disables the referrer header, preventing sites from determining
522 where you came from to visit them. This can break some sites, however. <a
523 href="http://www.digg.com">Digg</a> in particular seemed to be broken by this.
524 A more streamlined, less intrusive version of this option should be available
525 eventually. In the meantime, <a
526 href="https://addons.mozilla.org/en-US/firefox/addon/953">RefControl</a> can
527 provide this functionality via a default option of <b>Forge</b>.
528 </ul>
531 </body>
532 </html>