Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 9796 документов: 488 редакций: 5664
Более того, чтобы оценить принципиальные соображения разработчиков, стоит зайти в настройки TorButton и увидеть там по умолчанию включенную опцию [Preferences] — [Security Settings] — [Dynamic Contents] — [Disable Plugins during Tor usage (crucial)]
Это всё конечно не догма и отношение к удлинению цепочки и плагинам может поменяться, но только если это будет критически важным для использования тора (при обходе цензуры, например), а не наоборот, как сейчас в подавляющем большинстве сценариев использования.
Ну как бы предусматривается, что будут включать только флэш/html5-video для скачивания/просмотра и то только изредка, стараясь бороться с этим искушением.
Какая разница какой у них уровень, если сам firefox написан так, что пц? У меня систематически (раз в несколько часов) firefox в Tor Browser Bundle выпадает в кору при интенсивном использовании. Каждое такое падение, потенциально, — исполнение произвольного кода. Делайте выводы.
«Don't rely on it for strong anonymity» решили перенести из разряда предупреждений (warning в логах Tor) в разряд девизов проекта? :)
комментариев: 254 документов: 9 редакций: 753
unknown (18/08/2012 19:06)
Возможно это так. Но остальные аргументы вроде оффлайн плагинов или пользы при временном включении флэш (рано или поздно это нужно всем) в силе.
Гость (18/08/2012 20:24)
Не знаю, что такое кора, но у меня firefox не падал уже три месяца точно, а дольше не помню, может и больше.
комментариев: 11558 документов: 1036 редакций: 4118
Что такое "офлайн-плагины"?
Польза от временного включения флэша с лихвой компенсируется риском полной деанонимизации пользователя.
комментариев: 254 документов: 9 редакций: 753
Это для интеграции некоторых функций в firefox, например я хочу встроить переводчик, просмотрщик djvu, TIFF или вообще что-нить очень редкое. И этот плагин в сеть ничего не передает/принимает, никакого вреда от этого нету. Но не могу т.к. он всеравно будет виден в списке.
Если взять для примера проект Tor, то учитывая рекомендацию использовать английский, переводчик актуален.
http://www.lingoes.net/en/translator/plugins.htm
http://plugindoc.mozdev.org/
комментариев: 254 документов: 9 редакций: 753
Кстати. А кто что думает о патчах TorBrowser и их влияние на i2p? Как я понимаю отпечаток браузера можно сделать и в i2p. Да и например патчи кода firefox такие как паралельная случайная обработка запросов, которая не дает определить по патерну запросов сайта?
комментариев: 254 документов: 9 редакций: 753
Возможно я чего-то не понял. Но вы написали бессмыслицу. Всеравно что сказать: "Зачем Tor при входе на сайты США? Всеравно вряд ли они выдадут меня другим." Так можно дойти и до вопроса зачем вообще Tor не хакеру?
комментариев: 254 документов: 9 редакций: 753
комментариев: 10 документов: 0 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 10 документов: 0 редакций: 0
Данные никуда не ходят только на стационарном компьютере, который
находится в укреплённом автономном бункере. А у меня ноутбук, в
котором Фаерфокс, в котором кучка паролей. Ноутбук — потенциальный
объект воровства со стороны жадных обитателей Мордора, а главпароль
потенциально брутится. Щито делать?