id: Гость   вход   регистрация
текущее время 10:06 30/09/2022
Автор темы: Гость, тема открыта 14/05/2015 19:36 Печать
Категории: инфобезопасность
https://www.pgpru.com/Форум/ПрактическаяБезопасность/СтандартнаяКонфигурацияFirefox
создать
просмотр
ссылки

Стандартная конфигурация Firefox и безопасность


Сегодня наткнулся в фаерфоксе на такую штуку, как webRTC. Это новый протокол для p2p коммуникаций между браузерами, проблема в том, что его побочным действием является полное раскрытие внешнего и внутренних адресов сети. В стандартной конфигурации он по умолчанию включен. Проверить можно здесь diafygi.github.io/webrtc-ips/.


Вопрос в следующем: какие еще потенциально опасные моменты присутствуют в стандартных конфигах firefox? Каким образом можно себя обезопасить(интересует безопасность со стороны браузера, без обсуждения других концепций обеспечения безопасности)


 
На страницу: 1, 2 След.
Комментарии
— Гость (15/05/2015 12:36)   <#>
dom.storage отключай в 0, media.peerconection и ещё парочку, поищи сам, гугл не забанили.
— Гость (15/05/2015 14:23)   <#>
спасибо и на этом, Гость.
— pgprubot (22/05/2015 10:03, исправлен 22/05/2015 10:15)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Было несколько документов на эту тему разной степени (не)нужности [1], [2], [3], [4] (смотреть, что есть в TorBrowser, и творчески это перетаскивать в обычный firefox, если вдруг он кому-то позарез нужен), [5], [6].



geo.enabledfalse.

— guest342 (22/05/2015 12:49, исправлен 22/05/2015 13:07)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0

А какие есть альтернативы, кроме как допиливать firefox под свои нужды (что является совсем не простой задачей, судя по обсуждениям по ссылкам)? Вы сторонник использования TBB, или существуют более приемлимые на данный момент варианты?

— pgprubot (22/05/2015 19:10)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70
Да, я сторонник использования TorBrowser'а. Он не панацея, но покрывает большую часть того, что обычному юзеру нужно от web'а. Исключением являются сайты, идеологически не дружащие с анонимностью, где хоть так, хоть так надо указывать свои реальные данные, а пользование этими сайтами под Tor'ом может привести к блокировке аккаунта (интернет-банкинг и т.п. услуги). Можно использовать TorBrowser и без Tor'а, никто этого не запрещает.

Я не знаю, зачем вам допиливать firefox. Что вам от него нужно? Можно поправить несколько опций, типа геолокации, чтоб он совсем не борзел, но что ещё вы от него хотите? Поработал под браузером — всё стёр — восстановил его конфиги из чистого бэкапа [1], [2].
— guest342 (09/06/2015 15:44)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0
На случай, если кому-то будет нужна информация по теме. 1, 2, 3.
— аноон (12/07/2015 02:46, исправлен 12/07/2015 02:50)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0

Ещё информация по теме. 1, 2, 3, 4, 5.
Перед началом работы WebRTC запрашивает подтвеждение в firefox но был баг позволяющий это обойти?
В торбраузере сервис по умолчанию отключен или отсутствует, опции media.peerconnection.enabled нет в списке about:config.

— pgprubot (14/07/2015 06:09)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Правда, бывают более тонкие ситуации, когда скрывается местоположение, но не личность. Если такой юзер работает через VPN, прокси или иную подобную технологию, он заинтересован в том, чтобы сайт мог знать только IP сервера, а браузер не светил данными локального IP. Тут TorBroser, используемый как обычный, IMHO, мог бы помочь.


Интересно, как такие сайты будут реагировать на TorBrowser без Tor'а. В принципе, TorBrowser добровольно не афиширует себя как TorBrowser перед всеми.
— pgprubot (31/07/2015 04:17, исправлен 31/07/2015 07:42)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Кому-нибудь удавалось пройти квест «настрой современный Tor Browser на работу с той прокси, которая не Tor»?


Если указываем SOCKS-прокси ssh'а, в логи ssh сыпется

debug1: channel 1: new [dynamic-tcpip]
debug1: channel 1: method SSH_SOCKS5_NOAUTH not found
debug1: channel 1: free: dynamic-tcpip, nchannels 2
и ничего не работает. Если указать privoxy в качестве HTTP-прокси (в about:config есть три сорта настроек для каждого типа проксей: network, trobutton и custom; есть ещё отдельная опция специально для privoxy), то тоже ничего не работает. При указании HTTP-прокси пытался удалять настройки SOCKS-проксей, но это ни на что не повлияло. Ещё можно менять настройки в конвенциональном месте из интерфейса, иногда получая перечёркнутую луковицу, но и это не помогает. Вообще никаким образом не удалось соединить Tor Browser с сетью. Обычный firefox при тех же настройках прекрасно работает и с privoxy и c ssh.


В логах SSH светится, что он при старте пытается проверить себя на check.torproject.org, и какие бы опции ни выключал (кажется, штук 10 отредактировал, имеющих хоть какое-то отношение к такому поведению), он всё равно упорно туда ломится.


Похоже, защита от дурака в TBB дошла до такой степени, что недурак не сможет её обойти. В сети инструкции, как это сделать, тоже не гуглятся. С polipo не пробовал. Если просто смена дефолтного порта Tor'а уже требует неимоверных плясок, то что говорить про смену ещё и типа прокси...




UPD: Среди типов SOCKS-аутентификации в SSH действительно есть

#define SSH_SOCKS5_NOAUTH 0x00
Если подключаемся без аутентификации, это может выглядеть либо как пустой массив методов аутентификации, либо как аутентификация с типом 0. Видимо, второй случай вводит SSH в заблуждение, т.е. нужно либо писать программу, преобразующую SOCKS-аутентификацию в нужный для SSH тип, либо патчить сорцы Tor Browser'а, либо сорцы SSH. Ещё можно в настройках браузера выбрать SOCKS4, но он вроде как не поддерживает DNS-резолвинг на стороне сервера.

— SATtva (01/08/2015 11:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116

Так и есть. Поддерживает 4a.
— pgprubot (02/08/2015 07:32, исправлен 02/08/2015 08:45)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Firefox не умеет 4a. Раньше эту проблему решали перенаправлением всего трафика через privoxy или polipo. Впрочем, можно попробовать сделать локальный DNS-резолвинг через Tor [1], [2].

— pgprubot (27/09/2015 07:09, исправлен 27/09/2015 07:10)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Наверно, тоже не поможет, поскольку, по всей видимости, ключевая проблема — в этом.

— Гость_ (23/11/2015 20:20, исправлен 23/11/2015 20:26)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Скорей всего нет, а вот другой тикет, по всей видимости точно описывает проблему.
Браузер без условий "выбирает":


Socks Protocol
Version: 5
Client Authentication Methods
Authentication Method Count: 1
Method[0]: 2 (Username/Password)

SSH ждёт/умеет только SSH_SOCKS5_NOAUTH, но в запросе от клиента этот метод not found.
Патч про метод.

— pgprubot (04/12/2015 16:06)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Почему тогда с privoxy тоже не работает?


Если это и правда так, то мог бы помочь какой-то промежуточный SOCKS-прокси между TorBrowser'ом и SSH'ем.
— Гость_ (23/11/2016 23:22)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Пишут, что начиная с версии 6.0a3 исправили добавлением опции extensions.torbutton.use_nontor_proxy для таких случаев:

If that gets set to true, NoScript ABE is enabled (to block localhost/RFC1918 connections), and SOCKS u+p domain isolation is disabled. It does the reverse when the pref is flipped back. In both cases, it also does a new identity operation.

When this pref is true, an SSH socks -D proxy can be configured in the TBB network settings, and it works.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3