Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 254 документов: 9 редакций: 753
Так, в Firefox 10 ESR и в том числе в TorBrowser есть баг номер 542938 https://bugzilla.mozilla.org/show_bug.cgi?id=542938
Добавлена эта штука начиная с firefox 3.
Он позволяет сайту смотреть, что копировал пользователь и куда вставил. Начиная с firefox 13 появилась опция в about:config для отключения dom.event.clipboardevents.enabled в false
Почему-то в ESR исправления не сделали, в TorBrowser этот баг тоже есть. https://developer.mozilla.org/.....vents.enabled#Values
Для firefox ниже 13 есть дополнение баг фикс https://addons.mozilla.org/ru/.....x/addon/nocopypaste/
По идеи пользователь может ничего не копировать с сайта, поэтому даже добавление его в TorBrowser безопасно, но какие там подводные камни есть я не знаю, может можно отследить блокировку события.
В TorBrowser есть пукт опасный код. Интересно, что туда входит?
Странно (и подозрительно) – само использование Tor'а :)
комментариев: 254 документов: 9 редакций: 753
Ну цепочку можно удлинить купленным анонимно сервером, а баг останется.
Кстати, если я правильно понимаю, то подмена копируемого возможно и при нажатии горячих клавиш, возможно и с этим дополнением, оно только для контекстного меню. Но точно не знаю.
Еще. Например в дополнении https://addons.mozilla.org/ru/.....user-agent-js-fixer/ подменяется свойства navigator на те, что указаны в заголовках. Сейчас отсутствие flash плагина странно, может разрабы Tor возьмут код и точно также подменят свойство plugins, чтобы там отображался flash (а желательно вообще не в ToButton встроить, а отдельным дополнением и самому список составлять), только придется менять номер версии флэша на текущую.
Там же вроде неплохие программисты. Может кто-нибудь спросит у них, пример же есть?
Список можно посмотреть тут, в самом низу: http://whoer.net/extended
комментариев: 11558 документов: 1036 редакций: 4118
Это поломает кучу сайтов, имеющий флэш- и нефлэш-версию: пользователю будет выводиться первая, где он не сможет ничего делать. И зачем вообще этот огород городить? Никто не ставил задачу скрыть факт использования Tor или TBB.
комментариев: 254 документов: 9 редакций: 753
Сейчас в новых firefox есть функция запуска плагинов только по клику в их окошке. К томуже такая функция есть у NoScript.
А эту опцию можно сделать отключаемой.
Может и не ставили, но бывает, что удлиняют цепочку Tor и вот тогда это понадобится.
Или например есть люди которым позарез нужен флэш под Tor, но показывать наличие плагина нужно только определенным сайтам. Можно конечно постоянно отключать/включать, но рано или поздно можно ошибиться. Я так понимаю уровень программистов Tor достаточно высок? Тогда им это не сложно, а функционала у Tor прибавится.
комментариев: 11558 документов: 1036 редакций: 4118
Сайты, считающие, что у пользователя установлен флэш, не перестанут быть поломанными даже при наличии такой опции.
Это личная проблема "удлинителей". Детектируемость Tor'а для конечного сайта — это фича, а не баг.
=> профилирование пользователей.
комментариев: 254 документов: 9 редакций: 753
Насколько я понимаю сама возможность удлинить цепочку говорит, что разработчики уже задумываются над этим и рассматривают эту ситуацию, как одну из возможных. Логично предусмотреть этот вариант.
И кроме того. Например пользователь может нуждаться в каком-то плагине, который к сети вообще не имеет отношения, но он по прежнему будет отображаться на сайтах. Т.е. например вы не сможете подключить к firefox офлайн переводчик или просмотрщик специфического формата документов. Потому что не смотря на то, что к сети они не имеют отношение сайт всеравно будет их видеть.
комментариев: 11558 документов: 1036 редакций: 4118
Со стороны Tor'а такая возможность штатно не предусмотрена, не считая ручного построения цепочки через управляющий порт, но в любом случае факт выхода через Tor-экзит это не скроет. "Удлинение цепочки" путём заворачивания Tor-трафика в дополнительный socks-прокси вряд ли можно считать штатной.
Опять же, это личная проблема такого пользователя: он уже выделяется из массы Tor-пользователей. И чем уникальнее такой плагин, тем ярче сияет этот светоч мудрости (вплоть до полной псевдонимности).
комментариев: 254 документов: 9 редакций: 753
Так в том и вопрос, точнее моя просьба к тем кто обитает на сайте проекта Tor. Пусть firefox просто не показывает сайтам список. Пример кода уже фактически есть ссылка на дополнение выше. Им нужно только сделать так, чтобы массив plugins всегда был пуст даж если плагин установлен. Мелочь, но приятно.
комментариев: 11558 документов: 1036 редакций: 4118
Вы забываете, что плагины выпилены из TBB не из прихоти, а из-за риска раскрытия пользовательского IP или, по меньшей мере, профилирования пользователей. В то же время,
подозреваю, что это сломает сайты уже в другую сторону: как сайт определит, что требуемый плагин установлен?
комментариев: 9796 документов: 488 редакций: 5664
А есть веб-сервис, который позволяет посмотреть список отключенных установленных плагинов, чтобы так сказать наглядно было видно, как утекает эта инфа?
комментариев: 254 документов: 9 редакций: 753
SATtva (18/08/2012 13:19, исправлен 18/08/2012 13:19)
А зачем это определять? Оффлайн плагин действует только как посредник между оффлайн программой и браузером, например из-за настроек приватности программа на компьютере не может сама получить доступ к тексту чтобы перевести, а плагин дает такую возможность.
Кстати, если я правильно понимаю, то подавляющее большинство сайтов имеет только одну версию. И уже сам firefox, если какой-то плагин отсутствует, ставит туда надпись "плагина нету", в firefox 3.6 вообще был встроенный плагин-заглушка, который отвечал за это сообщение.
unknown (18/08/2012 13:28)
Я такого не знаю. Я кажется ничего не писал про отключенные. Я писал, если пользователь будет каждый раз щелкать отключить/выключить плагин для разных сайтов, то запутается. Я понимаю, что маскировать флэш или java плагины бессмысленно (хотя просто факт наличия можно скрыть), но кроме них есть еще множество плагинов для скрытия которых достаточно обнулить массив-список плагинов. Вреда никакого, а польза есть.
Кроме того, если разработчики Tor не поленятся и сделают возможность менять список плагинов на любой, то это поможет тем, кто удлиняет цепочку или еще как-то по особому меняет настройки.