Дополнения браузера Firefox, связанные с безопасностью

Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)

Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.

Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).

Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
(Отсутствие на странице "Политики приватности" ("Privacy Policy") означает использование политики по умолчанию. Судя по тому, что все рекламные и другие деанонимизирующие расширения используют свою политику, политика приватности по умолчанию достаточно анонимна и при её использовании ничего никуда не передается.)

Можно выделить список дополнений на которые стоит обратить внимание (подбираете необходимое и решаете, что ставить только вы):
NoScript + Cookie Monster + BetterPrivacy + AdBlock Plus + HTTPS Everywhere + RequestPolicy + FireStoragePlus! + RefControl + ipFlood (опционально, при использовании прокси)
Если требуется подменить отображаемую версию браузера: UAControl + UserAgentJSFixer.

Если у вас есть необходимые знания можете добавить:
Certificate Patrol + Cipherfox

Примечание: Расширение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.

Совет новичкам: Для анонимности используйте TorBrowser, настройки и дополнения из этой статьи можно использовать для тонкой настройки или для частных случаев (не меняйте настройки TorBrowser и не ставьте дополнения, если плохо понимаете, что делаете). В нем исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
Если вы используете Windows обязательно поставьте и настройте какой-либо фаервол блокирующий все соединения TorBrowser кроме связанных с Tor. Либо используйте программы для виртуализации (VirtualBox) или эмуляции аппаратного обеспечения (QEMU) в которых и запускайте TorBrowser (были случаи заражения TorBrowser эксплоитами).
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Настройка на примере COMODO Firewall (Черновик)

Примечание: На этой странице могут быть дополнения с проприетарными лицензиями. Это связано с тем, что Mozilla перед добавлением дополнения проводит проверку кода, с уникальностью и незаменимостью функций таких дополнений и тем, что большое количество пользователей использует проприетарные Windows, Flash, MS Office, драйвера и кодеки. Это позволяет рассматривать проприетарность проверенных Mozilla дополнений Firefox, как незначительный минус.

Если ссылка не рабочая искать дополнение по его названию через поисковик. И желательно сообщить в комментариях об этом.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.

TorButton

TorButton — добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное дополнение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Внимание! Использование TorButton с обычным Firefox (не с модификацией TorBrowser) бессмысленно, так как некоторые элементы защиты могут не работать.

Управление прокси

FoxyProxy

FoxyProxy — позволяет указать список прокси серверов и назначить для каждого прокси сервера шаблоны URL-ов, обращение к которым будет происходить через этот прокси сервер.

Необходимые настройки приватности:
1. При составлении правил в них по умолчанию могут быть исключения для некоторых сайтов (google, facebook). Внимательно следите за этим и удаляйте, при необходимости.

Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы

NoScript

NoScript — c помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки дополнения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

Необходимые настройки приватности:
(названия могут не совпадать)
Эти опции не рекомендуется менять при использовании TorBrowser, не смотря на отключенные элементы защиты NoScript их аналоги могут быть в TorBrowser и при их включении возникнет конфликт.
1. "Опции" > "Дополнительно" > "ABE" > "WAN IP..." — снять галочку. (Для защиты против аттаки WAN IP необходимо знать внешний IP, расширение отправляет короткий запрос по зашифрованному каналу возвращающий IP. Это может оказаться лишней информацией для наблюдателя.)
2. (По ситуации) "Опции" > "Дополнительно" > "ABE" > "Использовать ABE..." — снять галочку. Эта функция позволяет составлять правила для работы с разными доменами, смотрите справку на сайте NoScript. (В TorBrowser эта функция отключена предположительно, чтобы не конфликтовала с модификациями TorBrowser. Возможно вы будете использовать расширения, которые могут конфликтовать.)
3. "Опции" > "Белый список" — удалить сайты-исключения из списка.
4. "Опции" > "Дополнительно" > "HTTPS" > "Cookies" > "Автоматическая система управления куками..." — поставить галочку.
5. "Опции" > "Дополнительно" > "Недоверенные" > "Запретить XSLT" — поставить галочку. (после запрета может не работать некоторое содержимое сайтов, но использование XSLT встречается редко)
6. "Опции" > "Встроенные объекты" > "Запретить WebGL" — поставить галочку. (после запрета может не работать некоторое содержимое сайтов, в основном связанное с графикой: игры, веб-приложения)
7. "Опции" > "Запретить <AUDIO><VIDEO>" — поставить галочку. (если не запретить, то в любой момент сайт сможет проиграть видео/аудио и окружающие услышат/увидят вас)
8. "Опции" > "Запретить @font-face" — (возможно не обязательно) поставить галочку. (запрещает загружать недостающие шрифты с сайта и сайт не может "понять" какие у вас шрифты уже есть, а каких нету)
9. "Опции" > "Запретить Java" — поставить галочку.
10. "Опции" > "Запретить другие плагины" — поставить галочку.
11. "Опции" > "Запретить Silverlight" — поставить галочку.

YesScript

YesScript – позволяет создавать чёрный список сайтов, которым запрещено выполнять JavaScript. Отправить сайт в чёрный список (и убрать его оттуда) можно, щёлкнув на значке YesScript в строке состояния. Также можно ввести адрес сайта вручную.
В отличие от расширения NoScript, которое запрещает JavaScript по умолчанию, YesScript позволяет сначала посмотреть на работу сайта, а потом принять решение о блокировке скриптов.

RequestPolicy

RequestPolicy — осуществляет контроль разрешенных межсайтовых запросов (кросс-доменных). Повышает конфиденциальность веб-серфинга. Защищает пользователя от подделки межсайтовых запросов (CSRF) и других атак.

Механизм работы.
Допустим, пользователь хочет посетить главную страницу Википедии, для чего вводит в адресную строку браузера адрес http://wikipedia.org

Если дополнение RequestPolicy не установлено: браузер найдет эту страницу в Интернете и покажет ее пользователю, но для корректного отображения он, без разрешения, загрузит кое-какие данные с сайта http://wikimedia.org.

Если RequestPolicy установлено: все «посторонние» запросы будут блокированы, значок программы станет насыщенно красным, сигнализируя о блокировке одного или более запросов. Далее пользователь может создать один из трех типов правил для каждого блокированного запроса.
Источник: https://ru.wikipedia.org/wiki/RequestPolicy

CsFire

CsFire — осуществляет контроль разрешенных межсайтовых запросов (кросс-доменных). Повышает конфиденциальность веб-серфинга. Защищает пользователя от подделки межсайтовых запросов (CSRF) и других атак.

Policeman

Policeman — осуществляет контроль разрешенных межсайтовых запросов (кросс-доменных). Повышает конфиденциальность веб-серфинга. Защищает пользователя от подделки межсайтовых запросов (CSRF) и других атак.
Из особенностей можно отметить: набор предустановленных правил, создание правил основанных на типе контента (например, можно разрешить изображения и стили, но запретить скрипты и фреймы) и некоторых других типах данных. Имеется мини язык для написания правил.

Flashblock

Flashblock — блокирует загрузку всех флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.

Yes popups

Yes popups — блокирует всплывающие окна.

Примечание. То же самое (кроме открытия заблокированного в любой момент) можно сделать и без дополнения: через страницу about:config, опция dom.popup_allowed_events и измените её значение на пустую строку. Точно также найдите параметр privacy.popups.disable_from_plugins и измените его значение на 3.
О опции http://kb.mozillazine.org/Priv.....disable_from_plugins

RightToClick

RightToClick — позволяет управлять разрешениями скриптов. Например: отключать запреты скриптами на выделения текста, запрет на правый клик мышью, управление таймерами функций, отключать обработку событий etc.

User-Agent JS Fixer

User-Agent JS Fixer — копирует содержимое заголовка содержащего user agent (название браузера, его версию и операционную систему) в объект который javascript использует для определения user agent. Используя с дополнениями для подмены user agent (или поменяв его в настройках about:config) можно подменить его и для скриптов.

Примечание. Может (и скорее всего) подменяет не всё. Ни каких гарантий. Кроме того имеются особенности поведения javascript в каждом браузере, поэтому хорошим программистам на javascript не составит труда придумать тест показывающий реальную версию и тип браузера.

New Plugin Disabler

New Plugin Disabler — деактивирует самовольно установившиеся плагины (Flash, Java etc). С ним плагин может включить только сам пользователь.

Click to Play per-element

Click to Play per-element — разрешает работу плагинов только для отдельных элементов страницы после клика по ним (аналог дополнения FlashBlock).
Для работы дополнения в настройках плагина Flash должно стаять "запускать при нажатии" (Click to Play).

Click-to-Play Manager

Click-to-Play Manager — менеджер белого списка доменов для плагинов у которых в настройках стоит Click-to-Play ("запускать при нажатии").

История, cookies и кэш. Следы пребывания в интернете и локально

Cookie Monster

Cookie Monster — обеспечивает удобное проактивное управление расширенными настройками cookies для сайта или домена, в том числе сторонних. (аналог устаревшего CookieSafe)

Необходимые настройки приватности:
1. Блокировать куков 3-их сторон (Block 3rd Party Cookies) — поставить галочку. (примечание: некоторые сайты или их части могут работать неправильно при такой блокировке, но количество таких сайтов очень мало)

У этого дополнения есть аналоги, которые можно посмотреть по тегу cookie или через поиск по сайту addons.mozilla.org

Self-Destructing Cookies

Self-Destructing Cookies — удаляет куки и содержимое локального хранилища HTML5 (HTML5 Local Storage, DOM Storage) сайта при закрытии вкладки с этим сайтом. В том числе после некоторого периода времени. Имеются и другие похожие функции.

AskForSanitize

AskForSanitize — добавляет диалог очистки истории при закрытии Firefox.

Примечание. Это дополнение – пример, аналоги можно найти на сайте https://addons.mozilla.org

BetterPrivacy

BetterPrivacy — защищает вас от куки, используемых Flash приложениями, которые часто сохраняются навсегда и не очищаются при использовании стандартной функции очистки браузера Firefox "Удалить личные данные…".

Необходимые настройки приватности:
1. "Удалять cookies флэшплеера..." — поставит галочку.
2. Остальные опции выставить на ваше усмотрение.

Secure Sanitizer

Secure Sanitizer — позволяет очищать недавнюю историю тремя методами:
1) Обычное удаление.
2) Затирание случайными данными.
3) Затирание в три шага методом "US DoD 5220".

FireStorage Plus!

FireStorage Plus! — дополнение для Firebug, позволяет управлять содержимым локального хранилища HTML5 (HTML5 Local Storage, DOM Storage) — просматривать, удалять, изменять. Это не флэш куки (LSO), а аналог обычных куков с расширенными возможностями.

Блокировка рекламы, сбора статистики etc

Реклама часто несет опасность, связанную с переадресацией или банальным кликом "не туда".

AdBlock Plus

AdBlock Plus — удаляет или скрывает рекламу на страницах сайтов. Существуют подписки (набор правил удаления со страницы) против счетчиков и неправильного ввода, против мошеннических сайтов.

Примечание. Как и в Ghostery блокировка элементов страницы может выдать вас. Поэтому использование с Tor не рекомендуется. Наличие AdBlock Plus можно обнаружить, что выделит вас из общей массы пользователей Tor.

Совет. Обратите внимание на различные подписки против счетчиков, рекламы и мошенников: https://adblockplus.org/ru/features#tracking

Русскоязычный проект по созданию фильтров https://code.google.com/p/ruadlist/ блокирует рекламу и слежение в русской зоне интернета. Стандартные фильтры AdBlock Plus блокируют меньше элементов в русской зоне интернета.

Необходимые настройки приватности:
1. "Дополнения" ("Add-ons") > "AdBlock Plus" > "Настройка" > "Считать попадания" — снять галочку.

Adblock Plus: Element Hiding Helper

Element Hiding Helper — расширяет возможности Adblock Plus, упрощая создание правил для скрытия элементов.

Ghostery

Ghostery — блокирует некоторые счетчики сайтов и другой внешний подгружаемый контент (ограниченное количество, только список созданный автором дополнения). В большинстве ситуаций бесполезен с точки зрения полной анонимности и безопасности. Существует ситуации в которых его можно использовать в целях анонимности (например: случайный клик по ссылке типа "лайк", Ghostery убирает "лайки" со страницы).

Примечание. Как и в AdBlock блокировка элементов страницы может выдать вас. Поэтому использование с Tor не рекомендуется.

Необходимые настройки приватности:
1. "Настройки" > "General" > "Enable GhostRank" — снять галочку.

Clean Links

Clean Links — при переходе по ссылке содержащей дополнительную информацию для рекламодателей очищает эту информацию. То есть ссылка вида
http://somesite.com/?to=www.example.com
превращается в ссылку
http://www.example.com/

Примечание. Важно понимать, что влияние этого и других подобных расширения на анонимность и безопасность минимально из-за большого количества других способов передать похожую и другую информацию.

Google/Yandex search link fix

Google/Yandex search link fix — аналог расширения Clean Links (рассмотрено выше) созданное для Google и Yandex.

Lightbeam for Firefox

Lightbeam for Firefox — в процессе посещения различных сайтов, Lightbeam анализирует передачу Cookie рекламным сетям и различным web-сервисам, использующим данные о просмотренных пользователем страницах для повышения релевантности показа рекламы или формирования вывода с учётом интересов пользователя. На основе накопленных данных, Lightbeam формирует наглядный интерактивный граф для оценки взаимодействия различных сайтов, позволяющий выявить сторонние сайты, отслеживающие перемещения пользователей.

Анализ трафика, кода, других данных и/или их изменение

Анализ трафика, кода, других данных и/или их изменение

Почта, чат, обмен данными

Чат

Cryptocat

Cryptocat — реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым. Сервер используется только для хранения зашифрованных данных и списка подключенных пользователей

Код клиентской и серверной части распространяется под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor. В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов. Клиентская часть выполнена в виде браузерного web-приложения.

Обсуждение Cryptocat на форуме

Почта

Пусто в разделе.

Обмен данными

Пусто в разделе.

Шифрование и пароли

Шифрование и пароли

Разное

Link Alert

Link Alert — меняет курсор (добавляет иконку рядом с курсором) согласно контенту по ссылке. То есть ставит в соответствие протоколам и типам файлов некоторые иконки.

Link Properties Plus

Link Properties Plus — позволяет узнать размер файла, время последнего изменения, тип содержимого, заголовок HTTP по ссылки.

CookieSwap

CookieSwap — позволяет переключаться между разными наборами cookies, таким образом можно пребывать на одном и том же сайте одновременно под разными профилями.

Внимание: При использовании опции "Стереть недавнюю историю" (на момент написания) не удаляются куки принадлежащие неактивному профилю. Их можно удалить используя функцию самого дополнения или переключая профили вручную и удаляя куки отдельно для каждого.

Multifox

Multifox — позволяет открыть один и тот же сайт с разными профилями. То есть можно одновременно залогинится на одном и том же сайте под разными никами.

Preferences Monitor

Preferences Monitor — мониторит изменение настроек Firefox (тех, что на странице about:config) для поиска и контроля таких изменений (в том чиле сделанных расширениями).

Configuration Mania

Configuration Mania — графический интерфей к настройкам Firefox представленным на странице about:config. Настройки далеко не все, главный плюс этого и подобных дополнений это быстрый, удобный доступ к настройкам и их описание.
Также оно дает управлять некоторыми "скрытыми" настройками на странице about:config, то есть ввод названия такой настройки ничего не отобразит, хотя она существует и и чтобы её изменить нужно создать такую настройку самому.

UploadProgress

UploadProgress — показывает процесс загрузки файлов на сервера в виде прогресс-бара (по умолчанию Firefox этого не делает).

Поиск в сети, поиск по странице, поисковые плагины

Поиск в сети, поиск по странице, поисковые плагины[создать]

Контроль словарей, орфографии и локализации

Контроль словарей, орфографии и локализации[создать]

Дополнения-приложения (дополнения расширяющие функционал)

Дополнения-приложения (дополнения расширяющие функционал[создать])

Контроль поведения Firefox (управления, реакции)

Контроль поведения Firefox (управления, реакции[создать]))

Дополнения исправляющие баги

TabSubmit — позволяет открывать результат отправки форм в новой вкладке (клик по кнопке отправить, например средней кнопкой мыши, откроет вкладку с ответом).

Расширения (дополнения) браузера Firefox для анализа серверов/сайтов и прочих ресурсов с использованием сторонних сервисов

Расширения (дополнения) браузера Firefox для анализа серверов, сайтов и прочих ресурсов с использованием сторонних сервисов[создать]

Устаревшие неподдерживаемые дополнения или деградировавшие, как пример кода и функций

Устаревшие неподдерживаемые дополнения или деградировавшие, как пример кода и функций

Рекомендации и советы

Читать основную статью "Рекомендации и советы"[создать]