id: Гость   вход   регистрация
текущее время 20:50 28/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
https://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 10, 11, 12, 13, 14, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— Гость (13/06/2012 07:46)   <#>
необходимо найти какую-нибудь информацию. Приходится лазить по куче левых сайтов. Искать из-под TBB особо смысла нет.
Вот нашли вы информацию открыто и тут же запостили её через TBB. Возникает корреляция, однако!
— Гость (13/06/2012 08:25)   <#>
на ютубе подобный фокус воспроизвести не удалось. Хотя, может как-то можно.
Я слышал, что start [точнее, offset :)] можно задавать в ссылке, но деталей не помню. Со старыми версиями флэша, которые сохраняли видео в /tmp по умолчанию, достаточно было спозиционироваться на нужное место и ждать, когда всё загрузится. Потом забираешь готовый файл /tmp/FlashXXXX и вуаля. Позже сделали запись в Cach-директорию мозиллы, причём не полную, и браузер очень часто её трёт. Последние версии пишут туда в таком формате, что уже ничего не выудить — только аддонами качать. DownloadHelper'у я не уврен, что можно задать offset, потому качаю всё, а дальше с помощью mencoder вырезаю тот кусок, что нужен.

Кстати, если уж пошёл такой оффтоп, то покажите мне непроприетарный драйвер, который поддерживает аппаратное видеоускорение.
В этом некомпетентен. Иногда с дровами было столь плохо, что иксы попросту периодически намертво зависали. Приходилось назначать vesa-драйвер на Nvidia-карты, это избавляло хотя бы от зависаний. Что уж тут про ускорение говорить :)

Вроде только у интел что-то было, но у них железки совсем никакие, да и как можно покупать у них.
В контексте Intel: не помню, кто-то здесь выкладывал ссылку, или я сам наткнулся. На хабре есть интересный топик про то, что можно использовать внутренний датчик-акселерометр, реагирующий на движение ноутбука, для того, чтоб стирать ключи из памяти, отмонтировать разделы и выключать экстренно питание. Типа проактивная защита против cold boot. Писали, что есть софтварный интерфейс к этому акселерометру, но он пока поддерживается только из-под винды. Видео с пруфом тоже есть. Реакция на движение довольно чуткая, но минимальные движения допустимы как помехи. Если взять ноут на руки или попытаться переставить на другой стол, этого уже будет достаточно для срабатывания «аварийки». Против не слишком смышлённого противника самое то :)
— unknown (13/06/2012 10:17, исправлен 13/06/2012 10:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если кто-то ставит скачивающие адд-ны непосредственно на TBB, есть такой момент, что они имеют свой профиль скачивания и возможно даже отправляют сайту свой заголовок. И это при том, что таких адд-нов много.


Кроме того, youtube и реже другие сайты регулярно меняют формат ссылок и страниц, из которых можно выдрать флэш, так что эти дополнения нужно будет обновлять (а зачастую ждать их обновления).

— Гость (24/06/2012 05:04)   <#>
На vk.com работает параметр ?start, а на ютубе подобный фокус воспроизвести не удалось. Хотя, может как-то можно.
Добавляете в конец ссылки #t=0m25s. Вот пример — начинается с 25ой секунды.
— Гость (24/06/2012 13:09)   <#>
Не смотреть, а качать.
% youtube-dl https://www.youtube.com/watch?v=wpUflVa3rGI#t=0m25s качает с начала. Соответствующих опций у youtube-dl нет.
% youtube-dl -g http://url с дописыванием в конце параметров t и start тоже не работает.
— Гость (24/06/2012 18:17)   <#>
Значит, это проблемы youtube-dl. Сам сайт поддерживает смену точки старта.
— Eridan (14/08/2012 10:48)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
unknown
А разрабы TorBrowser не хотят поставить на него AdBlock Plus с английской подпиской?
— unknown (14/08/2012 12:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Нет, они высказывались против любых форм адблока в рассылке.
Дефолтная для всех подписка и настройки возможно не решат проблему в должном объёме.
— SATtva (14/08/2012 15:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Обновления подписки как-нибудь аутентифицируются? В любом случае они, насколько понимаю, поступают централизованно через сервер AdBlock?
— unknown (14/08/2012 17:11, исправлен 14/08/2012 17:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Допустим, Torproject отрежет эти обновления и будет их включать в каждый новый релиз TBB сам, а также вырежет из плагина возможность добавлять свои URL'ы.


  1. Этого достаточно или пришлось бы менять что-то ещё? Например, пользователь может захотеть отключить ошибочное блокирование важного элемента страницы. Этим предсказуемым поведением могут манипулировать злонамеренные исходящие узлы, которые будут индивидуально искажать вид страниц и смотреть, какие элементы будет отключать пользователь.
  2. Можно ли как-то обосновать затраты ресурсов на поддержание плагина, имеющего отношение к удобству, а не анонимности/безопасности? Причём не всех пользователей, а только тех, которые испытывают раздражение в ходе частого посещения сайтов с рекламой.
— Eridan (15/08/2012 11:03)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
В AdBlock есть скриптованные ограничения прав доступа к объектам одна активация которых приводит к определённому изменению свойств всех объектов на страницах, что позволяет вычислить наличие AdBlock с довольно высокой вероятностью (хоть бывают и ложные срабатывания).
Выключить можно только полностью выключив адблок.

Разве что возвращаться к старому способу блокировки залезая в код страницы — но это неимоверно медленный и тупиковый путь + не отлавливает множество типов объектов.
А проблема тут не в самом адблоке, а в браузере. Так уж он работает.

© Владимир Плант
— Eridan (15/08/2012 11:10, исправлен 15/08/2012 11:36)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Я конечно сильно запоздал, но
https://ru.wikipedia.org/wiki/....._.D0.B8_AdBlock_Plus


++Конфликт разработчиков Noscript и AdBlock Plus

Первого мая 2009 года (с выходом версии NoScript 1.9.2.4) Владимир Палант (Wladimir Palant), разработчик AdBlock Plus, самого популярного расширения Firefox[1], сообщил о том, что NoScript модифицирует настройки его продукта, добавляя в белый список AdBlock Plus (ABP) несколько рекламных сайтов, являющихся спонсорами авторов NoScript[3].


По словам же разработчика NoScript, Джорджио Маоне (Georgio Maone), причиной, толкнувшей его на модификацию чужого продукта, была «слишком агрессивная» блокировка вышеописанной рекламы[4]. Сайты были внесены в одну из автообновляемых баз признаков рекламы для ABP её новым администратором, на действия которого и пенял Джорджио. Однако, эта блокировка была внесена в базы по просьбе Владимира Паланта, в связи с тем, что автор NoScript ранее использовал ошибку в ABP для обхода блокировки рекламы[3] (что, впрочем, не мешало пользователю заблокировать эту рекламу вручную средствами ABP или всю рекламу AdSense средствами самого NoScript)[4].


Данный инцидент вызвал крайне негативную реакцию пользователей — за три дня дополнение NoScript получило почти три сотни обзоров с минимальной оценкой, аргументированных нарушением работы AdBlock Plus[5]. Версия NoScript 1.9.2.6 убирала добавленные версией 1.9.2.4 настройки для ABP, однако в комментарии к версии автор напомнил, что о данных функциях написано на странице установки дополнения и странице-FAQ[6].


Сам же автор AdBlock Plus отозвался о NoScript как о вредоносной программе[7], указав на то, что в предыдущей версии — 1.9.2 — NoScript присутствовал файл[8] с кодом, мешающим работе AdBlock Plus вообще[3]. Читаемость некоторых строк в коде была ухудшена, путём записи некоторых строк шестнадцатеричными кодами символов. Это было многократно названо обфускацией, но читаемость строк легко восстанавливается, и автор NoScript, принося извинения, пишет, что на его взгляд, это трудно назвать обфускацией в привычном смысле этого слова[4].


Интересно, что за некоторое время до этого инцидента тот же Владимир Палант, разработчик Adblock Plus, писал про «дилемму монетизации» и поступающие к нему предложения заплатить за скрытую модификацию своего продукта либо настроек браузера для показа рекламы[9].++

Собественно это явное жульничество. Как после этого Tor может доверять автору такого дополнения?


Всмысле что предпринимает Tor, чтобы это предотвратить? Насколько я понимаю они не проверяют код NoScript?


А конфликт создателей NoScript и AdBlock Plus не причина резкого отказа проекта Tor от AdBlock Plus? =)

— unknown (15/08/2012 13:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Когда-то, когда не было связки (TBB) и самого TorBrowser, а была только кнопка TorButton для FireFox, то NoScript в какой-то момент конфликтовал с самой тор-кнопкой. И при установке TorButton не рекомендовали ставить NoScript. Как там это разрулили уже не вспомнить, искать подробности тоже не очень легко.

Они вообще плохо проверяют код, из которого собирают TBB, о чём они признавались в блоге после фейла с утечкой DNS.
— Гость (15/08/2012 17:45)   <#>
Они вообще плохо проверяют код, из которого собирают TBB
То есть даже не надо, например, захватывать "больше половины корневых директорий", достаточно подкупить одного разработчика...
— Eridan (15/08/2012 21:14, исправлен 15/08/2012 21:16)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Причем разработчика, который уже показал, что выгода от рекламы ему важнее чем качество или безопасность. Интересно. Если бы не изменение в политики мозилы война дополнений шла бы до сих пор?


Кстати. Разработчик Ad Block писал, что это:

В AdBlock есть скриптованные ограничения прав доступа к объектам одна активация которых приводит к определённому изменению свойств всех объектов на страницах, что позволяет вычислить наличие AdBlock с довольно высокой вероятностью (хоть бывают и ложные срабатывания).

относиться и к NoScript. Он пишет, что это относится ко всему, что лезет в правадоступа к обьектам.
Если это так, то от AdBlock не будет вреда, т.к. факт наличия NoScript уже странен. Кто-нибудь это проверял? А если дело в том чтобы слить в массу именно пользователей torBrowser, то достаточно запретить обновление только для Ad Block и обновлять с новой версией (это даже в стандартных настройках делается).


Еще момент получается количество пользователей Tor <= количеству пользователей NoScript? Т.е. сервер мазилы банально может посчитать количество обновлений.

На страницу: 1, ... , 10, 11, 12, 13, 14, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3