Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
И все сайты смотрим поломанными не работает то одно-то другое и каждый день перебирать скрипты О этот хороший включить О этот плохой отключить и так на всех сайтах Да ну его в жопу этот нускрипт
Их много; они меняются; новые вводятся в строй, а старые выводятся; сайты выдают разные сертификаты в зависимости от географии абонентов (следствие оптимизаций). Tor ещё сильней усугубляет дело. Если б было всё так просто, думаю, уже были бы сайты, отслеживающие текущие списки сертификатов популярных сайтов. Зная, какие ДЦ у Гугла в разных странах, я ничуть не удивлюсь, если эти сертификаты генерируются динамически и реально в ходу их тысячи. То же касается фейсбука и других крупных игроков на рынке.
SATtva уже написал, но повторюсь ещё раз: не ресайзите окно, если нет желания получить уникальные параметры и сдеанонить себя через профилирование.
Да, было обсуждение на тему, но там не со всем разобрались, похоже, и было много бреда. SATtva выше дал более свежие/актуальные ссылки.
Точно? Размеры внутреннего окна же совпадают с внешним, а внутреннее окно не учитывает декорации/обрамления и т.п. вещи. Пусть даже вы правы, но всё равно хотелось бы увидеть ссылку на багрепорт по этой утечке.
Размеры окна вроде как успешно утекают через всякие media queries / CSS, погуглите обсуждения на тему.
комментариев: 11558 документов: 1036 редакций: 4118
Специально заскриншотил и померил пиксели в Гимпе. На http://whoer.net/extended отображаются два параметра: размеры экрана (height, width, availHeight, availWidth и значение в скобках window size) и рабочая область окна браузера (window size, часть вне скобок). Ирония в том, что TBB подменяет размеры экрана на габариты окна, из-за чего разница значений в размерах рабочей области и экрана становится чётким указанием на размеры хрома: с чем боролись, на то и напоролись.
(На всякий случай уточню, чтобы не было недопонимания. Рабочая область — это внутренняя часть окна, где отображается контент веб-страницы; хром — это внутренняя часть окна, содержащая элементы управления браузером: кнопки, адресную строку, скроллбары по краям экрана; [оконные] декорации — внешняя часть окна, цепляемая оконным менеджером: заголовок окна с кнопками закрытия, сворачивания и разворачивания, обрамление с элементами для ресайза, то есть всё то, что зависит от используемой дескопной среды. Так вот на whoer.net внешние размеры окна, включающие декорации, не отдаются ни через TBB, ни через обычный браузер — только внутренняя часть окна: через TBB — рабочая область и всё окно с хромом (т.к. последним он подменяет экранное разрешение), через обычный браузер — рабочая область и экранное разрешение.)
Может, есть какие-то ещё возможности извлечь размеры окна через js? Какие ещё есть сайты типа whoer.net? Если уж и писать багрепорт, надо собрать по возможности более обширный кейс.
По крайней мере, whoer.net их без js не выдаёт.
Мне кажется, что вами представленной информации уже более, чем достаточно для багрепорта, если он ещё никем не был написан.
Был абсолютно чистый профиль браузера, всё лишнее было отключено, всё зачищено. Глубоко не рыл, но по меню прошёлся:
Заметил неладное, когда после запуска iceweasel сразу же зашёл в список кук, а там:
И это ещё до захода на какой-либо сайт. ⚠ Информация о куке:
Это всё как бы нормально? Кажется, когда у меня были более старые версии iceweasel, я после настройки проверял, куда он коннектится, и всё было более-менее чисто по сниферу. Может быть, на поведение iceweasel повлияла установка каких-то иных пакетов?
Наверно, надо для начала попробовать сделать geo.enabled → false, но если там уже десятки подводных каменей, всё не запретишь... (вопрос касается исключительно обычного браузера, а не TBB). Почему разработчики Debian решили не отключать геолокацию в своём форке firefox? Вопрос риторический.
комментариев: 11558 документов: 1036 редакций: 4118
Cookie передаются только тому домену, который их установил. Никаких "ко всем запросам" не бывает.
В поисковой панели браузера у Вас есть сервис поиска в википедии? Тогда куку скорее всего установил он (у меня такого не происходит, но я не разрешаю third-party cookies, возможно, причина в этом).
комментариев: 13 документов: 7 редакций: 259
Foundstone HTML5 Local Storage Explorer заменено на FireStorage Plus! из-за странной лицензии и по причине больших возможностей FireStorage Plus!.
комментариев: 11558 документов: 1036 редакций: 4118
Движок не поддерживает такие ссылки. Пропустите её через http://tinyurl.com.
Нет. Всё по умолчанию же.
Помогло, кстати. По крайней мере, вала пакетов теперь нет. На всякий случай «third-party cookies» тоже отключил.
комментариев: 11558 документов: 1036 редакций: 4118
Сравнить.