id: Гость   вход   регистрация
текущее время 15:37 28/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
https://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 7, 8, 9, 10, 11, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— unknown (31/05/2012 11:20, исправлен 31/05/2012 12:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Возможно я ошибаюсь, но разве не может быть, что список нод сайта обновляется медленнее чем новые добавляются?

Ошибаетесь. Список нод выдёргивается напрямую из консенсуса по статистике. Пока нода не прошла утверждение в консенсусе, клиент не может её использовать для построения в цепочке. Так что и клиент сети, и сторонний наблюдатель имеют равный доступ к списку нод. Если сайт-блокировщик блокирует не через общедоступную статистику консенсусов, а по устаревающим спискам, то это его проблемы.

Так можно будет понять Tor или нет даже, если прикрутят дополнительный прокси на выходной нод.

Это отчасти верно. Если важна не анонимность в строгом смысле, а возможность анонимно пробиться к блокирующему вход с тора сайту, который режет пользователей не только по списку IP исходящих узлов, но и по заголовкам торбраузера. Но его заголовки мало того, что одинаковы для всех, они ещё и сливаются с заголовками обычных пользователей Мозиллы, которых сайт не рискнёт вырезать.


И да, все эти аддоны ставить только на обычный браузер можно, для профилактики ЗПiП так сказать, TBB лучше оставить как есть.

Не верно. Для определенных целей нужно ставить. Пример, практически все соц. сети имеют лайки и т.п. на популярных и не очень сайтах. Если вы на сайте зарегены как Алиса, а в соц. сети как Боб, то соц. сеть может понять, что и Алиса и Боб – одно лицо. Можно конечно переключаться каждый раз, но время тоже важный фактор, его нужно экономить. Это только один пример, можно и другие придумать.

Так отсутствие плагинов и единообразие всех настроек и даёт неразличимость пользователям TBB. Здесь же эта ситуация ухудшается самим фактом установки доп. плагинов, работой в соц. сетях под разными профилями из одного браузера без смены личиныпрофиля. А исходящих узлов не так много в пересчёте на трафик и они, возможно, будут ловить значимые корреляции, если при таких компромиссах в сторону удобства профиль не менять.
Может такая оптимизация в ущерб анонимности будет слишком рискованной?


Скорее лучше два торбраузера параллельно запустить и с разными торами.

Случаи разные бывают. Это список того что вы можете добиться дополнениями и список средств которыми можете. В направлении анонимности.

В направлении анонимности ли?

— Гость (31/05/2012 13:34)   <#>

Всё это не имеет отношения ни к безопасности, ни к анонимности.
Вот вы же сами пишете:
А пихаете всё подряд. Причём ладно бы это была статья в черновиках. Но это ведь находится в основном разделе и, соответственно, позиционируется как нечто, вполне пригодное для использования новичками. А вы им вместо наиболее важных расширений с описанием их предпочтительной настройки даёте огромный список барахла вроде Custom Buttons и JSView.
В LiveCD убунты есть большая часть более надёжных аналогов этих расширений. И не просто аналогов, а отдельных от браузера программ, до которых он не сможет добраться, если запускать из-под разных пользователей.
Сравните: получить вредоносному скрипту доступ к расширению в том же самом браузере, том же самом профиле или code execution browser exploit + local root.
KeePass можно точно также на флэшку скопировать.
Я как раз про это. Ну и цитата с https://www.eff.org/https-everywhere/faq :
Q. Why use a whitelist of sites that support HTTPS? Why can't you try to use HTTPS for every last site, and only fall back to HTTP if it isn't available?

A. There are several problems with the idea of trying to automatically detect HTTPS on every site. Firstly, there is no guarantee that sites are going to give the same response via HTTPS that they give via HTTP. As of 2010, LiveJournal is a good example of this problem: compare these HTTP and HTTPS responses. Secondly, we don't think it's possible to test for HTTPS in real time without introducing security vulnerabilities (What should the extension do if the HTTPS connection attempt fails? Falling back to insecure HTTP isn't safe). Lastly, in some cases, HTTPS Everywhere has to perform quite complicated transformations on URIs — for example until recently the Wikipedia rule had to turn an address like http://en.wikipedia.org/wiki/World_Wide_Web into one like https://secure.wikimedia.org/w...../wiki/World_Wide_Web because HTTPS was not available on Wikipedia's usual domains.

Да вроде бы пока нет сайтов, которые DOM Storage прямо требуют.
Это да. Но, ИМХО, такие сайты где-то на уровне «Рекомендуемый браузер: Internet Explorer 6.0» Вам такое надо?
Зачем же тогда оно здесь?
— Гость (31/05/2012 14:00)   <#>
Eridan, вы только не воспринимайте это как удализм.
Просто, по-моему, чем меньше компонентов в системе, чем она проще, тем более защищена.
А навесив 20 расширений можно легко нарваться на несовместимость.
Вот и разработчики TBB предупреждают: https://www.torproject.org/tor.....n#extensionconflicts Где-то у них было ещё про FlagFox, FireFTP и прочие.
— Eridan (31/05/2012 14:46, исправлен 31/05/2012 14:58)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

unknown

В направлении анонимности ли?

Да. Если требуется скрыть например только от одного сайта или от провайдера. Тут очень широкое понятие.


Гость (31/05/2012 13:34)
JSView оставлен для моего удобства, чтобы раздел не сливался и я о нем не забыл. Вроде как любому понятно, что этот раздел не для всех? Custom Buttons аналог скриптиша, только продвинутый. Им можно фактически дополнение написать. Есть куча кнопок, например для изменения прокси, юзер агента и т.д.


В LiveCD убунты есть большая часть более надёжных аналогов этих расширений.

Я уже писал, случаи разные бывают.
Сам вход по https будь то HTTPS Everywhere или HTTPS Finder уже странен. Так что, если убирать одно, то и другое. Но кому-то надо одно, кому-то другое.


Да вроде бы пока нет сайтов, которые DOM Storage прямо требуют.

Вы все проверили?


Это да. Но, ИМХО, такие сайты где-то на уровне «Рекомендуемый браузер: Internet Explorer 6.0» Вам такое надо?

Не понятно предложение. Сайтов на флэш много и они довольно популярны. Зайдите на сайт интела, не все, но многое там на флэш, по крайней мере недавно было.


Зачем же тогда оно здесь?

Можно сохранять анонимность в отношении только одного сайта, вот за этим.


А пихаете всё подряд. Причём ладно бы это была статья в черновиках. Но это ведь находится в основном разделе и, соответственно, позиционируется как нечто, вполне пригодное для использования новичками. А вы им вместо наиболее важных расширений с описанием их предпочтительной настройки даёте огромный список барахла вроде Custom Buttons и JSView.

Не я перенес эту статью из черновиков. Список не предпочтительных, а тех на что нужно обратить внимание и подумать и все разъяснения есть в самом верху страницы и по ссылке внизу страницы. Мне казалось, что этого достаточно.


Упс, тут я не прав. Забыл поправить: заменить слово предпочтительный на обратить внимание.


Гость (31/05/2012 14:00)

Eridan, вы только не воспринимайте это как удализм.
Просто, по-моему, чем меньше компонентов в системе, чем она проще, тем более защищена.

Я где-то предлагал ставить все, что на этой странице? Каждый думает своей головой и ставит то, что ему нужно.

— Eridan (31/05/2012 15:19, исправлен 31/05/2012 15:20)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

TorBrowser маскируется под firefox 5 имея 12 версию. Это ОЧЕНЬ не правильно. Мозиловцы постоянно добавляют/убирают тестовые стили и возможности. Сайт может попросить сделать firefox 5, то что умеет только firefox 12 и firefox сделает. Что это будет означать при условии, что версию 5 сейчас довольно редко встретишь?


Возможно я не прав, но сомневаюсь, что проект Tor в состоянии мониторить код firefox на таком уровне, чтобы это контролировать.

— sentaus (31/05/2012 15:47)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Сайт может попросить сделать firefox 5, то что умеет только firefox 12 и firefox сделает. Что это будет означать при условии, что версию 5 сейчас довольно редко встретишь?


Судя по всему, это не очень удачная попытка сделать пользователей разных версий сборок TorBrowser условно одинаковыми. Наверно, эта задача полностью не решается.
— sentaus (31/05/2012 15:51)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Разве что использовать ESR в качестве базы для базы для TorBrowser, и каким-то образом гарантировать, что у всех стоит одна и та же версия, например, отказываться работать, если есть версия новее.
— unknown (31/05/2012 16:28, исправлен 31/05/2012 16:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Да. Если требуется скрыть например только от одного сайта или от провайдера. Тут очень широкое понятие.

... и тор превращается в многоузловой прокси с шифрованием или в VPN с некоторыми дополнительными плюшками.


При определённых оговорках всё это имеет право на существование, никто не спорит. Например, вполне в некоторых случаях естественно использование тора вообще без целей анонимности, а для целей преодоления цензуры. Просто надо предупредить или рассмотреть такие сценарии. Главное, чтобы пользователь отдавал себе в этом отчёт, а не отстрелил чего-нибудь.

у всех стоит одна и та же версия, например, отказываться работать, если есть версия новее.

Их навязчиво просят обновить старые версии при каждом старте TBB после сверки версии с сайтом.

— Genosse (31/05/2012 18:02)   профиль/связь   <#>
комментариев: 101   документов: 0   редакций: 3
В некоторых случаях системы анонимизации используются не для сокрытия личины пользователя, а для сокрытия его сиюминутного местоположения.
— Eridan (31/05/2012 18:09)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
unknown
... и тор превращается в многоузловой прокси с шифрованием или в VPN с некоторыми дополнительными плюшками.


У Tor есть ограничение по скорости. Это очень существенно. Правда, как вариант, тут можно подбирать быстрые ноды, но это тоже не всегда удобно.
— Гость (31/05/2012 20:45)   <#>

А я бы сказал, что уже давно Tor работает почти на той же скорости, что и напрямую. Конечно, при попытках звонить или смотреть фильмы в реальном времени будет чувствоваться, но номинальная скорость скачки файлов с файлообменников — до 50-100 килобайт в секунду, и это всё при дефолтных настройках.
— Eridan (01/06/2012 09:56, исправлен 01/06/2012 09:56)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

На практике иногда приходится 15+ сек ждать пока сайт откроется. Я в таком случае меняю цепочку.

— Eridan (01/06/2012 17:44)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Вот, програмеры продолжают присматриваться к локальному халилищу. Что не радует. http://habrahabr.ru/post/144998/#comment_4873230
— Гость (09/06/2012 00:51)   <#>
кто может сказать что либо о таком дополнении Do Not Track?
— Eridan (10/06/2012 11:44, исправлен 10/06/2012 11:45)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Есть не дополнение, а технология Do Not Track. Браузер отправляет серверу сообщение "не записывай данные о мне". Записываются или нет остается на совести владельца сервера. Думаю совершенно бесполезная штука. Крупные компании найдут обходной путь, а мелкие закроют на эту технологию глаза.

На страницу: 1, ... , 7, 8, 9, 10, 11, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3