id: Гость   вход   регистрация
текущее время 19:50 28/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
https://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 3, 4, 5, 6, 7, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— Eridan (16/02/2012 15:04)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Даже если поставить галку "принимать только с домена, который посещаю", это тоже не спасает дело: есть сайты, которые тесно завязаны на куки с нескольких своих доменов (но это не касается счётчиков).


В Cookie Monster это все настраивается. Там можно устанавливать подобные разрешения для сторонних сайтов. В ghostery, как я понял есть уже готовый белый список, он составлен не вами, но серьезно влияет на вас. И что-то мне подсказывает, что в этом белом списке куча поисковиков, соц. сетей и т.п. А от них большая угроза.
— Eridan (20/02/2012 23:20)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Или хорошо обоснуйте добавление Ghostery, или при следующем его добавлении страница будет блокирована.
— Гость (21/02/2012 11:02)   <#>
Вот, человек просил, думал вам помочь. В следующий раз будете добавлять сами. ;)
— Гость (21/02/2012 11:08)   <#>
И уточните политику добавления – я думал, что если открыто, то это могут делать все желающие.
— Eridan (21/02/2012 12:26, исправлен 21/02/2012 12:30)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Вот, человек просил, думал вам помочь. В следующий раз будете добавлять сами. ;)

Я читаю не все темы.


И уточните политику добавления – я думал, что если открыто, то это могут делать все желающие.

Все желающие могут напихать сюда сотни дополнений и получится второе AMO (https://addons.mozilla.org). Я выбираю уникальные (ИМХО).


Если я считаю, что дополнение не полезно, то переубедить меня могут или грамотная аргументация, или участники группы openPGP (https://www.pgpru.com/proekt/gruppy). Хотя к совсем уж глупым доводам я не прислушаюсь.


Если не нравится можете попробовать создать страницу типа "Дополнения Firefox, альтернативное мнение".

— Гость (21/02/2012 12:47)   <#>
Все желающие могут напихать ... Я выбираю уникальные (ИМХО).
Ну так вот она и политика! :)
Нормальный рабочий процесс, не надо ничего блокировать.
— Гость (21/02/2012 12:51)   <#>
А что касается Ghostery, то сам пользуюсь, а тут ещё кому-то понравилось, ну вот и решил добавить. Но, разумеется, ваш список и решать вам.
— Гость (21/02/2012 18:35)   <#>

Это я «попросил», но скорее в шутку :)


Я участник группы (и давно это стало такой привелегией?), с Eridan'ом мы уже пообсуждали, но ясности не прибавилось. Весомых доводов против я не услышал, а сам подробно документацию на аддон не читал. Внешне он работает, показывает счётчики, что на уроне сведений интересно, но некоторые непонятки остаются. Может быть, у ghostery действительно есть какой-то дурной функционал, включённый по умолчанию, о котором я не подозреваю, но нужны пруфы. По поводу /comment50680 сказать что-то тоже трудно, т.к. с Cookie Monster не работал. К тому же, хотелось бы получить подтверждение словам


Всё-таки в такой белый список (если он реально есть и используется, что я тоже не знаю) как раз и должны попасть как соцсети, так и поисковики, т.к. в отличие от каких-нить statcounter.com это сайты, посещаемые пользователем непосредственно. Мне представлялось, что ghostery должен различать ситуацию, когда я целево иду в условный ФСБук (и тогда надо принимать его куки), и когда я иду на сторонний сайт, где стоит счётчик от ФСБука (тогда не надо принимать его куки). Я сильно заблуждаюсь по поводу функционала ghostery?

Мне бы хотелось услышать мнение других участников, а пока нас только трое: я, Eridan и Гость (да, нам всем лень гуглить и читать доки).
— Гость (21/02/2012 19:07)   <#>
Ещё один эксперимент:

Берём AdBlock+ с фильтрами счётчиков pgpru.com и ghostery. При заходе на pgpru.com замок бьётся, если AdBlock+ выключен и ghostery отсутствует. Если же при этом включить ghostery, то битость замка пропадает, равно как и куки от счётчиков (или злой ghostery хранит куки в своём резервном хранилище, откуда стучит создателям при посещении каждой страницы?). Короче, на уровне PoC ghostery свою работу выполняет.

Жду комментариев.
— Eridan (21/02/2012 19:21, исправлен 21/02/2012 20:06)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Главный довод, даже, если оно работает, как заявлено: это дополнение излишне, есть куда более функциональные.


Использовать AdBlock+ правильнее для блокировки рекламы. А для таких штук лучше RequestPolicy я не встречал.


Вообще мастхэвная связка:
NoScript + Cookie Monster + BetterPrivacy + AdBlock Plus + RefControl + HTTPS Everywhere + HTTPS Finder + RequestPolicy


По желанию можно добавить:
Certificate Patrol + Cipherfox + BrowserProtect


Для куков в Firefox существует страница about:permissions, кстати.


В ghostery ... есть уже готовый белый список, он составлен не вами, но серьезно влияет на вас. ... в этом белом списке куча поисковиков, соц. сетей

Это догадка. Разве есть способ разрешать/запрещать элементы не составив их список (список источников) и список сайтов на которых они должны работать?


Про соц. сети в белом списке тоже догадка, большинство регистраций проходит как раз в таких местах. Если разраб дополнения не добавит их в белый список он потеряет много пользователей. А судя по популярности их много.

— Гость (22/02/2012 00:39)   <#>

Да, вероятно, вы правы. Принимается.


Тут не всё так просто. На странице приведена уйма всевозможных, связанных с privacy, дополнений. Был бы интересен системный подход, наподобие используемого TorBrowser'ом: формулировка риска, стандарт защиты, список лучших расширений, которые справляются с той или иной задачей. А так тут порой перечислены штуки 3 дполнения с схожим функционалом. К примеру, зачем нужен BetterPrivacy, если есть стандартный Click&Clean с куда более широкими возможностями, включая все те, что есть у BetterPrivacy (я понял именно так)? Другие расширения по больше части интересны web-разработчикам (просмотр http-хидеров от сайтов) и мне плохо понятно, как это связано с приватностью.

Что касается Click&Clean: не знаю, проблема ли это моего браузера, или самих аддонов. Если место под иконку слева от адресной строки браузера уже занято одним аддоном, и ставишь другой аддон, то иконка 2го не появляется. Например, если DownloadHelper стоит, то иконка от Click&Clean не появляется, и историю почистить нельзя :(


The url is not valid and cannot be loaded. ЧЯДНТ? Версия браузера не та?


Имеете в виду блокировку всяких кнопок вида «добавить информацию к себе на страничку в ФСБук»? Ну... может быть.


Cуществование списка в ghostery вероятно, но я не знаю, есть ли он. В нулевом приближении можно блокировать всё, что не относится к домену в строке адреса. Причём, вроде бы, именно так RequestPolicy и работает, но у него есть свой (отключаемый и редактируемый) белый список соответствий (т.е. там исключается блокировка сайтов, принадлежащих одной компании).


Я бы субъективно исключил из мастхэвности
  1. NoScript (проще полностью отключать JS в браузере, если нужно). Плюс он слишком шумный и наглый, этот NoScript.
  2. Cookie Monster. Опять же, очень редко когда такое нужно. Браузер периодически закрывается и все куки чистятся. Урон от попадающих на небольшое время куков от целево посещаемых сайтов не так велик, ИМХО.
  3. HTTPS Finder. Не то, чтоб сейчас речь идёт об анонимности, но пользователь, который на каждый сайт предварительно стучится по 443ему порту будет слишком сильно выдавать себя на фоне остальных пользователей. Имхо, это большой privacy leak. Умеет ли он каждый сайт проверять только один раз на предмет https? Список сайтов, https имеющих, очень мал в процентном отношении. Из часто посещаемых их вообще можно перечислить по пальцам. Естественно, что все они либо автоматически учтены HTTPS Everywhere, либо руками добавлены в его список. Что ещё хуже, у ряда доменов существуют как https, так и http-страницы, и их содержимое разное (пример из недавно работавшего — это http://ssl.scroogle.org и https://ssl.scroogle.org).

Ещё вопросы не в тему, но раз уж зашла речь:
  1. Каким плагином лучше качать Flash-ролики? (в основном интересует youtube). Есть DownloadHelper — кто что про него может сказать?
  2. По поводу Cipherfox: помню, что уже обсуждалось (/comment43582, /comment47151 и, кажется, ещё где-то), но не помню в чём итог. Почему camellia — симметричный шифр по умолчанию для pgpru.com? Разве при генерации сертификата нельзя указать AES? Или это поломает совместимость с какими-то допотопными браузерами?
— Гость (22/02/2012 09:43)   <#>
"белый список" (список игнорируемых доменов)
Всегда полагал, что так называется список разрешёных областей, когда все остальные при этом запрещены. А список запрещённых называется "чёрный".
— Гость (22/02/2012 10:06)   <#>
— unknown (22/02/2012 10:37, исправлен 22/02/2012 10:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
пользователь,<...>будет слишком сильно выдавать себя на фоне остальных пользователей. Имхо, это большой privacy leak.

Шаг влево — шаг вправо от стандартной сборки торбраузера — это и так privacy leak.
Включение любых средств фильтрации трафика делает профиль пользователя уникальным по отношении к пассивному и активному (преднамеренный вброс малозаметных элементов в код страницы из перехваченного трафика и распознавание того, какие из них пользователь будет блокировать: так можно сделать определённый вывод о стране, если пользователю не нравятся русские/немецкие/японские и пр. баннеры — если незаметно вбрасывать код, имитирующий их появление на веб-странице и смотреть, какой из них будет заблокирован) анализу его отпечатков. И соответственно, выделяет пользователя среди тех, кто настроил такие средства фильтрации по-другому.
Так что все эти плагины можно использовать только вне торбраузера, где privacy leak может иметь некий другой смысл или требования к приватности ниже.

— Eridan (22/02/2012 11:27, исправлен 22/02/2012 11:34)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Гость (22/02/2012 00:39)

Большинство ваших вопросов уже обсуждалось на форуме мозилы, находится легко поиском и тут не в тему. Еще, вы сомневаетесь в моих рекомендациях даже не сравнив дополнения или просто не попробовав.
Но про DownloadHelper отвечу. Он иногда использует онлайн-сервис, его можно отключить. Лучше FlashGot.


Дополнения важные для разработчиков имеют смысл для разбирающихся.


unknown

Это все слишком затратно. И насколько я понял AdBlock большинство рекламы, если не всю, блокирует "тихо", как стили. Хотя и в этом случае можно кое-чего собрать.
О Tor. С учетом политики США они почти 100% каким-то образом собирают статистику. Пусть и не явным, и возможно не точную. Поэтому на Tor я особо не рассчитываю.


Всегда полагал, что так называется список разрешёных областей, когда все остальные при этом запрещены. А список запрещённых называется "чёрный".

Вполне логичное название, если хотя бы попробовать дополнение.

На страницу: 1, ... , 3, 4, 5, 6, 7, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3