id: Гость   вход   регистрация
текущее время 15:37 28/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
http://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 15, 16, 17, 18, 19, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— Гость (02/09/2013 18:41)   <#>
мимопроходил
FireGloves и так есть.
— Гость (02/09/2013 18:47)   <#>
OWASP — wwwMantra. Это тот же самый firefox, только с уже установленными плагинами!

А зачем? Пусть каждый сам выбирает то, что нужно ему. Тем более, что количество дополнений влияет на скорость работы Firefox. Те кому нужны эти дополнения легко научатся их устанавливать. :)
— Гость (02/09/2013 18:53)   <#>
wwwHost Spy — С помощью этого плагина, вы легко и просто сможете выяснить, какие еще сайты имеются на этом же сервере. Это очень полезно знать, ведь очень часто какой-нибудь уязвимый сайт-сосед может предоставить злоумышленнику доступ и к вашему сайту! Конечно, грамотно настроенные хостинги не позволят это сделать, но на практике такое случается довольно часто.

wwwWappalyzer – этот полезный плагин позволит получить информацию о технологиях, используемых на сайте. Он попытается определить CMS, используемые фреймворки, панели хостера, используемый веб сервер и ОС.


Насколько я понимаю, для этого лучше сделать отдельный раздел
"Дополнения показывающие информацию о сайтах, серверах, хостингах, IP и прочем с помощью сторонних сервисов (отсылка запроса с информацией на сервис через интернет и приём данных от него)".
— Гость (04/09/2013 04:15)   <#>

Сканирование хостов (как это делает, к примеру, nmap) иногда можно быть приравнено к попытке взлома или к подготовке к взлому, в связи с чем против вас могут возникнуть неприятные действия. А с этим плагином всё чисто?
— Гость (04/09/2013 15:35)   <#>
Сканирование хостов (как это делает, к примеру, nmap) иногда можно быть приравнено к попытке взлома или к подготовке к взлому, в связи с чем против вас могут возникнуть неприятные действия. А с этим плагином всё чисто?

Если оно на сайте Mozilla, то оно прошло проверку и все нормально. Но конечно в зависимости от необходимости и закона различных стран может быть приравнено к попытке взлома. Другое дело, что и простой просмотр кода в FireBag можно при желании приравнять к попытке взлома.
— kotSUshkami (24/09/2013 21:03)   профиль/связь   <#>
комментариев: 13   документов: 7   редакций: 259
HTTPS Finder удалено автором с сайта мозилы, автор не в состоянии поддерживать расширение.

Что интересно. Кажется никакого извещения о удалении не пришло. Если так, то это можно использовать. Например сделать баг в расширнении, через некоторое время удалить, а у установивших пользователей оно останется.

В плане анонимности и безопасности система расширений Firefox очень уязвима. Не понятно вообще кому доверять, если даже у самых лучших разработчиков расширений (сравнительно с обычным популярным ПО) часто случаются баги. Все держится на нескольких людях и анонимность совсем не главная их цель.
— Гость (24/09/2013 23:38)   <#>

Доверять firefox в любом случае глупо. Доверять надо виртуальным машинам, файерволлам, системному разделению привелегий. Можно запускать firefox в отдельных иксах под отдельным непривелегированным юзером и делать ему амнезию время от времени:
# umount /home/firefox-user
# cryptsetup luksClose /dev/path/to/firefox-user
# cryptsetup luksKillSlot /dev/path/to/firefox-user 0
# cryptsetup -s 512 -h sha512 -c aes-xts-plain luksFormat /dev/path/to/firefox-user
# cryptsetup luksOpen /dev/path/to/firefox-user firefox-user
# mount /dev/mapper/firefox-user /home/firefox-user
# rm -R /home/firefox-user/*
# rdiff-backup -r now -v5 /path/to/backup/firefox-user /home/firefox-user
И всё опять чисто, концы в воду. И ФС чиста, и профиль чист и юзер чист (ничего более под ним не выполняется). В /var он файлы не пишет, а из /tmp их можно потереть или дождаться перезагрузки. Процедуру можно заскриптовать.

P.S. Можно указать luksFormat'у не спрашивать пароль дважды?
— Гость (24/09/2013 23:42)   <#>
Поправка: перед mount ещё должно быть что-то типа
# mkfs.ext4 /dev/mapper/firefox-user
но смысл ясен. Следующая rm нужна, чтобы потереть lost+found, т.к. rdiff-backup ругается, если директория нечиста.
— unknown (25/09/2013 10:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если опция --verify-passphrase понимает такой параметр, как число попыток или их отсутствие.
— Гость (25/09/2013 19:45)   <#>

Судя по man, отрицание для этой опции не предусмотрено. Можно enforce'ить её применение, указав её принудительно, но непонятно, как её отключить, если она активируется при каких-то опциях по умолчанию. Можно поэкспериментировать как --verify-passphrase=no, но вряд ли поможет.
— Гость (26/09/2013 22:15)   <#>
Доверять firefox в любом случае глупо

А скажи пожалуйста – как это реализовать? Нужно создать профиль на моей же системе, и туда воткнуть этот скрипт?
— Гость (27/09/2013 02:53)   <#>

Нужно создать отдельного юзера на этой же системе, домашняя директория которого будет на отдельном крипторазделе. Все операции производятся с ним, с крипторазделом. Это может быть какое-то блочное устройство вида /dev/sda<N> или шифрованный LVM-том вида /dev/LOGICAL_VOLUME_GROUP/NAME_OF_LOGICAL_VOLUME.
— Гость (27/09/2013 02:56)   <#>

Естественно, имелся в виду LUKS на этих устройствах. В обоих случаях он будет иметь вид /dev/mapper/NAME после подключения их через cryptsetup luksOpen.
— Гость (29/09/2013 20:42)   <#>
Гость (27/09/2013 02:56)
Вы забыли добавить, что нужно быть технически грамотным и разбираться в настройке Linux.
— Гость (30/09/2013 03:49)   <#>
Гость (29/09/2013 20:42), это само собой разумеется, иначе о защите информации вообще речь вести не стоит. Раз опытные технари без соответствующей специальной подготовки в ИБ-темах так легко прокалываются, то что говорить об остальных? Но раз Гость всё же интересуется, ему указали на направление, куда копать.
На страницу: 1, ... , 15, 16, 17, 18, 19, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3