Стандартная конфигурация Firefox и безопасность
Сегодня наткнулся в фаерфоксе на такую штуку, как webRTC. Это новый протокол для p2p коммуникаций между браузерами, проблема в том, что его побочным действием является полное раскрытие внешнего и внутренних адресов сети. В стандартной конфигурации он по умолчанию включен. Проверить можно здесь diafygi.github.io/webrtc-ips/.
Вопрос в следующем: какие еще потенциально опасные моменты присутствуют в стандартных конфигах firefox? Каким образом можно себя обезопасить(интересует безопасность со стороны браузера, без обсуждения других концепций обеспечения безопасности)
Ссылки
[link1] http://www.pgpru.com/soft/rasshirenijafirefox
[link2] http://www.pgpru.com/chernowiki/statji/raznoe/mozilla/firefoxconfig
[link3] http://www.pgpru.com/forum/anonimnostjvinternet/firefoxneizkomplektatorbrowser
[link4] http://www.pgpru.com/comment48891
[link5] http://www.pgpru.com/comment88517
[link6] http://www.pgpru.com/comment90180
[link7] http://www.pgpru.com/comment70931
[link8] http://www.pgpru.com/comment78627
[link9] https://github.com/The-OP/Fox/blob/master/prefs_1.js
[link10] https://github.com/The-OP/Fox/blob/master/prefs_2.js
[link11] https://github.com/The-OP/Fox/blob/master/prefs_3.js
[link12] https://addons.mozilla.org/En-us/firefox/addon/happy-bonobo-disable-webrtc/
[link13] https://www.browserleaks.com/webrtc
[link14] https://support.mozilla.org/en-US/questions/963501
[link15] https://hacks.mozilla.org/2013/06/webrtc-comes-to-firefox/
[link16] https://www.purevpn.com/blog/disable-webrtc-in-chrome-and-firefox-to-protect-anonymity/
[link17] http://www.pgpru.com/comment92414
[link18] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjsetjtor#h36916-2
[link19] http://www.pgpru.com/comment58262
[link20] http://www.pgpru.com/comment93954
[link21] https://trac.torproject.org/projects/tor/ticket/16073
[link22] https://gitweb.torproject.org/tor-browser.git/commit/?h=tor-browser-38.2.1esr-5.0-1&id=f0d2185c8e3d03d7183afcdceb8c0d11bb6f7c23
[link23] http://www.pgpru.com/comment93646
[link24] https://trac.torproject.org/projects/tor/ticket/16917
[link25] https://groups.google.com/forum/#!msg/qubes-devel/EXrWFgEp5Sg/SR-KMw4ngVcJ
dom.storage отключай в 0, media.peerconection и ещё парочку, поищи сам, гугл не забанили.
спасибо и на этом, Гость.
Было несколько документов на эту тему разной степени (не)нужности [1][link1], [2][link2], [3][link3], [4][link4] (смотреть, что есть в TorBrowser, и творчески это перетаскивать в обычный firefox, если вдруг он кому-то позарез нужен), [5][link5], [6][link6].
geo.enabled → false.
А какие есть альтернативы, кроме как допиливать firefox под свои нужды (что является совсем не простой задачей, судя по обсуждениям по ссылкам)? Вы сторонник использования TBB, или существуют более приемлимые на данный момент варианты?
Да, я сторонник использования TorBrowser'а. Он не панацея, но покрывает большую часть того, что обычному юзеру нужно от web'а. Исключением являются сайты, идеологически не дружащие с анонимностью, где хоть так, хоть так надо указывать свои реальные данные, а пользование этими сайтами под Tor'ом может привести к блокировке аккаунта (интернет-банкинг и т.п. услуги). Можно использовать TorBrowser и без Tor'а, никто этого не запрещает.
Я не знаю, зачем вам допиливать firefox. Что вам от него нужно? Можно поправить несколько опций, типа геолокации, чтоб он совсем не борзел, но что ещё вы от него хотите? Поработал под браузером — всё стёр — восстановил его конфиги из чистого бэкапа [1][link7], [2][link8].
На случай, если кому-то будет нужна информация по теме. 1[link9], 2[link10], 3[link11].
Ещё информация по теме. 1[link12], 2[link13], 3[link14], 4[link15], 5[link16].
Перед началом работы WebRTC запрашивает подтвеждение в firefox но был баг позволяющий это обойти?
В торбраузере сервис по умолчанию отключен или отсутствует, опции media.peerconnection.enabled нет в списке about:config.
Правда, бывают более тонкие ситуации, когда скрывается местоположение, но не личность. Если такой юзер работает через VPN, прокси или иную подобную технологию, он заинтересован в том, чтобы сайт мог знать только IP сервера, а браузер не светил данными локального IP. Тут TorBroser, используемый как обычный, IMHO, мог бы помочь.
Интересно, как такие сайты будут реагировать на TorBrowser без Tor'а. В принципе, TorBrowser добровольно не афиширует себя как TorBrowser перед всеми.
Кому-нибудь удавалось пройти квест «настрой современный Tor Browser на работу с той прокси, которая не Tor»?
Если указываем SOCKS-прокси ssh'а, в логи ssh сыпется
В логах SSH светится, что он при старте пытается проверить себя на check.torproject.org, и какие бы опции ни выключал (кажется, штук 10 отредактировал, имеющих хоть какое-то отношение к такому поведению), он всё равно упорно туда ломится.
Похоже, защита от дурака в TBB дошла до такой степени, что недурак не сможет её обойти. В сети инструкции, как это сделать, тоже не гуглятся. С polipo не пробовал. Если просто смена дефолтного порта Tor'а уже требует неимоверных плясок[link17], то что говорить про смену ещё и типа прокси...
UPD: Среди типов SOCKS-аутентификации в SSH действительно есть
Так и есть. Поддерживает 4a.
Firefox не умеет 4a. Раньше эту проблему решали перенаправлением всего трафика через privoxy или polipo. Впрочем, можно попробовать сделать локальный DNS-резолвинг через Tor [1][link18], [2][link19].
Наверно, тоже не поможет, поскольку, по всей видимости, ключевая проблема — в этом[link20].
Скорей всего нет, а вот другой тикет[link21], по всей видимости точно описывает проблему.
Браузер без условий "выбирает":
SSH ждёт/умеет только SSH_SOCKS5_NOAUTH, но в запросе от клиента этот метод not found.
Патч[link22] про метод.
Почему тогда с privoxy тоже не работает[link23]?
Если это и правда так, то мог бы помочь какой-то промежуточный SOCKS-прокси между TorBrowser'ом и SSH'ем.
Пишут, что начиная с версии 6.0a3 исправили[link24] добавлением опции extensions.torbutton.use_nontor_proxy для таких случаев:
В рассылке Qubes озаботились[link25] этой проблемой: