id: Гость   вход   регистрация
текущее время 22:37 11/12/2019
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
http://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, 2, 3, 4, 5, ... , 19, 20, 21, 22, 23 След.
Комментарии [скрыть комментарии/форму]
— Гость (25/11/2013 14:01)   <#>
м-да.. выключайте скрипты. NoScript включаем и радуемся.
И все сайты смотрим поломанными не работает то одно-то другое и каждый день перебирать скрипты О этот хороший включить О этот плохой отключить и так на всех сайтах Да ну его в жопу этот нускрипт
— Гость (04/12/2013 04:21)   <#>

Их много; они меняются; новые вводятся в строй, а старые выводятся; сайты выдают разные сертификаты в зависимости от географии абонентов (следствие оптимизаций). Tor ещё сильней усугубляет дело. Если б было всё так просто, думаю, уже были бы сайты, отслеживающие текущие списки сертификатов популярных сайтов. Зная, какие ДЦ у Гугла в разных странах, я ничуть не удивлюсь, если эти сертификаты генерируются динамически и реально в ходу их тысячи. То же касается фейсбука и других крупных игроков на рынке.


SATtva уже написал, но повторюсь ещё раз: не ресайзите окно, если нет желания получить уникальные параметры и сдеанонить себя через профилирование.


Да, было обсуждение на тему, но там не со всем разобрались, похоже, и было много бреда. SATtva выше дал более свежие/актуальные ссылки.


Точно? Размеры внутреннего окна же совпадают с внешним, а внутреннее окно не учитывает декорации/обрамления и т.п. вещи. Пусть даже вы правы, но всё равно хотелось бы увидеть ссылку на багрепорт по этой утечке.


Размеры окна вроде как успешно утекают через всякие media queries / CSS, погуглите обсуждения на тему.
— SATtva (04/12/2013 08:24, исправлен 04/12/2013 08:35)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Точно? Размеры внутреннего окна же совпадают с внешним, а внутреннее окно не учитывает декорации/обрамления и т.п. вещи.

Специально заскриншотил и померил пиксели в Гимпе. На http://whoer.net/extended отображаются два параметра: размеры экрана (height, width, availHeight, availWidth и значение в скобках window size) и рабочая область окна браузера (window size, часть вне скобок). Ирония в том, что TBB подменяет размеры экрана на габариты окна, из-за чего разница значений в размерах рабочей области и экрана становится чётким указанием на размеры хрома: с чем боролись, на то и напоролись.


(На всякий случай уточню, чтобы не было недопонимания. Рабочая область — это внутренняя часть окна, где отображается контент веб-страницы; хром — это внутренняя часть окна, содержащая элементы управления браузером: кнопки, адресную строку, скроллбары по краям экрана; [оконные] декорации — внешняя часть окна, цепляемая оконным менеджером: заголовок окна с кнопками закрытия, сворачивания и разворачивания, обрамление с элементами для ресайза, то есть всё то, что зависит от используемой дескопной среды. Так вот на whoer.net внешние размеры окна, включающие декорации, не отдаются ни через TBB, ни через обычный браузер — только внутренняя часть окна: через TBB — рабочая область и всё окно с хромом (т.к. последним он подменяет экранное разрешение), через обычный браузер — рабочая область и экранное разрешение.)


Может, есть какие-то ещё возможности извлечь размеры окна через js? Какие ещё есть сайты типа whoer.net? Если уж и писать багрепорт, надо собрать по возможности более обширный кейс.


Размеры окна вроде как успешно утекают через всякие media queries / CSS

По крайней мере, whoer.net их без js не выдаёт.

— Гость (04/12/2013 19:10)   <#>
SATtva, спасибо за подробное описание.

Если уж и писать багрепорт, надо собрать по возможности более обширный кейс.
Мне кажется, что вами представленной информации уже более, чем достаточно для багрепорта, если он ещё никем не был написан.
— Гость (07/05/2014 21:01)   <#>
На тему дефолтного iceweasel-24.5.0esr-1deb7u1 без расширений и дополнений (распознаётся Flash-плагин, поскольку он установлен в системе, но он отмечен как disabled):

Был абсолютно чистый профиль браузера, всё лишнее было отключено, всё зачищено. Глубоко не рыл, но по меню прошёлся:
  • «Always use private browsing mode» → включено.
  • «Accept third-party cookies: always» (нечего скрывать, профиль всё равно регулярно зачищается).
  • «Block reported» — ничего не блокировать.

Заметил неладное, когда после запуска iceweasel сразу же зашёл в список кук, а там:
SiteCookie Name
wikipedia.orgGeoIP

И это ещё до захода на какой-либо сайт. ⚠ Информация о куке:
Name: GeoIP
Content: Country:MyHomeTown:XX.XXXX:X.XXXX:vX
Domain: .wikipedia.org
Path: /
Send For: Any type of connection
Expires: At end of session
Первая мысль — противник заразил чистую копию. Окей, вытаскиваю кабель, восстанавливаю чистый профиль, логинюсь, запускаю браузер — нет, всё чисто. Может быть, sync из-за того, в старых версиях профиля что-то не затёрлось? Повторяю процедуру, предварительно погасив левые стевые сервисы и запустив tcpdump. Итак, что я вижу:
  1. Сразу после запуска iceweasel спрашивает у моего DNS-сервера IP-адреса для en.wikipedia.org, duckduckgo.com и www.google.com. От википедии тут же появляется трекинговая GeoIP-кука (которая, я так понимаю, теперь будет присовокупляться ко всем сетевым запросам, чтобы каждый сайт смог узнать точную геолокацию).
  2. Дальше начинается DNS-резволвинг www.yahoo.com, www.amazon.com, www.g.ebay.com, oscp.digicert.com, cs9.wac.edgecastcdn.net и, возможно, каких-то других.
  3. С перечисленными серверами устанавливаются соединения по 80-му и 443-ему порту, идёт активный обмен, куча пакетов.

Это всё как бы нормально? Кажется, когда у меня были более старые версии iceweasel, я после настройки проверял, куда он коннектится, и всё было более-менее чисто по сниферу. Может быть, на поведение iceweasel повлияла установка каких-то иных пакетов?

Наверно, надо для начала попробовать сделать geo.enabledfalse, но если там уже десятки подводных каменей, всё не запретишь... (вопрос касается исключительно обычного браузера, а не TBB). Почему разработчики Debian решили не отключать геолокацию в своём форке firefox? Вопрос риторический.
— Гость (07/05/2014 21:43)   <#>
Касательно Debian – он для меня давно риторический, но альтернативы не вижу – в Gentoo слишком большой порог вхождения.. сейчас в сторону Arch посматриваю, хотя конечно Gentoo – оптимальный вариант, но время дороже. Все вышеописанное Вами подтверждаю. Перепроверил – один в один.
— Гость (08/05/2014 05:37)   <#>
В генте в портах, насколько я знаю, аутентичный firefox, поэтому там GeoIP уж точно должно быть, всё как Mozilla прописала. Изначально Debian форкнул firefox, превратив его в iceweasel, кажется, лишь чисто из-за лицензионных нареканий.
— SATtva (08/05/2014 10:09)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Сразу после запуска iceweasel спрашивает у моего DNS-сервера IP-адреса для en.wikipedia.org, duckduckgo.com и www.google.com. От википедии тут же появляется трекинговая GeoIP-кука (которая, я так понимаю, теперь будет присовокупляться ко всем сетевым запросам, чтобы каждый сайт смог узнать точную геолокацию).

Cookie передаются только тому домену, который их установил. Никаких "ко всем запросам" не бывает.

В поисковой панели браузера у Вас есть сервис поиска в википедии? Тогда куку скорее всего установил он (у меня такого не происходит, но я не разрешаю third-party cookies, возможно, причина в этом).
— kotSUshkami (15/05/2014 10:30)   профиль/связь   <#>
комментариев: 13   документов: 7   редакций: 259
Если создать ссылку на раздел страницы "FireStorage Plus!" (с прбелом перед Plus!), то отображается только "Plus!".

Foundstone HTML5 Local Storage Explorer заменено на FireStorage Plus! из-за странной лицензии и по причине больших возможностей FireStorage Plus!.
— SATtva (15/05/2014 11:09)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Если создать ссылку на раздел страницы "FireStorage Plus!" (с прбелом перед Plus!), то отображается только "Plus!".

Движок не поддерживает такие ссылки. Пропустите её через http://tinyurl.com.
— Гость (29/05/2014 06:55)   <#>

Нет. Всё по умолчанию же.


Помогло, кстати. По крайней мере, вала пакетов теперь нет. На всякий случай «third-party cookies» тоже отключил.
— Гость (17/02/2015 14:16)   <#>
На Главной появилось сообщение о редакции. Как понять что зменилось?
— SATtva (17/02/2015 17:56, исправлен 17/02/2015 17:56)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092

Сравнить.

— Гость (18/02/2015 00:20)   <#>
Сравнил. Что я должен увидеть? Маркированеный каким то образом измененый текст или дополнительная запись?
— Гость (18/02/2015 00:30)   <#>
Это "Последние изменения" нужно смотреть?
На страницу: 1, 2, 3, 4, 5, ... , 19, 20, 21, 22, 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3