Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 254 документов: 9 редакций: 753
В Cookie Monster это все настраивается. Там можно устанавливать подобные разрешения для сторонних сайтов. В ghostery, как я понял есть уже готовый белый список, он составлен не вами, но серьезно влияет на вас. И что-то мне подсказывает, что в этом белом списке куча поисковиков, соц. сетей и т.п. А от них большая угроза.
комментариев: 254 документов: 9 редакций: 753
комментариев: 254 документов: 9 редакций: 753
Я читаю не все темы.
Все желающие могут напихать сюда сотни дополнений и получится второе AMO (https://addons.mozilla.org). Я выбираю уникальные (ИМХО).
Если я считаю, что дополнение не полезно, то переубедить меня могут или грамотная аргументация, или участники группы openPGP (https://www.pgpru.com/proekt/gruppy). Хотя к совсем уж глупым доводам я не прислушаюсь.
Если не нравится можете попробовать создать страницу типа "Дополнения Firefox, альтернативное мнение".
Нормальный рабочий процесс, не надо ничего блокировать.
Это я «попросил», но скорее в шутку :)
Я участник группы (и давно это стало такой привелегией?), с Eridan'ом мы уже пообсуждали, но ясности не прибавилось. Весомых доводов против я не услышал, а сам подробно документацию на аддон не читал. Внешне он работает, показывает счётчики, что на уроне сведений интересно, но некоторые непонятки остаются. Может быть, у ghostery действительно есть какой-то дурной функционал, включённый по умолчанию, о котором я не подозреваю, но нужны пруфы. По поводу /comment50680 сказать что-то тоже трудно, т.к. с Cookie Monster не работал. К тому же, хотелось бы получить подтверждение словам
Всё-таки в такой белый список (если он реально есть и используется, что я тоже не знаю) как раз и должны попасть как соцсети, так и поисковики, т.к. в отличие от каких-нить statcounter.com это сайты, посещаемые пользователем непосредственно. Мне представлялось, что ghostery должен различать ситуацию, когда я целево иду в условный ФСБук (и тогда надо принимать его куки), и когда я иду на сторонний сайт, где стоит счётчик от ФСБука (тогда не надо принимать его куки). Я сильно заблуждаюсь по поводу функционала ghostery?
Мне бы хотелось услышать мнение других участников, а пока нас только трое: я, Eridan и Гость (да, нам всем лень гуглить и читать доки).
Жду комментариев.
комментариев: 254 документов: 9 редакций: 753
Главный довод, даже, если оно работает, как заявлено: это дополнение излишне, есть куда более функциональные.
Использовать AdBlock+ правильнее для блокировки рекламы. А для таких штук лучше RequestPolicy я не встречал.
Вообще мастхэвная связка:
NoScript + Cookie Monster + BetterPrivacy + AdBlock Plus + RefControl + HTTPS Everywhere + HTTPS Finder + RequestPolicy
По желанию можно добавить:
Certificate Patrol + Cipherfox + BrowserProtect
Для куков в Firefox существует страница about:permissions, кстати.
Это догадка. Разве есть способ разрешать/запрещать элементы не составив их список (список источников) и список сайтов на которых они должны работать?
Про соц. сети в белом списке тоже догадка, большинство регистраций проходит как раз в таких местах. Если разраб дополнения не добавит их в белый список он потеряет много пользователей. А судя по популярности их много.
Да, вероятно, вы правы. Принимается.
Тут не всё так просто. На странице приведена уйма всевозможных, связанных с privacy, дополнений. Был бы интересен системный подход, наподобие используемого TorBrowser'ом: формулировка риска, стандарт защиты, список лучших расширений, которые справляются с той или иной задачей. А так тут порой перечислены штуки 3 дполнения с схожим функционалом. К примеру, зачем нужен BetterPrivacy, если есть стандартный Click&Clean с куда более широкими возможностями, включая все те, что есть у BetterPrivacy (я понял именно так)? Другие расширения по больше части интересны web-разработчикам (просмотр http-хидеров от сайтов) и мне плохо понятно, как это связано с приватностью.
Что касается Click&Clean: не знаю, проблема ли это моего браузера, или самих аддонов. Если место под иконку слева от адресной строки браузера уже занято одним аддоном, и ставишь другой аддон, то иконка 2го не появляется. Например, если DownloadHelper стоит, то иконка от Click&Clean не появляется, и историю почистить нельзя :(
The url is not valid and cannot be loaded. ЧЯДНТ? Версия браузера не та?
Имеете в виду блокировку всяких кнопок вида «добавить информацию к себе на страничку в ФСБук»? Ну... может быть.
Cуществование списка в ghostery вероятно, но я не знаю, есть ли он. В нулевом приближении можно блокировать всё, что не относится к домену в строке адреса. Причём, вроде бы, именно так RequestPolicy и работает, но у него есть свой (отключаемый и редактируемый) белый список соответствий (т.е. там исключается блокировка сайтов, принадлежащих одной компании).
Я бы субъективно исключил из мастхэвности
Ещё вопросы не в тему, но раз уж зашла речь:
комментариев: 9796 документов: 488 редакций: 5664
Шаг влево — шаг вправо от стандартной сборки торбраузера — это и так privacy leak.
Включение любых средств фильтрации трафика делает профиль пользователя уникальным по отношении к пассивному и активному (преднамеренный вброс малозаметных элементов в код страницы из перехваченного трафика и распознавание того, какие из них пользователь будет блокировать: так можно сделать определённый вывод о стране, если пользователю не нравятся русские/немецкие/японские и пр. баннеры — если незаметно вбрасывать код, имитирующий их появление на веб-странице и смотреть, какой из них будет заблокирован) анализу его отпечатков. И соответственно, выделяет пользователя среди тех, кто настроил такие средства фильтрации по-другому.
Так что все эти плагины можно использовать только вне торбраузера, где privacy leak может иметь некий другой смысл или требования к приватности ниже.
комментариев: 254 документов: 9 редакций: 753
Большинство ваших вопросов уже обсуждалось на форуме мозилы, находится легко поиском и тут не в тему. Еще, вы сомневаетесь в моих рекомендациях даже не сравнив дополнения или просто не попробовав.
Но про DownloadHelper отвечу. Он иногда использует онлайн-сервис, его можно отключить. Лучше FlashGot.
Дополнения важные для разработчиков имеют смысл для разбирающихся.
Это все слишком затратно. И насколько я понял AdBlock большинство рекламы, если не всю, блокирует "тихо", как стили. Хотя и в этом случае можно кое-чего собрать.
О Tor. С учетом политики США они почти 100% каким-то образом собирают статистику. Пусть и не явным, и возможно не точную. Поэтому на Tor я особо не рассчитываю.
Вполне логичное название, если хотя бы попробовать дополнение.