Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 9796 документов: 488 редакций: 5664
Ошибаетесь. Список нод выдёргивается напрямую из консенсуса по статистике. Пока нода не прошла утверждение в консенсусе, клиент не может её использовать для построения в цепочке. Так что и клиент сети, и сторонний наблюдатель имеют равный доступ к списку нод. Если сайт-блокировщик блокирует не через общедоступную статистику консенсусов, а по устаревающим спискам, то это его проблемы.
Это отчасти верно. Если важна не анонимность в строгом смысле, а возможность анонимно пробиться к блокирующему вход с тора сайту, который режет пользователей не только по списку IP исходящих узлов, но и по заголовкам торбраузера. Но его заголовки мало того, что одинаковы для всех, они ещё и сливаются с заголовками обычных пользователей Мозиллы, которых сайт не рискнёт вырезать.
Так отсутствие плагинов и единообразие всех настроек и даёт неразличимость пользователям TBB. Здесь же эта ситуация ухудшается самим фактом установки доп. плагинов, работой в соц. сетях под разными профилями из одного браузера без смены
личиныпрофиля. А исходящих узлов не так много в пересчёте на трафик и они, возможно, будут ловить значимые корреляции, если при таких компромиссах в сторону удобства профиль не менять.Может такая оптимизация в ущерб анонимности будет слишком рискованной?
Скорее лучше два торбраузера параллельно запустить и с разными торами.
В направлении анонимности ли?
Всё это не имеет отношения ни к безопасности, ни к анонимности.
Вот вы же сами пишете:
А пихаете всё подряд. Причём ладно бы это была статья в черновиках. Но это ведь находится в основном разделе и, соответственно, позиционируется как нечто, вполне пригодное для использования новичками. А вы им вместо наиболее важных расширений с описанием их предпочтительной настройки даёте огромный список барахла вроде Custom Buttons и JSView.
В LiveCD убунты есть большая часть более надёжных аналогов этих расширений. И не просто аналогов, а отдельных от браузера программ, до которых он не сможет добраться, если запускать из-под разных пользователей.
Сравните: получить вредоносному скрипту доступ к расширению в том же самом браузере, том же самом профиле или code execution browser exploit + local root.
KeePass можно точно также на флэшку скопировать.
Я как раз про это. Ну и цитата с https://www.eff.org/https-everywhere/faq :
Да вроде бы пока нет сайтов, которые DOM Storage прямо требуют.
Это да. Но, ИМХО, такие сайты где-то на уровне «Рекомендуемый браузер: Internet Explorer 6.0» Вам такое надо?
Зачем же тогда оно здесь?
Просто, по-моему, чем меньше компонентов в системе, чем она проще, тем более защищена.
А навесив 20 расширений можно легко нарваться на несовместимость.
Вот и разработчики TBB предупреждают: https://www.torproject.org/tor.....n#extensionconflicts Где-то у них было ещё про FlagFox, FireFTP и прочие.
комментариев: 254 документов: 9 редакций: 753
unknown
Да. Если требуется скрыть например только от одного сайта или от провайдера. Тут очень широкое понятие.
Гость (31/05/2012 13:34)
JSView оставлен для моего удобства, чтобы раздел не сливался и я о нем не забыл. Вроде как любому понятно, что этот раздел не для всех? Custom Buttons аналог скриптиша, только продвинутый. Им можно фактически дополнение написать. Есть куча кнопок, например для изменения прокси, юзер агента и т.д.
Я уже писал, случаи разные бывают.
Сам вход по https будь то HTTPS Everywhere или HTTPS Finder уже странен. Так что, если убирать одно, то и другое. Но кому-то надо одно, кому-то другое.
Вы все проверили?
Не понятно предложение. Сайтов на флэш много и они довольно популярны. Зайдите на сайт интела, не все, но многое там на флэш, по крайней мере недавно было.
Можно сохранять анонимность в отношении только одного сайта, вот за этим.
Не я перенес эту статью из черновиков. Список не предпочтительных, а тех на что нужно обратить внимание и подумать и все разъяснения есть в самом верху страницы и по ссылке внизу страницы. Мне казалось, что этого достаточно.
Упс, тут я не прав. Забыл поправить: заменить слово предпочтительный на обратить внимание.
Гость (31/05/2012 14:00)
Я где-то предлагал ставить все, что на этой странице? Каждый думает своей головой и ставит то, что ему нужно.
комментариев: 254 документов: 9 редакций: 753
TorBrowser маскируется под firefox 5 имея 12 версию. Это ОЧЕНЬ не правильно. Мозиловцы постоянно добавляют/убирают тестовые стили и возможности. Сайт может попросить сделать firefox 5, то что умеет только firefox 12 и firefox сделает. Что это будет означать при условии, что версию 5 сейчас довольно редко встретишь?
Возможно я не прав, но сомневаюсь, что проект Tor в состоянии мониторить код firefox на таком уровне, чтобы это контролировать.
комментариев: 1060 документов: 16 редакций: 32
Судя по всему, это не очень удачная попытка сделать пользователей разных версий сборок TorBrowser условно одинаковыми. Наверно, эта задача полностью не решается.
комментариев: 1060 документов: 16 редакций: 32
комментариев: 9796 документов: 488 редакций: 5664
... и тор превращается в многоузловой прокси с шифрованием или в VPN с некоторыми дополнительными плюшками.
При определённых оговорках всё это имеет право на существование, никто не спорит. Например, вполне в некоторых случаях естественно использование тора вообще без целей анонимности, а для целей преодоления цензуры. Просто надо предупредить или рассмотреть такие сценарии. Главное, чтобы пользователь отдавал себе в этом отчёт, а не отстрелил чего-нибудь.
Их навязчиво просят обновить старые версии при каждом старте TBB после сверки версии с сайтом.
комментариев: 101 документов: 0 редакций: 3
комментариев: 254 документов: 9 редакций: 753
У Tor есть ограничение по скорости. Это очень существенно. Правда, как вариант, тут можно подбирать быстрые ноды, но это тоже не всегда удобно.
А я бы сказал, что уже давно Tor работает почти на той же скорости, что и напрямую. Конечно, при попытках звонить или смотреть фильмы в реальном времени будет чувствоваться, но номинальная скорость скачки файлов с файлообменников — до 50-100 килобайт в секунду, и это всё при дефолтных настройках.
комментариев: 254 документов: 9 редакций: 753
На практике иногда приходится 15+ сек ждать пока сайт откроется. Я в таком случае меняю цепочку.
комментариев: 254 документов: 9 редакций: 753
комментариев: 254 документов: 9 редакций: 753
Есть не дополнение, а технология Do Not Track. Браузер отправляет серверу сообщение "не записывай данные о мне". Записываются или нет остается на совести владельца сервера. Думаю совершенно бесполезная штука. Крупные компании найдут обходной путь, а мелкие закроют на эту технологию глаза.