Приватность · Разбор

Tor Browser 15.0.9 в 2026 году: что делать, если приватность всё ещё важна

Автор · Редакция SOB Опубликовано · 15 апреля 2026 Обновлено · 17.04.2026 Чтение · 8 мин

За одну неделю апреля Tor Project выпустил два экстренных релиза - редкий случай даже для проекта, у которого безопасность в названии. Разбираем, что закрывают версии 15.0.8 и 15.0.9, кому надо обновиться срочно, и как изменилась модель угроз Tor в 2026 году.

Контекст: два патча за неделю

8 апреля 2026 года Tor Project внепланово выпустил версию 15.0.8 с отметкой «security update». 15 апреля вышла 15.0.9. В release notes команда подчёркивает: обе уязвимости обнаружены внешними исследователями через программу HackerOne, активной эксплуатации «в дикой природе» не зафиксировано - но пользователям рекомендовано обновиться немедленно.

Для проекта, чей типовой релизный цикл - раз в четыре недели, два экстренных апдейта подряд - сигнал, который стоит принимать всерьёз.

Что закрыто

CVE-2026-3421

Use-after-free в рендеринге WebAssembly на сайтах с модулями SharedArrayBuffer. Теоретически даёт возможность обхода sandbox Firefox ESR.

critical

CVE-2026-3422

Некорректная обработка заголовков при cross-origin-redirect: при определённой последовательности запросов возможна утечка первого nonce между контекстами.

high

CVE-2026-3508

Ошибка парсинга ONION-адреса v3 при копировании из буфера обмена (косметическая, не ведёт к деанонимизации, но исправлена для консистентности).

medium

Действие

Если Tor Browser не обновлялся после 15 апреля 2026, откройте «О программе» (about:tor) и дайте встроенному updater загрузить 15.0.9. Либо скачайте свежий билд с torproject.org/download - с проверкой GPG-подписи.

Как установить Tor Browser правильно

Большинство успешных атак на пользователей Tor за последние пять лет начинались не с эксплойта в сети, а с установки подделанного билда. Правильный порядок действий:

Заходите только на torproject.org. Не на «torproject.net», не на зеркала, не на YouTube-тьюториалы с ссылками в описании.
В стране, где сайт заблокирован (РФ, Китай, Иран, Беларусь), используйте getTor: отправьте пустое письмо на gettor@torproject.org - бот пришлёт ссылки на зеркала и подписи.
Проверьте GPG-подпись билда: Tor Project публикует подписи отдельным файлом .asc. Команда gpg --verify должна вернуть «Good signature» от ключа Tor Browser Developers.
Устанавливайте на актуальную ОС с свежими патчами. Уязвимый Windows 10 без обновлений - больший риск, чем любая CVE в самом Tor.

Модель угроз в 2026 году

Что Tor делает:

Скрывает ваш IP-адрес от сайта, который вы открываете.
Скрывает от вашего провайдера и локального наблюдателя, какие именно сайты вы посещаете (им видна только сам факт использования Tor).
Позволяет обращаться к onion-сервисам, недоступным в обычном интернете - от SecureDrop у The New York Times до зеркала BBC News.

Что Tor не делает:

Не защищает от деанонимизации через вход в ваш обычный аккаунт (Google, VK, банк) - провайдер сервиса видит, что это вы.
Не защищает от 0-day в самом Firefox ESR, на котором построен Tor Browser.
Не защищает от корреляционного анализа трафика, если противник видит и вход, и выход вашего Tor-канала (редкий, но существующий сценарий для глобальных наблюдателей).
Не шифрует выходной трафик: если сайт использует HTTP, а не HTTPS, exit node увидит содержимое.

Кто реально пользуется Tor в 2026 году

По последним открытым метрикам Tor Project, среднее количество одновременных пользователей - около 2.8 млн в сутки. Топ-5 стран по доле пользователей: США, Германия, Финляндия, Россия, Иран. Категории - по оценкам Tor Project и независимых исследований:

Журналисты - Reuters, BBC, Associated Press, The New York Times держат SecureDrop-инстансы для приёма материалов от источников.
Правозащитные организации - EFF, Amnesty International, Human Rights Watch рекомендуют Tor активистам в странах с цензурой.
Исследователи безопасности - анализ ботнетов, мониторинг утечек, расследования.
Обычные пользователи - те, кому не нравится, когда каждая вкладка Chrome синхронизируется с Google.

Почему экстренных патчей стало больше

2024-2026 годы дали индустрии две вещи: финансирование исследовательских программ (Google Project Zero, Mozilla Bug Bounty, HackerOne) стабилизировалось, и исследователи перестали копить уязвимости для продажи брокерам. Результат - баги находят быстрее и чаще сообщают вендорам. Это выглядит как «стало хуже», но статистически это «стало прозрачнее».

Tor Browser построен на Firefox ESR. Mozilla выпускает ESR-обновления каждые 4 недели плюс внеплановые при критических находках. Tor обычно отстаёт от апстрима на 1-3 дня - ровно столько нужно, чтобы пересобрать браузер и проверить воспроизводимость билдов.

Важно

Если вы используете Tor Browser для задач, где деанонимизация = реальная угроза (журналистика в авторитарных странах, работа с источниками), рассмотрите Tails OS - живую ОС, изолирующую весь трафик через Tor и не оставляющую следов на диске. Это другой уровень модели угроз.

Что дальше

Tor Project в 2026 году работает над двумя крупными направлениями. Первое - Arti, полная переработка core-клиента на Rust, которая должна заменить C-реализацию в течение ближайших релизов. Второе - улучшения onion-services v3: защита от denial-of-service через proof-of-work задачки (EquiX), развёрнутая в 2023 году, получает доработки для снижения нагрузки на CPU клиентов.

Параллельно идёт работа с Mozilla над upstreaming части анти-фингерпринтинговых патчей прямо в Firefox ESR - чтобы Tor Browser меньше отличался от базового Firefox на уровне кода, а значит, его было проще поддерживать.

Частые вопросы

Tor Browser легален?

Да. Tor - свободное ПО, разрабатываемое некоммерческой Tor Project, Inc. Использование легально в большинстве юрисдикций, включая ЕС, США, Великобританию. В некоторых странах (Китай, Иран, Беларусь) доступ к сети Tor ограничен техническими средствами - в этих случаях используются мосты (bridges) и obfs4.

Откуда скачивать Tor Browser?

Только с официального сайта torproject.org. Подделки и пересборки могут содержать шпионское ПО. Tor Project подписывает релизы GPG-ключом, подпись можно проверить командой gpg --verify.

Что нового в версии 15.0.9?

Версия 15.0.9 (выпущена 15 апреля 2026) закрывает критические уязвимости в рендеринге WebAssembly (CVE-2026-3421) и обработке cross-origin-запросов (CVE-2026-3422). Это второй экстренный релиз за неделю после 15.0.8 от 8 апреля.

Защищает ли Tor от всех слежек?

Нет. Tor скрывает сетевой трафик от провайдера и локальных наблюдателей, но не защищает от уязвимостей в самом браузере, вредоносных сайтов или атак на конечную точку. Не логиньтесь в аккаунты, привязанные к вашей личности, через Tor - это убивает всю анонимность.

Нужен ли VPN поверх Tor?

В большинстве случаев - нет. VPN + Tor чаще ухудшают приватность, чем улучшают (вы добавляете единую точку отказа - VPN-провайдера, который видит факт использования Tor). Единственный оправданный сценарий - если ваш провайдер активно блокирует Tor и вы хотите скрыть сам факт. Но для этого есть мосты obfs4/meek, которые дизайн-ориентированы под задачу.