Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 11558 документов: 1036 редакций: 4118
Опять же, PGP не привнесёт никаких преимуществ, его парольная фраза точно так же брутится (или не брутится — это уже зависит от правильности её выбора).
В любом случае, пароли, сохранённые в браузере, с большей вероятностью стащат через уязвимость в самом браузере, чем подбором мастер-пароля, так что лучший вариант — не хранить их в браузере вообще.
комментариев: 10 документов: 0 редакций: 0
За весьма ограниченное количество попыток пинкод смарткарты на практике не сбрутить.
комментариев: 11558 документов: 1036 редакций: 4118
Смарт-карты — не бункер с автоматчиками, они прекрасно взламываются. И ещё раз повторюсь, с большей вероятностью пароли утекут через дыру в самом браузере, чем в результате взлома зашифрованного хранилища. Но если Вам так уж хочется использовать смарт-карту в Firefox, то PGP для этого, опять же, не нужен — юзайте OpenSC.
комментариев: 10 документов: 0 редакций: 0
полностью исключить физические контакты с внешним миром.
комментариев: 11558 документов: 1036 редакций: 4118
Просто разумно оценивайте риски и стройте свою политику безопасности исходя из взвешенной модели угрозы.
комментариев: 254 документов: 9 редакций: 753
комментариев: 10 документов: 0 редакций: 0
Насколько мне известно, аппаратной поддержки трукрипта не бывает.
Токен/смарткарта используется исключительно как криптоконтейнер для
ключа, то есть ключ всё равно выгружается на компьютер. Так совсем не
интересно.
комментариев: 11558 документов: 1036 редакций: 4118
TrueCrypt точно так же поддерживает PKCS11, как и Firefox (и PGP/GPG2). Более того, ему, в отличие от Firefox'а, для этого даже не нужны прокладочные библиотеки.
комментариев: 10 документов: 0 редакций: 0
И что? Трукрипт использует экспорт ключа с устройства, там не
аппаратное шифрование.
У трукрипта разве в комплекте есть своя библиотека с реализацией
PKCS11? Зачем там тогда в документации фраза про
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 10 документов: 0 редакций: 0
Вопрос в том, как использовать PKCS#11 для контроля доступа
к секретным данным в профиле; приватный ключ для расшифровки
signons-то на компе лежит. Перенаправил вопрос в рассылку по
криптографии в фоксе.
Заметил, что DownloadHelper качает ролики с ютуба не через https, хотя HttpsEverywhere стоит и в норме просмотр идёт по https. Можно ли как-то настроить DownloadHelper на скачку через https? В настройках этого плагина ничего такого не нашёл. Или FlashGot умеет через https качать? Какое решение самое простое? Нужно, чтобы была возможность выбора разрешения (качества), в котором скачивать ролик. Можно, конечно, всё качать через сайты типа savefrom.net и Tor (JS нужен), но это будет сильно медленно.
Увы, именно так и оказалось. Достаточно заблокировать 80-ый порт файерволлом, как все ролики сразу перестают смотреться: видно в реальном времени, как firefox пытается инициировать соединения по 80-ому порту. Получается, что https работает только для поиска на ютуб, да и то негарантированно. Это ещё раз намекает на небезопасность плагинов: в строке браузера может быть написано одно, а реально происходить совсем другое; написано https, а видео качается по http и т.д.