Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
В черновиках новые страницы могут создавать все, но вы лишились этого, а в остальных разделах сайта — только члены спецгрупп, но вы не вступили в них :)
Ой, вру. Тоже не могут. Или могут, но для этого им надо быть владельцем документа — корня кластера.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 254 документов: 9 редакций: 753
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 254 документов: 9 редакций: 753
комментариев: 11558 документов: 1036 редакций: 4118
Потому что Ваша ссылка ведёт на корень сайта (подробнее здесь). Замените её на ту, что я привёл выше.
комментариев: 254 документов: 9 редакций: 753
комментариев: 254 документов: 9 редакций: 753
А вообще, действительно, как тут выше сказали, очень много лишнего.
Из списка убрать LiveHTTPHeaders, Modify Headers, Header Spy — всё это заменяется одним FireBug'ом, плодить сущности нет никакого смысла. Сам FireBug отношение к безопасности и анонимности иметь маленькое. Но им можно быстренько посмотреть и поблочить рекламу, который нет в адблоковских фильтрах (вычёркиваем ещё одно расширение — Adblock Plus: Element Hiding Helper). А вот HttFox, наоборот, бывает очень полезен, чтобы задампить лисий HTTPS-траффик. Wireshark'ом его не поймаешь (разве что самому себе MITM делать), а вот такие вещи проверять надо: https://bugzilla.mozilla.org/show_bug.cgi?id=368255 (shouldn't send Google's cookie with SafeBrowsing API requests). Я проверил и действительно — раз в полчаса отправляет. Правда с выключенными third-party куки не создаются/отправляются, но айпишник и юзерагент (и вроде какой-то идентификатор wrkey; не стал разбираться, просто отключил safebrowsing) гугль видит.
Также убрать: GreaseMonkey, Scriptish, Custom Buttons, JSView, TamperData, fontinfo, SQLite Manager, DOM Inspector, MailCatch, TrashMail.net – Anti-Spam — совершенно не в тему.
Keylogger Beater, Master Password Timeout, Link Password, Password Exporter, Pwgen, Lock The Text, Secure Login — хранить/генерировать пароли в браузере — ужасное зло, я удивляюсь, как вам это ещё не сказали. Поставьте PasswordSafe/KeePass что ли. Это, возможно, имеет небольшой смысл, для portable-версии, когда пришёл на враждебную машину без нужного софта, но о какой безопаности может идти речь во враждебной среде? Тут уж проще Start private browsing включить и всего делов.
HTTPS Finder — уже сказали и в faq HTTPS Everywhere объясняют, почему оно практически бесполезно. ИМХО лучше правила для everywhere писать.
Link Alert, Extended Link Properties, CookieSwap, Exif Viewer, Preferences Cleaner, Add to Search Bar, pgp.mit.edu тоже лишние.
И да, все эти аддоны ставить только на обычный браузер можно, для профилактики ЗПiП так сказать, TBB лучше оставить как есть.
Flash-cookies лучше отключать вот здесь: http://www.macromedia.com/supp.....tings_manager07.html (заодно пройдитесь по всем остальным настройкам: камера и микрофон, third-party, кэш, older security, p2p uplink). Для паранойи можно rm -r /.macromedia; mkdir /.macromedia; chmod -w /.macromedia
/.adobe на всякий случай тоже. Или даже лучше flash вообще отключить, а смотреть видео (он же больше ни для чего не нужен?) через FlashVideoReplacer/Lantern Magica/youtube-dl.
HTML5 storage не нужно «обозревать», его нужно просто отключить в about:permissions либо dom.storage.enabled поставить в false (похоже это различные настройки, не очень понял как связаны между собой; видимо первое мягко блокирует, а второе полностью отключает фичу).
Итого: убираем BetterPrivacy, Foundstone HTML5 Local Storage Explorer.
Насчёт юзерагента. general.useragent.override и подмена хидера это хорошо, но делают ли перечисленные на эту тему дополнения как TorButton?
Вот здесь можно проверить, например: http://www.quirksmode.org/js/detect.html
Если изменить только через override параметр, то объект navigator спалит дефолтные platform, version и прочее. Получится ещё хуже чем было — часто ли меняют свой юзерагент? Сам себя перехитрил называется.
Или можно блокировать весь javascript на сайте сразу…
комментариев: 254 документов: 9 редакций: 753
Гость (30/05/2012 15:32)
Хороший выход. Хотя некоторые темы сами меняют эти цвета, так что нужно будет мониторить устанавливаемые темы. Потом добавлю подобное.
Это только ваше ИМХО.
Дополнения эти удобнее firebag для конкретной цели. Тут есть дубли, но их я оставил из-за малого количества аналогов.
Я специально выделил их в отдельную тему, и названа она соответствующе, это больше для опытных пользователей. Например, при желании стилишем можно пофиксить стили (как вы показали), а скриптишем изменить или отключить любой скрипт.
Остальные также предназначены для более полного и/или удобного контроля. (TamperData кстати можно на лету изменять передаваемое.)
Да, это пожалуй пора удалить. Просто не хочу удалять раздел, а нормальных не нашел.
Если использовать хранение в браузере, то это лучший выход. Keylogger Beater, он для других целей, кстати.
О враждебной среде никто не говорил. Пишем убунту на флэшку, сохраняем туда профиль, загружаемся с неё и запускаем firefox -p путь_к_профилю.
Поясните. HTTPS Finder же только создает правило, которое используется в HTTPS Everywhere. Про то, что HTTPS Finder стучится каждый раз по https я знаю, но для определенных целей нужно именно это (создать правило).
Link Alert возможно лишнее, но польза от него есть. Со всем остальным полностью не согласен.
Не верно. Для определенных целей нужно ставить. Пример, практически все соц. сети имеют лайки и т.п. на популярных и не очень сайтах. Если вы на сайте зарегены как Алиса, а в соц. сети как Боб, то соц. сеть может понять, что и Алиса и Боб – одно лицо. Можно конечно переключаться каждый раз, но время тоже важный фактор, его нужно экономить. Это только один пример, можно и другие придумать.
Случаи разные бывают. Это список того что вы можете добиться дополнениями и список средств которыми можете. В направлении анонимности.
Это каждый решит сам, про что-что, а про флэш куки средства масс инфы орали много. Тот кто копает в этом направлении натыкается на это часто.
Итого: вам внезапно нужно зайти на сайт на котором есть эта фигня, вы убрали опцию 2 года назад и теперь уже 2 часа ломаете голову "почему не работает".
Мне интересно знать что и кто сохраняет у меня. Вам не интересно? Не ставьте.
BetterPrivacy. Флэш, вы в курсе, что есть сайты целиком на нем? А в курсе, что иногда на него нужно зайти анонимно и контролить флэш-куки? Если это не нужно вам – не значит не нужно кому-то.
А про это я писал в этой статье, подмена не имеет никакого смысла для анонимности. Предполагаю даже TorButton скорее всего можно как-то вычислить по этому.
комментариев: 254 документов: 9 редакций: 753
Возможно я ошибаюсь, но разве не может быть, что список нод сайта обновляется медленнее чем новые добавляются?
Так можно будет понять Tor или нет даже, если прикрутят дополнительный прокси на выходной нод.