Дополнения браузера Firefox, связанные с безопасностью
- Блокировка рекламы, сбора статистики etc
- Анализ трафика, кода, других данных и/или их изменение
- Контроль JavaScript, плагинов (Java, Flash) и других элементов страницы
- Шифрование и пароли
- Почта, чат, обмен данными
- История, cookies и кэш. Следы пребывания в интернете и локально
- Управление сетью (прокси)
Внимание: в связи с выходом новых версий некоторые из описанных дополнений (расширений) могут оказаться несовместимы с вашей версией браузера. (рассматриваются версии 31 ESR и выше)
Наряду с обычным Firefox 31 вышел Firefox 31 ESR (Extended Support Release), со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьезных проблем безопасности и стабильности. На ней основана форк (сборка) TorBrowser от проекта Tor.
Дополнения создаются сторонними разработчиками и некоторые заявленные функции могут не работать или работать неправильно. Уверенными, в какой-то степени, можно быть только в самых популярных дополнениях с высоким количеством пользователей и рейтингом. Всегда есть вероятность, что после очередного обновления дополнение перестанет работать или будет работать неправильно из-за бага. Обратите внимание, что не редки конфликты расширений. Если расширение работает нормально, то это не значит, что оно будет нормально работать при установке еще какого-либо расширения (особенно это касается расширений со схожими функциями).
Были прецеденты покупки расширений у авторов рекламодателями и встраивания в них сбора статистики. Смена разработчика и "Политики приватности" дополнения могли произойти после добавления дополнения на эту страницу. Поэтому внимательно читайте "Privacy Policy" ("Политика приватности") на странице установки расширения. Если есть возможность, проверяйте код и следите за новостями о Firefox. (примеры дополнений со встроенной рекламой: Wips.com s.r.o., BrowserProtect, ppclick)
Примечание: Дополнение TorButton идет по умолчанию с TorBrowser и правильно работает только с ним, обратите внимание.
Совет новичкам:
Для анонимности используйте TorBrowser, дополнения из этой статьи можно использовать для частных случаев. В нём исправлены баги и добавлены изменения, которых нету в обычном Firefox Подробнее...
В некоторых случаях можно рекомендовать полное отключение JavaScript, он часто становится причиной атак и несёт большую угрозу, но после его отключения многие сайты будут некорректно работать и вы начнёте выделяться из общей массы пользователей TorBrowser. Угроза от JavaScript может оказаться больше, чем риск быть опознанным по "Цифровым отпечаткам браузера", данным о браузере и среде, в которой он работает полученным через стандартные функции браузера.
Сайты с которых можно устанавливать дополнения с некоторой уверенностью в безопасности:
https://addons.mozilla.org — сайт Mozilla, код добавляемый на сайт проходит проверку. (но Mozilla допускает многое, например: сбор статистики и навязчивую рекламу)
https://www.torproject.org — сайт проекта Tor.
https://www.eff.org — сайт Фонда Электронных Рубежей.
комментариев: 254 документов: 9 редакций: 753
Я не представляю, как он определит. Разве что как-то использует кросс-сайтовый скрипт, вроде window.name
Тут вы правы, просто я привык так себя вести.) Мое поведение он все-таки не отличит от искусственного, если я часто бываю на сайте, то добавляю к протоколу букву s и смотрю что получилось.
В случае HTTPS Finder/HTTPS Everywhere вероятно просто просмотреть логи?
комментариев: 254 документов: 9 редакций: 753
комментариев: 254 документов: 9 редакций: 753
Ох, да сколько же возможностей опознать? Жесть.
Тут и не надо разбираться в тонкостях. Подобно тому, как взлом шифра — это существование различителя между ним и случайным оракулом, а не практическое нахождение открытого текста без пароля (как это некоторые думают), так и разрушение анонимности пользователя — это существование различителя между среднестатистическим анонимом за Tor'ом и ним, а не нахождение его ФИО и IP (как некоторые до сих пор думают). Среднестатистический профиль определяется умолчальными настройками в Tor Browser: всё, что отклоняется от них, выделяет пользователя из толпы. Например, типичный пользователь, заходя на определённый домен, должен подгрузить левый контент с левого домена, какую-то рекламу, засветиться в каких-то счётчиках гугла и т.п. Если вы этого не делаете, значит выделяетесь из общей массы, а скооперировавшись с тем левым доменом и гуглом сайт может сказать кто и когда заходил со «слишком безопасными настройками». На уровне же «глобальных решений» такие штуки как PolicyRequest и прочие не включают в Tor Browser, т.к. оные могут поломать какие-то нужные сайты. После каждого сеанса все идентифицирующие данные, куки, история и прочее стираются из Tor Browser, так что локальная «засветка» не играет никакой существенной роли. Зря вы unknown'а не читаете (а если и читаете, то не слышите):
комментариев: 254 документов: 9 редакций: 753
Я отвечал на вопрос о js. Попутно сказал, как js можно обнаружить подмену реферера
Если вы мне, то я все прекрасно слышу. И это я знаю. Но вот сам Tor дает такие же гарантии, какие даёт сайт-посещаемый, что он не сольет статистику. США и иже начали зажимать гайки в интернете, так что проекту Tor рано или поздно придет конец.
Скорее всего статистика с Tor льется куда следует, а если не льется, то это не от того, что там такие праведные поборники личной жизни. А от того, что просто забыли о Tor.
Eridan, какое вопиющее невежество! Какая ещё статистика? Статистика Tor общедоступна (то, что под ней обычно подразумевают), её качает каждый Tor-клиент. А безопасность Tor зиждется на том, что секрет поделён между 3мя узлами, выбираемыми случайно из нескольких тысяч. Для раскрытия пользователя нужно одновременно
- выбрать узлы, которые желают вас деанонимизировать
- все выбранные узлы должны сотрудничать между собой
Даже если так, всё будет работать, пока цепочка не сменится, т.е. в норме — 10-15 минут. Вы матчасть по Tor'у вообще не читали никогда? Для вас Tor — это такой VPN-провайдер что ли, который может «слить» и всё? Конечно, Tor анонимизирует при предположении, что большая часть из его тысяч узлов (расположенных в десятках разных стран) неподконтрольна вашему противнику.комментариев: 254 документов: 9 редакций: 753
комментариев: 9796 документов: 488 редакций: 5664
Если исходить только из этой логики, то не может сущестовать ничего из того, что было бы пригодно для защиты. Все под колпаком, всё проиграно. Ни на что из открытого и опубликованного полагаться всё равно нельзя — над этим же отличные умы работали, кто-то их контролировал, не иначе. Нужно спасаться туманными, малоизвестными, запутанными решениями — нагромождениями.
Другое мнение, касающееся психологии людей в области безопасности, подтверждённое некоторым опытом, может привести к другому выводу. Энтуазиасты, неспособные разобрать формальные модели и методологию безопасности, разрабатываемой специалистами, начинают их критиковать и предлагают свои решения. Эти решения, в силу своей наивности, являются лучшим подарком прослушивающей стороне. Никакой злоумышленник, пытающийся пропихнуть бэкдоры в проект, так искренне и простодушно не реализует концептуально небезопасное решение. Принцип "нарочно не придумаешь" во всей красе. Возможно, пока сами не попытаетесь поучаствовать в каком-то проекте по безопасности, а затем внезапно не обнаружите (феерично его не зафэйлите), что никакое трёхбуквенное агентство не смогло бы вставить столько уязвимостей в схему, которая вам же пришла в голову и в которой вы были абсолютно уверены, то до этого момента вам будет этого не понять.
Наконец, никто не предлагает слепо доверять какому-либо проекту. Пристально следить и изучать его может быть даже интереснее, чем полагаться на какой-то практический прок от его использования. Также можно вносить свои предложения и интересоваться мнением разработчиков.
Есть, что по сути возразить на этот сравнительно простой документ? Там и плагины перечислены, в том числе и блокировщики. Вы предлагаете отказаться от решений торпроджекта. Хорошо. У них в концепцию анонимности входит, например, понятие несвязываемости ("Unlinkability"). Вы предлагаете от него отказаться. Почему? Что вы предлагаете взамен? Какая ваша методология, концепция анонимности, по которой вы предлагаете свои решения? Ну кроме "Torproject подозрительный", а "Eridan хороший" и поэтому если сделать не как в Torпроджекте, а наборот, то будет правильно.
комментариев: 254 документов: 9 редакций: 753
Значит я ужасно выразил свою мысль. Я только хотел сказать, что тору не нужно доверять слепо. В списке вверху есть плагины позволяющие контролировать анонимность, но их можно засечь. Чуть ниже — те дополнения, которые (ИМХО) или невозможно, или трудно засечь.
Если есть какие-то мысли о правке страницы предлагайте, или правьте сами.
Себя же я не считаю грамотным вообще. Может просто удалить лишний текст и оставить только сам список?
комментариев: 9796 документов: 488 редакций: 5664
Бывает такое непонимание. Как раз в переписке с представителями торпрожекта выяснялась их позиция по вопросу TBB. Кратко их позиция такова: в TBB включать минимум. Всё остальное пользователь может ставить сам. На свой страх и риск. В этом как раз ваш анализ плагинов интересен. Но понятен и скепсис торпрожекта: проще забить на дополнительные плагины, повышающие удобство или якобы повышающие анонимность.
Также по смежному вопросу пришлось согласиться с другими их мыслями: возможность исполнения произвольного кода в файрфоксе велика. Но проще с этим смириться, чем заниматься избыточным укреплением самого FF, в ущерб простоте поддержания и текущей анонимности опять же. Это вылезло из-за вопроса о связке FF-TB-Tor и по вопросу, что это стало крайне сложно прикрыть от утечек при помощи Iptables и Selinux.
Понятно, что 99% пользователей это не нужно и 1% пользователей разработчики почти не оставили выбора кроме как присоединиться к большинству. Или предложили придумывать какое-то удобное решение для обеих сторон. Понимание, что такое решение реализовать крайне сложно вынудило согласиться с ними.
Я не следую мнению разработчиков слепо, пытаюсь поставить себя на их место по-мере своего разумения :)
Не кидайтесь в крайности :) Ведите как черновик пока как есть.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 254 документов: 9 редакций: 753
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 254 документов: 9 редакций: 753
Можете создать ссылку на новую страницу в самом низу?