id: Гость   вход   регистрация
текущее время 17:00 22/09/2018
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
http://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 6, 7, 8, 9, 10, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— Гость (09/04/2012 11:54)   <#>
Eridan оказался заложником переноса страницы из черновиков в официал :)
В черновиках новые страницы могут создавать все, но вы лишились этого, а в остальных разделах сайта — только члены спецгрупп, но вы не вступили в них :)
— Гость (09/04/2012 12:00)   <#>
Можете временно создать в черновиках новую страницу и перенести излишек туда.

а в остальных разделах сайта — только члены спецгрупп
Ой, вру. Тоже не могут. Или могут, но для этого им надо быть владельцем документа — корня кластера.
— SATtva (09/04/2012 22:59)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Eridan, у Вас есть полномочия на создание подстраниц ниже данной. Я бы предложил оставить здесь оглавление и вводный текст, а остальные разделы выделить в самостоятельные страницы ниже. Смотрите, как это сделано, например, здесь.
— Eridan (20/04/2012 15:39)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Упс. Что-то я не то создал. Можно поподробнее?
— SATtva (20/04/2012 15:52)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Вы не можете создать страницу в корне сайта. Чтобы создать ниже текущей, адресуйте её так: ((!/Рекомендации Рекомендации и советы))
— Eridan (21/04/2012 15:20)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Что именно делать? Я разместил ссылку, но после клика по кнопке создать написано, что у меня нету прав.
— SATtva (21/04/2012 15:24, исправлен 21/04/2012 15:24)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054

Потому что Ваша ссылка ведёт на корень сайта (подробнее здесь). Замените её на ту, что я привёл выше.

— Eridan (22/04/2012 01:29)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Ну, вроде все так. Но не создается. Поправьте сами пожалуйста.
— Eridan (28/04/2012 17:47)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Как влияет новый протокол SPDY на анонимность?
— Гость (30/05/2012 15:32)   <#>
Предлагаю добавить в список Stylish с таким вот стилем:


А вообще, действительно, как тут выше сказали, очень много лишнего.
Из списка убрать LiveHTTPHeaders, Modify Headers, Header Spy — всё это заменяется одним FireBug'ом, плодить сущности нет никакого смысла. Сам FireBug отношение к безопасности и анонимности иметь маленькое. Но им можно быстренько посмотреть и поблочить рекламу, который нет в адблоковских фильтрах (вычёркиваем ещё одно расширение — Adblock Plus: Element Hiding Helper). А вот HttFox, наоборот, бывает очень полезен, чтобы задампить лисий HTTPS-траффик. Wireshark'ом его не поймаешь (разве что самому себе MITM делать), а вот такие вещи проверять надо: https://bugzilla.mozilla.org/show_bug.cgi?id=368255 (shouldn't send Google's cookie with SafeBrowsing API requests). Я проверил и действительно — раз в полчаса отправляет. Правда с выключенными third-party куки не создаются/отправляются, но айпишник и юзерагент (и вроде какой-то идентификатор wrkey; не стал разбираться, просто отключил safebrowsing) гугль видит.
Также убрать: GreaseMonkey, Scriptish, Custom Buttons, JSView, TamperData, fontinfo, SQLite Manager, DOM Inspector, MailCatch, TrashMail.net – Anti-Spam — совершенно не в тему.
Keylogger Beater, Master Password Timeout, Link Password, Password Exporter, Pwgen, Lock The Text, Secure Login — хранить/генерировать пароли в браузере — ужасное зло, я удивляюсь, как вам это ещё не сказали. Поставьте PasswordSafe/KeePass что ли. Это, возможно, имеет небольшой смысл, для portable-версии, когда пришёл на враждебную машину без нужного софта, но о какой безопаности может идти речь во враждебной среде? Тут уж проще Start private browsing включить и всего делов.
HTTPS Finder — уже сказали и в faq HTTPS Everywhere объясняют, почему оно практически бесполезно. ИМХО лучше правила для everywhere писать.
Link Alert, Extended Link Properties, CookieSwap, Exif Viewer, Preferences Cleaner, Add to Search Bar, pgp.mit.edu тоже лишние.

И да, все эти аддоны ставить только на обычный браузер можно, для профилактики ЗПiП так сказать, TBB лучше оставить как есть.
— Гость (30/05/2012 18:20)   <#>
И да, все эти аддоны ставить только на обычный браузер можно, для профилактики ЗПiП так сказать, TBB лучше оставить как есть.
Всецело согласен, поддерживаю.
— Гость (30/05/2012 19:36)   <#>
Да, ещё забыл написать.
Flash-cookies лучше отключать вот здесь: http://www.macromedia.com/supp.....tings_manager07.html (заодно пройдитесь по всем остальным настройкам: камера и микрофон, third-party, кэш, older security, p2p uplink). Для паранойи можно rm -r /.macromedia; mkdir /.macromedia; chmod -w /.macromedia
/.adobe на всякий случай тоже. Или даже лучше flash вообще отключить, а смотреть видео (он же больше ни для чего не нужен?) через FlashVideoReplacer/Lantern Magica/youtube-dl.
HTML5 storage не нужно «обозревать», его нужно просто отключить в about:permissions либо dom.storage.enabled поставить в false (похоже это различные настройки, не очень понял как связаны между собой; видимо первое мягко блокирует, а второе полностью отключает фичу).
Итого: убираем BetterPrivacy, Foundstone HTML5 Local Storage Explorer.

Насчёт юзерагента. general.useragent.override и подмена хидера это хорошо, но делают ли перечисленные на эту тему дополнения как TorButton?
Hook Dangerous Javascript (crucial)

This setting enables the Javascript hooking code. Javascript is injected into pages to hook the Date object to mask your timezone, and to hook the navigator object to mask OS and user agent properties not handled by the standard Firefox user agent override settings.

Вот здесь можно проверить, например: http://www.quirksmode.org/js/detect.html
Если изменить только через override параметр, то объект navigator спалит дефолтные platform, version и прочее. Получится ещё хуже чем было — часто ли меняют свой юзерагент? Сам себя перехитрил называется.
Или можно блокировать весь javascript на сайте сразу…
— Eridan (30/05/2012 21:33, исправлен 30/05/2012 21:35)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Гость (30/05/2012 15:32)


при правильно настроенном https подсвечиваем всю строку адреса жёлтеньким и...

Хороший выход. Хотя некоторые темы сами меняют эти цвета, так что нужно будет мониторить устанавливаемые темы. Потом добавлю подобное.


А вообще, действительно, как тут выше сказали, очень много лишнего.

Это только ваше ИМХО.


Из списка убрать LiveHTTPHeaders, Modify Headers, Header Spy — всё это заменяется одним FireBug'ом, плодить сущности нет никакого смысла. Сам FireBug отношение к безопасности и анонимности иметь маленькое. Но им можно быстренько посмотреть и поблочить рекламу, который нет в адблоковских фильтрах (вычёркиваем ещё одно расширение — Adblock Plus: Element Hiding Helper).

Дополнения эти удобнее firebag для конкретной цели. Тут есть дубли, но их я оставил из-за малого количества аналогов.


Также убрать: GreaseMonkey, Scriptish, Custom Buttons, JSView, TamperData, fontinfo, SQLite Manager, DOM Inspector, MailCatch, TrashMail.net – Anti-Spam — совершенно не в тему.

Я специально выделил их в отдельную тему, и названа она соответствующе, это больше для опытных пользователей. Например, при желании стилишем можно пофиксить стили (как вы показали), а скриптишем изменить или отключить любой скрипт.
Остальные также предназначены для более полного и/или удобного контроля. (TamperData кстати можно на лету изменять передаваемое.)


MailCatch, TrashMail.net – Anti-Spam — совершенно не в тему.

Да, это пожалуй пора удалить. Просто не хочу удалять раздел, а нормальных не нашел.


Keylogger Beater, Master Password Timeout, Link Password, Password Exporter, Pwgen, Lock The Text, Secure Login — хранить/генерировать пароли в браузере — ужасное зло, я удивляюсь, как вам это ещё не сказали. Поставьте PasswordSafe/KeePass что ли. Это, возможно, имеет небольшой смысл, для portable-версии, когда пришёл на враждебную машину без нужного софта, но о какой безопаности может идти речь во враждебной среде? Тут уж проще Start private browsing включить и всего делов.

Если использовать хранение в браузере, то это лучший выход. Keylogger Beater, он для других целей, кстати.
О враждебной среде никто не говорил. Пишем убунту на флэшку, сохраняем туда профиль, загружаемся с неё и запускаем firefox -p путь_к_профилю.


HTTPS Finder — уже сказали и в faq HTTPS Everywhere объясняют, почему оно практически бесполезно. ИМХО лучше правила для everywhere писать.

Поясните. HTTPS Finder же только создает правило, которое используется в HTTPS Everywhere. Про то, что HTTPS Finder стучится каждый раз по https я знаю, но для определенных целей нужно именно это (создать правило).


Link Alert, Extended Link Properties, CookieSwap, Exif Viewer, Preferences Cleaner, Add to Search Bar, pgp.mit.edu тоже лишние.

Link Alert возможно лишнее, но польза от него есть. Со всем остальным полностью не согласен.


И да, все эти аддоны ставить только на обычный браузер можно, для профилактики ЗПiП так сказать, TBB лучше оставить как есть.

Не верно. Для определенных целей нужно ставить. Пример, практически все соц. сети имеют лайки и т.п. на популярных и не очень сайтах. Если вы на сайте зарегены как Алиса, а в соц. сети как Боб, то соц. сеть может понять, что и Алиса и Боб – одно лицо. Можно конечно переключаться каждый раз, но время тоже важный фактор, его нужно экономить. Это только один пример, можно и другие придумать.


Случаи разные бывают. Это список того что вы можете добиться дополнениями и список средств которыми можете. В направлении анонимности.


Да, ещё забыл написать.
Flash-cookies лучше отключать вот здесь: wwwhttp://www.macromedia.com/s.....tings_manager07.html (заодно пройдитесь по всем остальным настройкам: камера и микрофон, third-party, кэш, older security, p2p uplink). Для паранойи можно rm -r /.macromedia; mkdir /.macromedia; chmod -w /.macromedia
/.adobe на всякий случай тоже. Или даже лучше flash вообще отключить, а смотреть видео (он же больше ни для чего не нужен?) через FlashVideoReplacer/Lantern Magica/youtube-dl.

Это каждый решит сам, про что-что, а про флэш куки средства масс инфы орали много. Тот кто копает в этом направлении натыкается на это часто.


HTML5 storage не нужно «обозревать», его нужно просто отключить в about:permissions либо dom.storage.enabled поставить в false (похоже это различные настройки, не очень понял как связаны между собой; видимо первое мягко блокирует, а второе полностью отключает фичу).
Итого: убираем BetterPrivacy, Foundstone HTML5 Local Storage Explorer.

Итого: вам внезапно нужно зайти на сайт на котором есть эта фигня, вы убрали опцию 2 года назад и теперь уже 2 часа ломаете голову "почему не работает".
Мне интересно знать что и кто сохраняет у меня. Вам не интересно? Не ставьте.
BetterPrivacy. Флэш, вы в курсе, что есть сайты целиком на нем? А в курсе, что иногда на него нужно зайти анонимно и контролить флэш-куки? Если это не нужно вам – не значит не нужно кому-то.


Насчёт юзерагента. general.useragent.override и подмена хидера это хорошо, но делают ли перечисленные на эту тему дополнения как TorButton?

А про это я писал в этой статье, подмена не имеет никакого смысла для анонимности. Предполагаю даже TorButton скорее всего можно как-то вычислить по этому.

— Гость (30/05/2012 22:52)   <#>
Предполагаю даже TorButton скорее всего можно как-то вычислить по этому.
Его не надо вычислять. Точнее, Tor Browser не надо вычислять. Цель — сделать одинаковыми всех, кто за Tor'ом, а сам факт того, что кто-то за Tor'ом и без того очевиден (хотя бы по IP-адерсу, принадлежащему exit-ноде).
— Eridan (31/05/2012 10:40)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Гость (30/05/2012 22:52)
Возможно я ошибаюсь, но разве не может быть, что список нод сайта обновляется медленнее чем новые добавляются?
Так можно будет понять Tor или нет даже, если прикрутят дополнительный прокси на выходной нод.
На страницу: 1, ... , 6, 7, 8, 9, 10, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3