id: Гость   вход   регистрация
текущее время 22:06 28/03/2024
Владелец: unknown (создано 08/11/2010 19:19), редакция от 18/02/2015 19:10 (автор: Гость) Печать
Категории: софт, сайт проекта, статьи, расширения, firefox
https://www.pgpru.com/Софт/РасширенияFirefox
создать
просмотр
редакции
ссылки

Дополнения браузера Firefox, связанные с безопасностью



Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)


Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.




Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).


Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)




Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.




Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...


В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.




Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.


 
На страницу: 1, ... , 13, 14, 15, 16, 17, ... , 23 След.
Комментарии [скрыть комментарии/форму]
— SATtva (24/09/2012 15:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Речь о передаче на другие системы с вытекающими отсюда потенциальными проблемами совместимости, которые и решает стандарт OpenPGP. Хранилище паролей браузера никуда не передаётся, зашифровывается и расшифровывается в одной и той же среде.

главпароль потенциально брутится

Опять же, PGP не привнесёт никаких преимуществ, его парольная фраза точно так же брутится (или не брутится — это уже зависит от правильности её выбора).

В любом случае, пароли, сохранённые в браузере, с большей вероятностью стащат через уязвимость в самом браузере, чем подбором мастер-пароля, так что лучший вариант — не хранить их в браузере вообще.
— Dzhus (24/09/2012 15:56)   профиль/связь   <#>
комментариев: 10   документов: 0   редакций: 0


За весьма ограниченное количество попыток пинкод смарткарты на практике не сбрутить.
— SATtva (24/09/2012 16:06, исправлен 24/09/2012 16:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Смарт-карты — не бункер с автоматчиками, они прекрасно взламываются. И ещё раз повторюсь, с большей вероятностью пароли утекут через дыру в самом браузере, чем в результате взлома зашифрованного хранилища. Но если Вам так уж хочется использовать смарт-карту в Firefox, то PGP для этого, опять же, не нужен — юзайте OpenSC.

— Dzhus (24/09/2012 16:16)   профиль/связь   <#>
комментариев: 10   документов: 0   редакций: 0
Вы меня окончательно запугали. Я вынужден окопаться и
полностью исключить физические контакты с внешним миром.
— SATtva (24/09/2012 16:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, мир жесток.

Просто разумно оценивайте риски и стройте свою политику безопасности исходя из взвешенной модели угрозы.
— Eridan (24/09/2012 17:16)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Если имеется ввиду мастер-пароль, то он и так в firefox есть. Есть еще довольно брутальный способ. Зашифровать TrueCrypt папку профиля firefox.
— Dzhus (24/09/2012 17:22)   профиль/связь   <#>
комментариев: 10   документов: 0   редакций: 0


Насколько мне известно, аппаратной поддержки трукрипта не бывает.
Токен/смарткарта используется исключительно как криптоконтейнер для
ключа, то есть ключ всё равно выгружается на компьютер. Так совсем не
интересно.
— SATtva (24/09/2012 17:29, исправлен 24/09/2012 17:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

TrueCrypt точно так же поддерживает PKCS11, как и Firefox (и PGP/GPG2). Более того, ему, в отличие от Firefox'а, для этого даже не нужны прокладочные библиотеки.

— Dzhus (24/09/2012 17:57)   профиль/связь   <#>
комментариев: 10   документов: 0   редакций: 0


И что? Трукрипт использует экспорт ключа с устройства, там не
аппаратное шифрование.


У трукрипта разве в комплекте есть своя библиотека с реализацией
PKCS11? Зачем там тогда в документации фраза про
In order to allow
TrueCrypt to access a security token or smart card, you need to
install a PKCS #11 (2.0 or later) software library for the token or
smart card first. Such a library may be supplied with the device or it
may be available for download from the website of the vendor or other
third parties.
— SATtva (25/09/2012 16:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Поэтому первым советом Вам и был OpenSC, который через NSS даст всё, что необходимо.
— Dzhus (25/09/2012 17:40)   профиль/связь   <#>
комментариев: 10   документов: 0   редакций: 0
OpenSC просто предоставляет реализацию PKCS#11 для фокса.
Вопрос в том, как использовать PKCS#11 для контроля доступа
к секретным данным в профиле; приватный ключ для расшифровки
signons-то на компе лежит. Перенаправил вопрос в рассылку по
криптографии в фоксе.
— Гость (26/09/2012 03:21)   <#>
Почему бы не зашифровать файловую систему, на которой хранится профиль firefox (а лучше вообще весь диск с помощью DiskCryptor или LUKS — в Ubuntu alternate CD это делается искаропки при инсталле).
— Гость (03/01/2013 10:27)   <#>
/comment50800:
про DownloadHelper отвечу. Он иногда использует онлайн-сервис, его можно отключить. Лучше FlashGot.

Заметил, что DownloadHelper качает ролики с ютуба не через https, хотя HttpsEverywhere стоит и в норме просмотр идёт по https. Можно ли как-то настроить DownloadHelper на скачку через https? В настройках этого плагина ничего такого не нашёл. Или FlashGot умеет через https качать? Какое решение самое простое? Нужно, чтобы была возможность выбора разрешения (качества), в котором скачивать ролик. Можно, конечно, всё качать через сайты типа savefrom.net и Tor (JS нужен), но это будет сильно медленно.
— Гость (03/01/2013 11:16)   <#>
FlashGot насколько я понимаю находит ссылку по которой flash загружает ролик. Возможно https и не существует? Попробуйте взять готовую ссылку на ролик и поставить s – https, посмотрите пойдет загрузка или нет. Если не пойдет, то https не существует.
— Гость (18/01/2013 01:20)   <#>
Возможно https и не существует?

Увы, именно так и оказалось. Достаточно заблокировать 80-ый порт файерволлом, как все ролики сразу перестают смотреться: видно в реальном времени, как firefox пытается инициировать соединения по 80-ому порту. Получается, что https работает только для поиска на ютуб, да и то негарантированно. Это ещё раз намекает на небезопасность плагинов: в строке браузера может быть написано одно, а реально происходить совсем другое; написано https, а видео качается по http и т.д.
На страницу: 1, ... , 13, 14, 15, 16, 17, ... , 23 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3