id: Гость   вход   регистрация
текущее время 20:16 28/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
http://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, 2, 3, 4, 5, ... , 19, 20, 21, 22, 23 След.
Комментарии [скрыть комментарии/форму]
— Гость (19/02/2015 16:53)   <#>

Всё то же и мирным образом уже было сказано раньше и не раз. И мной и другими. И в срачах на тему зачем нужен TBB, когда есть свой суперлучший самопальный firefox с плагинами, я тоже участвовал. Все аргументы были высказаны, могу даже найти их тут. Eridan там как всегда упирался рогами. Так что это не снег на голову, все эти посты на целую 21 страницу я читал и участвовал в обсуждениях по мере появления постов, других веток это тоже касается. По-хорошему человеку уже было сказано, но он настоял на своём как ZAS.
— Гость (20/02/2015 14:16, исправлен 21/02/2015 22:36)   <#>

http://secpedia.net/wiki/List_of_tools_in_OWASP_Mantra


Information Gathering
Flagfox – An extension which shows a flag icon indicating the current web server's physical location.
JSView – Shows scripts and style sheets included in any web page.
PassiveRecon – An extension for performing passive discovery of target resources.
Wappalyzer – Shows different technologies used for serving any web page.
View Dependencies – Shows all the files which were loaded to show any page.
Link Sidebar – An extension for managing all hyperlinks in any page.

Editors


JSView – Shows scripts and style sheets included in any web page.
Firebug – AN extension for debugging, editing, and monitoring CSS, HTML, DOM, XHR, and JavaScript.

Network Utilities


FireFTP – FTP/SFTP Client.
DNS Cache – Extension for managing local DNS cache.
SQLite Manager – SQLite database manager.
HTTP Fox – A built in local proxy.
FireSSH – SSH Client.

Misc


Greasemonkey – An user script manager.
Greasefire – Automatically finds Greasemonkey scripts on Userscripts.org.
CacheToggle – Browser cache management.
URL Flipper – An extensions for easily editing URLs.
Event Spy – A watcher extension for Java script events.
Scriptish – An user script manager.
Session Manager – An extension for managing browser sessions.
Fire Encrypter – An extension for performing some commonly used encode/decode tasks.

Application Auditing


Hackbar – An extension for setting the platform for application auditing.
RESTClient – An extension for testing RESTful/WebDav services.
Tamper Data – A MiTM editor tool.
Live HTTP Headers – An extension for analyzing and replaying web traffic.
RefControl – HTTP Referer editor.
User agent switcher – Browser user agent manager.
Web Developer – Commonly used web developer tools as a tool bar.
DOM Inspector – An extension for testing and editing DOM of any page.
Inspect This – A DOM Inspector pointer extension.
Form Fox – Web page form management.
SQL Inject Me – SQL Injection scanner.
XSS Me – XSS scanner.
Cookies Manager+ – Browser cookie manager.
Firecookie – Cookie manager withing Firebug window.
Autofill Forms – An extension for browser form management.
Cookie Monster – Browser cookie manager.
Fireforce – An extension for performing brute-force attacks on GET or POST forms.
Groundspeed – An extension for manipulating the application user interface.
Http Requester – An extension for making HTTP requests.
Modify Headers – Header editor.
Poster – An extension for making HTTP requests.
Refspoof – HTTP Referer editor.
NoRedirect – An extension for controlling web page redirects.
Websecurify – An extension for performing automated security audits.
Ra.2 – DOM-based XSS Scanner

Proxy


HTTP Fox – A built in local proxy.
FoxyProxy – A proxy management tool.
Proxy Tool – A proxy management tool.

Устанавливается в пол-пинка на Kali линукс:


— Гость (21/02/2015 11:47)   <#>
Гость (20/02/2015 14:16)

Вы б хоть прокомментировали, что это и для чего.
Опять Kali. Почему именно Kali?
— Гость (21/02/2015 19:15)   <#>

/comment88087?

Тред корёжит из-за нарушения рекомендации из третьего правила.
— Гость (22/02/2015 17:17)   <#>

Вы знаете альтернативы?

Все остальные дистры либо фокусируются на каких-то узких задачах, например восстановление данных с винчестера или ещё какой-то отдельной задаче. А в Kali букетик можно сказать на все случаи жизни, и вот – репозитарий что надо.

* SecurityOnion – is a Linux distro for intrusion detection, network security monitoring, and log management.
* Pentoo – достаточно юн, по-сравнению с Kali.
* REMnux – A Linux Toolkit for Reverse-Engineering and Analyzing Malware
* Inquisitor – hardware testing and certification system

и т.д.

Кандидатов много, но реальность такова, что все они узко фокусированны и ужасно сырые в работе, в отличие от BackTrack Kali.

Конечно этот deb можно поставить и на любимый Debian или Ubuntu, но я хотел Вам осветить то, что он доступен в Kali из основного репозитария по умолчанию. Owasp Mantra – это как раз то, о чём это топик.


у меня не корёжит iceweasel 24.7.0 ( Kali GNU/Linux 1.0.9 ), хааа.
— Гость (23/02/2015 00:35)   <#>
Кто бы объяснил по человечески эту шибко мудрено закрученную фразу:

Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
— Гость (23/02/2015 02:43)   <#>
Это значит, что (по мнению автора) с помощью JavaScript злоумышленник может пойти намного дальше твоего броузера)
— Гость (26/02/2015 01:24)   <#>

Знаем [1], [2], [3].
— Гость (17/03/2015 22:18)   <#>
Просьба к Администрации сайта и модераторам пока не удалять комментарии из корзины до завтрашнего вечера хотя бы. Я, во-первых, не успел прочитать, что там, хотя зрительно припоминаю, во-вторых, их удаление в некоторой степени спорно, позднее объясню, что именно имею ввиду.
— Гость (17/03/2015 22:31)   <#>
Удалённые удаляются то ли через месяц, то ли по мере достижения определённого количества пула сообщений, так что непонятно, о чём кипиш. И, да, здесь такая просьба совсем оффтопик, есть же ветка «содействие».
— Гость (17/03/2015 22:34)   <#>

Пункт 2.b.v?
— Гость (17/03/2015 23:03)   <#>

Через месяц. Плюс-минус несколько дней в зависимости от того, чем руководствуется модератор или Администратор при очищении корзины (свободное время, новые поступления в корзину, заодно зачистка от старых и т. п.).


И, нет, именно здесь такая просьба совсем не оффтопик, т. к. удаленные комментарии преимущественно из этой темы и датированы, начиная с 18.02.2015, далее смотрим календарь.


Why not?
Почему бы и нет? Берите выше ниже: пункт 2.b.v с элементами пункта 2.b.vi.
— SATtva (17/03/2015 23:40)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Очистка происходит автоматически, но триггер может запаздывать на несколько дней. Гарантировано удалённые посты хранятся месяц.
— Гость (17/03/2015 23:58)   <#>

Стоит уточнить, что иногда триггер увлекается и захватывает при удалении следующие посты на несколько дней ранее положенного срока, такое поведение триггера замечено перед выходными и праздничными днями.
— Гость (19/03/2015 22:55)   <#>
Прежде всего, хочу выразить благодарность триггеру за учтенное пожелание.
Документы и комментарии просмотрел, каких-то важных моментов не обнаружил, кроме сотен редакций, но это не значит, что ситуации, которые будут рассмотрены ниже, должны повторяться являются нормой должны входить в систему, а данный прецедент должен служить ориентиром.
Для начала оговорюсь, что никаких претензий к модераторам и Администрации у меня нет, а данный пост — не обсуждение их действий и не попытка дать оценку ситуации, а просто взгляд со стороны.
Не хочу ничего такого сказать, но принято считать, что полномочия пользователей, результат которых пока ещё можно видеть в разделе "Удаленные документы" за 18-19 февраля с. г., как правило, считаются излишними. Я имею ввиду саму возможность редактирования и удаления комментариев, которые датированы, ого, аж 2012-2013 гг. в данном примере.
Хотя подобная ретроспектива оказалась заразительной и вот под снос уже идёт комментарий-долгожитель, без малого шесть лет висевший и радовавших благодарных почитатателей. Причина удаления: мат. Всё правильно. Кроме сроков. Unknown удалил, ему можно. А может и про Пердолию Парейдолию и не только тоже что-то удаляется, пока все спорят про прошивки и ЗОГ?

У unknown'а был пост с этими ссылками, который буквально провалился сквозь землю. Он не был в удалённых, но не ищется ни гуглом, ни поиском по сайту, как это может быть?
На моей памяти был подобный случай, когда на одном из HS одному пользователю не понравился тон Администрации в его адрес и он поудалял попытался удалить свои комментарии. И таки удалил часть из них. Не знаю, восстановили их потом или нет, но признали, что такая возможность — грубо говоря, косяк лишний либерализм. В комментариях были ссылки и иструкции и, понятное дело, ни в кэше, ни в архивах они не остались. Еще такое на трекерах нередко бывает, когда по разным причинам автор пытается убрать раздачу или перестает сидировать в самом начале, за что, естественно, банится.

Не надейтесь. Слово не воробей. Разрешить зарегистрированному пользователю редактировать свои посты в течение n часов с момента публикации.
Это общепризнанная практика. Отсупления встречаются редко и, как правило, считаются косяками. Возможность удаления пользователем своих комментариев, как правило, запрещена.

Что касается удаленных комментариев за 18-19 февраля, то моё мнение, что их нужно восстановить, это предусматривает и сам Проект:
Ссылка с адресом документа позволяет просмотреть список оставшихся редакций (автор последней редакции — это пользователь, удаливший документ) и при необходимости восстановить документ из одной из них.

Считаю, такая необходимость (в восстановлении) есть, как и необходимость прекратить практику некроудалений, иначе в какой-то момент кто-то где-то увидит не то дурной тон, не то троллинг, не то еще что, и удалит через 10 лет комментарий, или автору через 10 лет покажется, что документ неактуален, потому что кто-то покритикует за разметку, и он удалит. Удалить, вообще, совершить действие, не думая о последствиях, всегда проще, чем придерживаться какой-то взвешенной генеральной линии. Это касается, в частности, kotSUshkami, который годами не особо реагировал на претензии по разметке, по потом расчувствовался и всё поудалял, еще и Админа запряг на это дело.
К тому же, там вместе с документом удалены комментарии Гостей и пользователей, участвовавших в дискуссии, которые на нарушали правил форума, что логично, нет документа — нет комментариев к нему, но правильно ли?
Что касается замечаний SATtva'ы, с чего собственно все и началось, то они имеют под собой все основания, но сработал принцип, заставь дурака Богу молиться, он и лоб расшибёт. По идее, это были эдакие дополнения, чтобы на спаслиться на побочке, стилометрии и т. п., даржать браузер под контролем, это уже вроде верх надстроек, типа шлифовки, но вот вопрос: нужно ли оно вообще тем, кто может выстроить систему безопасности? И тем более, нужно ли оно, когда сама основа отсутствует, но есть дополнения? Это как балласт в 20 кг: 20-тонному грейдеру он не нужен, а 30-килограммовому мотоблоку только навредит.

Всё изложенное и неизложенное личное скромное мнение, претендующее только на ознакомление с ним.
На страницу: 1, 2, 3, 4, 5, ... , 19, 20, 21, 22, 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3