Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 15 документов: 4 редакций: 4
Отключение CSS
"layout.css.visited_links_enabled"
Подробнее здесь http://inviteg.ru/109-obezopas-sebya-na-trekere.html
http://tinyurl.com/onfho6n
http://tinyurl.com/nbzl3qu
http://tinyurl.com/m824y7c
http://tinyurl.com/m824y7c
http://tinyurl.com/q2o8k3h
FireGloves — да.
HTTP Nowhere — возможно, но учитывая малое количество таких сайтов и не гарантированную защиту. Сертификат для h
ttps можно украсть (в том числе подкупить) или он может быть выдан правительству по запросу гос. органов.
Show Links – не уникально. Для таких целей лучше использовать FireBag, или более "прозрачный" скрипт.
Т.е. Сноудена-таки взяли на работу в vk.com?
PKCS #1 шифрование RSA
Модуль (2048 бит):
e3 48 34 66 46 95 25 4b 51 08 d5 ca cd 3a 50 6e
c2 9f a0 9e ff 91 cd 56 b4 cb 7c 1b 35 ac aa 30
9e d0 d3 ad 30 1d 72 90 a1 de 23 6c 1c cf 75 6c
98 84 3b 35 cf a0 95 50 00 06 8a 16 51 a4 9f 40
87 b7 fb ad 13 3a 2d a4 c9 14 03 70 9d 4d 20 4f
bf 55 09 f9 08 c8 5f e7 17 9c 01 c2 83 63 a7 b0
35 7c d7 25 1f 36 0e 17 98 b5 a2 0a a0 9c c0 bc
9a 4b 57 ce 57 cd ac 76 35 4f 66 8a 32 42 c3 8e
9b 26 14 9e 84 19 76 0f 42 71 58 32 9c 4e 0b ab
d1 6e 17 28 e9 f6 e2 56 25 79 52 69 1b 22 f1 90
e4 e8 08 a1 c7 3e 50 06 2b 8d 92 d6 d0 26 38 86
fa 0c f0 05 0d f5 2d 00 45 89 3e af 59 3e f2 58
bd 6d e2 a8 43 e4 3d b0 4d 10 2e fe 0c 9b 37 a1
03 b3 51 f4 c9 90 f8 c4 02 9f 1a 38 22 79 0b 8c
c1 a4 6e ba 10 a0 60 a3 92 d5 cf 49 bf b4 69 45
a4 9c a7 74 4c be c1 6b a2 5b 0f 04 e0 e7 a7 e3
Разрядность ключа (24 бит):
65537
комментариев: 11558 документов: 1036 редакций: 4118
Почти наверняка нет. Думаю, у них там распараллеливание нагрузки на несколько серверов, и у каждого сервера свой сертификат, поэтому сказать, какой валидный, а какой нет, если не полагаться на CA, невозможно (хотя EFF пытается).
Можно ведь поместить ключи в тхт документы и тупо сравнить файлы по содержимому. Это прямой способ и он легкий. Зачем эти сложности с отпечатками? Софт с хэш-функциями есть не у всех.
Подобрать новый открытый ключ отличающийся от данного лишь малой долей байтов, при этом заполучив к нему новый закрытый ключ (без него противник просто не смог бы организовать https соединение с твоим браузером), это трудная задача. Так что можно сравнить ключи на глазок.
Смотря сколько всего сертификатов и как часто они меняются. Их можно все перебрать. Лучше всего иметь базу данных по открытым ключам сайтов на своем компе.
Значит придеться делать отпечатки либо эцп к скачанным дополнениям и выкладывать для сравнения, периодически проверяя что выложенный тобой отпечаток не подменили. Впрочем сайт www.pgpru.com может меня профилировать, и распознав мой профиль будет мне каждый раз подсовывать оригинальную версию моего сообщения с отпечатком подложного файла от анб, а другим посетителям показывать подмененное сообщение уже с отпечатком подлинного файла, и они не поймут что меня обманули, и я тоже не узнаю. Значит для надежных проверок придеться изменить профиль. С эцп этих проверок конечно не надо, но приобретение своей эцп требует большой предварительной работы по поиску надежного софта, созданию и обмену ключами.
Вот сейчас проверил выложенный мной ключ addons.mozilla.org. Пока подмены сообщения не было.
З.Ы. Паранои не бывает мало.
комментариев: 11558 документов: 1036 редакций: 4118
Это кривой способ, т.к. не учитывает различия в типах переносов строк и whitespace'ов (и да, у любой проблемы существует
лёгкоепростое и неправильное решение).Отпечаток отображается браузером ровно там же, откуда был скопирован ключ.
Чего не скажешь о мозгах...
комментариев: 13 документов: 7 редакций: 259
Удалили с сайта мозилы. Что очень подозрительно.
комментариев: 13 документов: 7 редакций: 259