id: Гость   вход   регистрация
текущее время 00:13 29/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
http://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 4, 5, 6, 7, 8, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— Eridan (26/02/2012 19:46, исправлен 26/02/2012 19:46)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Кто-нибудь может кратко и доступно описать что конкретно плохого можно сделать с dom.storage?

— Гость (04/03/2012 07:04)   <#>

Я не читаю форум мозиллы, тем более что он в несколько раз больше pgpru-шного и содержит куда больше мусора. Раз вы отвечаете для pgpru, будьте добры ориентироваться на то, что уже обсуждалось здесь, либо давать ссылки. Хотя что-то может быть и впрямь не в тему, согласен.


Спасибо!


Вроде как мы начали с самых главных и важных аддонов, уровня мастхэв, а закончили такой узкой темой как веб-разработчики. Напоминаю, что основной онтопик-интерес со стороны сайта — в аддонах, увеличивающих безопасность и анонимность пользователя.


В таких делах излишек паранои не повредит, только вот ничего лучшего, чем Tor, для доступа к web-ресурсам обычного интернета всё равно пока нет.


С хранилищем флэш-куков что ли? Ну порушить анонимность, например. А если есть 2 профиля firefox, и оба складывают свои флэш-куки в ~/.macromedia, то один может потенциально узнать какие сайты и когда были посещены другим профилем.


Всё просто:
  1. Пусть есть карательное правило, и небольшой список тех, к кому его не применяют. Получаем «белый» список исключений (по аналогии с белым билетом).
  2. Пусть есть правило привелегий/свобод, и есть небольшой список тех, к кому его применить нельзя. Этот список называют «чёрным» (запрет на въезд в страну, например).
В обсуждаемом случае аддон блокирует домены («карает»), потому исключение из этого правила — белый список.
— Гость (04/03/2012 11:23)   <#>
Насколько я понял dom.storage не LSO и не связано с флэш. Это HTML5.

аддон блокирует домены («карает»), потому исключение из этого правила — белый список.

Это к автору дополнения.

Я не читаю форум мозиллы

OK, но поиск никто не отменял. Это даже быстрее чем задать вопрос тут и ждать ответа.
— Гость (04/03/2012 12:27)   <#>
Вроде как мы начали с самых главных и важных аддонов, уровня мастхэв, а закончили такой узкой темой как веб-разработчики. Напоминаю, что основной онтопик-интерес со стороны сайта — в аддонах, увеличивающих безопасность и анонимность пользователя.

Раздел повысит безопасность знакомых с веб-программингом (им не придется лазить по интернету и искать). А остальным вреда не принесет. Для остальных есть список маст хэва.
— Eridan (06/03/2012 08:58)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Переместил описание из одного пункта в другой. Теперь в списке маст хэва вверху ссылки ведут не туда. Их теперь в ручную править?
— SATtva (07/03/2012 00:07)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да. Если нужны стабильные якоря, их надо ставить вручную.
— Гость (11/03/2012 10:55)   <#>
Похоже скругл умер. В вики советуют севисы DuckDuckGo или Ixquick.com
— unknown (11/03/2012 11:03, исправлен 11/03/2012 11:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это которое https://startpage.com/ ещё.

— Eridan (11/03/2012 14:38)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Не слишком я про анонимность? Может какие ошибки?
— unknown (11/03/2012 15:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Для сайта (не для специальных анонимайзеров, например Tor ) в Firefox зашифрованные соединения обозначаются приставкой https и цветной иконкой перед строкой адреса. В случае шифрования соединения только сайтом анонимность минимальна. (в случае с Tor, программа Tor сама соединяется со своей зашифрованной сетью, а браузеру от неё поступают расшифрованные данные)

Вот этот абзац ИМХО неудачный. Через Tor или нет, но https-соединения будут обозначаться одинаково. В случае шифрования соединения только сайтом может быть речь о секретности содержимого или нераскрытии идентифицирующих данных при незнании содержимого (логина например). Но строго говоря, SSL — это безопасность, а не анонимность. Но кто этого не знает может понять неверно или вообще не понять, как и последующее пояснение в скобках. То как https дополняет Tor и что они могут вместе и по отдельности упоминалось в недавней новости.
— Eridan (21/03/2012 10:57)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Мне не нравится какой получилась страница. Слишком канцелярский язык, мало конкретных инструкций. Некоторая инфа разбросана.
Еще не радует отсутствие дополнений Firefox. Например нету ни одного для проактивного управления HTML5 хранилищем. Нету дополнения для подделки javascript, нету для подделки css.

На сегодня реально обеспечит анонимность только сборка от Tor, или Firefox пущенный через свою цепоку прокси с Cookie Monster + HTTPS Everywhere + HTTPS Finder + RefControl + HTML5 Local Storage Explorer. Остальные дополнения могут своими блокировками выделить из толпы. Какие настройки в about:config критичны я вообще не представляю.
— Гость (21/03/2012 11:34)   <#>
На сегодня реально обеспечит анонимность только сборка от Tor, или Firefox пущенный через свою цепоку прокси с Cookie Monster + HTTPS Everywhere + HTTPS Finder + RefControl + HTML5 Local Storage Explorer. Остальные дополнения могут своими блокировками выделить из толпы.
Вот так правильно.
— Eridan (21/03/2012 11:53)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Вот так правильно.

Не правильно. Изменения произведенные дополнениями которые я написал не определишь (искусственно или нет).
— Гость (21/03/2012 12:25)   <#>
Eridan, Вы не следите за постами и обсуждениями в других темах, из-за чего имеете ложное представление об анонимности. Вот контрпример к HTTPS Everywhere (пользователей можно поделить на тех, кто ходит по https и тех, кто напрямую, причём скармливая дополнительную »прозрачную« ссылку это можно выяснять, даже не спрашивая их мнения), к другим из вашего списка строится аналогично. HTTPS Everywhere должен быть включен либо у всех, либо ни у кого. Аналогично и с другими дополениями.


Что, сайт не сможет понять, используется ли RefControl или HTTPS Finder? Последний вообще стукается по 443ему на любой сайт по умолчанию, ужоснах. Вы несёте что-то совсем несуразное.
— Гость (21/03/2012 12:48)   <#>
Как эти изменения можно определить без js?
На страницу: 1, ... , 4, 5, 6, 7, 8, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3