Дополнения браузера Firefox, связанные с безопасностью

Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 24 ESR и выше)

Наряду с обычным Firefox 24 вышел Firefox 24 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.

Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).

Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox.
(Отсутствие на странице "Политики приватности" ("Privacy Policy") означает использование политики по умолчанию. Судя по тому, что все рекламные и другие деанонимизирующие расширения используют свою политику, политика приватности по умолчанию достаточно анонимна и при её использовании ничего никуда не передается.)

Можно выделить список дополнений на которые стоит обратить внимание (подбираете необходимое и решаете, что ставить только вы):
NoScript + Cookie Monster + BetterPrivacy + AdBlock Plus + HTTPS Everywhere + RequestPolicy + FireStoragePlus! + RefControl + ipFlood (опционально, при использовании прокси)
Если требуется подменить отображаемую версию браузера: UAControl + UserAgentJSFixer.

Если у вас есть необходимые знания можете добавить:
Certificate Patrol + Cipherfox

Примечание: Расширение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.

Совет новичкам: Используйте TorBrowser, настройки и дополнения из этой статьи можно использовать для тонкой настройки или для частных случаев (не меняйте настройки TorBrowser и не ставьте дополнения, если плохо понимаете, что делаете). В нем исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
Если вы используете Windows обязательно поставьте и настройте какой-либо фаервол блокирующий все соединения TorBrowser кроме связанных с Tor. Либо используйте программы для виртуализации (VirtualBox) или эмуляции аппаратного обеспечения (QEMU) в которых и запускайте TorBrowser (были случаи заражения TorBrowser эксплоитами).
Настройка на примере COMODO Firewall

Примечание: На этой странице могут быть дополнения с проприетарными лицензиями. Это связано с тем, что Mozilla перед добавлением дополнения проводит проверку кода, с уникальностью и незаменимостью функций таких дополнений и тем, что большое количество пользователей использует проприетарные Windows, Flash, MS Office и некоторые кодеки. Это позволяет рассматривать проприетарность проверенных Mozilla дополнений Firefox, как незначительный минус.

Если ссылка не рабочая искать дополнение по его названию через поисковик. И желательно сообщить в комментариях об этом.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.

TorButton

TorButton — добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное дополнение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Внимание! Использование TorButton с обычным Firefox (не с модификацией TorBrowser) бессмысленно, так как некоторые элементы защиты могут не работать.

Управление прокси

FoxyProxy

FoxyProxy — позволяет указать список прокси серверов и назначить для каждого прокси сервера шаблоны URL-ов, обращение к которым будет происходить через этот прокси сервер.

Необходимые настройки приватности:
1. При составлении правил в них по умолчанию могут быть исключения для некоторых сайтов (google, facebook). Внимательно следите за этим и удаляйте, при необходимости.

Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы

NoScript

NoScript — c помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки дополнения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

Необходимые настройки приватности:
(названия могут не совпадать)
Эти опции не рекомендуется менять при использовании TorBrowser, не смотря на отключенные элементы защиты NoScript их аналоги могут быть в TorBrowser и при их включении возникнет конфликт.
1. "Опции" > "Дополнительно" > "ABE" > "WAN IP..." — снять галочку. (Для защиты против аттаки WAN IP необходимо знать внешний IP, расширение отправляет короткий запрос по зашифрованному каналу возвращающий IP. Это может оказаться лишней информацией для наблюдателя.)
2. (По ситуации) "Опции" > "Дополнительно" > "ABE" > "Использовать ABE..." — снять галочку. Эта функция позволяет составлять правила для работы с разными доменами, смотрите справку на сайте NoScript. (В TorBrowser эта функция отключена предположительно, чтобы не конфликтовала с модификациями TorBrowser. Возможно вы будете использовать расширения, которые могут конфликтовать.)
3. "Опции" > "Белый список" — удалить сайты-исключения из списка.
4. "Опции" > "Дополнительно" > "HTTPS" > "Cookies" > "Автоматическая система управления куками..." — поставить галочку.
5. "Опции" > "Дополнительно" > "Недоверенные" > "Запретить XSLT" — поставить галочку. (после запрета может не работать некоторое содержимое сайтов, но использование XSLT встречается редко)
6. "Опции" > "Встроенные объекты" > "Запретить WebGL" — поставить галочку. (после запрета может не работать некоторое содержимое сайтов, в основном связанное с графикой: игры, веб-приложения)
7. "Опции" > "Запретить <AUDIO><VIDEO>" — поставить галочку. (если не запретить, то в любой момент сайт сможет проиграть видео/аудио и окружающие услышат/увидят вас)
8. "Опции" > "Запретить @font-face" — (возможно не обязательно) поставить галочку. (запрещает загружать недостающие шрифты с сайта и сайт не может "понять" какие у вас шрифты уже есть, а каких нету)
9. "Опции" > "Запретить Java" — поставить галочку.
10. "Опции" > "Запретить другие плагины" — поставить галочку.
11. "Опции" > "Запретить Silverlight" — поставить галочку.

YesScript

YesScript – позволяет создавать чёрный список сайтов, которым запрещено выполнять JavaScript. Отправить сайт в чёрный список (и убрать его оттуда) можно, щёлкнув на значке YesScript в строке состояния. Также можно ввести адрес сайта вручную.
В отличие от расширения NoScript, которое запрещает JavaScript по умолчанию, YesScript позволяет сначала посмотреть на работу сайта, а потом принять решение о блокировке скриптов.

RequestPolicy

RequestPolicy — осуществляет контроль разрешенных межсайтовых запросов. Повышает конфиденциальность веб-серфинга. Защищает пользователя от подделки межсайтовых запросов (CSRF) и других атак.

Механизм работы.
Допустим, пользователь хочет посетить главную страницу Википедии, для чего вводит в адресную строку браузера адрес http://wikipedia.org

Если дополнение RequestPolicy не установлено: браузер найдет эту страницу в Интернете и покажет ее пользователю, но для корректного отображения он, без разрешения, загрузит кое-какие данные с сайта http://wikimedia.org.

Если RequestPolicy установлено: все «посторонние» запросы будут блокированы, значок программы станет насыщенно красным, сигнализируя о блокировке одного или более запросов. Далее пользователь может создать один из трех типов правил для каждого блокированного запроса.
Источник: https://ru.wikipedia.org/wiki/RequestPolicy

Flashblock

Flashblock — блокирует загрузку всех флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.

Yes popups

Yes popups — блокирует всплывающие окна.

Примечание. То же самое (кроме открытия заблокированного в любой момент) можно сделать и без дополнения: через страницу about:config, опция dom.popup_allowed_events и измените её значение на пустую строку. Точно также найдите параметр privacy.popups.disable_from_plugins и измените его значение на 3.
О опции http://kb.mozillazine.org/Priv.....disable_from_plugins

RightToClick

RightToClick — позволяет управлять разрешениями скриптов. Например: отключать запреты скриптами на выделения текста, запрет на правый клик мышью, управление таймерами функций, отключать обработку событий etc.

User-Agent JS Fixer

User-Agent JS Fixer — копирует содержимое заголовка содержащего user agent (название браузера, его версию и операционную систему) в объект который javascript использует для определения user agent. Используя с программами для подмены user agent можно подменить его и для скриптов.

Примечание. Может (и скорее всего) подменяет не всё. Ни каких гарантий. Кроме того имеются особенности поведения javascript в каждом браузере, поэтому хорошим программистам на javascript не составит труда придумать тест показывающий реальную версию и тип браузера.

New Plugin Disabler

New Plugin Disabler — деактивирует самовольно установившиеся плагины (Flash, Java etc). С ним плагин может включить только сам пользователь.

История, cookies и кэш. Следы пребывания в интернете и локально

Cookie Monster

Cookie Monster — обеспечивает удобное проактивное управление расширенными настройками cookies для сайта или домена, в том числе сторонних. (аналог устаревшего CookieSafe)

Необходимые настройки приватности:
1. Блокировать куков 3-их сторон (Block 3rd Party Cookies) — поставить галочку. (примечание: некоторые сайты или их части могут работать неправильно при такой блокировке, но количество таких сайтов очень мало)

У этого дополнения есть аналоги, которые можно посмотреть по тегу cookie или через поиск по сайту addons.mozilla.org

Self-Destructing Cookies

Self-Destructing Cookies — удаляет куки и содержимое локального хранилища HTML5 (HTML5 Local Storage, DOM Storage) сайта при закрытии вкладки с этим сайтом. В том числе после некоторого периода времени. Имеются и другие похожие функции.

AskForSanitize

AskForSanitize — добавляет диалог очистки истории при закрытии Firefox.

Примечание. Это дополнение – пример, аналоги можно найти на сайте https://addons.mozilla.org

BetterPrivacy

BetterPrivacy — защищает вас от куки, используемых Flash приложениями, которые часто сохраняются навсегда и не очищаются при использовании стандартной функции очистки браузера Firefox "Удалить личные данные…".

Необходимые настройки приватности:
1. "Удалять cookies флэшплеера..." — поставит галочку.
2. Остальные опции выставить на ваше усмотрение.

Secure Sanitizer

Secure Sanitizer — позволяет очищать недавнюю историю тремя методами:
1) Обычное удаление.
2) Затирание случайными данными.
3) Затирание в три шага методом "US DoD 5220".

FireStorage Plus!

FireStorage Plus! — дополнение для Firebug, позволяет управлять содержимым локального хранилища HTML5 (HTML5 Local Storage, DOM Storage) — просматривать, удалять, изменять. Это не флэш куки (LSO), а аналог обычных куков с расширенными возможностями.

Блокировка рекламы, сбора статистики etc

Реклама часто несет опасность, связанную с переадресацией или банальным кликом "не туда".

AdBlock Plus

AdBlock Plus — удаляет или скрывает рекламу на страницах сайтов. Существуют подписки (набор правил удаления со страницы) против счетчиков и неправильного ввода, против мошеннических сайтов.

Примечание. Как и в Ghostery блокировка элементов страницы может выдать вас. Поэтому использование с Tor не рекомендуется. Наличие AdBlock Plus можно обнаружить, что выделит вас из общей массы пользователей Tor.

Совет. Обратите внимание на различные подписки против счетчиков, рекламы и мошенников: https://adblockplus.org/ru/features#tracking

Необходимые настройки приватности:
1. "Дополнения" ("Add-ons") > "AdBlock Plus" > "Настройка" > "Считать попадания" — снять галочку.

Adblock Plus: Element Hiding Helper

Element Hiding Helper — расширяет возможности Adblock Plus, упрощая создание правил для скрытия элементов.

Ghostery

Ghostery — блокирует некоторые счетчики сайтов и другой внешний подгружаемый контент (ограниченное количество, только список созданный автором дополнения). В большинстве ситуаций бесполезен с точки зрения полной анонимности и безопасности. Существует ситуации в которых его можно использовать в целях анонимности (например: случайный клик по ссылке типа "лайк", Ghostery убирает "лайки" со страницы).

Примечание. Как и в AdBlock блокировка элементов страницы может выдать вас. Поэтому использование с Tor не рекомендуется.

Необходимые настройки приватности:
1. "Настройки" > "General" > "Enable GhostRank" — снять галочку.

Clean Links

Clean Links — при переходе по ссылке содержащей дополнительную информацию для рекламодателей очищает эту информацию. То есть ссылка вида
http://somesite.com/?to=www.example.com
превращается в ссылку
http://www.example.com/

Примечание. Важно понимать, что влияние этого и других подобных расширения на анонимность и безопасность минимально из-за большого количества других способов передать похожую и другую информацию.

Google/Yandex search link fix

Google/Yandex search link fix — аналог расширения Clean Links (рассмотрено выше) созданное для Google и Yandex.

Анализ трафика, кода, других данных и/или их изменение

Небольшой обзор инструментов веб-разработки на русском: http://habrahabr.ru/blogs/webdev/133566/

Firebug

Firebug — многофункциональный инструмент для анализа кода, трафика и их изменения.
Важный момент – расширения для Firebug, позволяющие сильно увеличить возможности.

Web Developer

Web Developer — добавляет панель с множеством инструментов для исследования сайтов, серверов, настройки Firefox etc.

Cookies Manager+

Cookies Manager+ — просмотр, дополнительная информация, редактирование, создание, резервирование/восстановление куков.

Пользовательские скрипты

Пользовательские скрипты — это скрипты написанные на языке JavaScript, которые можно выполнять внутри браузера.

Да, конечно можно вставить код скрипта в адресную строку и выполнить его, но перейдя на новую страницу – скрипт (в большинстве случаев) вам потребуется снова выполнять. Чтобы не делать этого вручную, были написаны 2 дополнения (абсолютно аналогичные друг другу, вам нужно только одно из них), для управления скриптами: GreaseMonkey и Scriptish. Второе дополнение более предпочтительно, т.к. в нём в отличие от первого проведены различные оптимизации и убрана совместимость со старыми версиями Firefox (версии до 4.0 – не поддерживаются), оно дополнено мелкими нововведениями и его код регулярно сверяется с кодом GreaseMonkey, так что все возможности GreaseMonkey перетекают в Scriptish.

Огромное хранилище пользовательских скриптов находится тут, а здесь находится раздел русскоязычного форума посвящённый избранным скриптам (либо универсально полезным, либо написанным форумчанами).
По умолчанию – все скрипты кроссбраузерны, если не используют специфичные для какого-то браузера функции, вовнутрь скриптов можно вставлять и CSS-стили.

Внимание! Учтите, что скрипты никто не проверяет, так что устанавливаются они на ваш страх и риск.

Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277

Пользовательские стили

Пользовательские стили – это то, что поможет изменить внешний облик браузера или сайтов.

Стили пишутся на формальном языке CSS. С помощью стилей можно создавать правила вроде "подсветить все ссылки таким-то цветом и подчеркнуть их волнистой линией", "сменить цвет фона и текста на этом сайте" или "сменить иконку курсора на такую-то, при наведении на прямую ссылку на скачивание *.zip архива". Писать стили довольно просто.

Пользовательские стили подключаются браузером при запуске из файлов userChrome.css (для стилей меняющих облик браузера) и userContent.css (для стилей меняющих облик сайтов). Чтобы иметь возможность применять стили без перезагрузки браузера – требуется установить дополнение Stylish.

Кстати, если разобрать *.xpi файл какой-то темы, то внутри будут стили в *.css файликах, да картинки (которые, кстати, можно врезать в стили). То есть можно написать стиль, который целиком будет заменять вам тему оформления.

Огромное хранилище пользовательских стилей находится тут, а здесь, находится раздел на форуме mozilla-russia.org, где форумчане делятся полезными пользовательскими стилями.

Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277

Custom Buttons (a.k.a. КБ)

Custom Buttons (a.k.a. КБ) — создания программируемых кнопок, задавая им выполнение определённых функций.

Функционал этого дополнения настолько широк, что позволяет создавать очень продвинутые кнопки, которые способны заменить целиком некоторые дополнения. Для написания кнопок используется JavaScript, но с меньшими ограничениями (например, имеется возможность вызова встроенных функций браузера), чем у пользовательских скриптов.

На форуме mozilla-russia.org есть тема для обсуждения кодов кнопок, раздел с обсуждением готовых кнопок (там же есть и тема содержащая только уже готовые кнопки, без их обсуждения). Существует и англоязычный форум, где тоже выкладываются готовые кнопки.

Примеры кнопок, относящийся к безопасности:
Меняет user agent
Настройка прокси

Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277

Код

HackBar

HackBar —- предназначен для проведения исследования уязвимостей, ручной sql и xss инъекции в адресной строке. Может разбить адресную строку по параметрам. Позволит быстро вставлять различные векторы для проверки уязвимостей. Имеет несколько полезных инструментов. Например для кодирования URL, строк и символов. Может перевести строку в CHAR(N,N,N,N), что удобно, когда экранируются кавычки.

JavaScript Deobfuscator

JavaScript Deobfuscator — делает читаемым обфусцированный код (с помощью программы или вручную запутанный js код, который трудно понять). Это дополнение попробует провести деобфускацию и приведет скрипт к более читабельному виду.

SQL Inject Me

SQL Inject Me — поиск уязвимостей к SQL инъекциям.

XSS Me

XSS Me — инструмент для поиска XSS-уязвимостей.

Трафик

HttpFox

HttpFox — анализирует входящий и исходящий трафик HTTP между браузером и сервером (заголовки запроса и ответа, отправленные и полученные куки (cookies), параметры запрос, POST параметры). Монитор перехватывает информацию браузер-сервер в реальном времени. Это дополнение для более подробного изучения сайта (сервера).

TamperData

TamperData — позволяет отслеживать и модифицировать http/https запросы. TamperData может помочь в тестировании, отладки web-приложений и не только.

View Dependencies

View Dependencie — добавляет в окно "Информация о странице" (клик по значку перед адресом) пункт со списком всех файлов страницы и информацию о них.

fontinfo

fontinfo — позволяет просмотреть детальную информацию о шрифтах на странице. В том числе источник (если внешний, то адрес источника).

Контроль http заголовков (Http headers)

Если вы подменяете user agent (меняете отправляемые http заголовки, чтобы подменить данные о используемом браузере) вы должны знать, что реальные данные можно получить с помощью javascript. Существует дополнение для подмены, если вы хотите подменить user agent полностью используйте их совместно User-Agent JS Fixe (но полностью скрыть user agent от скриптов оно не сможет).

RefControl

RefControl — управляет реферерами – передачей сведений о последней просмотренной странице сайта, сайту на который вы переходите с него, нажав на определенную ссылку.

Referrer Control

Referrer Control — управляет реферерами – передачей сведений о последней просмотренной странице сайта, сайту на который вы переходите с него, нажав на определенную ссылку.

User Agent Switcher

User Agent Switcher — позволяет менять user agent браузера, прикидываясь другим браузером (IE, Opera etc) или ботом. Полезно для некоторых сайтов. Также возможно изменять некоторые другие заголовки, в основном, связанные с UserAgent.

UAControl

UAControl — позволяет контролировать строку User-Agent (название и версию браузера, используемую операционную систему etc) передаваемую в HTTP заголовке, для отдельных сайтов (доменов).

LiveHTTPHeaders

LiveHTTPHeaders — просмотр HTTP заголовков в режиме реального времени.

Modify Headers

Modify Headers — добавление, изменение и фильтр HTTP запросов заголовков отправляемых веб-серверу. Полезен для веб-разработки, HTTP тестирования и приватности.

Header Spy

Header Spy — показывает заголовки HTTP в статусной строке браузера. После загрузки страницы, в статусной строке браузера появится наименование и версия операционной системы сервера, на котором установлен сайт. При наведении курсора, появится окошечко с информацией: User-agent, ответ сервера, дата, куки. Все это настраивается, можно добавлять, удалять, изменять размеры и прочее.

ipFlood

ipFlood — маскирует IP под IP прокси (ваш IP будет виден, как IP прокси). Генерирует случайные IP (можно установить постоянный вручную) и отправляет их серверу в заголовках описывающих прокси. В итоге сервер считает, что ваш IP принадлежит прокси в любом случае (даже, если вы его не используете). Кроме того подменяются заголовки содержащие ваш реальный адрес

Примечание. Некоторые прокси не предназначены для маскировки и могут отдавать реальный IP в одном из заголовков.

Пояснение. Реальный IP не скроете, просто замаскируете под прокси.

Подменяемые заголовки:
HTTP_X_FORWARDED_FOR — реальный IP или (возможен, но не обязателен) список IP в случае цепочки прокси.
HTTP_CLIENT_IP — IP клиента
HTTP_VIA — IP прокси
Подробнее:
http://habrahabr.ru/post/177113/
http://www.xakep.ru/magazine/xa/108/138/1.asp

Для чего: Для использование совместно с прокси, которые не подменяют заголовки. Для запутывание сервера, для тестов сервера.

Необходимые настройки приватности:
1. Очистите белый список (список игнорируемых доменов), он может быть заполнен по умолчанию.

Другие данные

SQLite Manager

SQLite Manager — графический интерфейс для управления базами данных SQLite. Эта база данных используется в Mozilla Firefox для хранения данных (например: пароли, закладки etc)

DOM Inspector

DOM Inspector — классический двухпанельный редактор DOM-дерева. Также работает с XUL.

Exif Viewer

Exif Viewer — позволяет просматривать данные EXIF и IPTC. (Exif (Exchangeable Image File), IPTC-NAA/IIM (International Press Telecommunications Council / Newspaper Association of America / Information Interchange Model) и IPTC Core (Adobe XMP, Extensible Metadata Platform)). Это информация добавляемая фотокамерами или прочими устройствами к фотографиям или иным картинкам (от технической, вроде модели камеры, до местоположения снимающего, определяемое через GPS).

Пример угрозы: http://habrahabr.ru/post/142192/

Element Properties

Element Properties — возвращает в firefox пункт контекстного меню "свойства", позволяет узнать дополнительную информацию о элементе страницы.

wmlbrowser

wmlbrowser — позволяет просматривать wap сайты, написанные на WML (Wireless Markup Language).

Почта, чат, обмен данными

Чат

Cryptocat

Cryptocat — реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым. Сервер используется только для хранения зашифрованных данных и списка подключенных пользователей

Код клиентской и серверной части распространяется под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor. В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов. Клиентская часть выполнена в виде браузерного web-приложения.

Обсуждение Cryptocat на форуме

Почта

Пусто в разделе.

Обмен данными

Пусто в разделе.

Шифрование и пароли

Keylogger Beater

Keylogger Beater — средство для борьбы с кейлоггерами (вредоносными программами, которые позволяют перехватывать информацию, вводимую пользователем с клавиатуры или при помощи мыши). Дополнение имеет два вида ввода, позволяющие обмануть кейлоггеры, посылая им ложные символы.

Master Password Timeout

Master Password Timeout — с помощью мастер-пароля блокирует браузер через определенный промежуток времени, устанавливаемый пользователем, с целью предотвращения несанкционированного доступа к критичной информации: закладкам, пароля etc, хранящимся в профиле.

Link Password

Link Password — шифрует гиперссылки и их имена, хранящиеся в пользовательских закладках, при помощи пароля.

Password Exporter

Password Exporter — средство для импорта-экспорта сохраненных логинов и паролей, в том числе и в зашифрованном виде.

Pwgen

Pwgen — генерирует криптостойкие произвольные пароли любой заданной длины, включающие в себе буквы в разном регистре, цифры и спецсимволы.

Примечание. Это дополнение – пример, у него есть аналоги, которые можно найти на сайте дополнений https://addons.mozilla.org

Lock The Text

Lock The Text — средство, позволяющее шифровать сообщения при помощи алгоритма AES. Возможно также шифрование текста пользовательских заметок, хранящихся во встроенном блокноте.

Secure Login

Secure Login — средство для автоматического и безопасного введения связки «логин-пароль» на различных веб-ресурсах.

HTTPS Everywhere

HTTPS Everywhere — по заявлению разработчиков, многие сайты предлагают посетителям по умолчанию доступ без шифрования, оставляя HTTPS как запасной вариант, или делают использование HTTPS затруднительным, например, из-за наличия ссылок из безопасной области на незашифрованные страницы сайта. Проект HTTPS Everywhere призван автоматизировать решение данных проблем путем перенаправления запросов на HTTPS-области во всех возможных случаях. Среди поддерживаемых известный сайтов, для которых дополнение может обеспечить полное шифрование передаваемых данных, называются: Google, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, New York Times, Washington Post и другие популярные сервисы.

При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления. Дополнительно разработчики дополнения советуют пользователям Firefox быть бдительными и при посещении защищенных областей сайтов обращать внимание на значок с изображением замка в правом нижнем углу, если замок разомкнут, то несмотря на характерную для шифрованной сессии подсветку адресной строки, данные шифруются не полностью и транзитный злоумышленник при желании может организовать прослушивание трафика.

Внимание: Иногда при доступе через https сайт может не предоставлять некоторые функции или некорректно работает. Обращайте на это внимание также при самостоятельном формировании правил. Тем не менее, т.к. правила можно выборочно отключать это дополнение скорее полезно.

Внимание! (Не касается использования в TorBrowser) Вход по https при том, что по умолчанию на сайт вход по http выделяет вас из общей массы. Поэтому его следует использовать в частных случаях. Например при обходе цензуры со стороны провайдера (или другой формы прослушки трафика), если провайдер или другие структуры не может получить доступ к данным с сайта. Так же иногда можно использовать для того, чтобы последний нод в сети Tor (выходящий трафик не шифрован) не имел доступа к вашим данным (например логину и паролю).

Certificate Patrol

Certificate Patrol — ваш браузер содержит множество сертификатов необходимых для HTTPS (зашифрованного соединения) сайтов. Это дополнение сообщает, когда сертификаты обновляются, так что вы можете проверить законно ли он был изменен.

Это дополнение облегчает обнаружение (хоть и постфактум) атак перехвата SSL-соединения, осуществляемых с использованием специально выпущенных сертификатов, подписанных удостоверяющими центрами. Данный аспект подробно рассмотрен в статье "Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них".

Cipherfox

Cipherfox — показывает расширенную информацию о текущем SSL-соединении в статус баре.

Saved Password Editor

Saved Password Editor — добавляет возможность создания и редактирования паролей в менеджере паролей. Это дополнение полезно, главным образом, при работе с некоторыми сайтами на которых отключено сохранение пароля. Конечно, существуют такие вещи как закладурки (bookmarklets), которые пытаются обойти такой код, но они не всегда работают. Как последний довод (ultima ratio), вы можете использовать это дополнение, чтобы ввести информацию вручную (или наполовину вручную). Для веб-форм предусмотрена кнопка, при этом нужные значения угадываются, если это не слишком тяжело, по отображаемой в настоящее время странице.

Leet Key

Leet Key — позволяет преобразовывать текст в L337, ROT13, BASE64, HEX, URL, BIN, DES, AES, Morse code, DVORAK etc.

Разное

Link Alert

Link Alert — меняет курсор (добавляет иконку рядом с курсором) согласно контенту по ссылке.

Link Properties Plus

Link Properties Plus — позволяет узнать размер файла, время последнего изменения, тип содержимого, заголовок HTTP по ссылки.

CookieSwap

CookieSwap — позволяет переключаться между разными наборами cookies, таким образом можно пребывать на одном и том же сайте одновременно под разными профилями.

Внимание: При использовании опции "Стереть недавнюю историю" (на момент написания) не удаляются куки принадлежащие неактивному профилю. Их можно удалить используя функцию самого дополнения или переключая профили вручную и удаляя куки отдельно для каждого.

Multifox

Multifox — позволяет открыть один и тот же сайт с разными профилями. То есть можно одновременно залогинится на одном и том же сайте под разными никами.

Preferences Monitor

Preferences Monitor — мониторит изменение настроек Firefox (тех, что на странице about:config) для поиска и контроля таких изменений (в том чиле сделанных расширениями).

Поиск, поисковые плагины

Выпадающий список серверов, с помощью которых вы можете осуществлять поиск — это список установленных в вашей системе поисковых плагинов.

О поисковых плагинах: http://mozilla-russia.org/searchengines

Внимание: Список поисковых плагинов может выдать вас, как пользователей соответствующих сайтов на которых вы ищите. Следите за этим.

Дополнения

Add to Search Bar

Add to Search Bar — позволяет добавить любой сайт в панель поиска просто кликнув по строке поиска и выбрав соответствующий пункт контекстного меню.

Resurrect Pages

Resurrect Pages — если страница недоступна, то добавляет на страницу с описание ошибки ссылки на кэшированную копию этой страницы в популярных поисковиках и веб-архивах.

Поисковые плагины

pgp.mit.edu

PGPkeySearch — добавляет в список поисковых плагинов pgp.mit.edu. Ищет ключи на pgp.mit.edu не только по KeyID (идентификатору ключа), а ещё и по адресу электронной почты.

Google SSL Search

Google SSL Search — поиск через google с использованием зашифрованного соединения.

DuckDuckGo (HTTPS / SSL)

DuckDuckGo (HTTPS / SSL) — поисковая система с открытым исходным кодом, расположенная в Вэлли-Фордж, штат Пенсильвания, которая использует информацию из многих источников с целью предоставления более точных, актуальных и более разнообразных результатов поиска, чем обычные поисковые системы. Политика данной поисковой системы особо подчёркивает конфиденциальность пользовательских данных, отказ от записи и хранения какой либо пользовательской информации и слежения за пользователями.

Подробнее: https://ru.wikipedia.org/wiki/DuckDuckGo

Startpage HTTPS Privacy Search Engine

Startpage HTTPS Privacy Search Engine — компания Ixquick запустила поисковую систему под названием Startpage, которая использует только Google для результатов, но не записывает IP-адресы посетителей, удаляет информацию, идентифицирующую информацию из пользовательских поисковых запросов и отправляет информацию в Google анонимно. Startpage также включает бесплатный анонимный веб-прокси, который может открывать веб-сайты, используя их прокси сервис, и анонимно искать картинки и видео.

Дополнения исправляющие баги

TabSubmit — позволяет открывать результат отправки форм в новой вкладке (клик по кнопке отправить, например средней кнопкой мыши, откроет вкладку с ответом).

Расширения (дополнения) браузера Firefox для анализа серверов/сайтов и прочих ресурсов с использованием сторонних сервисов

Расширения (дополнения) браузера Firefox для анализа серверов, сайтов и прочих ресурсов с использованием сторонних сервисов[создать]

Рекомендации и советы

Читать основную статью "Рекомендации и советы"[создать]