Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
В этом некомпетентен. Иногда с дровами было столь плохо, что иксы попросту периодически намертво зависали. Приходилось назначать vesa-драйвер на Nvidia-карты, это избавляло хотя бы от зависаний. Что уж тут про ускорение говорить :)
В контексте Intel: не помню, кто-то здесь выкладывал ссылку, или я сам наткнулся. На хабре есть интересный топик про то, что можно использовать внутренний датчик-акселерометр, реагирующий на движение ноутбука, для того, чтоб стирать ключи из памяти, отмонтировать разделы и выключать экстренно питание. Типа проактивная защита против cold boot. Писали, что есть софтварный интерфейс к этому акселерометру, но он пока поддерживается только из-под винды. Видео с пруфом тоже есть. Реакция на движение довольно чуткая, но минимальные движения допустимы как помехи. Если взять ноут на руки или попытаться переставить на другой стол, этого уже будет достаточно для срабатывания «аварийки». Против не слишком смышлённого противника самое то :)
комментариев: 9796 документов: 488 редакций: 5664
Если кто-то ставит скачивающие адд-ны непосредственно на TBB, есть такой момент, что они имеют свой профиль скачивания и возможно даже отправляют сайту свой заголовок. И это при том, что таких адд-нов много.
Кроме того, youtube и реже другие сайты регулярно меняют формат ссылок и страниц, из которых можно выдрать флэш, так что эти дополнения нужно будет обновлять (а зачастую ждать их обновления).
% youtube-dl https://www.youtube.com/watch?v=wpUflVa3rGI#t=0m25s качает с начала. Соответствующих опций у youtube-dl нет.
% youtube-dl -g http://url с дописыванием в конце параметров t и start тоже не работает.
комментариев: 254 документов: 9 редакций: 753
А разрабы TorBrowser не хотят поставить на него AdBlock Plus с английской подпиской?
комментариев: 9796 документов: 488 редакций: 5664
Дефолтная для всех подписка и настройки возможно не решат проблему в должном объёме.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Допустим, Torproject отрежет эти обновления и будет их включать в каждый новый релиз TBB сам, а также вырежет из плагина возможность добавлять свои URL'ы.
комментариев: 254 документов: 9 редакций: 753
© Владимир Плант
комментариев: 254 документов: 9 редакций: 753
Я конечно сильно запоздал, но
https://ru.wikipedia.org/wiki/....._.D0.B8_AdBlock_Plus
Собественно это явное жульничество. Как после этого Tor может доверять автору такого дополнения?
Всмысле что предпринимает Tor, чтобы это предотвратить? Насколько я понимаю они не проверяют код NoScript?
А конфликт создателей NoScript и AdBlock Plus не причина резкого отказа проекта Tor от AdBlock Plus? =)
комментариев: 9796 документов: 488 редакций: 5664
Они вообще плохо проверяют код, из которого собирают TBB, о чём они признавались в блоге после фейла с утечкой DNS.
комментариев: 254 документов: 9 редакций: 753
Причем разработчика, который уже показал, что выгода от рекламы ему важнее чем качество или безопасность. Интересно. Если бы не изменение в политики мозилы война дополнений шла бы до сих пор?
Кстати. Разработчик Ad Block писал, что это:
относиться и к NoScript. Он пишет, что это относится ко всему, что лезет в правадоступа к обьектам.
Если это так, то от AdBlock не будет вреда, т.к. факт наличия NoScript уже странен. Кто-нибудь это проверял? А если дело в том чтобы слить в массу именно пользователей torBrowser, то достаточно запретить обновление только для Ad Block и обновлять с новой версией (это даже в стандартных настройках делается).
Еще момент получается количество пользователей Tor <= количеству пользователей NoScript? Т.е. сервер мазилы банально может посчитать количество обновлений.