Дополнения браузера Firefox, связанные с безопасностью

Так, в Firefox 10 ESR и в том числе в TorBrowser есть баг номер 542938 https://bugzilla.mozilla.org/show_bug.cgi?id=542938
Добавлена эта штука начиная с firefox 3.

Он позволяет сайту смотреть, что копировал пользователь и куда вставил. Начиная с firefox 13 появилась опция в about:config для отключения dom.event.clipboardevents.enabled в false

Почему-то в ESR исправления не сделали, в TorBrowser этот баг тоже есть. https://developer.mozilla.org/.....vents.enabled#Values

Для firefox ниже 13 есть дополнение баг фикс https://addons.mozilla.org/ru/.....x/addon/nocopypaste/

По идеи пользователь может ничего не копировать с сайта, поэтому даже добавление его в TorBrowser безопасно, но какие там подводные камни есть я не знаю, может можно отследить блокировку события.

В TorBrowser есть пукт опасный код. Интересно, что туда входит?

Он позволяет сайту смотреть, что копировал пользователь и куда вставил.

Без JS работает?

Не работает без js, но в наше время почти на всех сайтах без js вы не сможете постить, а на некоторых и просматривать страницу. Причем это могут быть серьезные сайты, а не пример плохого кода.

Да и само отключение js странно и можно отследить.

отключение js странно

При пользовании Tor'ом это не странно.
Странно (и подозрительно) – само использование Tor'а :)

Гость (18/08/2012 06:42)
Ну цепочку можно удлинить купленным анонимно сервером, а баг останется.

Кстати, если я правильно понимаю, то подмена копируемого возможно и при нажатии горячих клавиш, возможно и с этим дополнением, оно только для контекстного меню. Но точно не знаю.


Еще. Например в дополнении https://addons.mozilla.org/ru/.....user-agent-js-fixer/ подменяется свойства navigator на те, что указаны в заголовках. Сейчас отсутствие flash плагина странно, может разрабы Tor возьмут код и точно также подменят свойство plugins, чтобы там отображался flash (а желательно вообще не в ToButton встроить, а отдельным дополнением и самому список составлять), только придется менять номер версии флэша на текущую.

Там же вроде неплохие программисты. Может кто-нибудь спросит у них, пример же есть?

Список можно посмотреть тут, в самом низу: http://whoer.net/extended

Сейчас отсутствие flash плагина странно, может разрабы Tor возьмут код и точно также подменят свойство plugins, чтобы там отображался flash

Это поломает кучу сайтов, имеющий флэш- и нефлэш-версию: пользователю будет выводиться первая, где он не сможет ничего делать. И зачем вообще этот огород городить? Никто не ставил задачу скрыть факт использования Tor или TBB.

Сейчас в новых firefox есть функция запуска плагинов только по клику в их окошке. К томуже такая функция есть у NoScript.
А эту опцию можно сделать отключаемой.

И зачем вообще этот огород городить? Никто не ставил задачу скрыть факт использования Tor или TBB.

Может и не ставили, но бывает, что удлиняют цепочку Tor и вот тогда это понадобится.

Или например есть люди которым позарез нужен флэш под Tor, но показывать наличие плагина нужно только определенным сайтам. Можно конечно постоянно отключать/включать, но рано или поздно можно ошибиться. Я так понимаю уровень программистов Tor достаточно высок? Тогда им это не сложно, а функционала у Tor прибавится.

Сейчас в новых firefox есть функция запуска плагинов только по клику в их окошке. ... А эту опцию можно сделать отключаемой.

Сайты, считающие, что у пользователя установлен флэш, не перестанут быть поломанными даже при наличии такой опции.

Может и не ставили, но бывает, что удлиняют цепочку Tor и вот тогда это понадобится.

Это личная проблема "удлинителей". Детектируемость Tor'а для конечного сайта — это фича, а не баг.

Или например есть люди которым позарез нужен флэш под Tor, но показывать наличие плагина нужно только определенным сайтам.

=> профилирование пользователей.

Это личная проблема "удлинителей". Детектируемость Tor'а для конечного сайта — это фича, а не баг.

Насколько я понимаю сама возможность удлинить цепочку говорит, что разработчики уже задумываются над этим и рассматривают эту ситуацию, как одну из возможных. Логично предусмотреть этот вариант.

И кроме того. Например пользователь может нуждаться в каком-то плагине, который к сети вообще не имеет отношения, но он по прежнему будет отображаться на сайтах. Т.е. например вы не сможете подключить к firefox офлайн переводчик или просмотрщик специфического формата документов. Потому что не смотря на то, что к сети они не имеют отношение сайт всеравно будет их видеть.

Насколько я понимаю сама возможность удлинить цепочку говорит, что разработчики уже задумываются над этим и рассматривают эту ситуацию, как одну из возможных.

Со стороны Tor'а такая возможность штатно не предусмотрена, не считая ручного построения цепочки через управляющий порт, но в любом случае факт выхода через Tor-экзит это не скроет. "Удлинение цепочки" путём заворачивания Tor-трафика в дополнительный socks-прокси вряд ли можно считать штатной.

И кроме того. Например пользователь может нуждаться в каком-то плагине, который к сети вообще не имеет отношения, но он по прежнему будет отображаться на сайтах. Т.е. например вы не сможете подключить к firefox офлайн переводчик или просмотрщик специфического формата документов. Потому что не смотря на то, что к сети они не имеют отношение сайт всеравно будет их видеть.

Опять же, это личная проблема такого пользователя: он уже выделяется из массы Tor-пользователей. И чем уникальнее такой плагин, тем ярче сияет этот светоч мудрости (вплоть до полной псевдонимности).

Опять же, это личная проблема такого пользователя: он уже выделяется из массы Tor-пользователей. И чем уникальнее такой плагин, тем ярче сияет этот светоч мудрости (вплоть до полной псевдонимности).

Так в том и вопрос, точнее моя просьба к тем кто обитает на сайте проекта Tor. Пусть firefox просто не показывает сайтам список. Пример кода уже фактически есть ссылка на дополнение выше. Им нужно только сделать так, чтобы массив plugins всегда был пуст даж если плагин установлен. Мелочь, но приятно.

Вы забываете, что плагины выпилены из TBB не из прихоти, а из-за риска раскрытия пользовательского IP или, по меньшей мере, профилирования пользователей. В то же время,

Им нужно только сделать так, чтобы массив plugins всегда был пуст даж если плагин установлен.

подозреваю, что это сломает сайты уже в другую сторону: как сайт определит, что требуемый плагин установлен?

Eridan, я поправил ссылку в вашем постинге.
А есть веб-сервис, который позволяет посмотреть список отключенных установленных плагинов, чтобы так сказать наглядно было видно, как утекает эта инфа?

SATtva (18/08/2012 13:19, исправлен 18/08/2012 13:19)

подозреваю, что это сломает сайты уже в другую сторону: как сайт определит, что требуемый плагин установлен?

А зачем это определять? Оффлайн плагин действует только как посредник между оффлайн программой и браузером, например из-за настроек приватности программа на компьютере не может сама получить доступ к тексту чтобы перевести, а плагин дает такую возможность.

Кстати, если я правильно понимаю, то подавляющее большинство сайтов имеет только одну версию. И уже сам firefox, если какой-то плагин отсутствует, ставит туда надпись "плагина нету", в firefox 3.6 вообще был встроенный плагин-заглушка, который отвечал за это сообщение.

unknown (18/08/2012 13:28)

А есть веб-сервис, который позволяет посмотреть список отключенных установленных плагинов, чтобы так сказать наглядно было видно, как утекает эта инфа?

Я такого не знаю. Я кажется ничего не писал про отключенные. Я писал, если пользователь будет каждый раз щелкать отключить/выключить плагин для разных сайтов, то запутается. Я понимаю, что маскировать флэш или java плагины бессмысленно (хотя просто факт наличия можно скрыть), но кроме них есть еще множество плагинов для скрытия которых достаточно обнулить массив-список плагинов. Вреда никакого, а польза есть.

Кроме того, если разработчики Tor не поленятся и сделают возможность менять список плагинов на любой, то это поможет тем, кто удлиняет цепочку или еще как-то по особому меняет настройки.