Дополнения браузера Firefox, связанные с безопасностью

Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 3.6, 9, 10 и выше)

Наряду с обычным Firefox 10 вышел Firefox 10 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности.

TorButton

TorButton — Дополнение добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное дополнение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Управление прокси

MM3 ProxySwitch

MM3 ProxySwitch — В Браузере Firefox (и других программах Mozilla) Вы можете переключать установки только для одного Интернет-соединения. С MM3-ProxySwitch вы можете управлять различными конфигурациями и просто переключаться между ними.

FoxyProxy

FoxyProxy — Данное дополнение позволяет указать список прокси серверов и назначить для каждого прокси сервера шаблоны URL-ов обращение к которым будет происходить через этот прокси сервер. Дополнение поддерживает Tor, существует мастер настройки (wizard) для простого и быстрого конфигурирования Tor proxy (как в связке с privoxy так и без).

Контроль JavaScript, Java, Flash и других нежелательных элементов страницы

NoScript

NoScript — С помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки дополнения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

YesScript

YesScript – позволяет создавать чёрный список сайтов, которым запрещено выполнять JavaScript. Отправить сайт в чёрный список (и убрать его оттуда) можно, щёлкнув на значке YesScript в строке состояния. Также можно ввести адрес сайта вручную.
В отличие от расширения NoScript, которое запрещает JavaScript по умолчанию, YesScript позволяет сначала посмотреть на работу сайта, а потом принять решение о блокировке скриптов.

Flashblock

Flashblock — Это дополнение блокирует загрузку ВСЕХ флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.

История, cookies и кэш. Следы пребывания в интернете и локально

Cookie Monster

Cookie Monster — Обеспечивает удобное проактивное управление расширенными настройками cookies для сайта или домена, в том числе сторонних. (аналог CookieSafe)

Click&Clean

Click&Clean — Дополнение добавляет кнопку вызывающую стандартную функцию очистки истории веб-серфинга, дополнительно удаляет Flash Cookies (LSO). Для более тщательной очистки системы с помощью этого дополнения, вы можете подключить любую внешнюю программу "чистильщик" (пример: BleachBit, Computer Janitor, CCleaner, WiseDiscCleaner, ...), которые могут удалять историю веб-серфинга более надежно с помощью специальных алгоритмов.

Eraser

Eraser — Автоматически (при выходе из браузера) или вручную, нажатием всего одной кнопки, уничтожает всю историю вашего веб-сёрфинга (Flash Cookies и т.д.).

Privacy Plus

Privacy Plus — Дополнение повышает вашу приватность путем удаления cookies, основанных на технологии Flash LSO (веб видео- и аудио-графика).

BetterPrivacy

BetterPrivacy — Это отличное дополнение, которое защищает вас от куки, используемых Flash приложениями, которые часто сохраняются навсегда и не очищаются при использовании стандартной функции очистки браузера Firefox "Удалить личные данные…".

Secure Sanitizer

Secure Sanitizer — Позволяет очищать недавнюю истори тремя методами:
1) Обычное удаление.
2) Затирание случайными данными.
3) Затирание в три шага методом "US DoD 5220".

Имеется дополнение для Secure Sanitizer – AskForSanitize, добавляющее меню удаление истории при завершении Firefox.

Борьба с рекламой

Реклама часто несет опасность, связанную с переадресацией или банальным кликом "не туда".

AdBlock Plus

AdBlock Plus — Надоела навязчивая реклама в интернете, которая часто загружается дольше всего остального на странице? Установите Adblock Plus и избавьтесь от нее навсегда!

Adblock Plus: Element Hiding Helper

Element Hiding Helper — Расширяет возможности Adblock Plus, упрощая создание правил для скрытия элементов.

Контроль http заголовков (Http headers)

RefControl

RefControl — Дополнение сохраняет вашу анонимность: запрещает рефереры – передачу сведений о последней просмотренной странице сервера, на который вы переходите, нажав на определенную ссылку.

User Agent Switcher

User Agent Switcher — Позволяет менять user agent браузера, прикидываясь другим браузером (IE, Opera и т.д.) или ботом. Полезно для некоторых сайтов. Также возможно изменять некоторые другие заголовки, в основном, связанные с UserAgent.

UAControl

UAControl — Это дополнение позволяет контролировать строку User-Agent (название и версию браузера, используемую операционную систему и т.д.) передаваемую в HTTP заголовке, для отдельных сайтов (доменов).

Внимание: Дополнение может не контролировать родную строку User-Agent, если сайт использует JavaScript (например, navigator.userAgent). И некоторые сайты требуют допустимый (действительный, настоящий) User-Agent, в таких случаях настоятельно рекомендуется временно отключить это дополнение.

LiveHTTPHeaders

LiveHTTPHeaders — Дополнение для просмотра HTTP заголовков в режиме реального времени.

Modify Headers

Modify Headers — Позволяет добавление, изменение и фильтр HTTP запросов заголовков отправляемых веб-серверу. Полезен для веб-разработки, HTTP тестирования и приватности.

Header Spy

Header Spy — Показывает заголовки HTTP в статусной строке браузера. После загрузки страницы, в статусной строке браузера появится наименование и версия операционной системы сервера, на котором установлен сайт. При наведении курсора, появится окошечко с информацией: User-agent, ответ сервера, дата, куки. Все это настраивается, можно добавлять, удалять, изменять размеры и прочее.

Анализ трафика

HttpFox

HttpFox — Дополнение анализирует входящий и исходящий трафик HTTP между браузером и сервером (заголовки запроса и ответа, отправленные и полученные куки (cookies), параметры запрос, POST параметры). Монитор перехватывает информацию браузер-сервер в реальном времени. Это дополнение для более подробного изучения сайта (сервера).

TamperData

TamperData — Позволяет отслеживать и модифицировать http/https запросы. TamperData может помочь в тестировании, отладки web-приложений и не только. Так же, часто используется для «читерства» в сетевых играх.

Почта

MailCatch

MailCatch — Дополнение, позволяющее генерировать и использовать «одноразовые» анонимные почтовые ящики, предназначенные для регистрации на сомнительных веб-ресурсах или в целях «одноразовой» переписки.

TrashMail.net – Anti-Spam

TrashMail.net – Anti-Spam — Вы создаете новый почтовый ящик "@ trashmail.net", который живет столько времени, сколько вы сочтете нужным. В пределах от одного дня до шести месяцев. Настраиваете переадресацию на свой почтовый ящик. Указываете, сколько раз разрешаете перенаправлять к вам письма. После этого ящик самоуничтожится. Предназначен для регистрации на сомнительных веб-ресурсах или отсечения спама.

Шифрование и пароли

Keylogger Beater

Keylogger Beater — Средство для борьбы с кейлоггерами (вредоносными программами, которые позволяют перехватывать информацию, вводимую пользователем с клавиатуры или при помощи мыши). Дополнение имеет два вида ввода, позволяющие обмануть кейлоггеры, посылая им ложные символы.

Master Password Timeout

Master Password Timeout — С помощью мастер-пароля блокирует браузер через определенный промежуток времени, устанавливаемый пользователем, с целью предотвращения несанкционированного доступа к критичной информации: закладкам, пароля и т.п., хранящимся в профиле.

Link Password

Link Password — Дополнение шифрует гиперссылки и их имена, хранящиеся в пользовательских закладках, при помощи пароля.

Password Exporter

Password Exporter — Средство для импорта-экспорта сохраненных логинов и паролей, в том числе и в зашифрованном виде.

Pwgen

Pwgen — Генерирует криптостойкие произвольные пароли любой заданной длины, включающие в себе буквы в разном регистре, цифры и спецсимволы.

Lock The Text

Lock The Text — Средство, позволяющее шифровать сообщения при помощи алгоритма AES. Возможно также шифрование текста пользовательских заметок, хранящихся во встроенном блокноте (см. описание дополнения FoxNotes).

FoxNotes

FoxNotes — Функциональный и многостраничный блокнот для хранения заметок. Имеет функцию шифрование текста при помощи алгоритма AES (см. описание дополнения Lock The Text).

Secure Login

Secure Login — Средство для автоматического и безопасного введения связки «логин-пароль» на различных веб-ресурсах.

HTTPS Everywhere

Оф. сайт
Сайт Mozilla
По заявлению разработчиков, многие сайты предлагают посетителям по умолчанию доступ без шифрования, оставляя HTTPS как запасной вариант, или делают использование HTTPS затруднительным, например, из-за наличия ссылок из безопасной области на незашифрованные страницы сайта. Проект HTTPS Everywhere призван автоматизировать решение данных проблем путем перенаправления запросов на HTTPS-области во всех возможных случаях. Среди поддерживаемых известный сайтов, для которых дополнение может обеспечить полное шифрование передаваемых данных, называются: Google, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, Scroogle, New York Times, Washington Post и другие популярные сервисы.

При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления. Дополнительно разработчики дополнения советуют пользователям Firefox быть бдительными и при посещении защищенных областей сайтов обращать внимание на значок с изображением замка в правом нижнем углу, если замок разомкнут, то несмотря на характерную для шифрованной сессии подсветку адресной строки, данные шифруются не полностью и транзитный злоумышленник при желании может организовать прослушивание трафика.

Внимание: Иногда при доступе через https сайт может не предоставлять некоторые функции или некорректно работает. Обращайте на это внимание также при самостоятельном формировании правил. Тем не менее, т.к. правила можно выборочно отключать это дополнение скорее полезно.

HTTPS Finder

HTTPS Finder — дополнение автоматически определяет доступность HTTPS (зашифрованного) соединения, посылая каждой HTTP странице маленький HTTPS запрос. После положительного ответа дополнение проверяет сертификат сайта и, если он действительный, перенаправляет на HTTPS страницу. Оно также обеспечивает создания и редактирования правил для дополнения HTTPS Everywhere одним нажатием кнопки. Другие функции включают в себя "белый список" (список игнорируемых доменов) и режим предупреждения, только оповещающий о возможности HTTPS соединения (без перенаправления).

Certificate Patrol

Certificate Patrol — ваш браузер содержит множество сертификатов необходимых для HTTPS (зашифрованного соединения) сайтов. Это дополнение сообщает, когда сертификаты обновляются, так что вы можете проверить законно ли он был изменен.

Это дополнение облегчает обнаружение (хоть и постфактум) атак перехвата SSL-соединения, осуществляемых с использованием специально выпущенных сертификатов, подписанных удостоверяющими центрами. Данный аспект подробно рассмотрен в статье "Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них".

Cipherfox

Cipherfox — Показывает расширенную информацию о текущем SSL-соединении в статус баре.

Saved Password Editor

Saved Password Editor — Добавляет возможность создания и редактирования паролей в менеджере паролей. Это дополнение полезно, главным образом, при работе с некоторыми сайтами на которых отключено сохранение пароля. Конечно, существуют такие вещи как закладурки (bookmarklets), которые пытаются обойти такой код, но они не всегда работают. Как последний довод (ultima ratio), вы можете использовать это дополнение, чтобы ввести информацию вручную (или наполовину вручную). Для веб-форм предусмотрена кнопка, при этом нужные значения угадываются, если это не слишком тяжело, по отображаемой в настоящее время странице.

Разное

RequestPolicy

RequestPolicy — Предотвращает ошибочное делегирование прав доступа, основанное на кросс-сайтовых запросах, которое происходит, если какая-либо программа использует свои полномочия неправильно, будучи введённой в заблуждение третьей стороной. Посредническая атака через позволяет атакующему косвенно подключаться к TCP портам, к которым сам атакующий не имеет доступа. Для этого используется удалённый сервер, который и выступает в роли «обманутого представителя».

MafiaaFire Redirector

MafiaaFire Redirector — Антицензор. Позволяет пользователям Firefox посещать сайты, у которых по требованию американских властей были изъяты домены. К таким сайтам относятся файлообменники, торрент-трекеры и прочие ресурсы.

BrowserProtect

BrowserProtect — Последствием установки даже некоторых официальных программ может стать изменение настроек вашего браузера (например: защищает от неправомерной смены адреса домашней страницы, поисковой системы, а также от установки сторонних дополнительных панелей). Это дополнение предупреждает и по вашему желанию блокирует такие действия.

Link Alert

Link Alert — Меняет курсор (добавляет иконку рядом с курсором) согласно контенту по ссылке.

Extended Link Properties +

Extended Link Properties + — Позволяет узнать размер файла, время последнего изменения, тип содержимого, заголовок HTTP.

CookieSwap

CookieSwap — Позволяет переключаться между разными наборами cookies, таким образом можно заходить на один сайт под разными профилями.

Внимание: При использовании опции "Стереть недавнюю историю" (на момент написания) не удаляются куки принадлежащие неактивному профилю. Их можно удалить используя функцию самого дополнения или переключая профили вручную и удаляя куки отдельно для каждого.

Поисковые плагины

Выпадающий список серверов, с помощью которых вы можете осуществлять поиск — ни что иное, как список установленных в вашей системе поисковых плагинов.

Страничка на mozilla-russia.org относящаяся к поисковым плагинам, но не относящаяся к безопасности:
http://mozilla-russia.org/searchengines

Внимание: Список поисковых плагинов может выдать вас, как пользователей соответствующих сайтов на которых вы ищите. Следите за этим.

Add to Search Bar

Add to Search Bar — (это дополненение, а не поисковой плагин), позволяет добавить любой сайт в панель поиска просто кликнув по строке поиска и выбрав соответствующий пункт контекстного меню.

pgp.mit.edu

PGPkeySearch — Добавляет в список поисковых плагинов pgp.mit.edu. Ищет ключи на pgp.mit.edu не только по KeyID (идентификатору ключа), а ещё и по адресу электронной почты.

Google SSL Search

Google SSL Search — Поиск через google с использованием зашифрованного соединения.

Google SSL(Language: RU)

Google SSL(Language: RU) — Поиск через google по русскоязычным сайтам с использованием зашифрованного соединения.

Scroogle (SSL)

Scroogle (SSL) — Парсер выдачи Google, предназначенный для сокрытия персональных данных от корпорации.
Google собирает информацию о посетителях и их запросах, проставляет им HTTP-Cookie до 2038 года и выдаёт рекламу на основе запросов пользователя — Google Adsense. (Внимание: далее найденное в интернете и, возможно, недостоверное описание.) Данный проект позволяет пользователю скрыть свой реальный IP-адрес от Google и не дает проставить cookie, а всю свою статистику очищает каждые 2 дня. То есть он работает по принципу анонимного прокси. Также поддерживает парсинг выдачи Yahoo. Есть поддержка русского. Scroogle поддерживается Public Information Research, Inc., некоммерческой организацией, возглавляемой Дэниелом Брендтом, который также руководит проектом Google Watch.

Рекомендации и советы

Cоветы

Нет никакой гарантии полного удаление следов пребывания в Интернете при помощи каких-либо программ или дополнений. Поэтому для Windows предпочтительнее использовать портативную (Portable) версию браузера и хранить ее в зашифрованной области носителя. Для других систем и не портативных версий можно ограничиться зашифрованной областью. Также необходимо периодически удалять куки, кэш и т.п.

При очистке недавней истории многие элементы, касающиеся дополнений, не удаляются. Необходимо проверять настройки дополнений на наличие:
1) Автоматического обновления.
2) Ссылок на посещенные страницы.
3) Путей к файлам системы (пример: папка или файл для сохранения настроек).
4) Настроек Proxy или других функций для конкретного дополнения (пример: адрес Proxy в дополнении для использования FTP).
5) Списка серификатов посещенных сайтов
Инструменты – Настройка – Дополнительно – Шифрование – Просмотр сертификатов
(удалите дискредитирующие вас данные).
6) Заблокированных или разрешенных элементов и т.д. (примеры: "Журнал", "История", "Белые", "Черные" и другие списки).

Обратите внимание на некоторые элементы профиля Firefox:

places.sqlite – закладки и история.
key3.db и signons.sqlite – логины и пароли.
permissions.sqlite – особые настройки сайтов.
search.sqlite и папка searchplugins содержит поисковые машины, доступные в "Панели поиска" Firefox.
persdict.dat – личный словарь, содержит слова, которые вы добавляли в словарь Firefox.
formhistory.sqlite – история заполнения форм.
cookies.sqlite – куки.
cert8.db – настройки сертификатов безопасности.
mimeTypes.rdf – настройка управления типами файлов.
\chrome\userChrome.css и \chrome\userContent.css – (если они имеются) содержат изменения, произведённые пользователем, в стилях пользователя.
downloads.sqlite – загрузки.
bookmarkbackups – папка резервной копии закладок.

Удаление этих файлов и папок приведет к очистке соответствующих данных. Дополнения могут создавать свои файлы и папки для хранения своих настроек и других данных.
Подробнее: https://support.mozilla.com/ru/kb/profili

Дополнения, связанные с передачей данных, не имеющие в описании или настройках необходимой информации о способе передачи, нужно проверять (например с помощью сниффера) на наличие незапланированных подключений.

Обратите внимание, если соединение с сайтом зашифровано и на нем нет незашифрованных вставок, иконка перед строкой адреса приобретает синий цвет (на данный момент и со стандартной темой). В случае если страница зашифрована и имеет не зашифрованное содержимое эта иконка остается серой, но меняет класс css и может быть изменена на более заметную с помощью css.
Подробнее: http://forum.mozilla-russia.or.....p?pid=484498#p484498

Где найти PORTABLE-версии Firefox и как их использовать?

Воспользуйтесь готовыми (и проверенными временем!) сборками:
от Джона Халлера на http://portableapps.com/apps
от проекта Tor на https://www.torproject.org/projects/torbrowser.html.en

Если пользователю требуется надежная и гарантированная защита данных в Firefox – установите Truecrypt (http://truecrypt.org), настройте и русифицируйте его.

После чего создайте криптоконтейнер средствами Truecrypt, затем скачайте дистрибутивы Firefox в их portable-вариантах. Распакуйте дистрибутивы в открытый криптоконтейнер, настройте обе программы, установите необходимые дополнения.

Теперь вы можете пользоваться веб-браузером не опасаясь, что:
1) кто-то запустит их от вашего имени, просмотрит историю посещений или письма, а тем более – похитит ваши пароли или ассиметричные шифровальные ключи GnuPG;
2) что программы будут писать промежуточные данные, накапливаемые в процессе работы (кэш, кукиз и т.п.) в области, доступные всем пользователям, то есть "мимо" криптоконтейнера.

Truecrypt также может устанавливаться в portable-варианте, допустим на USB-Flash. Достаточно воспользоваться соответствующей командой меню программы, после чего в указанное вами место автоматически перепишутся файлы, необходимые для работы в "автономном" варианте. Туда же, то-есть на флэшку, вы можете поместить и сам криптоконтейнер. Таким образом, вы можете иметь с собою под рукой веб-браузер, надежно хранящийся в криптоконтейнере.

Примечание: всегда монтируйте криптоконтейнер, содержащий Firefox Portable, на одной и той же букве логического диска – допустим, зарезервируйте за ним диск Z. В противном случае некоторые из расширений могут отключиться или "забыть" свои настройки. Если же такое произошло, откройте Инструменты – Дополнения и нажмите на кнопку Найти обновления, после чего произойдет так называемое "обновление совместимости" или воспользуйтесь дополнениями MR Tech Toolkit (для Firefox 3.6), Nightly Tester Tools, Add-on Compatibility Reporter; или отключите проверку совместимости:

Для Firefox 3.6 поставьте в about:config значение extensions.checkCompatibility.3.6 = false
Соответственно, для Firefox 4.0 и более надо добавить:
extensions.checkCompatibility.4.0 = false
extensions.checkCompatibility.5.0 = false
...
extensions.checkCompatibility.9.0 = false

В Firefox 10 проверка совместимости отключена по умолчанию.

Источник: http://forum.mozilla-russia.or.....p?pid=342158#p342158

Рекомендуемые опции настройки

Открыть страницу настроек Firefox можно набрав в адресной строке:
about:config

1. Обновление списков неблагонадежных сайтов.

Если эта защита не нужна, её можно отключить через "Настройки" -> "Защита" -> "Информировать, не подозревается ли посещаемый веб-сайт в имитации другого веб-сайта" и "Информировать, не подозревается ли посещаемый веб-сайт в атаках на компьютеры".
Так же это можно сделать через страницу настроек:
browser.safebrowsing.enabled
и
browser.safebrowsing.malware.enabled
в about:config должны иметь значение false.

2. Отключение встроенной проверки обновлений

Firefox также периодически проверяет наличие обновлений для самого себя, установленных дополнений и поисковых плагинов.
Проверку обновлений можно отключить через "Настройки" -> "Дополнительно" -> "Обновления".

(Для Firefox 3)
Дополнительный канал потребления трафика появился в Firefox 3 — это новое окно поиска дополнений. Для отключения нужно найти параметр extensions.getAddons.showPane и выставить значение «false» [нажмите на строке правой кнопкой и выберите "переключить"].

(Для Firefox 4 и выше)
Убрать пункт "поиск" можно с помощью стилей.
http://forum.mozilla-russia.or.....topic.php?pid=484498

3. Отключение автоподстановки поисковых запросов в окне поиска

Найдите при помощи опции «Фильтр», а затем отредактируйте следующую строку:
Browser.search.suggest.enabled -> false [нажмите на строке правой кнопкой и выберите «переключить»]

4. Отключение геолокации

Найдите при помощи опции «Фильтр», а затем отредактируйте следующую строку:
geo.enabled -> false [нажмите на строке правой кнопкой и выберите «переключить»]

5. Принудительное транслирование dns-запросов через прокси.

Полезно, например при работе с TOR, чтобы обойти обращения к DNS провайдера.

network.proxy.socks_remote_dns -> true

6. Отключение пинг-трэкинга.

Пинг-трэкинг позволяет серверу легко отслеживать действия пользователя.

В спецификации HTML5 введен новый атрибут тега <a>, ping. Атрибут может содержать один (или больше) адрес для пинга (отправки POST запроса к) после клика по ссылке. Атрибут может использоваться для отслеживания действий посетителей. Подробнее: http://kb.mozillazine.org/Browser.send_pings

Отправлять POST запросы или игнорировать атрибут ping (значения true и false соответственно):

browser.send_pings -> false

7. Отключение предзагрузки ресурсов.

Если включена эта опция, ресурсы, помеченные rel="prefetch", браузер автоматически предзагружает и кэширует после окончания загрузки текущей страницы. Можно также отправить заголовок Link: <http://example.com>; rel=prefetch или сделать то же самое через meta-тег: <meta http-equiv="Link" content="<http://example.com>; rel=prefetch">

Рекомендуется отключить для предотвращения утечки трафика, также, возможно, имеется угроза атаки.
Источник http://habrahabr.ru/blogs/google/74123/.
Подробнее: http://kb.mozillazine.org/Network.prefetch-next

Значение false – отключение предзагрузки.

network.prefetch-next -> false

8. Обновление списка заблокированных дополнений.

Внимание! Эту опцию не рекомендуется отключать. Эта опция описана в целях ознакомления, чтобы исключить вопросы по утечки трафика. В Firefox и некоторые другие продукты Mozilla встроен чёрный список для вредоносных и неисправных дополнений. Обновляется он автоматически, с серверов Mozilla.

Существует два варианта уменьшить потребление трафика:

1. Выключить функцию (отрицательно для безопасности): поменять значение ключа extensions.blocklist.enabled -> false.
2. Увеличить интервал обновления: установить большее значение ключа extensions.blocklist.interval (в секундах).

Источник: http://habrahabr.ru/blogs/firefox/38030/
Подробнее:
http://kb.mozillazine.org/Extensions.blocklist.enabled
http://kb.mozillazine.org/Extensions.blocklist.interval

9. Отключение упреждающего чтения DNS

Эта опция позволяет Firefox запрашивать DNS для каждой ссылки на странице (на всякий случай, если вы решите её нажать).

network.dns.disablePrefetch поставить в true

Существует опция network.dns.disablePrefetchFromHTTPS по умолчанию она отключена (стоит в true).

Подробнее:
http://kb.mozillazine.org/Network.dns.disablePrefetch
https://developer.mozilla.org/.....ling_DNS_prefetching

10. Загрузка шрифтов

css правило @font-face позволяет определить настройки шрифтов, а также загрузить специфичный шрифт на компьютер пользователя.
Подробнее: https://developer.mozilla.org/en/css/@font-face

Существует вероятность отличить пользователя по загрузке/не загрузке шрифтов. За загрузку шрифтов отвечают опции:

browser.display.use_document_fonts
gfx.downloadable_fonts.enabled
gfx.downloadable_fonts.fallback_delay
gfx.downloadable_fonts.sanitize

Внимание. Если вы имеете описание какой-то из этих опций, просьба поделиться.
Внимание. Отключение/включение gfx.downloadable_fonts.enabled не имеет особого значения, так как и по отключению, и по включению можно получить некоторые данные о пользователе. Установите их на свое усмотрение и по ситуации.

Список дополнений, которые не должны использоваться с продуктами Mozilla

Add-ons Blocklist — Список дополнений, которые не должны использоваться с продуктами Mozilla.

Удаление дополнения Microsoft .NET Framework Assistant (ClickOnce) из Firefox (для ОС Windows)

Удаление дополнения Microsoft .NET Framework Assistant (ClickOnce) из Firefox.
C февраля 2009 года при обновлении Windows и установки Microsoft .NET Framework 3.5 Service Pack 1 не спрашивая вашего согласия устанавливается ещё и дополнение Microsoft .NET Framework Assistant для Firefox.

Это обновление добавляет в Firefox одну из самых опасных уязвимостей Internet Explorer — способность веб-сайтов легко и непринужденно устанавливать программное обеспечение на вашем ПК. Так как этот недостаток является одной из причин выбора безопасного браузера Firefox, то нужно как можно быстрее удалить это дополнение.

К сожалению Microsoft предприняла дополнительные меры для того, чтобы сделать удаление этого дополнения особо трудным, а для простого пользователя и вовсе невозможным. Это становится понятно, когда вы откроете окно Дополнений Firefox и увидите, что кнопка удаления дополнения не активна (по ней нельзя щелкнуть). По заявлениям сотрудников Microsoft это дополнение нуждается в поддержке на уровне системы для всех пользователей этого компьютера, но это плохая новость для пользователей Firefox.

Cпособ, благодаря которому можно избавиться от этого мусора:

1. Откройте редактор реестра (введите regedit в строке поиска Меню Пуск — начать поиск в Vista/Windows 7 или в строку Run (Выполнить) в Windows XP).
2. Разверните и дойдите до ключа:
   • 32-бит системы: HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla \ Firefox \ Extensions
   • x64 системы: HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Mozilla \ Firefox \ Extensions
3. Удалите значение {20a82645-c095-46ed-80e3-08825760534b} в правой части.
4. После этого закройте редактор реестра.
5. Откройте новое окно Firefox и наберите в адресной строке about:config и нажмите Enter.
6. Введите в Фильтр значение microsoftdotnet, чтобы быстрее найти значение general.useragent.extra.microsoftdotnet.
7. Наведите курсор на это значение, нажмите правой кнопкой мыши и в контекстном меню выберите Reset (Сбросить).
8. Перезагрузите Firefox.
9. Откройте Windows Explorer или любой другой файловый менеджер и найдите %SYSTEMDRIVE%\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation.
10. Зайдите в папку с названием DotNetAssistantExtension и удалите всё содержимое.
11. Откройте окно Add-ons (Дополнений) Firefox и убедитесь, что дополнение Microsoft .NET Framework Assistant было удалено.

Источник: http://www.annoyances.org/exec/show/article08-600, http://support.microsoft.com/kb/963707

Как запретить Firefox, в том числе Portable, цеплять плагины из системы (для Windows)

1. Информацию о плагинах, установленных в системе, Firefox, в том числе и portable версия, берёт из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins

2. Для того чтобы запретить цепляние плагинов из той ветки надо зайти в about:config и там изменить следующее значение:
plugin.scan.plid.all ставим в false
Этим мы запрещаем сканирование этой ветки. Также есть некоторые плагины, которые Firefox проверяет независимо от этой ветки.

Чтобы запретить ему подключение найденных, выставляем минимально разрешенную версию в максимум, вот так:
plugin.scan.Acrobat ставим в 999.0
plugin.scan.Quicktime ставим в 999.0
plugin.scan.SunJRE ставим в 999.0
plugin.scan.WindowsMediaPlayer ставим в 999.0
После чего перезапускаем Firefox.

3. Для того чтобы использовать свои конкретные версии в Firefox Portable поместите файлы плагинов (обычно .dll) в папку \FirefoxPortable\Data\plugins, естественно проделав указанные выше операции, тогда Firefox подхватит их из этой папки.

4. Чтобы проверить правильно ли всё вышло, поставьте в about:config (если ещё не стоит) параметр
plugin.expose_full_path в true
(он указывает отображать полные пути до плагинов) и набрав в адресной строке about:plugins посмотрите какие плагины и откуда используются.

Примечание: В пункте 3 информация, куда кидать плагины в обычном Firefox (не Portable) отсутствует.

Источник: http://forum.mozilla-russia.or.....p?pid=531076#p531076

Использованы материалы:
http://rosenfeld.mydisk.se
http://forum.mozilla-russia.org
http://www.mozilla.com