Стандартная конфигурация Firefox и безопасность
Сегодня наткнулся в фаерфоксе на такую штуку, как webRTC. Это новый протокол для p2p коммуникаций между браузерами, проблема в том, что его побочным действием является полное раскрытие внешнего и внутренних адресов сети. В стандартной конфигурации он по умолчанию включен. Проверить можно здесь diafygi.github.io/webrtc-ips/.
Вопрос в следующем: какие еще потенциально опасные моменты присутствуют в стандартных конфигах firefox? Каким образом можно себя обезопасить(интересует безопасность со стороны браузера, без обсуждения других концепций обеспечения безопасности)
комментариев: 511 документов: 2 редакций: 70
Было несколько документов на эту тему разной степени (не)нужности [1], [2], [3], [4] (смотреть, что есть в TorBrowser, и творчески это перетаскивать в обычный firefox, если вдруг он кому-то позарез нужен), [5], [6].
geo.enabled → false.
комментариев: 6 документов: 0 редакций: 0
А какие есть альтернативы, кроме как допиливать firefox под свои нужды (что является совсем не простой задачей, судя по обсуждениям по ссылкам)? Вы сторонник использования TBB, или существуют более приемлимые на данный момент варианты?
комментариев: 511 документов: 2 редакций: 70
Я не знаю, зачем вам допиливать firefox. Что вам от него нужно? Можно поправить несколько опций, типа геолокации, чтоб он совсем не борзел, но что ещё вы от него хотите? Поработал под браузером — всё стёр — восстановил его конфиги из чистого бэкапа [1], [2].
комментариев: 6 документов: 0 редакций: 0
комментариев: 12 документов: 0 редакций: 0
Ещё информация по теме. 1, 2, 3, 4, 5.
Перед началом работы WebRTC запрашивает подтвеждение в firefox но был баг позволяющий это обойти?
В торбраузере сервис по умолчанию отключен или отсутствует, опции media.peerconnection.enabled нет в списке about:config.
комментариев: 511 документов: 2 редакций: 70
Правда, бывают более тонкие ситуации, когда скрывается местоположение, но не личность. Если такой юзер работает через VPN, прокси или иную подобную технологию, он заинтересован в том, чтобы сайт мог знать только IP сервера, а браузер не светил данными локального IP. Тут TorBroser, используемый как обычный, IMHO, мог бы помочь.
Интересно, как такие сайты будут реагировать на TorBrowser без Tor'а. В принципе, TorBrowser добровольно не афиширует себя как TorBrowser перед всеми.
комментариев: 511 документов: 2 редакций: 70
Кому-нибудь удавалось пройти квест «настрой современный Tor Browser на работу с той прокси, которая не Tor»?
Если указываем SOCKS-прокси ssh'а, в логи ssh сыпется
В логах SSH светится, что он при старте пытается проверить себя на check.torproject.org, и какие бы опции ни выключал (кажется, штук 10 отредактировал, имеющих хоть какое-то отношение к такому поведению), он всё равно упорно туда ломится.
Похоже, защита от дурака в TBB дошла до такой степени, что недурак не сможет её обойти. В сети инструкции, как это сделать, тоже не гуглятся. С polipo не пробовал. Если просто смена дефолтного порта Tor'а уже требует неимоверных плясок, то что говорить про смену ещё и типа прокси...
UPD: Среди типов SOCKS-аутентификации в SSH действительно есть
комментариев: 11558 документов: 1036 редакций: 4118
Так и есть. Поддерживает 4a.
комментариев: 511 документов: 2 редакций: 70
Firefox не умеет 4a. Раньше эту проблему решали перенаправлением всего трафика через privoxy или polipo. Впрочем, можно попробовать сделать локальный DNS-резолвинг через Tor [1], [2].
комментариев: 511 документов: 2 редакций: 70
Наверно, тоже не поможет, поскольку, по всей видимости, ключевая проблема — в этом.
комментариев: 450 документов: 10 редакций: 13
Скорей всего нет, а вот другой тикет, по всей видимости точно описывает проблему.
Браузер без условий "выбирает":
SSH ждёт/умеет только SSH_SOCKS5_NOAUTH, но в запросе от клиента этот метод not found.
Патч про метод.
комментариев: 511 документов: 2 редакций: 70
Почему тогда с privoxy тоже не работает?
Если это и правда так, то мог бы помочь какой-то промежуточный SOCKS-прокси между TorBrowser'ом и SSH'ем.
комментариев: 450 документов: 10 редакций: 13
Пишут, что начиная с версии 6.0a3 исправили добавлением опции extensions.torbutton.use_nontor_proxy для таких случаев: