Дополнения браузера Firefox, связанные с безопасностью

Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 10 и выше)

24 апреля прекращена поддержка Firefox 3.6

Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом.

Наряду с обычным Firefox 10 вышел Firefox 10 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности.

Внимание! Соблюдать анонимность, не используя прокси не возможно. Подробнее: https://www.pgpru.com/soft/ras.....ekomendacii#h52239-9

Можно выделить список дополнений на которые стоит обратить внимание (подбираете необходимое и решаете, что ставить только вы):
NoScript + Cookie Monster + BetterPrivacy + AdBlock Plus (отключите счетчик попаданий) + HTTPS Everywhere + HTTPS Finder + RequestPolicy + BrowserProtect + HTML5 Local Storage Explorer + RefControl

Если у вас есть необходимые знания можете добавить:
Certificate Patrol + Cipherfox + TorButton (идет по умолчанию с TorBrowser и правильно работает только сним, обратите внимание)

Внимание: При жесткой фильтрации. Список нужно сократить (это только рекомендация) до Cookie Monster + BetterPrivacy + BrowserProtect + HTML5 Local Storage Explorer + Certificate Patrol + Cipherfox. Блокировка оставляет следы, а использование этих дополнений малозаментно (трудно определить наличие). Причем каждое из этих дополнений будет требовать грамотного контроля. Или используйте сборку от проекта Tor, если вы ему доверяете.

TorButton

TorButton — Дополнение добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное дополнение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Внимание! Использование TorButton с обычным Firefox (не с модификацией TorBrowser) бессмысленно, так как некоторые элементы защиты могут не работать.

Управление прокси

FoxyProxy

FoxyProxy — Данное дополнение позволяет указать список прокси серверов и назначить для каждого прокси сервера шаблоны URL-ов, обращение к которым будет происходить через этот прокси сервер. Дополнение поддерживает Tor, существует мастер настройки (wizard) для простого и быстрого конфигурирования Tor proxy (как в связке с privoxy так и без).

Контроль JavaScript, Java, Flash и других элементов страницы

NoScript

NoScript — С помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки дополнения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

YesScript

YesScript – позволяет создавать чёрный список сайтов, которым запрещено выполнять JavaScript. Отправить сайт в чёрный список (и убрать его оттуда) можно, щёлкнув на значке YesScript в строке состояния. Также можно ввести адрес сайта вручную.
В отличие от расширения NoScript, которое запрещает JavaScript по умолчанию, YesScript позволяет сначала посмотреть на работу сайта, а потом принять решение о блокировке скриптов.

RequestPolicy

RequestPolicy — Предотвращает ошибочное делегирование прав доступа, основанное на кросс-сайтовых запросах, которое происходит, если какая-либо программа использует свои полномочия неправильно, будучи введённой в заблуждение третьей стороной. Посредническая атака через позволяет атакующему косвенно подключаться к TCP портам, к которым сам атакующий не имеет доступа. Для этого используется удалённый сервер, который и выступает в роли «обманутого представителя».

Flashblock

Flashblock — Это дополнение блокирует загрузку ВСЕХ флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.

История, cookies и кэш. Следы пребывания в интернете и локально

Cookie Monster

Cookie Monster — Обеспечивает удобное проактивное управление расширенными настройками cookies для сайта или домена, в том числе сторонних. (аналог CookieSafe)

Click&Clean

Click&Clean — Дополнение добавляет кнопку вызывающую стандартную функцию очистки истории веб-серфинга, дополнительно удаляет Flash Cookies (LSO). Для более тщательной очистки системы с помощью этого дополнения, вы можете подключить любую внешнюю программу "чистильщик" (пример: BleachBit, Computer Janitor, CCleaner, WiseDiscCleaner, ...), которые могут удалять историю веб-серфинга более надежно с помощью специальных алгоритмов.

Eraser

Eraser — Автоматически (при выходе из браузера) или вручную, нажатием всего одной кнопки, уничтожает всю историю вашего веб-сёрфинга (Flash Cookies и т.д.).

BetterPrivacy

BetterPrivacy — Это отличное дополнение, которое защищает вас от куки, используемых Flash приложениями, которые часто сохраняются навсегда и не очищаются при использовании стандартной функции очистки браузера Firefox "Удалить личные данные…".

Secure Sanitizer

Secure Sanitizer — Позволяет очищать недавнюю историю тремя методами:
1) Обычное удаление.
2) Затирание случайными данными.
3) Затирание в три шага методом "US DoD 5220".

Имеется дополнение для Secure Sanitizer – AskForSanitize, добавляющее меню удаления истории при завершении Firefox.

HTML5 Local Storage Explorer

Foundstone HTML5 Local Storage Explorer — позволяет управлять содержимым локального хранилища HTML5 (HTML5 Local Storage, DOM Storage) — просматривать, удалять, изменять. Это не флэш куки (LSO), а аналог обычных куков с расширенными возможностями.

Борьба с рекламой

Реклама часто несет опасность, связанную с переадресацией или банальным кликом "не туда".

AdBlock Plus

AdBlock Plus — Надоела навязчивая реклама в интернете, которая часто загружается дольше всего остального на странице? Установите Adblock Plus и избавьтесь от нее навсегда!

Adblock Plus: Element Hiding Helper

Element Hiding Helper — Расширяет возможности Adblock Plus, упрощая создание правил для скрытия элементов.

Анализ трафика, кода, других данных и/или их изменение

Небольшой обзор инструментов веб-разработки на русском: http://habrahabr.ru/blogs/webdev/133566/

Firebug

Firebug — многофункциональный инструмент для анализа кода, трафика и их изменения.
Важный момент – расширения для Firebug, позволяющие очень сильно увеличить возможности.

Пользовательские скрипты

Пользовательские скрипты — это скрипты написанные на языке JavaScript, которые можно выполнять внутри браузера.

Да, конечно можно вставить код скрипта в адресную строку и выполнить его, но перейдя на новую страницу – скрипт (в большинстве случаев) вам потребуется снова выполнять. Чтобы не делать этого вручную, были написаны 2 дополнения (абсолютно аналогичные друг другу, вам нужно только одно из них), для управления скриптами: GreaseMonkey и Scriptish. Второе дополнение более предпочтительно, т.к. в нём в отличие от первого проведены различные оптимизации и убрана совместимость со старыми версиями Firefox (версии до 4.0 – не поддерживаются), оно дополнено мелкими нововведениями и его код регулярно сверяется с кодом GreaseMonkey, так что все возможности GreaseMonkey перетекают в Scriptish.

Огромное хранилище пользовательских скриптов находится тут http://userscripts.org/, а здесь http://forum.mozilla-russia.org/viewforum.php?id=37 находится раздел русскоязычного форума посвящённый избранным скриптам (либо универсально полезным, либо написанным форумчанами).
По умолчанию – все скрипты кроссбраузерны, если не используют специфичные для какого-то браузера функции, вовнутрь скриптов можно вставлять и CSS-стили.

Внимание! Учтите, что скрипты никто не проверяет, так что устанавливаются они на ваш страх и риск.

Язык javascript не сложен и при необходимости, потратив немного времени на изучение, вы можете сами написать или проверить скрипт.

Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277

Пользовательские стили

Пользовательские стили – это то, что поможет изменить внешний облик браузера или сайтов.

Стили пишутся на формальном языке CSS. С помощью стилей можно создавать правила вроде "подсветить все ссылки таким-то цветом и подчеркнуть их волнистой линией", "сменить цвет фона и текста на этом сайте" или "сменить иконку курсора на такую-то, при наведении на прямую ссылку на скачивание *.zip архива". Писать стили довольно просто.

Пользовательские стили подключаются браузером при запуске из файлов userChrome.css (для стилей меняющих облик браузера) и userContent.css (для стилей меняющих облик сайтов). Чтобы иметь возможность применять стили без перезагрузки браузера – требуется установить дополнение Stylish.

Кстати, если разобрать *.xpi файл какой-то темы, то внутри будут стили в *.css файликах, да картинки (которые, кстати, можно врезать в стили). То есть можно написать стиль, который целиком будет заменять вам тему оформления.

Огромное хранилище пользовательских стилей находится тут http://userstyles.org/, а здесь http://forum.mozilla-russia.org/viewforum.php?id=38, находится раздел на форуме http://forum.mozilla-russia.org, где форумчане делятся полезными пользовательскими стилями.

Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277

Custom Buttons (a.k.a. КБ)

Custom Buttons (a.k.a. КБ) — это расширение, которое может быть использовано для создания программируемых кнопок, задавая им выполнение определённых функций.

Функционал этого дополнения настолько широк, что позволяет создавать очень продвинутые кнопки, которые способны заменить целиком некоторые дополнения. Для написания кнопок используется JavaScript, но с меньшими ограничениями (например, имеется возможность вызова встроенных функций браузера), чем у пользовательских скриптов.

На форуме mozilla-russia.org http://forum.mozilla-russia.org/viewtopic.php?id=9591 есть тема для обсуждения кодов кнопок, раздел http://forum.mozilla-russia.org/viewforum.php?id=34 с обсуждением готовых кнопок (там же есть и тема http://forum.mozilla-russia.org/viewtopic.php?id=41987 содержащая только уже готовые кнопки без их обсуждения). Существует и англоязычный форум http://custombuttons.mozdev.org/drupal/forum/68, где тоже выкладываются готовые кнопки.

Пример кнопки относящмйся к безопастности https://forum.mozilla-russia.o.....p?pid=490031#p490031 меняет user agent

Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277

Код

Пусто в разделе.

Трафик

HttpFox

HttpFox — дополнение анализирует входящий и исходящий трафик HTTP между браузером и сервером (заголовки запроса и ответа, отправленные и полученные куки (cookies), параметры запрос, POST параметры). Монитор перехватывает информацию браузер-сервер в реальном времени. Это дополнение для более подробного изучения сайта (сервера).

TamperData

TamperData — позволяет отслеживать и модифицировать http/https запросы. TamperData может помочь в тестировании, отладки web-приложений и не только. Так же, часто используется для «читерства» в сетевых играх.

fontinfo

fontinfo — позволяет просмотреть детальную информацию о шрифтах на странице. В том числе источник (если внешний, то адрес источника).

Контроль http заголовков (Http headers)

RefControl

RefControl — Дополнение сохраняет вашу анонимность: запрещает рефереры – передачу сведений о последней просмотренной странице сервера, на который вы переходите, нажав на определенную ссылку.

User Agent Switcher

User Agent Switcher — Позволяет менять user agent браузера, прикидываясь другим браузером (IE, Opera и т.д.) или ботом. Полезно для некоторых сайтов. Также возможно изменять некоторые другие заголовки, в основном, связанные с UserAgent.

UAControl

UAControl — Это дополнение позволяет контролировать строку User-Agent (название и версию браузера, используемую операционную систему и т.д.) передаваемую в HTTP заголовке, для отдельных сайтов (доменов).

LiveHTTPHeaders

LiveHTTPHeaders — Дополнение для просмотра HTTP заголовков в режиме реального времени.

Modify Headers

Modify Headers — Позволяет добавление, изменение и фильтр HTTP запросов заголовков отправляемых веб-серверу. Полезен для веб-разработки, HTTP тестирования и приватности.

Header Spy

Header Spy — Показывает заголовки HTTP в статусной строке браузера. После загрузки страницы, в статусной строке браузера появится наименование и версия операционной системы сервера, на котором установлен сайт. При наведении курсора, появится окошечко с информацией: User-agent, ответ сервера, дата, куки. Все это настраивается, можно добавлять, удалять, изменять размеры и прочее.

Другие данные

SQLite Manager

SQLite Manager — графический интерфейс для управления базами данных SQLite. Эта база данных используется в Mozilla Firefox для хранения данных (например: пароли, закладки и т.д.)

DOM Inspector

DOM Inspector — классический двухпанельный редактор DOM-дерева. Также работает с XUL.

Почта

Пусто в разделе.

Шифрование и пароли

Keylogger Beater

Keylogger Beater — Средство для борьбы с кейлоггерами (вредоносными программами, которые позволяют перехватывать информацию, вводимую пользователем с клавиатуры или при помощи мыши). Дополнение имеет два вида ввода, позволяющие обмануть кейлоггеры, посылая им ложные символы.

Master Password Timeout

Master Password Timeout — С помощью мастер-пароля блокирует браузер через определенный промежуток времени, устанавливаемый пользователем, с целью предотвращения несанкционированного доступа к критичной информации: закладкам, пароля и т.п., хранящимся в профиле.

Link Password

Link Password — Дополнение шифрует гиперссылки и их имена, хранящиеся в пользовательских закладках, при помощи пароля.

Password Exporter

Password Exporter — Средство для импорта-экспорта сохраненных логинов и паролей, в том числе и в зашифрованном виде.

Pwgen

Pwgen — Генерирует криптостойкие произвольные пароли любой заданной длины, включающие в себе буквы в разном регистре, цифры и спецсимволы.

Lock The Text

Lock The Text — Средство, позволяющее шифровать сообщения при помощи алгоритма AES. Возможно также шифрование текста пользовательских заметок, хранящихся во встроенном блокноте.

Secure Login

Secure Login — Средство для автоматического и безопасного введения связки «логин-пароль» на различных веб-ресурсах.

HTTPS Everywhere

Оф. сайт
Сайт Mozilla
По заявлению разработчиков, многие сайты предлагают посетителям по умолчанию доступ без шифрования, оставляя HTTPS как запасной вариант, или делают использование HTTPS затруднительным, например, из-за наличия ссылок из безопасной области на незашифрованные страницы сайта. Проект HTTPS Everywhere призван автоматизировать решение данных проблем путем перенаправления запросов на HTTPS-области во всех возможных случаях. Среди поддерживаемых известный сайтов, для которых дополнение может обеспечить полное шифрование передаваемых данных, называются: Google, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, New York Times, Washington Post и другие популярные сервисы.

При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления. Дополнительно разработчики дополнения советуют пользователям Firefox быть бдительными и при посещении защищенных областей сайтов обращать внимание на значок с изображением замка в правом нижнем углу, если замок разомкнут, то несмотря на характерную для шифрованной сессии подсветку адресной строки, данные шифруются не полностью и транзитный злоумышленник при желании может организовать прослушивание трафика.

Внимание: Иногда при доступе через https сайт может не предоставлять некоторые функции или некорректно работает. Обращайте на это внимание также при самостоятельном формировании правил. Тем не менее, т.к. правила можно выборочно отключать это дополнение скорее полезно.

Внимание! Вход по https при том, что по умолчанию на сайт вход по http выделяет вас из общей массы. Поэтому его следует использовать в частных случаюх. Например при обходе цензуры со стороны провайдера (или другой формы прослушки трафика), если провайдер или другие структуры не может получить доступ к данным с сайта. Так же иногда можно использовать для того, чтобы последний нод в сети Tor (выходящий трафик не шифрован) не имел доступа к вашим данным (например логину и паролю).

HTTPS Finder

HTTPS Finder — дополнение автоматически определяет доступность HTTPS (зашифрованного) соединения, посылая каждой HTTP странице маленький HTTPS запрос. После положительного ответа дополнение проверяет сертификат сайта и, если он действительный, перенаправляет на HTTPS страницу. Оно также обеспечивает создания и редактирования правил для дополнения HTTPS Everywhere одним нажатием кнопки. Другие функции включают в себя "белый список" (список игнорируемых доменов) и режим предупреждения, только оповещающий о возможности HTTPS соединения (без перенаправления).

Внимание! Вход по https при том, что по умолчанию на сайт вход по http выделяет вас из общей массы. Поэтому его следует использовать в частных случаюх. Например при обходе цензуры со стороны провайдера (или другой формы прослушки трафика), если провайдер или другие структуры не может получить доступ к данным с сайта. Так же иногда можно использовать для того, чтобы последний нод в сети Tor (выходящий трафик не шифрован) не имел доступа к вашим данным (например логину и паролю).

Certificate Patrol

Certificate Patrol — ваш браузер содержит множество сертификатов необходимых для HTTPS (зашифрованного соединения) сайтов. Это дополнение сообщает, когда сертификаты обновляются, так что вы можете проверить законно ли он был изменен.

Это дополнение облегчает обнаружение (хоть и постфактум) атак перехвата SSL-соединения, осуществляемых с использованием специально выпущенных сертификатов, подписанных удостоверяющими центрами. Данный аспект подробно рассмотрен в статье "Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них".

Cipherfox

Cipherfox — Показывает расширенную информацию о текущем SSL-соединении в статус баре.

Saved Password Editor

Saved Password Editor — Добавляет возможность создания и редактирования паролей в менеджере паролей. Это дополнение полезно, главным образом, при работе с некоторыми сайтами на которых отключено сохранение пароля. Конечно, существуют такие вещи как закладурки (bookmarklets), которые пытаются обойти такой код, но они не всегда работают. Как последний довод (ultima ratio), вы можете использовать это дополнение, чтобы ввести информацию вручную (или наполовину вручную). Для веб-форм предусмотрена кнопка, при этом нужные значения угадываются, если это не слишком тяжело, по отображаемой в настоящее время странице.

Разное

MafiaaFire Redirector

MafiaaFire Redirector — Антицензор. Позволяет пользователям Firefox посещать сайты, у которых по требованию американских властей были изъяты домены. К таким сайтам относятся файлообменники, торрент-трекеры и прочие ресурсы.

BrowserProtect

BrowserProtect — Последствием установки даже некоторых официальных программ может стать изменение настроек вашего браузера (например: защищает от неправомерной смены адреса домашней страницы, поисковой системы, а также от установки сторонних дополнительных панелей). Это дополнение предупреждает и по вашему желанию блокирует такие действия.

Link Alert

Link Alert — Меняет курсор (добавляет иконку рядом с курсором) согласно контенту по ссылке.

Extended Link Properties +

Extended Link Properties + — Позволяет узнать размер файла, время последнего изменения, тип содержимого, заголовок HTTP.

CookieSwap

CookieSwap — Позволяет переключаться между разными наборами cookies, таким образом можно пребывать на одном и том же сайте одновременно под разными профилями.

Внимание: При использовании опции "Стереть недавнюю историю" (на момент написания) не удаляются куки принадлежащие неактивному профилю. Их можно удалить используя функцию самого дополнения или переключая профили вручную и удаляя куки отдельно для каждого.

Exif Viewer

Exif Viewer — Позволяет просматривать данные EXIF и IPTC. (Exif (Exchangeable Image File), IPTC-NAA/IIM (International Press Telecommunications Council / Newspaper Association of America / Information Interchange Model) и IPTC Core (Adobe XMP, Extensible Metadata Platform)). Это информация добавляемая фотокамерами или прочими устройствами к фотографиям или иным картинкам (от технической, вроде модели камеры, до местоположения снимающего, определяемое через GPS).

Пример использования: http://habrahabr.ru/post/142192/

Preferences Cleaner

Preferences Cleaner — Позволяет точнее контролировать настройки дополнений и при необходимости удалять следы (настройки дополнений).

Автоматически отслеживает события установки и удаления расширений. Позволяет автоматически удалять настройки расширения при удалении самого расширения, либо предоставляет возможность сделать это позже вручную для каждого удалённого расширения. Также предоставляет возможность обнаруживать и удалять "непривязанные" настройки (настройки, не объявленные в defaults\prefs какого-либо из установленных расширений).

Доступ к функциональности расширения: главное меню Firefox – Инструменты – Очистка настроек.

Поисковые плагины

Выпадающий список серверов, с помощью которых вы можете осуществлять поиск — ни что иное, как список установленных в вашей системе поисковых плагинов.

Страничка на mozilla-russia.org относящаяся к поисковым плагинам, но не относящаяся к безопасности:
http://mozilla-russia.org/searchengines

Внимание: Список поисковых плагинов может выдать вас, как пользователей соответствующих сайтов на которых вы ищите. Следите за этим.

Add to Search Bar

Add to Search Bar — (это дополненение, а не поисковой плагин), позволяет добавить любой сайт в панель поиска просто кликнув по строке поиска и выбрав соответствующий пункт контекстного меню.

pgp.mit.edu

PGPkeySearch — Добавляет в список поисковых плагинов pgp.mit.edu. Ищет ключи на pgp.mit.edu не только по KeyID (идентификатору ключа), а ещё и по адресу электронной почты.

Google SSL Search

Google SSL Search — Поиск через google с использованием зашифрованного соединения.

Рекомендации и советы

Читать основную статью[создать]