Здесь предлагается представлять свои предложения по улучшению и дополнению руководства, обеспечивающего безопасность и приватность в Mozilla Firefox средствам внутренних настроек about:config

См. тему в FAQ: https://forum.mozilla-russia.org/viewto … 19#p706419

Предложения приветствуются в формате:

1. Описание работы настройки.
    2. Существующая проблема с безопасностью и приватностью.
    3. Меры по ее исправлению.
    4. Предлагаемая строка настройки с изменением.
    5. (Опциональный комментарий).

Если вы хотите, чтобы ваши аргументированные предложения были приняты - используйте систему коммитов GitHub.

с возвращением :lol:
беру настройки  здесь и  здесь с описанием

с возвращением

Спасибо большое! Думаю, это ненадолго - до следующего бана. :) Я тут подсчитал - у меня их восемь... или девять; лень перепроверять.

беру настройки  здесь

Ха! Это ж мой собственный блог в свободной соцсети Diaspora! Как Вы на него набрели? :) Я, кстати, очень признателен Диаспоре за приют; дело в том, что так несчастливо совпало: у меня в Швеции закрылся сначала один хостинг, где я вел основной техблог, и собирается закрыться другой - тоже в Швеции. Так что пришлось переносить все свои матералы по Линуксу/консоли/безопасности в Диаспору. Чему я очень рад! 

На самом деле, та ссылка, которую Вы привели - только первая часть. А так их много:

[UPD: Ссылки на материалы удалены во избежание использования черновых материалов]

Часть 1
Часть 2
Часть 3 
Часть 4


Только учтите, пожалуйста, что в блоге публикуются "черновые" наброски, заметки для самого себя. Все конечные результаты смотрите на GitHub. Я тут чуток покопался и соорудил для репозитория "сайт-визитку", вот он: https://ramirosenfeld.github.io/Rosenfox/. На него и надо ориентироваться.

и  здесь с описанием

Я знаю этот ресурс. Хорошо человек поработал! Я рад, что тема безопасности ФФ заботит не только меня одного.

Rosenfeld пишет:

Ха! Это ж мой собственный блог в свободной соцсети Diaspora! Как Вы на него набрели? :) Я, кстати, очень признателен Диаспоре за приют; дело в том, что так несчастливо совпало: у меня в Швеции закрылся сначала один хостинг, где я вел основной техблог, и собирается закрыться другой - тоже в Швеции. Так что пришлось переносить все свои матералы по Линуксу/консоли/безопасности в Диаспору. Чему я очень рад!

Спрашивал как-то у google о media.getusermedia.browser.enabled = так и наткнулся.  Ещё читал блог rosenfeld.blogs.se  но он закрылся ;)

Rosenfeld пишет:

Я рад, что тема безопасности ФФ заботит не только меня одного.

Сам не нарадуюсь на этих людей кто «не сдается»! Многие просто расслабились, и получают удовольствие от зондирования

Спрашивал как-то у google о media.getusermedia.browser.enabled = так и наткнулся.

У меня еще смешнее получается: ищу в поисковике ответ на какой-то вопрос, перехожу по ссылке ... и частенько натыкаюсь на свой собственный ответ! :) И вспоминаю: "батюшки, так я ж об этом уже писал!"

Многие просто расслабились, и получают удовольствие от зондирования

"Расслабившиеся" еще ничего не читали об адском механизме Workers, :) который Mozilla активировала, если не ошибаюсь, в версии 44!  Впрочем, в моем руководстве уже есть свежее решение для блокирования этого сервиса.

Ладно, давайте по делу... Тут мне уже начали поступать приватным образом первые отклики, в которых задают вопрос: почему я в своем руководстве не упоминаю про блокирование etag?

https://ru.wikipedia.org/wiki/HTTP_ETag

... Я отвечу на этот вопрос, когда освобожусь. Хочу лишь заметить, что эта проблема была поднята в Багзилле... аж в 2004 году (и обновлена недавно!) За 11 лет так никто и не почесался!

https://bugzilla.mozilla.org/show_bug.cgi?id=231852

... Ну так вот, о etag. Чтобы не пересказывать своими словами, вначале кратко приведу механизм его работы и существующую угрозу:

ETag или entity tag — часть HTTP, протокола World Wide Web. Это один из нескольких механизмов, с помощью которых HTTP обеспечивает веб-проверку кэша, и который позволяет клиенту делать условный запрос. Это позволяет кэшу быть более эффективным и экономит пропускную способность, так как веб-серверу не нужно отправлять полный ответ, если содержимое не изменилось. ETags также может быть использован для оптимального управления многопоточностью, как способ, чтобы помочь предотвратить одновременное обновление и перезапись ресурса.

ETag — это закрытый идентификатор, присвоенный веб-сервером на определенную версию ресурса, найденного на URL. Если содержание ресурса для этого адреса меняется на новое, назначается и новый ETag. Использование в таком ключе ETags аналогично использованию отпечатков пальцев, можно быстро сравнить и определить, являются ли две версии ресурса одинаковыми или нет.

ETags может быть использована для отслеживания уникальных пользователей, так как HTTP cookie могут быть удалены стремящимися к полной конфиденциальности пользователями.

Про запрет e-tag'a я не задумывался (напоминаю, что в самом Firefox НЕТ средств для его блокирования). И вот по каким причинам:

Первая. Он тесно связан с механизмом кэширования. Но всё кэширование (в моем личном случае, т.е. в Linux) идет в так называемую tmpfs. Это, по сути - эмуляция разделов /tmp в RAM. Поэтому буквально через секунду после закрытия браузера все результаты кэширования динамически удаляются. Чем еще хороша  tmpfs для безопасности - эта система может работать глобально, т.е. для все прикладных программ, которые создают временные и промежуточные файлы. Единственная проблема - при нехватке RAM некоторые данные могут быть перемещены в раздел /swap (если он, конечно, присутствует и смонтирован).

Вторая. Некоторые кэширующие серверы, например Privoxy, могут блокировать этот заголовок.

Третья. В предлагаемой мною конфигурации ФФ (см. настройки в разделе FAQ) дисковый кэш отключен, и все кэширование разрешено только в RAM.

Таким образом, мой основной совет для обычных пользователей заключается в следующем:

1. Запретите кэширование промежуточных файлов на HDD.
2. Перенаправьте кэширование в RAM.
3. Если вы используете tmpfs, не стремитесь заполнить свою RAM полностью, например - открыв пятьдесят вкладок в Firefox: это приведет к частичной выгрузке данных в swap-раздел.
4. Чаще перезагружайте свой браузер в процессе работы. Не держите его постоянно запущенным.


По теме см.:

https://security.stackexchange.com/ques … g-by-etags
http://www.privoxy.org/

Rosenfeld пишет:

Таким образом, мой основной совет для обычных пользователей заключается в следующем:

1. Запретите кэширование промежуточных файлов на HDD.
2. Перенаправьте кэширование в RAM.
3. Если вы используете tmpfs, не стремитесь заполнить свою RAM полностью, например - открыв пятьдесят вкладок в Firefox: это приведет к частичной выгрузке данных в swap-раздел.
4. Чаще перезагружайте свой браузер в процессе работы. Не держите его постоянно запущенным.

Отключение  RAM кэш"а не поможет? И  вот что делать с  dom.indexedDB.enabled= false Уж очень многие сайты ломает.

Отключение  RAM кэш"а не поможет?

Я специально указал в руководстве, что совместное отключение кэширования и в RAM, и на HDD гипотетически может привести к проблемам. Для современных версий Firefox необходимо огромное количество ресурсов: где-то ж ему надо хранить и перерабатывать временные данные.

И  вот что делать с  dom.indexedDB.enabled= false Уж очень многие сайты ломает.

Определенного совета дать не могу. Следует исходить из своей личной ситуации и самостоятельно определять баланс между приватностью и работоспособностью/функционалом браузера. Допустим, на мои личные задачи - нахождение в интернете в режиме read-only (то есть только с целью чтения какой-то информации) - установка dom.indexedDB в on/off никак не влияет. А кому-то она может оказаться критичной.

Но я бы хотел предупредить, что IndexedDB API очень сильно завязана на технологии Java-Scripts; разрешив ее, Вам придется разрешать и  исполнение скриптов (как я полагаю):

https://developer.mozilla.org/en-US/doc … exedDB_API
http://www.ghacks.net/2015/12/11/an-ana … locations/

И еще: разрешив IndexedDB, Вы можете (по нарастающей!) ненароком активировать и Web Workers API (которое с ним связано) - а это уже полное непотребство:

Web Workers are a mechanism by which a script operation can be made to run in a background thread separate from the main execution thread of a web application. The advantage of this is that laborious processing can be performed in a separate thread, allowing the main (usually the UI) thread to run without being blocked/slowed down.

https://developer.mozilla.org/en-US/doc … orkers_API

Говоря иным языком: сначала первая сигарета в школьном туалете, потом - пиво с одноклассниками на остановке, дальше - непотребные женщины. Итог - сифилис! :)

Я тоже раньше фанатично настраивал Firefox в плане приватности. А потом понял, что аттаку о паттернам трафика, некоторые особенности js (функции), подмена множества переменных доступных через js (через которые можно составить отпечаток браузера), css свойства и отпечатки на их основе не отключить.
Да в общем на этой странице можно почитать https://www.torproject.org/projects/torbrowser/design/

Так вот, без патча самого исходного кода это не убрать. А значит смысла использовать настройки на практике как бы мало. Очень мало, если цель избежать развитых механизмов сбора статистики (я думаю ими обладают США, Германии, Евросоюз, может Англия). Если же цель избежать криво написанных поделок вроде рекламных сетей или COPM, то им трудно отследить браузер даже без таких настроек совсем.
Для тех кому нужна анонимность выход только один - TorBrowser. Потому что даже полное отключение js не поможет против составление отпечатка.

Дополнения вроде https://addons.mozilla.org/ru/firefox/a … t-spoofer/ и uMatrix интересны, но полезны только против рекламщиков и опять же кривых следилок вроде COPM. К тому же подобные дополнения уже ни раз бросались их авторами.

Поясню почему я считаю COPM кривым. На основе новостей о этой системе и вообще действиях России в сети. Они неуклюжи и глупы.

Но я конечно "за" ваши и другие списки. Это отличная помощь создателям TorBrowser, если они что-то проглядят.

От себя предлагаю сделать стилем панели float и таким образом исключить изменения размера видимой области окна при открытии/закрытии панелей.

Так вот, без патча самого исходного кода это не убрать. А значит смысла использовать настройки на практике как бы мало.

Я поддержу Вашу мысль и скажу более (Извините - много текста: убираю под спойлер):

скрытый текст
Когда я работал над этим руководством, меня не покидало стойкое ощущение полной безнадежности. :) Почему именно? Потому что я отдавал себе отчет в том, что занимаюсь абсолютно бессмысленным трудом: пытаюсь "вычистить невычищаемое" - то есть все "фичи" и прочие "плюшки", которые Mozilla так щедро впихивает в каждую новую версию (иногда удаляя или ломая при этом что-то полезное и привычное).

Вот взгляните непредвзятым взглядом на мой список. Перечитайте его и обратите внимание:

а) сколько функций, открыто и откровенно шпионящих за пользователем, вшито в программу (я здесь имею в виду телеметрию, гуглослежку и прочее);
б) сколько ненужного функционала появилось за последнее время.

.... Видео- и аудио-общение; всякие веб-инспекторы, которые нужны только веб-мастерам, но сто лет не понадобятся обычным пользователям... Я в этой теме, к примеру, уже дважды упомянул механизм Workers. А знаете, что это такое? Это штука, которая будет абсолютно своевольно перехватывать на себя трафик и обрабатывать "что-то-там", даже когда страница с web-приложением уже закрыта(!) или неактивна. Что в это время будет твориться с нагрузкой на RAM и CPU - страшно представить; даже разработчики это признают! И все это (естественно!) будет происходить без какого-либо вашего участия или согласия! И, естественно, не отключаемо через UI.

... Что еще? Проприетарный(!) сервис Pocket, встроенный в когда-то свободный браузер. Система SYNC - удаленной синхронизации "всего со всем" - одна из самых опаснейших функций с точки зрения информационной безопасности.

Ну и так далее.

Верх издевательства - это чат-клиент, намертво вшитый в хороший ... почтовый(!) клиент (это я уже веду речь о Thunderbird).

Верх безумия - интеграция(!) с социальными сетями: чтобы хомячки имели удовольствие "ставить лайки" за "селфи" и иные фото кошечек-собачек в любое удобное для себя время.

А верх неприличия - это технология "цифровых наручников", DRM, встроенная в якобы "свободный"(!) браузер.

Что мы получили на выходе? (после последней вменяемой версии ФФ 3.х.х) Правильно - огромный и прожорливый комбайн. А, как говорил один мой подчиненный-инженер, "с увеличением степени интеграции растет количество отказов". И он, кстати, прав.

Я уже много лет работаю в среде GNOME. Похоже, что его разработчики используют самый здравый принцип: "Одна программа выполняет только одну задачу". Общий смысл - не нужно впихивать кофеварку и посудомоечную машину в браузер, для этого имеется кухня. И не стоит смешивать чатик со скайпиком и с вконтахтиком, потому что при такой дикой смеси однозначно БУДУТ и проблемы, и дыры, и утечки.

А весь парадокс заключается в том, что, по идее, вычищать все эти уязвимые места и латать дыры в браузере должны сами(!) разработчики. Ведь что наиболее главное в программе? Не возможность поставить очередной "лайк", а бе-зо-пас-ность! А у меня, наоборот, последние года четыре складывается впечатление, что вменяемые программисты в создании Firefox теперь участия не принимают вовсе, а всю власть получило то самое пресловутое поколение тридцатилетних "успешных менеджеров", цель жизни и бизнеса которых - "впарить" хомячкам как можно больше бесполезных услуг. Причем сами эти "успешные менеджеры" - по своим жизненным запросам и "знаниям" окружающего мира - ровно такие же хомячки, как и их клиентура.

Посмотрите, почему получается так, что над ФФ работает так много сторонего народа? Не от хорошей жизни: люди (к примеру - создатели IceCat, авторы множества дополнений) прилагают огромные усилия, чтобы вырезать-выкусить имеющиеся уязвимости... но на следующий же день получают новую корзину проблем! И от кого? От самих разработчиков ФФ!

Но я конечно "за" ваши и другие списки. Это отличная помощь создателям TorBrowser, если они что-то проглядят.

Вот именно - возможно помогает каким-то сторонним разработчикам!   А отнюдь не "создателям  Firefox"; похоже, у них абсолютно другие задачи.

Так что цель моего руководства - скорее ознакомительная. "Предупрежден - значит вооружен". Главное, чтобы пользователь почувствовал интерес к тому, что находится "под капотом", плюс - знал, как с этим всем "добром" бороться. И ориентировано руководство конечно же не на серую массу под гордым лозунгом "Мне нечего скрывать", а на тех людей, для которых такие понятия как "безопасность", "приватность", "право на частную жизнь" являются приоритетом.

Ну и конечно же между "киллерами" всех этих мозилловских нововведений не должно быть никакой конкуренции и прочей зависти, а только сотрудничество. Так что лично я буду рад, если моими предложениями в своей работе воспользуется кто-то еще.

От себя предлагаю сделать стилем панели float и таким образом исключить изменения размера видимой области окна при открытии/закрытии панелей.

К сожалению, не понял Вашу мысль в принципе. Вы сейчас говорите об about:config?

Rosenfeld пишет:

К сожалению, не понял Вашу мысль в принципе. Вы сейчас говорите об about:config?

Я говорю о userChrome.css
Можете кстати ещё и пользовательские скрипты рассмотреть https://forum.mozilla-russia.org/viewto … pid=694631
то есть можно попробовать писать штуки загружающиеся до скрипта на сайте и не дающие им получать какие-то свойства. Подменить скриптами стандартные значения.

Rosenfeld пишет:

А верх неприличия - это технология "цифровых наручников", DRM, встроенная в якобы "свободный"(!) браузер.

Она в виде плагина. И они делают специальную отдельную сборку без него (EME-free) https://ftp.mozilla.org/pub/firefox/rel … -EME-free/
Так что тут формально они не при делах. =)

Rosenfeld пишет:

Верх безумия - интеграция(!) с социальными сетями: чтобы хомячки имели удовольствие "ставить лайки" за "селфи" и иные фото кошечек-собачек в любое удобное для себя время.

Вы видели эту интеграцию? Вы же про Services (Службы)? :sick::lol: Я специально попробовал её установить. Всё думал что же они намутили. Пробовал на vk.com. Так там появилось окошко позволяющее входить в соц. сеть введя логин/пароль и рассылать приглашения друзьям. Я был разочарован, думал там полноценное окно будет. В общем не понятно кому это надо, даже совсем хомячкам такая штука не удобна.

Rosenfeld пишет:

Посмотрите, почему получается так, что над ФФ работает так много сторонего народа?

Я так думаю там ядро профессионалов, которые пилят движок xml/js. Занимаются оптимизацией, системными штучками, портированием, архитектурой.
И второй отдел дизайнеров/юзабилити-инжинеров/менеджеров. Вот второй отдел по моему следует уволить.
К слову, вспоминается старая шутка: "Как Firefox ни настраивай всёравно Opera выходит" (с) :D Посмотрим что будет с Vivaldi, взлетит или нет. У меня только на него надежда в качестве вправлялки мозгов дизайнерам.

Rosenfeld пишет:

уже дважды упомянул механизм Workers.

Мне кажется всё не так опасно, хотя и неприятно. Но сам пока не изучал эту штуку.

Rosenfeld пишет:

Проприетарный(!) сервис Pocket

Его, как и Firefox Hello собираются вынести в отдельные дополнения, как я читал.

Rosenfeld пишет:

Система SYNC - удаленной синхронизации "всего со всем"

А вот тут у [mozilla] выбора не было, слишком многие хотели эту штуку. Кроме того. Я не совсем понимаю где именно происходит шифрование данных. У пользователя или на сервере Mozilla? Если у пользователя, то всё нормально.

Я говорю о userChrome.css
Можете кстати ещё и пользовательские скрипты рассмотреть https://forum.mozilla-russia.org/viewto … pid=694631

Вот поэтому я и переспросил.

Не-не, это уже ни ко мне... Взгляните, какие слова содержит тема в FAQ'е: about:config. Им я и ограничусь.

У меня нет в планах заставлять людей изучать CSS и самостоятельно перенастраивать стили. А также - изучать пользовательские скрипты..

Я не совсем понимаю где именно происходит шифрование данных. У пользователя или на сервере Mozilla?

Это называется security through obscurity :)

Вы просто попробуйте понять одну простую вещь: хранение критичных данных (логинов, паролей, закладок и прочего) где-то вне собственного шифрованного хранилища, пусть даже на сервере "самого доброго дяди" - это верх безумия. Сто раз уже об этом писал на форуме.

А у меня вечная борьба совмещения удобства с мм., так называемой эфимерной приватностью. Т.е. настройки приватности должны причинять, как можно меньше неудобств.

Rosenfeld пишет:

"Расслабившиеся" еще ничего не читали об адском механизме Workers

Честно говоря мало что понял из найденного и прочитанного по поводу Workers., мне бы малюсенький пример вторжения в личное пространство для повода зарубить эту технологию в исходниках.)

PS: Ага, нашел..

Rosenfeld пишет:

скрытый текст.. ..Это штука, которая будет абсолютно своевольно перехватывать на себя трафик и обрабатывать "что-то-там", даже когда страница с web-приложением уже закрыта(!) или неактивна..

PPS: Да и., для работы Workers мне кажется Maintenance Service нужен. Или ошибаюсь?

Честно говоря мало что понял из найденного и прочитанного по поводу Workers

Вот три ссылки:

https://developer.mozilla.org/en-US/doc … orkers_API

https://developer.mozilla.org/en-US/doc … Worker_API

https://developer.mozilla.org/en-US/doc … ce_Workers

Процитирую наиболее интересные моменты (можете пробежаться только по выделенным участкам текста):

Web Workers concepts and usage

A worker is an object created using a constructor (e.g. Worker()) that runs a named JavaScript file — this file contains the code that will run in the worker thread; workers run in another global context that is different from the current window. This context is represented by a DedicatedWorkerGlobalScope object in the case of dedicated workers (standard workers that are utilized by a single script; shared workers use SharedWorkerGlobalScope).

You can run whatever code you like inside the worker thread, with some exceptions. For example, you can't directly manipulate the DOM from inside a worker, or use some default methods and properties of the window object. But you can use a large number of items available under window, including WebSockets, and data storage mechanisms like IndexedDB.

In addition to dedicated workers, there are other types of worker:

    Shared workers are workers that can be utilized by multiple scripts running in different windows, IFrames, etc., as long as they are in the same domain as the worker. They are a little more complex than dedicated workers — scripts must communicate via an active port. See SharedWorker for more details.
   
    ServiceWorkers essentially act as proxy servers that sit between web applications, and the browser and network (when available). They are intended to (amongst other things) enable the creation of effective offline experiences, intercepting network requests and taking appropriate action based on whether the network is available and updated assets reside on the server. They will also allow access to push notifications and background sync APIs.

    Chrome Workers are a Firefox-only type of worker that you can use if you are developing add-ons and want to use workers in extensions and have access to js-ctypes in your worker. See ChromeWorker for more details.

    Audio Workers provide the ability for direct scripted audio processing to be done inside a web worker context.

Service worker concepts and usage

A service worker is an event-driven worker registered against an origin and a path. It takes the form of a JavaScript file that can control the web page/site it is associated with, intercepting and modifying navigation and resource requests, and caching resources in a very granular fashion to give you complete control over how your app behaves in certain situations (the most obvious one being when the network is not available.)

A service worker is run in a worker context: it therefore has no DOM access, and runs on a different thread to the main JavaScript that powers your app, so it is not blocking. It is designed to be fully async; as a consequence, APIs such as synchronous XHR and localStorage can't be used inside a service worker.

Service workers are also intended to be used for such things as:

    Background data synchronization
    Responding to resource requests from other origins
    Receiving centralized updates to expensive-to-calculate data such as geolocation or gyroscope, so multiple pages can make use of one set of data
    Client-side compiling and dependency management of CoffeeScript, less, CJS/AMD modules, etc. for dev purposes
    Hooks for background services
    Custom templating based on certain URL patterns
    Performance enhancements, for example pre-fetching resources that the user is likely to need in the near future, such as the next few pictures in a photo album.

Насколько я уловил смысл: "если пользователь запер двери (DOM), то мы сунемся к нему в окно - попробуем пролезть через форточку (JavaScript)"

И для этого мы попробуем (конечно же!) :) создать в браузере еще один независимый кэш. И не факт, кстати, что он будет корректно удаляться (если того НЕ захотят сами разработчики отдельного процесса Workers):

Using Service Workers

After your service worker is registered, the browser will attempt to install then activate the service worker for your page/site. The install event is fired when an install is successfully completed. The install event is generally used to populate your browser’s offline caching capabilities with the assets you need to run your app offline. To do this, we use Service Worker’s brand new storage API — cache — a global on the service worker that allows us to store assets delivered by responses, and keyed by their requests. This API works in a similar way to the browser’s standard cache, but it is specific to your domain. It persists until you tell it not to — again, you have full control.

А вот что сказано про Workers в сообществе, занимающемся веб-стандартами - https://whatwg.org/

Generally, workers are expected to be long-lived, have a high start-up performance cost, and a high per-instance memory cost.

То есть если теперь ваша машина при использовании Firefox малость просела или слегка задумалась под непонятной фоновой нагрузкой - в первую очередь нужно благодарить в этом того модного и продвинутого чудака, который встроил в свою страничку соответствующий механизм. Ну разработчиков Firefox - тоже. :) Или может оказаться, что компьютер занят тем, что втихую вычисляет вашу точнейшую геолокацию (местоположение). Или обсчитывает данные, поступающие с гироскопов мобильного устройства. Или занят фоновой синхронизацией непонятно чего с непонятно чем:

- Receiving centralized updates to expensive-to-calculate data such as geolocation or gyroscope, so multiple pages can make use of one set of data
- Background data synchronization
- Client-side compiling and dependency managemen

Аналогичное можно сказать и про обработку WebGL средствами Workers. Это называется  OffscreenCanvas API:

https://hacks.mozilla.org/2016/01/webgl … in-thread/
https://developer.mozilla.org/en-US/doc … reenCanvas

Причем разработчики Firefox честно признаются: "звиняйте, хлопци, это экспериментальная технология, но нам так(!) чесалось ее оттестировать совместно с Workers, что мы  включили ее в состав исходного кода, предназначающегося для ... платформы Linux(!) ... И благодарите нас, что пока что она отключена":

This is an experimental technology

Because this technology's specification has not stabilized, check the compatibility table for usage in various browsers. Also note that the syntax and behavior of an experimental technology is subject to change in future versions of browsers as the specification changes.

Rosenfeld
Спасибо за подробности. Уже несколько в исходниках ознакомился., не так просто от всего этого избавиться без некоторых казусов, привычка у них все переплетать между собой в плотный клубок. Повредить конечно можно, но пока все так топорно получается, буду впитывать дальше. Поэксперементирую. :|

Спасибо за подробности. Поэксперементирую.

Всегда пожалуйста. Только не переборщите с экспериментами! :)

Rosenfeld пишет:

Только не переборщите с экспериментами!

То есть? Если имеется ввиду "не убейте нужный функционал", то в точку, много сомнений имеется..)

[Внимание! Изменения в репозитории]

... Хорошее и дельное предложение поступило вчера  от одного из участников форума, обратившего мое внимание на существующую проблему. Я попытался расширить ее, рассмотреть со всех сторон и сформулировать максимально детально:

***

1. Описание: Уязвимости в исходного коде поисковых плагинов OpenSearch, распространяемых в официальной сборке Firefox.

2. Проблема с безопасностью и приватностью:

Существует (как минимум) пять проблем, связанных с плагинами поисковых серверов, встраиваемых в Firefox по умолчанию:

а) соединение с поисковым сервером зачастую осуществляется по незащищенному (HTTP, а не HTTPS) соединению, и передаваемый поисковый запрос может быть легко перехвачен третьей стороной;

б) исходный код плагина содержит изображение/фавикон, кодированное в base64, что может гипотетически привести к нарушению приватности [UPD: похоже; это не подтверждается];

в) исходный код плагина может содержать встроенный идентификатор, что приведет к отслеживанию пользователя и понижению уровня его анонимности;

г) строка поискового запроса, встроенная в исходный код плагина, может содержать дополнительные условия поиска (определяющие тип браузера, используемой ОС, предпочитаемую кодировку и т.п.), что приводит к профилированию метаданных пользователя и понижению уровня анонимности;

д) существующие плагины имеют встроенный механизм автоподстановки выдачи поисковых результатов.

3. Меры по исправлению: Необходимо очистить исходный код плагинов от небезопасных элементов, не нарушая при этом рекомендации http://www.opensearch.org/

4. Уровень опасности: Низкая.

5. Статус: DONE

5. Предлагаемое решение: См. описание в разделе IV на https://ramirosenfeld.github.io/Rosenfox/ + 5 файлов.

5. Опциональный комментарий:

Помните, что Google и Yandex:
1) отслеживают поисковую активность пользователей и профилируют их;
2) пытаются заблокировать (UPD: в предлагаемой конфигурации браузера) обращение к ним через TOR.

UPD: Решение: для поиска используйте сервер DuckDuckGo; применяя версию, не требующую поддержки JavaScript:

https://duckduckgo.com/html/

Предлагаемый мною поисковый плагин DuckDuckGo отсылает запросы именно по этому адресу.

6. Ссылки:

http://www.opensearch.org/
https://developer.mozilla.org/en-US/Add … or_Firefox

Rosenfeld пишет:

Предлагаемый мною поисковый плагин DuckDuckGo отсылает запросы именно по этому адресу.

А как же
https://search.disconnect.me/
https://www.ixquick.com/
?
Ну и более экзотичные
https://onion.cab/
https://hss3uro2hsxfogfq.onion.cab/ или https://hss3uro2hsxfogfq.onion.to/

Спасибо.

DuckDuckGo - лишь в качестве примера (из тех поисковых плагинов, которые я уже переделал и выложил).

А так - пользователь может самостоятельно скачивать, переделывать и использовать и другие поисковые плагины; главное - собюдать спецификации OpenSearch. Ну и еще он должен доверять самим серверам.

UPD:

Ха! ... Смотрите, какой подарочек вскоре преподнесут нам разработчики из Mozilla:

network.dns.blockDotOnion

Намек ясен? Следующая версия Firefox, судя по всему, будет блокировать обращение к определенным доменным именам по умолчанию. Причем на уровне DNS.

Нравится? :)

Rosenfeld пишет:

Намек ясен? Следующая версия Firefox, судя по всему, будет блокировать обращение к скрытым ресурсам сети TOR (.onion) по умолчанию. Причем на уровне DNS.

Нравится?

Намёк на ваше не очень хорошее чувство юмора? :D Это же [mozilla] сделала специально из-за сотрудничества с Tor (вернее из-за того, что .onion признан доменом сети Tor официально), потому что для Tor не нужно слать DNS вообще.
А также потому что по новому стандарту теперь обычные сайты не могут использовать .onion домен http://www.securitylab.ru/news/476336.php

Мне просто не нравится подход, когда за меня решают - куда мне не следует ходить.  :)

[развернутый ответ удален]

Вот что еще грядет :) - подозреваю, в версии 45. Решили оттестировать очередную экспериментальную(!) и нестабильную (сами признают) технологию. И опять завязана на Workers:

This is an experimental technology

Because this technology's specification has not stabilized, check the compatibility table for the proper prefixes to use in various browsers. Also note that the syntax and behavior of an experimental technology is subject to change in future versions of browsers as the spec changes.

The Push API gives web applications the ability to receive messages pushed to them from a server, whether or not the web app is in the foreground, or even currently loaded, on a user agent.

https://developer.mozilla.org/en-US/doc … I/Push_API

Перевод с Opennet:

Поддержка Push API, позволяющего устанавливать обработчики получаемых со стороны сервера сообщений, срабатывающие даже в ситуации, когда web-приложение не активно. Обработчики задаются через API Service с и не зависят от времени жизни приложения, что позволяет создавать новые классы web-приложений, способные обрабатывать запросы даже после закрытия страницы с приложением.

Для обработки подобных уведомлений требуется обязательное явное предоставление полномочий от пользователя. Управления обработкой push-уведомлений осуществляется через новую пиктограмму с символом "i", отображаемую для поддерживающих данную технологию сайтов в левой части адресной строки.

Так и вижу увлеченного школьника или домохозяйку, :) с упоением и без разбора жмущих на "пиктограмму с символом "i"" - каждый раз, когда она возникает в адресной строке... "Чё за прикольненькая картинка у нас появилась? Ну-ка нажмем!"

И потом (уже на форуме): "А чо у миня ваша мазила в натуре зависла?"

Хотелось бы чтобы Firefox после перенастроек  и дополнительных плагинов  блокирующих слежку со стороны рекламно-поисковых компаний проходил тесты на приватность и безопасность.
Среди таких тестов можно в певую очередь отметить:
https://panopticlick.eff.org/ и http://ip-check.info
Тест от EFF у меня только пока один браузер проходит -Tor с плагином от EFF "Privacy Badger"
Мозилла даже с adblock plus+DNT+Disconnect+control referrer не проходит.Менял в Firefoxе  Disconnect на Privacy Badger -не помогло. Ещё какой-то плагин рекомендовалось этими тестами pq, но и с ним тоже не проходит.
То есть можно было поставить автору темы минимальной целью своего проекта проходить  эти и похожие на них тесты по приватности и безопасности -тогда и пользователи увидели что это не просто поковырятся  5 минут в about:config, и результаты можно увидеть на конкретных тестах в Интернете.  И здорово бы было не разъединять ресурсы по разным браузерам, а сделать прогу, которая в зависимости от версий браузеров на компьютере перенастраивала их все и могла вернуть настройки на дефолтные в случае чего какого-нибудь конкретного браузера или всех. И даже эта прога бролась и за галимые браузеры от яндекса,  майлрушного амиго, оперы  и других клонов хрома.
Ещё я вот про  такой вопрос спросил вот тут https://forum.mozilla-russia.org/viewtopic.php?id=69305, но пока молчат.
Суть вопроса -в случае HTTPS соединения трафик шифруется между браузером и сайтом. Если трафик идёт к сайту, то он шифруется открытым сертификатом сайта(и этот сертификат можно посмотерть). А вот трафик от сайта к браузеру тоже шифруется каким-то сертификатом и тогда у браузера должен быть и сертификат, и закрытый ключ к этому сертификату. Тогда получается несколько вопросов:
где хранится этот сертификат?
Этот серфтикат уникален для каждого сайта или одни для всех?
Как сменить этот сертификат на другой или хотя  перегенерировать его?
Если включ браузера генерируются  при установке браузера, то не играет ли  такой сертификат  роль уникального цифрового отпечатка в случае HTTPS соединения?
Ещё после прохождения теста ip-check.info возникли вопросы как запретить браузеру отдавать информацию сайту о том какой номер присвоен текущей вкладке, и как запретить отдвать информацию о количестве записей в истории вкладки.
Браузер IсeCat виснет на прохождении теста от EFF, он тоже основан на Firefox. И непонятно можно им  в таком случае неопределённости пользоваться  в плане приватности и безопасности.

А. Перед публикацией своих вопросов внимательно выбирайте раздел, а затем и тему.

Б. Всегда проверяйте, совпадает ли смысл вопроса с рассматриваемой тематикой.

В. Не дублируйте свои вопросы в разных темах. Это не увеличит число желающих ответить, равно как и не ускорит их ответы.

Г. Не скидывайте все накопившиеся вопросы и проблемы в одно большое сообщение. Дробите их на частности. А то получается, что у вас на кухне потек кран, сломалась кофеварка и тараканы одолели. А в школе - еще и поставили "двойку" по физкультуре... Вы в самом деле думаете, что кто-то будет читать такой массив текста, выискивая отдельные проблемы?

Д. Перед формулированием вопроса старайтесь сначала вникнуть в предыдущее содержание темы, в частности - чему именно посвятил ее топикстартер и что он хотел донести до присутствующих.


***

А теперь отвечаю только по тем пунктам, которые косвенно относятся к текущей теме. Все же остальные вопросы мне глубоко безразличны. :)

Хотелось бы чтобы Firefox после перенастроек  и дополнительных плагинов  блокирующих слежку со стороны рекламно-поисковых компаний проходил тесты на приватность и безопасность.

https://panopticlick.eff.org/ и http://ip-check.info

1. "Дополнительные плагины" - это вы ошиблись адресом. Внимательно прочитайте, какие именно настройки рассматриваются в руководстве и почему его составитель НЕ советует использовать плагины в текущей конфигурации.

2. Рекомендую внимательно изучить - что подразумевается под термином "проходить тесты"? Чтобы по его окончании везде красовались обязательные "зеленые галочки" - "чиста" для самоуспокоения? :) Или имеется в виду что-то другое?

Тесты бывают разные. Допустим, комплексные тесты для антивируса оценивают его способности реагировать на вирусную активность (в том числе - эвристическими методами), количество ложных срабатываний, потенциальную возможность излечения зараженных объектов и т.п. Комплексные тесты для фаэрволлов подразумевают оценку его способности противостоять вторжениям извне, блокировать попытки несанкционированного доступа как изнутри, так и снаружи, а также действенность HIPS-функционала (как в CIS от фирмы Comodo) и т.п.

В данном конкретном случае - с сайтом https://panopticlick.eff.org/ - во время тестирования пользователь последовательно перенаправляется по нескольким страницам, каждая из которых пытается сымитировать конкретную ситуацию по эксплуатации какой-то уязвимости; после чего делает суммарный анализ защищенности и выдает обобщенные результаты.

Так вот, я утверждаю, что в конфигурации браузера Mozilla Firefox, предлагаемой мною здесь: https://ramirosenfeld.github.io/Rosenfox/ программа "проходит" тестирование полностью, причем проходит его на чистую "пятерку".

А теперь - почему я утверждаю именно так? Да потому что браузер при запуске данного теста вообще ОТКАЗЫВАЕТСЯ (вследствие запретительных мер) участвовать в "отклике" на специально подготовленные уязвимости. В реальной ситуации это говорит о том, что браузер действует ровно так, как это сформулировано составителем руководства:

"Запрещено всё, что явно не разрешено пользователем!"

Что это означает на практике? Это свидетельствует о том, что браузер, перейдя на какой-либо вредоносный ресурс, попросту не предоставит атакующей стороне возможности воспользоваться какой-то уязвимостью. Именно эту ситуацию я и называю "пройти тест полностью".

Для примера.  Я провел эксперимент и подсчитал: чтобы "выполнить" тесты, предлагаемые на panopticlick, мне понадобилось последовательно и САМОМУ, т.е. самостоятельно РАЗРЕШИТЬ шесть или семь перенаправлений, в том числе - на СТОРОННИЙ сайт, а то и на два сайта. Плюс - чтобы корректно завершить тест,  пришлось еще и САМОМУ РАЗРЕШИТЬ прием cookies.

Естественно, что в реальной ситуации я НИКОГДА НЕ РАЗРЕШУ сомнительное (вдобавок - стороннее перенаправление), а уж тем более - не буду откликаться на просьбы "пожалуйста, разрешите cookies", "дайте-ка нам возможность выполнить скрипты" и т.п. - если уж я В САМОМ ДЕЛЕ забочусь о собственной приватности и безопасности.

Ну а если скрипты, прием cookies, перенаправления и т.п. во время таких тестов РАЗРЕШИЛИ ВЫ ЛИЧНО (ну или не озаботились их запретом, равно как и ликвидацией других дыр) - просто для того, чтобы "пройти" это тест ради галочки, то, уж извините - вы сами себе "злобный Буратино". :) И никакой  браузер или чужие рекомендации вас не спасут, потому что они не предоставляют конечным пользователем самого главного средства для обеспечивания ИБ - головы на плечах.

То есть можно было поставить автору темы минимальной целью своего проекта проходить  эти и похожие на них тесты по приватности и безопасности -тогда и пользователи увидели что это не просто поковырятся  5 минут в about:config, и результаты можно увидеть на конкретных тестах в Интернете.

Исходя из вышесказанного мною, могу лишь порекомендовать вам в качестве минимальной цели - попытаться самостоятельно разобраться в задачах и механизмах этих и других "тестов", а не просто "пять минут ковыряться в конфиге". Прислушайтесь, пожалуйста, к моему совету - хотя бы чтобы не смешить присутствующую здесь публику. :)

сделать прогу, которая в зависимости от версий браузеров на компьютере перенастраивала их все и могла вернуть настройки на дефолтные в случае чего какого-нибудь конкретного браузера или всех. И даже эта прога бролась и за галимые браузеры от яндекса,  майлрушного амиго, оперы  и других клонов хрома.

Все в ваших руках. Займитесь этим на досуге, я ж не против; а наоборот - всячески благословляю! Мне нравятся энтузиасты, которые пытаются изобрести большую зеленую кнопку с огромной надписью "НУ-КА СДЕЛАЙТЕ МНЕ ФСЁ ЗАШИБИСЬ"... Особенно - "для всех галимых браузеров" сразу!

А когда соорудите "такую прогу" - приходите сюда на форум: мы все детально обсудим и попробуем. :)

***

P.S. Я сделал несколько скриншотов с результатами теста; к сожалению, местный форум по каким-то причинам не обеспечивает их загрузку. Разбираться, в чем проблема, не буду - не хочу и некогда.

Поэтому опишу на словах... Общий смысл результатов - пройдено ВСЁ (зеленые галочки), кроме DNT (Do Not Track) - ровно потому, что  я САМ ОТКЛЮЧИЛ  эту бесполезнейшую функцию. Почему я считаю ее бесполезной - см. в руководстве.

Что касается более подробных результатов теста - все строки неопознаны или по нулям, кроме стандартного HTTP-хидера. Последний ни о чем не говорит, ибо таких миллионы.

Меня тут попросили сделать краткий обзор безопасности мобильных версий браузера. Выполняю! :)

К сожалению, на исходном коде Mozilla выпускается всего два продукта - непосредственно сам Firefox и браузер Fennec. До недавнего времени последний собирался на базе свободного Android-репозитория F-droid.

Не секрет, что в каждой новой версии Firefox увеличивается расход оперативной памяти, а также места, необходимого для его установки. Более того, производители непрерывно вводят сторонний и потенционально опасный  функционал: DRM, т.е. "цифровые наручники"; рекламу на стартовой странице; голосовое и видеообщение; проприетарные модули; систему телеметрии, средства отслеживания пользовательских действий и предпочтений, которые в своей совокупности могут сильно понизить пользовательскую безопасность.

Следует также со всей серьезностью отнестись к официальному предупреждению Mozilla о сборе, передаче, анализе и хранении пользовательских данных в специальной версии Firefox для мобильных систем Android и iOS:

Firefox for Android and Firefox for iOS: In order to understand the performance of certain Mozilla marketing campaigns, Firefox sends data, including a Google advertising ID, IP address, timestamp, country, language/locale, operating system, app version, to our third party vendor. This data allows us to attribute an install to a specific advertising channel and optimize marketing campaign strategies.

https://www.mozilla.org/en-US/privacy/firefox/

Вот почему я всегда ранее советовал ставить Fennec - мобильную версию Firefox, из которой при сборке из исходных кодов удалены следующие компоненты (цитирую):

Removed: Tests
Removed: Crashreporter
Removed: Mediastreaming (требует несвободные библиотеки для трансляции потока)
Removed: Updater
Removed: EME/DRM

https://f-droid.org/repository/browse/? … nec_fdroid

К сожалению, данная разработка была удалена из репозитория F-droid в конце 2015 года. Я внимательно ознакомился с обсуждением причин на их форуме; общий смысл: майнтейнер, мягко говоря, "устал" :) вырезать несвободные и следящие элементы из исходного кода во время сборки. И, как я понял из объяснений (могу ошибаться), Mozilla настолько глубоко прячет спецификации отдельных компонентов (предоставляя лишь бинарники), что разбираться с ними стало все труднее и труднее.

Более того, на сайте F-Droid https://f-droid.org/repository/browse/? … la.firefox в настоящее время (февраль 2016 г.) имеется предупреждение о скором удалении и нативной версии Firefox из их свободного репозитория по следующим причинам:

DEPRECATION NOTICE

Note that this package will soon be dropped from the F-Droid repo.

Anti-Features

Non-free Addons: The license of the addons may be seen in the version notes, but often are non-free. The marketplace has no license information on most apps.

Tracking: Stats are sent back regularly to the developers, but that can be disabled via settings. Also some versions contain "Adjust" tracking software.

UpstreamNonFree: Contains proprietary software, e.g. play-services.

Таким образом, политика MoFo потихоньку приводит к тому, что их браузер перестает считаться свободным программным обеспечением.

В ответ на вопрос "Что же делать?" я предлагаю (по нарастающей) несколько вариантов:

1. Для той распространенной :) категории пользователей, живущей по принципу "мне нечего скрывать", - продолжать пользоваться нативной версией Firefox для мобильных ОС.

2. Для лиц, желающих самостоятельно избавиться от большинства следящего, телеметрического, излишнего и проприетарного (несвободного) функционала, - самостоятельно выбирать и видоизменять в нативном браузере необходимые установки, описываемые в руководстве: https://ramirosenfeld.github.io/Rosenfox/   ... Следует учитывать - при этом абсолютно(!) не гарантируется, что разработчики браузера не встроили в исходный код дополнительные средства слежения и т.п., не описываемые в стандартных общедоступных спецификациях.

3. Использование старых сборок Fennec (версии 3N.х.х) значительно повысит пользовательскую безопасность, особенно если дополнительно воспользоваться некоторыми изменениями в about:config (см. руководство).

4. При выполнении п. 3 пользователь может (на свой выбор) установить у себя дополнения, способствующие увеличению степени безопасности и приватности; плюс - управлять ими не посредством about:config, а более удобным средствами GUI (быстро разрешить JavaSript или cookie для надежного сайта; видоизменить UA из предустановленного набора; определить правила для отсылки рефереров, блокировать/разрешить загрузку графики и т.п.). См. под спойлером:

скрытый текст
Дополнения для мобильной версии Firefox и Fennec находятся по адресу:

https://addons.mozilla.org/ru/android/

По желанию можно установить следующие дополнения:

CleanQuit
(очистка временных данных при выходе из браузера; помните, что завершать сессию надо при помощи специального подпункта в меню):

https://addons.mozilla.org/en-US/androi … cleanquit/

Cookie Whitelist for Fennec
("белый лист" для cookie. Не забудьте предварительно запретить все cookie средствам браузера; само дополнение этого не делает! Разрешайте кукиз только на нужных сайтах и очищайте их при выходе):

https://addons.mozilla.org/en-us/androi … or-fennec/

HTTPS-Everywhere
(форсирует соединение с сайтами по защищенному каналу):

https://www.eff.org/Https-everywhere

Smart Referer
(запрет или видоизменение отсылаемых рефереров - сведений о предыдущей посещенной странице):

https://addons.mozilla.org/en-US/androi … t-referer/

Toggle JavaSript Enabled
(глобально запрещает или разрешает выполнение JavaSript; разрешайте их только на проверенных сайтах):

https://addons.mozilla.org/En-US/androi … t-enabled/

Phony
(выбор user-agent (UA) из предустановленного набора):

https://addons.mozilla.org/en-US/android/addon/phony/

PrохуМоb
(обеспечивает работу с локальным прокси-сервером):

https://guardianproject.info/apps/firefoxprivacy/

Mobile Image Blocker
(глобально блокирует статичные изображения на веб-страницах, за исключением флэш-объектов):

https://addons.mozilla.org/En-US/androi … e-blocker/

HTML5 video Everywhere
(отображает просматриваемое видео не посредством Adobe Flash Player, а через стандарт HTML5; это позволяет значительно повысить безопасность и обойтись без проприетарного флэш-модуля):

https://addons.mozilla.org/ru/android/a … verywhere/

Privacy settings
(позволяет усилить приватность без использования about:config - с помощью кнопок "вкл/выкл" на отдельной странице):

https://addons.mozilla.org/ru/android/a … -settings/

Save/load Prefs
(экспортирует и импортирует все внутренние настройки браузера, включая изменения, внесенные пользователем):

https://addons.mozilla.org/ru/android/a … oad-prefs/

Примечание 1 : Как правило, все вышеперечисленное  - это т.н. "легковесные дополнения", чья работа заключается в переключении тех или иных установок в about:config.

Примечание 2: Я сознательно не привожу ссылки на дополнения, работающие по принципам AdBlock, uBlock и т.п., так как считаю, что они тормозят работу браузера.

Общий же принцип настройки дополнений заключается в следующем - чем больше опасного функционала блокируется пользователем, тем серьезнее становится его безопасность.  Перечисление степени угроз будет подробно приведено в моем следующем сообщении.

5. Параллельный проект по разработке браузера, основанного на исходном коде Mozilla, ведется на https://guardianproject.info/apps/ Однако описание данного программного обеспечения не является целью данного обзора.

Таким образом, пользователям предоставляется право самостоятельного выбора из вышеперечисленного.

ВАЖНО: Хочу заметить, что степень безопасности и приватности при использовании мобильных операционных систем ничтожно мала по умолчанию! И об этом необходимо постоянно помнить.


UPD: 27/02/16 - Продолжение см. чуть ниже!

Набросал обещанный анализ...

MOZILLA FIREFOX - ОСНОВНЫЕ УГРОЗЫ

- JavaScript, DOM-JavaScript

Опасность: Очень высокая. Критичная

Угрозы: Полная деанонимизация. Возможное вирусное заражение компьютера. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к любым пользовательским данным, включая похищение и использование логинов/паролей, перевод денежных средств, завладение/блокирование аккаунтов. Передача информации об ОС, браузере, дополнительных параметрах и настройках.

- Cookie

Очень высокая

Угрозы: Частичная/полная деанонимизация. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к авторизационным данным (логинам и пароля); завладение аккаунтами.

- Plugins, MarketPlace

Опасность: Высокая

Угрозы: Любые угрозы, связанные с множественными уязвимостями в сторонних плагинах; особенно это касается Java и Flash-плагинов.

- EME/DRM, Hello, Marketplace, Pocket, WebRTC, Social, Share, Capture/Cast

Опасность: Высокая

Угрозы: Любые угрозы, связанные с уязвимостями в сторонних службах и протоколах, особенно в проприетарных.

- Telemetry, Snippets, Crash-reporting, HeartBeat, Safebrowsing

Опасность: Выше средней

Угрозы: Определение настроек браузера, операционной системы. Массовая и неконтролируемая передача пользовательских метаданных, их последующее накапливание, обработка и анализ. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений пользователя.

- GEO: Geo-search, Geo-IP, Wi-Fi

Опасность: Выше средней

Угрозы: Определение местонахождения пользователя. Массовая и неконтролируемая передача пользовательских геоданных и метаданных, их последующее накапливание, обработка и анализ. Сопоставление геоданных с предпочтениями и действиями пользователя. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений и места пребывания пользователя.

- Workers

Опасность: Выше средней

Угрозы: Обеспечение механизма длительной фоновой обработки JavaScript (даже при закрытии приложения). Приложения, загружаемые с того или иного веб-ресурса, гипотетически могут привести к краху браузера или иной вредоносной активности. Неясна процедура получения прямого пользовательского согласия на выполнение подобных операций.

- SYNC

Опасность: Выше средней

Угрозы: Любые пользовательские данные, особенно закладки, логины-пароли, авторизационные cookie и т.п. должны храниться только на компьютере пользователя! Возможен несанкционированный доступ к критичным данным при передаче или хранении их на сторонних серверах; дальнейшая потеря любой информации, завладение аккаунтами, деанонимизация.

- E-Tag, HSTS

Опасность: Средняя

Угрозы: Частичная деанонимизация. Отслеживание пользовательской активности; накапливание, сопоставление и анализ метаданных.

- UA, Locale

Опасность: Средняя

Угрозы: Определение типа браузера, операционной системы и языковых предпочтений. Частичная деанонимизация. Гипотетическое распространение нежелательной рекламы исходя из языка пользователя.

- DNS-prefetching, Beacon, Predictor

Опасность: Средняя

Угрозы: Анализ активности пользователя и его предпочтений.

- Updates

Опасность: Средняя

Угрозы: Любые обновления могут скрытым образом внести в конфигурацию браузера новые (потенционально опасные или нежелательные) сервисы и службы; кроме того - обнулить или видоизменить предыдущие пользовательские настройки. Неконтролируемая отсылка телеметрии и метаданных к производителю.

- Personas/Canvas

Опасность: Средняя

Угрозы: Частичная деанонимизация; повторное опознание пользователя.

- Sessions, History, Cache, DOM-Cache

Опасность: Средняя

Угрозы: Данные, хранящиеся локально (офлайн), могут быть использованы повторно для опознания пользователя и его частичной деанонимизации. Данные истории, сессий, закладок (в случае завладения ими) могут предоставить атакующей стороне полную картину пользовательских интересов и веб-активности.

- Referers

Опасность: Ниже средней

Угрозы: Передача данных о предыдущей посещенной странице/ресурсе.

Согласен,что настройки about:config надёжнее, чем  дополнительные плагины непонятно кем написанные.
Для Firefox в качестве программы облегчающие копание в about:config  есть подрученые инструменты  это вышеуказанный Privacy Setting(опять плагин) и ConfigFox(внешняя программа, эту я ещё не смотрел). Когда компьютер один свой собственный, то можно сесть на версию ESR и раз в пару лет копаться при выходе новой версии.  Когда нужно устанавливать на большее количество компьютеров, хотелось бы иметь возможность автоматизировать как-то этот процесс, чтобы не пропустить важную настройку.
Только боюсь,что компания Мозилла, после того как их Гугл резко сократил их спонсорскую поддержку заразилась коррупцией и боюсь, что в about:config  может много через перенастраиваться по прежнему , но будет не работать или может уже не работает.   А мы тут ещё по прежнему думаем, что что-то под себя подстраиваем :)

dimatambov пишет:

и боюсь, что в about:config  может много через перенастраиваться по прежнему , но будет не работать или может уже не работает.   А мы тут ещё по прежнему думаем, что что-то под себя подстраиваем

С настройками да, какие то непонятки, в двух последних версиях начал замечать дубликаты настроек в greprefs.js и firefox.js, например:
dom.push.enabled
dom.serviceWorkers.enabled
dom.serviceWorkers.interception.enabled
network.manage-offline-status
..зачем? :rolleyes:

dimatambov пишет:

Для Firefox в качестве программы облегчающие копание в about:config  есть подрученые инструменты  это вышеуказанный Privacy Setting(опять плагин) и ConfigFox(внешняя программа, эту я ещё не смотрел).

ConfigFox, согласен, удобная вещь. Не надо по вкладкам скакать как в: Configuration Mania Но её автор не часто делает обновления, общался с ним по этому поводу, говорит никто донат не кидает, не хочу делать ничего!(хотя может и сделаю если будет настроение) Так что поторопись :)

dimatambov
FMRUser
amin01


У меня к вам огромная просьба. Пользователи, которые будут просматривать данную тему, придут сюда в надежде найти конкретные предложения по изменениям в about:config, выражающиеся в примерах.

Обсуждение же того, в чем лично ВАМ УДОБНЕЕ править about:config, выходит за рамки обозначенного диалога. Тем более, если речь идет о виндовой программе. Поэтому если у вас есть конкретные предложения по улучшению или изменению руководства, я всегда рад и благодарен их выслушать. А для обсуждения сторонних программ разумнее было бы завести новую тему.

***

[Внимание! Предлагаемые изменения в репозитории]

1. Описание: Анализ скрытых настроек, содержащих ссылки на сторонние ресурсы, сервисы и службы, работа с плагинами и т.п. Устранение подключений к сторонним ресурсам.

2. Существующая проблема с безопасностью и приватностью. Любая уязвимость, обнаруженная в стороннем плагине или протоколе, становится уязвимостью самого браузера

3. Меры по ее исправлению. См. ниже

4. Предлагаемая строка настройки с изменением. См. ниже

ПОДРОБНОСТИ (ПО РАЗДЕЛАМ РУКОВОДСТВА):

- INTERFACE

Благодарим за гостеприимство и безжалостно удаляем адрес "приветственной страницы":

startup.homepage_welcome_url=

- HELLO

Строка

loop.CSP=

содержит массу интересных сторонних ссылок на сайты, обеспечивающие сервис. В частности:

loop.CSP;default-src 'self' about: file: chrome:; img-src 'self' data: http://www.gravatar.com/ about: file: chrome:; font-src 'none'; connect-src wss://*.tokbox.com https://*.opentok.com https://*.tokbox.com wss://*.mozilla.com https://*.mozilla.org wss://*.mozaws.net; media-src blob:

Анализ содержимого:

http://www.gravatar.com/ [Цитата]: "Граватар - это картинка, которая следует за вами от сайта к сайту, появляясь при отправке комментария или записи в блог".

http://tokbox.com/ [Перевод]: Платформа WebRTC, которая позволяет встраивать "живое" видео и аудио на веб-страницы, в приложения для Android iOS. Это платный сервис (30-day trial).

[Для разъяснения]: wss:// - обращение по протоколу WebSocket.

Приводим строку к состоянию:

loop.CSP=

- PLUGINS

Удаляем ссылку на Marketplace (место, откуда нам предлагают абсолютно посторонние приложения):

dom.mozApps.signed_apps_installable_from=

Удаляем ссылку для обновления плагинов (речь идет именно о плагинах, а НЕ о дополнениях):

plugins.update.url=

Удаляем ссылку для поиска плагинов (plugin finder service):

pfs.datasource.url=

Две настройки активции плагинов, характерные только для Android:

media.plugins.enabled=false   (Android)
plugin.disable=true  (Android)

Две дополнительные настройки в DOM, связанные с плагинами или веб-компонентами:

dom.webcomponents.enabled=false
dom.ipc.plugins.enabled=false - UPD: виноват, с этим я уже разобрался ранее

- PROTOCOLS (HANDLERS)

Отключение обработчиков протоколов: необходимо очистить значения нижеприведеных строк. Это необязательный, т.е. опциональный пункт.

IRC

gecko.handlerService.schemes.irc.0.uriTemplate=https://www.mibbit.com/?url=%s
gecko.handlerService.schemes.ircs.0.uriTemplate=https://www.mibbit.com/?url=%s

[Перевод]: Mibbit.com - базирующийся на веб-технологиях клиент, который встраивается в современные браузеры и поддерживает Internet Relay Chat, Yahoo Messenger, Twitter. Использует ajax; GUI сделан на JavaScript.

RSS, MAILTO, WebCAL

Mail.ru

browser.contentHandlers.types.1.uri=http://www.rss2email.ru/?rss=%s
gecko.handlerService.schemes.mailto.1.uriTemplate=http://win.mail.ru/cgi-bin/sentmsg?mailto=%s

Gmail

gecko.handlerService.schemes.mailto.2.uriTemplate=https://mail.google.com/mail/?extsrc=mailto&url=%s

Yandex

browser.contentHandlers.types.0.uri=http://mail.yandex.ru/lenta/add?feed_url=%s
gecko.handlerService.schemes.mailto.0.uriTemplate=https://mail.yandex.ru/compose?mailto=%s
gecko.handlerService.schemes.webcal.0.uriTemplate=https://calendar.yandex.ru/importics.xml?ics=%s

Yahoo

browser.contentHandlers.types.2.uri=https://add.my.yahoo.com/rss?url=%s

- SNIPPETS

Удаление очередной порции шпионящих snippets-"обрывков" в мобильной версии браузера:

browser.snippets.enabled=false  (Android)
browser.snippets.syncPromo.enabled=false  (Android)
browser.snippets.geoUrl=  (Android)
browser.snippets.statsUrl=  (Android)
browser.snippets.updateUrl=  (Android)

- LOCALE

"Интеллектуальная" попытка определения необходимого набора локализованных шрифтов

Значение по умолчанию:

intl.charset.detector=ruprob

intl.charset.detector=chrome://global.locale/intl.properties  (Android)

Значения для различных языков:

http://www-archive.mozilla.org/projects … ardet.html

Уточнения и предупреждения:

https://developer.mozilla.org/en-US/doc … _encodings

Specifying the heuristic detection mode

The heuristic detection mode is specified by the preference intl.charset.detector in intl.properties. The setting must be left blank for all locales other than Russian, Ukrainian and Japanese. Do not under any circumstances specify the "universal" detector. It is not actually universal despite its name!

Exception for minority languages. If the localization is for minority language and the users are typically literate in the majority language of the region and read Web content written in the majority language very often, it is appropriate to specify the fallback encoding and the heuristic detection mode to be the same as for the localization for the majority language of the region. For example, for a localization for minority language in Russia, it is appropriate to copy the settings from the Russian localization.

В десктопной версии Firefox рекомендуется оставить поле пустым! Никогда не ставьте там значение "Universial"!

intl.charset.detector=

В мобильной версии Firefox не изменяйте это значение!


- HARDWARE

device.camera.enabled=false  (Android)

1)Я так понимаю, что только часть возможных  настроек доступна в  about:config. Ещё некоторая часть там не отображается, хотя Firefox их использует в значениях по умолчанию и эти значения где-то внутри себя хранит. Эти значения по умолчанию могут сменится от версии к версии. Отсюда рождается несколько вопросов:
а)Как узнать все параметры, которые может изменить пользователь?
б) Может эти параметры лучше напрямую прописать в js файлах с настройками, чтобы Firefox (например, после обновления не мог поменять внутри себя поведение какой-либо дефолтной настройки).  Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он выполнится весь или выполнится, только до параметра javascript.enabled=false ? :)
в)Имеет ли смысл защищать средствами файловой системы файлы js с настройками? Неважно в Linux или Window. Защитить их от записи.

Ещё вопрос: с некоторых пор и Firefox и другие браузеры стали прописывать себя в исключениях брандмауэра. Следует ли их эти исключения оттуда убирать? Я так понимаю в первую очередь из-за WebRTC это было сделано, но раз WebRTC запрещать, то может и за правил файрвола следует убрать это исключение? Возможно в Линуксе это не критично и по умолчанию не прописано, но в Виндовс Фарефокс прописывает себя даже не спрашивая пользователя...

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Дошёл наконец-то сегодня  до построения собственного RosenFox браузера пройдя по руководству. Картинки с текущего сайта правда вернул permissions.default.image=3, уж слишком жестоко без картинок, как будто в далёкий 1994 год попал со всякими gopher и фтп:)
Плагины по поиску все не удаляются, обязательно одно остаётся, его можно удалить потом добавив из проекта другие поисковые сервисы.
Тест panopticlick  браузер всё равно не прошёл, (с включёным или включенным  javascript ), только первые две галочки. Причём даже установив Privacy Badger третья галочка не появилась. Хотя если в свежем Firefox  включить не отслеживать и поставить Privacy badger, то он проходит  три галочки. Цифровой отпечаток  я пока не одолел. tor эту галку сразу  проходит. Но только одну её.
В каталогах профиля  healtreport и кажется datareporting нашёл два файла, которые могут использоваться как уникальные идентификаторы браузера, в одном прописана дата установки с точностью до секунды, а в другом содержится некий уникальный идентификатор. Наверно после установки или пересоздания профиля лучше удалять эти файлы на всякий случай.
Ещё обнаружил в about:config несколько  оставшихся адресов вида *.mozilla.org и google.com, не стал долго разбираться за что они отвечают,  по параметрам , видно , что это опять какие-то сервисы для отсылки или получения каких-то данных и пользователю не сдались...

Ставил версию 38 ESR. Думал настроить и чтобы долго можно было пользоваться. Увеличения скорости из-за того, что перестал использоваться диск для кеширования страниц не обнаружил или он не заметен. В любом случае диск будет меньше изнашиваться . Кстати Worker уже есть в 38 версии ESR(в инструкции же пишется, что он появился  только в 44й версии).

При прохождении теста  EFF заметил следующую вещь.  По инструкции  блокируются автообновления страниц и редиректы. И при отключенном Javacript для прохождения теста нужно несколько раз нажимать Allow, чтобы тест дошёл до конца хотя бы и все редиректы эмулирующие переходы по нескольким сайтам разрешать. Но вот когда Javascript включён, то не приходится нажимать Allow, так как таких разрешений и не возникает - Javascript плюёт на эти запреты автообновления страниц и редиректы! Боюсь что включённый javascript  много на чего ещё плюёт, опасная очень технология!

хотя Firefox их использует в значениях по умолчанию и эти значения где-то внутри себя хранит

Откуда у вас создалось такое впечатление? Я не готов подтвердить такую информацию.

Может эти параметры лучше напрямую прописать в js файлах с настройками, чтобы Firefox (например, после обновления не мог поменять внутри себя поведение какой-либо дефолтной настройки).

1) В каких именно файлах "прописать"? 2) Какие именно "эти" параметры? О чем идет речь? Более того, ФФ может замечательнейшим образом перезаписать любые файлы при обновлении; именно поэтому в руководстве указано, что мы его (обновление) отключаем - раз и навсегда!

Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он выполнится весь или выполнится, только до параметра javascript.enabled=false

Вообще не понял вопрос. Совсем не понял.

Имеет ли смысл защищать средствами файловой системы файлы js с настройками? Неважно в Linux или Window. Защитить их от записи.

Зря вы написали слово "неважно". Как раз-таки разница между двумя операционными системами очень важна! Потому что в Linux в этом нет смысла (так как в правильно настроенной ОС опасность стороннего изменения настроек практически полностью отсутствует),  а вот в Windows - бессмысленно. Ибо в первом случае вы имеете систему, а во втором - система имеет вас. И защищать что-то от записи - абсолютно бесполезно.

уж слишком жестоко без картинок, как будто в далёкий 1994 год попал со всякими gopher

Напрасно вы так. :) Лично меня такая картина радует. А если б вы знали - сколько трафика экономится (особенно это критично для владельцев смартфонов с лимитированным интернетом). Да и Gopher - это отнюдь не "далекий 1994 год" - я, к примеру, до сих пор его использую.

Кстати, Gopher - это изумительная технология, предназначенная именно для работы - т.е. для хранения, поиска и чтения полезной информации (а не для разглядывания жесткого порно): четкая, прозрачная, структурированная. В отличие от HTML, CSS  и прочих непотребств - создавать странички для Gopher - одно удовольствие! А вот модные :) разработчики ФФ так не считают - и давным-давно вырезали его поддержку из браузера.

Но имеется одно хитрое расширение, которое вновь подключает этот замечательный протокол! А для Android - отдельное приложение:

https://addons.mozilla.org/en-US/firefo … verbiteff/
http://gopher.floodgap.com/overbite/d?android

Либо lynx - он специально под Gopher и сделан:

https://ru.wikipedia.org/wiki/Lynx

Ещё вопрос: с некоторых пор и Firefox и другие браузеры стали прописывать себя в исключениях брандмауэра.

Хотя этот вопрос абсолютно не по теме, но я все же отвечу.

А "с каких это пор" фаэрволлы вообще разрешают прикладным программа самостоятельно(!) - т.е. без участия пользователя - в своих настройках что-то прописывать? Если это так, то это - огромная дыра в безопасности, а не фаэрволл, и от него надо срочно отказываться!

Возможно, что вы немножко путаете: скорее всего, виндовый фаэрволл (кстати какой, их же много?) уже имеет какие-то предустановленные политики под общим названием "стандартные правила браузера". Вот это скорее ближе к истине.

Возможно в Линуксе это не критично и по умолчанию не прописано, но в Виндовс Фарефокс прописывает себя даже не спрашивая пользователя

В Linux вообще не могут быть такие вещи "прописаны по умолчанию". Ну а если в Windows такое происходит именно "не спрашивая пользователя"; то либо создатели фаэрволла окончательно обезумели и разрешают подобные опасные действия, либо на машине творится (без вашего ведома) какая-то нехорошая и нездоровая активность. Гадать не буду, разбирайтесь сами. Заодно бы, кстати, поинтересовались - а что именно написано в правиле(-ах), которые создал под себя ФФ: порты, направления, протоколы. Вы же любознательный :) - вот и взгляните.

Тест panopticlick  браузер всё равно не прошёл

Я уже ответил на эту тему немного выше.

Плагины по поиску все не удаляются, обязательно одно остаётся, его можно удалить потом добавив из проекта другие поисковые сервисы.

Я знаю. Так, похоже, было всегда.

healtreport и кажется datareporting

Я посмотрел профиль ФФ 38.х, настроенный под Windows в соответствии с моими рекомендациями. Там такая картина:

healtreport - пуст;
datareporting - каталог отсутствует;
crash reports - пуст.

В В Linux (RedHat) три каталога присутствуют, но они девственно пустые.

При прохождении теста  EFF заметил следующую вещь.  По инструкции  блокируются автообновления страниц и редиректы. И при отключенном Javacript для прохождения теста нужно несколько раз нажимать Allow, чтобы тест дошёл до конца хотя бы и все редиректы эмулирующие переходы по нескольким сайтам разрешать. Но вот когда Javascript включён, то не приходится нажимать Allow, так как таких разрешений и не возникает - Javascript плюёт на эти запреты автообновления страниц и редиректы! Боюсь что включённый javascript  много на чего ещё плюёт, опасная очень технология!

Я уже писал об этом ранее, когда упоминал о "прохождении теста" (дался вам этот тест! больше я вопросы о нем обсуждать не буду). В этом и есть весь смысл запретительных настроек, рекомендованных в моем руководстве: не дать злонамеренному сайту куда-то вас (без личного разрешения) перекинуть. Ну а поскольку вы сами жмете (причем несколько раз подряд!) на "разрешить", "разрешить" и так далее - то грех обижаться на кого-то еще. :)

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Прошу прощения, забыл ответить. Так давно все выпущено; лежит на Gopher... Кстати, возвращаясь к нему: вот как там всё пристойно, упорядоченно и кошерно выглядит (см. под спойлером). И напрасно вы считаете, что Gopher - это что-то кондовое и без графики: неприличные картинки в нем, кстати, можно запросто смотреть:

скрытый текст
https://diasp.org/uploads/images/scaled … 5ed8db.png

https://diasp.org/uploads/images/scaled … 066cb0.png

https://diasp.org/uploads/images/scaled … 322ee6.png (если кто не узнал - это известный хулиган и отъявленный матерщинник Линус Торвальдс - во время произнесения своей краткой, но экспрессивной речи о некоторых качествах и особенностях Nvidia) :)

Вот почему (возвращаемся к настройкам Firefox) в моем представлении сетевой мир ДОЛЖЕН вглядеть именно ТАК! :) Без рекламы, без скриптов, кукиз, без шпионской дряни. Без б-гомерзкого flash!  Технология лицензирована под свободной GNU GPL... Просмотр графики в Gopher доступен; размещение любого типа контента - от HTML, PDF, звука и до бинарных файлов - тоже. Имеется поисковая машина с ласковым названием "Вероника".

И вы даже не можете себе представить, насколько, используя "суслика", т.е. Gopher,  конечный пользователь выигрывает в безопасности. Ровно на СТО ПРОЦЕНТОВ... И при этом вам не нужно изучать и применять ни HTML, ни CSS... Это ж вам не World Wide Web :)

Убираю первый раз в жизни под спойлер своё  большое  сообщение, чтобы не загромаждать тему. Надеюсь всё же, что его кто-то раскроет и прочтёт :)

скрытый текст
В данном тесте panoptclick(опять к нему вернёмся, чуть ниже я надеюсь разъясню почему  он мне кажется важным, но больше я о нём вспоминать не буду, раз это не в тему)переходы между сайтами просто эмуляция брожения пользователя по Интернету.   То,  есть для браузера это обычная  работа, а некакой-то исcкуственный тест. То есть, редиректы там только для того, чтобы за пользователя нажать какие-то ссылки на сайте, а не объяснять ему куда надо нажимать и куда нет в длинных инструкциях. Куки разрешать не обязательно было, тест всё равно бы завершился(на сами галочки они  не влияют), только в подробностях в таком случае было написано, что обычные куки выключены. Включение -отключени кук мало влияет на уникальность отпечатка браузера.  По тесту https://amiunique.org у 20 %  браузеров отключены куки.
Тест Panopticlick немного о другом, он мне кажется не проверяет включена ли вообще в  вашем  браузере галочка "не  отслеживать" или нет, так как в EFF понимают, что рекламным компаниям на эту галочку наплевать . Тест как раз проверяет есть  ли в вашем браузере настройки или средства, которые в не зависомомсти от этой галочки DoNotTrack не дадут  рекламным  компаниям отследить  вас в Интернете и им не обязательно показывать вам рекламу, даже если вы отключили картинки им будет  достаточно, что они могут собирать о вас информацию через тот же уникальный "отпечаток браузера+ip+время выхода в сеть+ и тп" . То есть, если такие средства есть, то галочка будет зелёная, а если нет, то ораньжевая. Но наличие этой галочки просто влияет на поведение других программ и настроек.
Для изучения пользователей Интернет у рекламных компаний расставленны тысяч или даже миллионы ловушек (через договора с  владельцами сайтов о показе на них рекламы). Тест как бы и показывает много ли будут знать о ваших предпочтениях и поведении  в сети эти третьи компании после анализа данных полученных с этих миллионов ловушек. Пока проект RosenFox нацелен на борьбу с  одним сайтом на котором сидит ( и отсылкой телеметрии на сайты Google и Mozilla), браузер всё равно остаётся уникальным, так  как прочитав инструкцию сегодня и настроив браузер я буду уникальным  своих настроек и с учётом IP. А проект меняется и тот  кто перенастроит завтра  по обновлённой инструкции свой браузер тоже останется опять уникальным, так как инструкция  изменится. Браузер остаётся уникальным,  даже если предполагать  что сайты по которым ходит пользователь сами не отсылают свою  статистику на сайты этих рекламных компаний, что в целом будет неверно. Многие эти рекламные компаний имеют хостинги,  оказывают спонсорскую поддержку(например как Яндекс этому сайту mozilla-russia.org).  То есть, Яндекс знает с какого Ip вы  сидите на форуме, что и где о чём пишете, а с учётом того, что сайты ЯНдекса не заканчиваются на этом сайте сбор информации о вас всё  равно будет происходить...Есть куча сайтов типа народ.ру, которые немало статистики собирают о предпочтениях  пользвоателей своим разным контентом... То есть, если отсказаться от некоторого количества преположений приватности я всё равно не достигаю в случае даже если всё сделаю по инструкции проекта RosenFox. И тем более не  достигаю, если ещё одно преположение убрать из своей головы, что мой провайдер Интернет не просто  продал Интернет по паспорту  на  месяц , а он для того и паспорт спросил, чтобы потом однозначно сопоставить данные, которые он накапливает о  пользователях  с конкретным лицом.  Поэтому и госдума убирает все лазейки, чтобы кроме как по паспорту выйти в ИНтернет было запрещено, типа чтобы даже на домашнем wi-fi стоял обязательно пароль. Хорошо,что они пока не запрещают сделать пароль совпадающий в названием (SSID) сети. Если вспомнить о провайдере, то от приватности вообще ничего не останется, а у провайдера  останутся dns запросы пользователя и незашифрованный трафик пользователя и ip куда он ходил шифруя трафик. Да, с настройками  по RosenFox проекту браузер Firefox становится более безопасным и более приватным (я с этим не спорю, и был рад увидеть такое количество  нужных настроек,да и ещё с разъяснениями и постоянным обновлением в одном постоянном месте!), но цель пока не достигается, даже без  оглядок на провайдеров и владельцев сайтов.Так как, если я прошёлся по 5 сайтам где расставлены ловушки Яндекса, и Яндекс  видит, я таким то уникальным браузером по ним прошёлся то он немного меня изучил, то в следующий раз как только будет  возможность  показать мне что-либо, он покажет или выдаст результы поиска, те, которые мне больше всего подойдут. Можно  пустить через прокси запросы браузера или VPN, но уникальность цифрового отпечатка браузера при этом останется. Сделать свой  браузер менее уникальным можно либо через выпуск релизов такого браузера, либо через утилиту, которая сделает из любого  свежеустановленного Firefoxа Rosenfox. И тогда будет более безопасным, если опять же забыть про ДНС провайдера и СОРМ  установленный у этого провайдера. Победить dns провайдера  открытый трафик можно только через использование ТОР сети или Тор  Браузера. А лучше,чтобы провайдер и вообще не знал,что я подключен к сети, выходил в неё  или что у меня вообще есть  устройство для выхода в сеть :) Так что тест хороший мне кажется, потому что позволяет увидеть куда двигаться таким проектам  как RosenFox, Tor, IceCat. 
Теперь вернёмся к проекту RosenFox
Когда я говорил про параметры отсутствующий в about:config я вот что имел ввиду. Например строка general.useragent.override  отсутсвует по умолчанию в about:config, то этот параметр внутри Мозиллы существует и используется для отсылки каждому  посешённому сайту. А что этот парамерт один такой, который не показывается в About:config, но внутри Мозиллы он есть и  используется? Вот я и спршиваю как узнать обо всех параметрах Firefox, которые могут быть добавлены в about:config? Таких  параметров может тысячи, или сотни. Не лучше ли эти параметры прописать напрямую в файлы prefs.js ? Потому что не факт , что  по какому-то дуновению ветра из Интернет поведение этих скрытых параметров может изменится, если они явно не прописаны. Боюсь  , что при такой политике фонда Мозиллы(нацеленной на неприватность и безопасность пользователя) , даже те параметры, которые  прописывает пользователь во всяких стартовых файлах JS могут периодически менятся.
Утилита по усилению приватности браузеров на компьютере должна быть более широкой -затрагивать и ОС и  другие приложения.  надеюсь в ближайшее время появится такой опенсурсный проект.   Выставить некие параметры безопасности мало, нужно их ещё и  проверять тем же анализатором трафика(лучше под Линукс), который будет видеть весь трафик исходящий от компьютера или  планшета и блочить ненужный трафик! Только в таком случае компьютеры или планшеты быстро опухнут от хранящихся на них данных  и переполнятся :).
Что касается "Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он  выполнится весь или выполнится, только до параметра javascript.enabled=false"
Firefox при старте читает настройки из файла с расширением js(prefs.js, users.js), то есть стандартного расширения для  javascript файлов. Преположим, что он всё выполняет из этого файла,а  построчно. Вот когда Фарефокс дойдёт до строчки  javascript.enabled=false, должен ли он будет дальше исполнять этот файл js, если поступила команда из файла настроек,  отключить JavaScript?Я к чему это пошутил, что боюсь, что блок ответсвенный за исполнение Javascript в самом браузере не  выключается!  Интересно поддержку Javascript  можно выдрать полностью при сборке мозиллы из исходников? Я несколько лет назад  пробовал её(на относительно слабом сервере) собирать, после 3 часов сборки остановил процесс сборки...

ПОнятно, что в идеале браузер должен запросить страничку HTML и отобразить только картинки с этого же сайта(ну или вовсе без  картинок, никаких скриптов следящих за действиями пользователя или собирающим информацию об ОС,плагинах wifi и тем более  картинок с других сайтов  в принципе не допускается. А HTML не должен содержать  всяких фреймов ведущих на другие сайты.  RosenFox кстати тестировался на старые добрые фреймы? А анализатор я поставлю, в стелс режиме. Вообще такие  стелс  анализаторы-фареволлы со встроенным  wifi должны быть у всех кто думает о своей безопасности. Стелс это те, которые с тремя  езернет портами, первые два используятся для установки этого анализатора в разрыв витой пары, но на этих двух портах нет у  анализатора IP, и он в режиме бриджа пакетов  перекидывает пакеты на другой интерфейс, если только они удовлетворяют правилам  брандмауэра . Это и есть стелс режим - можно ставить в любое место сети такой брандмауэр -атаковать его невозможно, так как  нет IP.  А вот третий порт эзернет служит как раз для настройки этого стелс-брандмауэра и мониторинга пакетов.
Подходит какой-нибудь опенсурсе роутер для этого в 5 портами или микрокомпьютер  двумя езернет портами и с возможностью  подключения монитора и клавиатуры  с мышью.

Насчёт "Зря вы написали слово "неважно". Как раз-таки разница между двумя операционными системами очень важна! Потому что в  Linux в этом нет смысла (так как в правильно настроенной ОС опасность стороннего изменения настроек практически полностью  отсутствует),  а вот в Windows - бессмысленно."
Построение доверительной среды внутри компьютера на сегодняшней день проблематично и не важно Линукс, это или Виндовс.
Откуда Вы знаете, что скачанный образ Iso для установки скачан именно с того сайта?
Откуда знаете, что этот образ диска именно тот, который  сделали разработчики? Откуда знаете, что разработчики собрали именно  тот образ, который собирались выпустить ?
Откуда знаете, что записали на диск именно тот образ, который скачали ?
Откуда знаете, что установили ОС на компьютер , а не на одну из его виртуальных машин?
Откуда знаете, что можно доверять Биосу вашей материнской платы?
Откуда знаете, что утилита для проверки hashсуммы iso образа не подделана?
Откуда знаете, что DNS вашего провайдера прислал вам нужный ip-шник?
А если вы используете для dns проверку dnssec, то откуда знаете,  что в ваши доверенные центры сертификации не попал случаной  какой-либо левый УЦ? Или так ли уж можно доверять тем  сертификатам, которые выданы всеми теми УЦ, которые находятся в   доверенных на вашем компе. Например тем, которые хранятся в хранилище сертификатов того же Firefox в Линуксе? Про Виндовс тут  вообще уже молчок...
Проблема  построения доверительной среды даже  на отдельном компьютере это проблема :)
Нельзя также гарантировать, что взяв бинарник даже открытой программы, и изменив что-то в его настройках получить гарантии  безопасной программы. Ко многим открытым программам инструкции как собрать на Виндовс очень плохо  и расплывчато написаны,  возможно потому что бинарники на виндовс содержат закладки. Тем более при сборке официальных файлов используется  закрытые  ключи фонда Мозиллы, которых у вас нет. То есть получить такой же "экзешник" с той же хешсуммой, что выложен на сайте  mozilla.org я в принципе не могу после сборки из исходников...Асолютно те же самые проблемы и в Линукс и других ОС.
Мне также хотелось бы увидеть в этой инструкции как перенастроить Firefox на ту же  TOR сеть , так как это защищает и от прослушки  провайдером  незашифрованного трафика  и отслеживания ДНС запросов опять же этим же провайдером. Ну или хотя бы уведомление, что настроенный таким образом Фарефокс  при таких -то преположениях(СОРМ, днс) всё равно не станет приватным.

Rosenfeld пишет:

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Прошу прощения, забыл ответить. Так давно все выпущено; лежит на Gopher... Кстати, возвращаясь к нему: вот как там всё пристойно, упорядоченно и кошерно выглядит (см. под спойлером). И напрасно вы считаете, что Gopher - это что-то кондовое и без графики: неприличные картинки в нем, кстати, можно запросто смотреть:

скрытый текст
https://diasp.org/uploads/images/scaled … 5ed8db.png

https://diasp.org/uploads/images/scaled … 066cb0.png

https://diasp.org/uploads/images/scaled … 322ee6.png (если кто не узнал - это известный хулиган и отъявленный матерщинник Линус Торвальдс - во время произнесения своей краткой, но экспрессивной речи о некоторых качествах и особенностях Nvidia) :)

Вот почему (возвращаемся к настройкам Firefox) в моем представлении сетевой мир ДОЛЖЕН вглядеть именно ТАК! :) Без рекламы, без скриптов, кукиз, без шпионской дряни. Без б-гомерзкого flash!  Технология лицензирована под свободной GNU GPL... Просмотр графики в Gopher доступен; размещение любого типа контента - от HTML, PDF, звука и до бинарных файлов - тоже. Имеется поисковая машина с ласковым названием "Вероника".

И вы даже не можете себе представить, насколько, используя "суслика", т.е. Gopher,  конечный пользователь выигрывает в безопасности. Ровно на СТО ПРОЦЕНТОВ... И при этом вам не нужно изучать и применять ни HTML, ни CSS... Это ж вам не World Wide Web :)

Я думал, что под гуфер нет давно сайтов. А какой интересно сервер используется для этого протокола?  Есть он по Линукс?
Плагин OverbiteFF установил, руководство нашёл, 32 страницы всего в PDF версии, а не 50 :) Жаль, что Вероника не знает ничего про RosenFox .Пришлось делать другие запросы, чтобы найти документ.
Никто не думал, при зарождении Wеbа то что он превратится в техновакханалию, а то никогда не бросили gopher. С другой стороны TCP никуда не делся за эти двадцать лет и RFC  на него тоже, может что-то просто нужно поправить, чтобы работало.
Интересно  обычные  поисковые системы индексируют gopher сервера? Вижу начали русскоязычный документ по selinux. Тоже нужная вещь!

Можно ли выложить куда-нибудь(gopher или веб) файлы с настройками  Фарефокс под Линукс или виндовс которые прохноодят тест eff?Только скажите какая это версия браузера и его разрядность.  Или как вариант целиком всю папку Firefox.   Возможно поведение  одной и той же версий под Линукс и Виндовс  отличается в плане приватности, или в версии под Виндовс больше закладок :)

Нашёл сервер для gopher под названием  motsognir(он до сих пор обновляется), скомпилировал его и он даже запустился "This directory is empty."
Надо будет попробовать что-нибудь положить туда :)

Ещё  важный довод   бы в защиту отключения обновлений и отсылки  всяких данных на сайты Мозиллы.
Большая проблема в том, что Мозилла не просто выпускает периодически новые версии браузера,  и потом обновляет его, но и после установки собирает данные о производительности вашего  конкретного браузера и потом присылает лично вам изменения, которые  изменят, перенастроят  поведение именно этого конкретного браузера!
Вот прям на сайте Мозиллы об этом написано:
https://www.mozilla.org/ru/privacy/firefox/
"Отчет о работоспособности Firefox (FHR) позволяет получить представление о стабильности и производительности браузера, а также воспользоваться рекомендациями службы поддержки, если у вас возникают такие проблемы, как частые падения браузераили замедление запуска. Mozilla собирает ваши данные, группирует их с данными других пользователей Firefox и отправляет данные обратно в ваш браузер. В результате этого вы сможете увидеть, как производительность вашего браузера Firefox меняется с течением времени. Эти данные включают, в частности: информацию об аппаратной части устройства, операционной системе, версии Firefox, дополнениях (числе и типе), времени наступления событий браузера, рендеринге, восстановлении сессий, продолжительности сессий, возрасте профиля, числе падений и числе страниц. В отчете о работоспособности Firefox корпорации Mozilla не сообщаются веб-адреса, которые вы посещаете."

Так что и автоматическое обновление браузера ЗЛО(лучше сидеть на  корпоративной версии  Firefox ESR https://www.mozilla.org/firefox/organizations/) и не отключение отсылки всяких рапортов  о здравии, производительности и прочей телеметрии не меньшее ЗЛО.
Вы сидите настраиваете  новый Фарефокс как вам надо полчаса, а завтра МОзила Фундешен пришлёт вам новые настройки вы о них ничего не узнате... будете думать что работаете с вашими настройками

Ещё инструкцию  по RosenFox можно было бы сделать короче: " убрать все ссылки на любые url", которые есть в about:config  и файлах js( и не только мозиллы и гугл) . Нечего им там делать! Заодно это убавило количество ошибок при добавлении настроек вручную или вдруг что инструкция пропустила!

Хм. Это, конечно, замечательно, что вы так интересуетесь вопросами обеспечения собственной безопасности. Но я, когда открывал основную тему в FAQ'е форума, сразу предупредил, что не собираюсь вступать в длительное обсуждение нужности/ненужности тех или иных подходов; поэтому здесь изначально предполагалась дискуссия о включении тех или иных настроек в общее руководство. И не более  того.

Ну а с глобальными подходами, типа как у вас, лучше обращаться на узкоспециализированные форумы по ИБ. К тому же, пожалейте мои глаза, мое время и рассудок. :)

Поэтому буду максимально краток.

Пока проект RosenFox нацелен на борьбу с  одним сайтом

1. Я не понимаю, о чем идет речь. Ибо проект RosenFox настроен (в первейшую очередь) исключительно на одну задачу - борьбу с пользовательской неграмотностью! Ну и с их глупостью. :) Точка.

Для изучения пользователей Интернет у рекламных компаний расставленны тысяч или даже миллионы ловушек

2. Я не понимаю, о каких "миллионах ловушек" вы упоминаете. Да, они несомненно существуют, эксплуатируются, но упираются в одни и те же стандартные технологии - кукиз, скрипты, определение UA, IP и т.д. Ну а правильно(!) настроенная операционная система с правильно(!) настроенным браузером просто не попадает в такие ловушки. Почему? Да потому что этим сайтам попросту не отдается никакая информация. Подчеркиваю: ни-ка-ка-я!

Ну а то, что какой-то там левый сторонний рекламный сайт вдруг запомнит мой уникальный цифровой отпечаток (не такой он уж, кстати, "уникальный") и когда-то там попытается продемонстрировать мне рекламу, меня абсолютно не волнует: эта реклама попросту до меня не дойдет, т.е. я ее не увижу.

Яндекс знает с какого Ip вы  сидите на форуме, что и где о чём пишете, а с учётом того, что сайты ЯНдекса не заканчиваются на этом сайте сбор информации о вас всё  равно будет происходить. (...) если я прошёлся по 5 сайтам где расставлены ловушки Яндекса, то в следующий раз как только будет  возможность  показать мне что-либо, он покажет или выдаст результы поиска, те, которые мне больше всего подойдут.

3. А КГБ знает? А ЦРУ? ... Я не понимаю, о чем вы сейчас. В моем конкретном случае все вышеперечисленное не выполняется; см. п.2.

UPD: Тем более, я практически не пользуюсь ни Яндексом, ни Гуглом. Для меня они не проблема. Равно как и реклама.

если опять же забыть про ДНС провайдера и СОРМ  установленный у этого провайдера. Победить dns провайдера  открытый трафик можно только через использование ТОР сети или Тор  Браузера.

4. Нет, вы не правы. И определение "только" здесь не подходит. При стечении некоторых обстоятельств провайдер не видит не только конкретные DNS-запросы, но и сам факт обращения к DNS-серверам - БЕЗ какого-либо применения "луковичных" технологий.

А что этот парамерт один такой, который не показывается в About:config, но внутри Мозиллы он есть и  используется? Вот я и спршиваю как узнать обо всех параметрах Firefox, которые могут быть добавлены в about:config?

5. Лучше всего - напишите разработчикам в MoFo и попросите поделиться списком. Или спросите у администраторов форума. Больше вариантов ответа у меня нет.

Построение доверительной среды внутри компьютера на сегодняшней день проблематично и не важно Линукс, это или Виндовс.

6. Несомненно! Только важно не только об этом заявлять, но и что-то делать. :) Для начала - хотя бы перейдите с Windows на Linux. А иначе вы сейчас уподобляетесь человеку, у которого нашли СПИД вместе с сифилисом и триппером, а он тщательно полирует зубы и залечивает мельчайшие прыщики на лице, попутно глобально разглагольствуя о необходимости полового воздержания и личной гигиены. :) Ничего личного, не обижайтесь; это просто такой пример.

Откуда Вы знаете, что скачанный образ Iso для установки скачан именно с того сайта?
Откуда знаете, что этот образ диска именно тот, который  сделали разработчики? Откуда знаете, что разработчики собрали именно  тот образ, который собирались выпустить ?
Откуда знаете, что записали на диск именно тот образ, который скачали ?
Откуда знаете, что установили ОС на компьютер , а не на одну из его виртуальных машин?

7. Я продолжу предлагаемый логический ряд (с вашего позволения):

Откуда вы знаете, что вы человек, а не инопланетянин? ... Чем докажете?
Откуда вы знаете, что живете на геоиде, а не на плоскости, покоящейся на трех китах и черепахе?
Откуда вы знаете, что ваша мама - ваша родная мама? И что она - вообще мама, а не чужой и похотливый дядя?
Откуда вы знаете, что ваша любимая бабушка - бабушка, а не серый волк? ... Опять же: чем докажете?
Откуда вы знаете, что все вокруг происходит на самом деле, а не является иллюзией? А что если на самом-то деле вы живете в "матрице", а злые нехорошие роботы высасывают из вас питательные соки и прочий мозг?

... Лично мне кажется, что подобный подход развивает не критическое мышление ума, а личную паранойю... Не находите? :)

Если вспомнить о провайдере, то от приватности вообще ничего не останется, а у провайдера  останутся dns запросы пользователя и незашифрованный трафик пользователя и ip куда он ходил шифруя трафик.

8. Какое-то недопонимание у вас сложилось, прошу меня извинить за констатацию. При соблюдении определенных условий :) у провайдера не остается: а) DNS-запросов; б) "незашифрованного трафика"; в) IP, "куда он ходил"

... Вы сейчас самого себя запугиваете или посетителей форума? :)

А если вы используете для dns проверку dnssec, то откуда знаете,  что в ваши доверенные центры сертификации не попал случаной  какой-либо левый УЦ?

9. Я использую другие механизмы для работы с DNS, поэтому данный пример меня интересует крайне мало.

Мне также хотелось бы увидеть в этой инструкции как перенастроить Firefox на ту же  TOR сеть , так как это защищает и от прослушки  провайдером  незашифрованного трафика  и отслеживания ДНС запросов опять же этим же провайдером.

10. Это весьма похвально, что у вас есть такое желание. Однако, как говорилось в одном старом советском фильме, "не всегда ваши желания совпадают с вашими возможностями". :)

Откуда вы вообще почерпнули такую идею, что я - в заявленных ранее рамках обсуждения внутренних настроек Firefox - попутно обязался читать еще и общедоступные лекции по "перенастройке" браузера на ту или иную сеть? Или - обязан выкладывать здесь другие свои руководства?

Тем более, что: а) такой документацией (в том числе - и официальной) заполнен весь интернет; б) в моем руководстве ИМЕЮТСЯ вполне конкретные указания на то, как обеспечить работу браузера с промежуточными серверами... Не увидели? Ну тогда это уже не мои проблемы.

В мире Linux, если честно, не очень любят людей, которые сидят с открытым ртом и ждут, когда в него положат очередную ложку вкусной каши, а потом еще и вытрут салфеткой; а обычно отправляют либо читать официальные man'ы, либо прямиком - в Google. Даже целая аббревиатура такая есть: RTFM. Слыхали? :)

Утилита по усилению приватности браузеров на компьютере должна быть более широкой -затрагивать и ОС и  другие приложения.

11. Насколько я помню, я уже упоминал ранее про любителей "большой зеленой кнопки" под названием "СДЕЛАЙТЕ МНЕ ФСЁ ЗАШИБИСЬ!"... Но вот только я, к моему глубочайшему сожалению, не вхожу в число ее разработчиков, потому что отдаю себе здравый отчет: проблема не в кнопке, а в "прослойке, находящейся между клавиатурой и креслом".

32 страницы всего в PDF версии, а не 50

12. Не знаю, что именно вы нашли. В файле - 56 страниц формата А4. И лежит он на самом видном месте. И ссылка на файл видна на первой же иллюстрации (см. выше).

Ещё  важный довод   бы в защиту отключения обновлений и отсылки  всяких данных на сайты Мозиллы.  (...) Вы сидите настраиваете  новый Фарефокс как вам надо полчаса, а завтра МОзила Фундешен пришлёт вам новые настройки вы о них ничего не узнате... будете думать что работаете с вашими настройками

Большая проблема в том, что Мозилла не просто выпускает периодически новые версии браузера,  и потом обновляет его, но и после установки собирает данные о производительности вашего  конкретного браузера и потом присылает лично вам изменения, которые  изменят, перенастроят  поведение именно этого конкретного браузера!

13. Вы мне прямо целый мир открыли этим своим откровением! :)

Скажите, вы в состоянии читать информацию и понимать прочитанное? Вы случайно не обращали внимания на сразу НЕСКОЛЬКО больших подразделов в руководстве, целиком посвященных ОТКЛЮЧЕНИЮ любых ОБНОВЛЕНИЙ и ЗАПРЕТУ ОТСЫЛКИ ТЕЛЕМЕТРИИ?

UPDATES: BROWSER, PERSONAS, SEARCH PLUGINS
UPDATES: ADDONS
TELEMETRY
TELEMETRY: EXPERIMENTS
HEALTH REPORT

Нет?

P.S. Помимо прочего, лично мне СОВСЕМ НЕТ нужды запрещать обновление браузера средствами самого браузера. Это не винда - здесь осуществляется глобальный запрет на обновление того или иного пакета системными средствами yum.

IceCat для Android

Я тут совсем недавно допустил ошибку, когда писал вот этот краткий обзор: https://forum.mozilla-russia.org/viewto … 74#p707674

Дело в том, что практически год назад как-то абсолютно тихонько и незаметно был выпущен IceCat для Android!  А это, на самом-то деле, очень и очень большое событие. Меня в любом случае радует деятельность FSF, которая стала последовательно вычищать все ESR-сборки Firefox от ненужного  и небезопасного кода; а теперь сделан и еще один шаг вперед - этот проект распространился на мобильные системы.

Если честно, сам я его прозевал (вот что значит надеяться только на RSS-новости и "вручную" не ходить по FTP!) :)
Первое сообщение, оказывается, было еще о версии 31.5:

https://savannah.gnu.org/forum/forum.php?forum_id=8233

Вот краткое описание процесса сборки:

https://gitlab.com/chatch/fdroiddata/bl … icecat.txt

Несколько дней назад на хостинге свободных программ F-Droid была открыта соответствующая ветка, но вскоре она была удалена. Как я понял из обсуждения на форуме - https://f-droid.org/forums/topic/gnuzilla-and-icecat/, модератор ответил так:

We don’t upload packages, we build them from source.

- т.е. для размещения и для их "гарантии":

This version is built and signed by F-Droid, and guaranteed to correspond to the source tarball below.

требуется сборка их собственными средствами, а не просто ссылка на чужой бинарник).

Готовые установочные файлы для архитектуры ARM  находятся на FTP фициального сайта GNU:

https://ftp.gnu.org/gnu/gnuzilla/

P.S. Лично я буду ставить себе версию 31.8, а не последующие: слишком уж много неведомой фигни напихали в бедный браузер модные разработчики из MoFo с того времени! Ну и хорошенько пройдусь по настройкам.

UPD: Попутно сделан анализ на лицензионную чистоту дополнений для Fennec (Android), которые предлагались мною ранее в данной теме.

CleanQuit
GNU General Public License, version 2.0

Cookie Whitelist for Fennec
GNU General Public License, version 2.0

HTTPS-Everywhere
GNU General Public License, version 3.0

Toggle JavaSript Enabled
BSD License

Phony
Mozilla Public License Version 1.1

Mobile Image Blocker
Mozilla Public License, version 2.0

HTML5 video Everywhere
Mozilla Public License, version 2.0

Privacy settings
Mozilla Public License, version 2.0

Save/load Prefs
GNU General Public License, version 2.0

PrохуМоb
Лицензия не определена. Разработчик (известная организация, занимающаяся выпуском свободного программного обеспечения в области безопасности коммуникаций) - Guardian Project - отказался от поддержки Firefox по следующим причинам:

We no longer promote the user of Firefox with add-ons, as the solution can be insecure still and easily misconfigured.

Smart Referer
WTFPL - это, похоже, моя самая любимая свободная (правда - не GPL-совместимая) лицензия, :) ее полный текст см. под спойлером:

скрытый текст
DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE
                    Version 2, December 2004

Everyone is permitted to copy and distribute verbatim or modified
copies of this license document, and changing it is allowed as long
as the name is changed.

            DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE
   TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

  0. You just DO WHAT THE FUCK YOU WANT TO.

Rosenfeld
Поясните пожалуйста. Может я ошибаюсь, но Fennec уже долгое время не поддерживается и не обновляется (по вашей же ссылке на F-Droid - пусто). А значит на него действуют эксплоиты.
И перед пользователем стоит выбор. Либо использовать браузер не подверженный сборам статистики, либо браузер защищенный от вирусов + сбор статистики этими вирусами.
И я думаю выбор тут только один.

Ещё огромная проблема при установке Fennec на множество смартфонов без root - необходимость вручную устанавливать настройки, так как доступа к профилю нет. Это очень заморочно. Хотя существуют дополнения для удобной настройки приватности, но они не охватывают все настройки.

03-03-2016 10:34:19

Rosenfeld пишет:

модератор ответил так:

Rosenfeld пишет:

требуется сборка их собственными средствами, а не просто ссылка на чужой бинарник).

Хочу заметить, что лично я больше доверяю разработчикам IceCat чем F-Droid. Приложения в F-Droid очень сильно запаздывают, на форуме разработчика GhostCommander вообще выяснилось, что его плагины для WebDav они просто не осилили собрать сами и не добавили в репозиторий потому что:

"мы собрали, но оно у нас как-то глючит"

а на предложение автора помочь в сборке - просто не ответили

Я тут накидал списочек для настройки Firefox под Android на удобство https://gist.github.com/anonymous/03686fa61848855b3832

Поясните пожалуйста. Может я ошибаюсь, но Fennec уже долгое время не поддерживается и не обновляется (по вашей же ссылке на F-Droid - пусто). А значит на него действуют эксплоиты.
И перед пользователем стоит выбор. Либо использовать браузер не подверженный сборам статистики, либо браузер защищенный от вирусов + сбор статистики этими вирусами.
И я думаю выбор тут только один.

М-м-м... я даже и не знаю, что вам ответить. Видите ли в чем дело - меня за последние годы так сильно "разбаловал" Linux, в смысле отсутствия вирусов, антивирусов и прочего барахла, что я совсем позабыл: Java-среда Android - это опаснейшая штуковина, которая способствует всяким непотребствам!

И конкретного ответа не будет. В любом случае - советую проявлять разумную осторожность. Потому что если вы, к примеру, за день посещаете десять новых порносайтов (вместо одного - старого, любимого и проверенного!), :) то вас никакие свежие апдейты для браузера попросту не спасут.

Ещё огромная проблема при установке Fennec на множество смартфонов без root - необходимость вручную устанавливать настройки, так как доступа к профилю нет. Это очень заморочно.

Я именно так и поступаю... Что поделаешь, иногда можно и даже нужно постараться! А когда заканчиваю, то обязательно экспортирую все настройки в отдельный файл, который храню за пределами устройства. При необходимости (переустановке, поломке профиля) его можно легко импортировать обратно.

Я тут накидал списочек для настройки Firefox под Android на удобство

Спасибо за ссылку. Правда, справедливости ради, вам нужно было написать там немножко по другому: "Подборка минимально необходимых лично мне настроек и дополнений для Firefox под Android". :) Но в любом случае, я рад, что эта тема вас заинтересовала.

Только учтите, что предлагаемый вами метод "прямого" открытия jar - небезопасный. И в моем руководстве он заблокирован.

Rosenfeld пишет:

Java-среда Android

Дело не в среде Java. А в плохой проверке кода в Google Play. Java тут вообще не при чем. =) Там же Firefox по сути на C++ и js, а Java просто как обертка работает, через неё подключаются динамические библиотеки на C++ и может ещё частично GUI рисует.
Да и в новом Android обещают ручное управление правами доступа приложений.

03-03-2016 12:28:09

sufakan пишет:

Подборка минимально необходимых лично мне настроек

Так это само собой.

[Внимание! Изменения в репозитории]

1. Описание: Уточнение механизма действия настроек, связанных с автообновлениями / автоперенаправлениям. Уточнение информационных ссылок.

2. Существующая проблема с безопасностью и приватностью: Нет

3. Меры по ее исправлению. Нет

4. Предлагаемая строка настройки с изменением. См. ниже

Благодаря активной помощи :) участника форума под никнеймом negodnik (за что ему отдельное спасибо!), сделаны некоторые уточнения и изменены информационные ссылки сразу в двух разделах:

- REDIRECTIONS

Веб-серверы могут отсылать т.н. "редиректы" (перенаправления) - инструкции, заставляющие браузер получать контент с другой страницы (перенаправляющие его на другой ресурс).

Определение лимита автоматических перенаправлений для получения содержимого другой страницы:

    network.http.redirection-limit=1

Предупреждение пользователя о достижении лимита таких попыток:

    network.http.prompt-temp-redirect=true

http://kb.mozillazine.org/Network.http.redirection-limit


- AUTOREFRESH

Запрет автообновления страницы и автоперенаправления на другую страницу:

    accessibility.blockautorefresh=true

http://kb.mozillazine.org/Accessibility.blockautorefresh

Аналогичные изменения внесены в англоязычное руководство.

network.http.redirection-limit=1 Мало, мне кажется. Я же и писал, что на panopticlick.eff.org 2 мало, а на ip-check.info 7 мало.
Стоит ли вообще ограничивать, если в результате происходит возврат на исходную страницу?

accessibility.blockautorefresh — другое дело. Может быть просто обновление, как на данном форуме (вход, выход из учётной записи),
а может быть и перенаправление (иногда нужное, например portableapps.com -> sourceforge.net).

<off-topic>Для желающих есть кнопка</off-topic>

sufakan пишет:

От себя предлагаю сделать стилем панели float и таким образом исключить изменения размера видимой области окна при открытии/закрытии панелей.

privacy.resistFingerprinting;true - скрытый параметр, логическое. Возвращать, вроде, всегда будет только доступную видимую область, без учета chrome (это распространяется и на @media screen см. 418986 – window.screen and CSS media queries provide a large amount of identifiable information).

amin01 пишет:

И  вот что делать с  dom.indexedDB.enabled= false Уж очень многие сайты ломает.

Заведите кнопку для быстрого вкл/откл.

скрытый текст

Выделить код

Код:

custombutton://%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22UTF-8%22%3F%3E%0D%0A%3Ccustombutton%20xmlns%3Acb%3D%22http%3A//xsms.nm.ru/custombuttons/%22%3E%0A%20%20%3Cname%3EIndexedDB%20on/off%3C/name%3E%0A%20%20%3Cimage%3E%3C%21%5BCDATA%5Bdata%3Aimage/svg+xml%3Bbase64%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%3D%3D%5D%5D%3E%3C/image%3E%0A%20%20%3Cmode%3E0%3C/mode%3E%0A%20%20%3Cinitcode%3E%3C%21%5BCDATA%5Bvar%20s%20%3D%20%27dom.indexedDB.enabled%27%3B%0Athis._handleClick%20%3D%28%29%3D%3E%20cbu.setPrefs%28s%2C%20%21cbu.getPrefs%28s%29%29%3B%0A%0Afunction%20toggleImage%28%29%20%7B%0A%20%20%20var%20val%20%3D%20cbu.getPrefs%28s%29%3B%20%20%20%0A%20%20%20self.style.filter%20%3D%20val%20%3F%20%27%27%20%3A%20%27opacity%2850%25%29%27%3B%20%20%20%0A%20%20%20self.checked%20%3D%20val%3B%0A%7D%3B%0AtoggleImage%28%29%3B%0AgPrefService.addObserver%28s%2C%20toggleImage%2C%20false%29%3B%0AaddDestructor%28%28%29%3D%3E%20gPrefService.removeObserver%28s%2C%20toggleImage%29%20%29%3B%5D%5D%3E%3C/initcode%3E%0A%20%20%3Ccode%3E%3C%21%5BCDATA%5B/*CODE*/%5D%5D%3E%3C/code%3E%0A%20%20%3Caccelkey%3E%3C%21%5BCDATA%5B%5D%5D%3E%3C/accelkey%3E%0A%20%20%3Chelp%3E%3C%21%5BCDATA%5B%5D%5D%3E%3C/help%3E%0A%20%20%3Cattributes/%3E%0A%3C/custombutton%3E


Так и живем.

в режиме read-only (то есть только с целью чтения какой-то информации) - установка dom.indexedDB в on/off никак не влияет.

Не скажите. Например, на rutracker'е не почитаешь под спойлером (началось где-то с 43-ей ночнушки. Писал (где-то там), но у них нынче других забот хватает). На dropbox'е даже залитую туда картинку не посмотришь. И т.д..

Дальше по теме пока не ушел. :)

06-03-2016 20:02:12

Ещё некоторая часть там не отображается, хотя Firefox их использует в значениях по умолчанию

Некоторые скрытые (вроде privacy.resistFingerprinting) настройки беру отсюда: https://gitweb.torproject.org/tor-brows … 0esr-6.0-1 + мониторю багзиллу.

Мало, мне кажется.

(с) "Маловато будет!" :)  ... М-м-м, дружище, мне кажется, что вполне достаточно. А вообще, мой основной принцип: пользователь сам должен решать, какой параметр ему выбрать или установить.

Я же и писал, что на panopticlick.eff.org 2 мало, а на ip-check.info 7 мало

Это - особые и весьма специфичные случаи. Они предназначены, чтобы "протащить" вас по всем тестам. Я думаю, что даже в этих случаях пусть уж пользователь сам последовательно подтвердит перенаправления; особого труда ему это не составит.

А вот теперь взгляните ситуацию по другому.

Будем считать, что panopticlick.eff.org и ip-check.info - безопасные тестирующие сайты. А что произойдет, если при обычном серфинге (с уровнем перенаправлений, к примеру, равным 2-3-4) пользователь нажмет на абсолютно безобидную ссылку, а его последовательно (и незаметно для него) "проволочёт" по трем специально зараженным страницам? Или хотя бы для того, чтобы он специально подцепил там рекламные кукиз или суперкуки... Или еще с какими-нибудь целями.

Вы допускаете такую ситуацию? Лично я - да; кстати, очень много ловушек сделаны примерно по тому же принципу.

Поэтому уж лучше сам браузер остановит меня на первом же переходе и спросит: "Слышишь, парень, а ты точно уверен, что хочешь сюда перейти?"; после чего я внимательно посмотрю на предлагаемую ссылку и трижды подумаю - двигаться далее или нет.

У меня, к примеру, лимит перенаправлений равен именно единице, и даже здесь, на форуме, чтобы отправить сообщение и т.п., однозначно приходится нажимать на подтверждение перенаправления. Я так привык, и особого труда мне это не составляет... Ибо я никуда не тороплюсь. :)

P.S. Если уж говорить на более глобальном уровне, то я хотел бы подчеркнуть одну очень важную вещь, о которой я не устаю говорить.

Мое руководство  априорно НЕ ПРЕДНАЗНАЧЕНО для совершения каких-ибо нелегальных, незаконных действий. И я никогда не отвечаю на вопросы типа: "Как мне обойти своего провайдера, чтобы скачать порнушку?", "Как мне преодолеть цензурные запреты и выйти на сайт, заблокированный на официальном уровне?" (т.е. на уровне судебного постановления, вступившего в законную силу); или "Как мне подделать то-то, чтобы получилось так-то?"...

ЕДИНСТВЕННАЯ цель моего руководства - информирование пользователей о существующих угрозах в интернете и методах повышения безопасности браузера, следовательно - операционной системы в совокупности. Ну и повышение уровня их подготовленности, кругозора и осведомленности по принципу: "Предупрежден - значит вооружен!"

То есть основная цель руководства - защита, а не атака или какие-то там "ксакепские" методы. :)

Ну и даже в этом случае лично я никому ничего НЕ навязываю и НЕ побуждаю: "Делай только так, как я сказал". Я просто показываю: "Есть такая-то проблема. Если сделать так - то получится вот так-то. Хочешь - попробуй!"...

Ибо я - за свободу выбора. :)

> ...пусть уж пользователь сам последовательно подтвердит перенаправления;
> ...браузер остановит меня на первом же переходе и спросит...
Не спросит. И подтвердить не получится.

> ...и даже здесь, на форуме, чтобы отправить сообщение и т.п., однозначно приходится нажимать на подтверждение перенаправления.
Это относится только к accessibility.blockautorefresh, который и срабатывает здесь, на форуме.
У network.http.redirection-limit нет кнопки «Разрешить», только уведомление.

Впрочем я согласен, для вящей безопасности пускай будет 1.

UPD:
turbot
privacy.resistFingerprinting — это очень хорошо, но при появлении сообщений, например того же accessibility.blockautorefresh (.notificationbox-stack) или при появлении панели поиска (findbar),  viewport всё-равно уменьшается. С float у меня не получилось, а position:fixed помогает.

У network.http.redirection-limit нет кнопки «Разрешить», только уведомление.

Я вам покажу, что нужно делать в подобном случае на вашем же примере - portableapps.com -> sourceforge.net.

Смотрите:

https://diasp.org/posts/5381848

> Смотрите: https://diasp.org/posts/5381848
Фотошоп весьма посредственного качества!  Да, на ip-check «Попробовать снова» сработало, спасибо.

> Тестировалось на редиректе с сайта portableapps.com на sourceforge.net.
Интересное дело. У меня там только blockautorefresh срабатывает. Пробовал redirection-limit 0 и 100, никак не влияет.
Но это не важно. Главное, что «мы пришли к соглашению» (прямо как Энты): redirection-limit=1 — это хорошо.

Фотошоп весьма посредственного качества!

Во-во, каждый норовит обидеть старого больного еврея... :)  Типа "... да фотошоп у него не той системы".

Интересное дело. У меня там только blockautorefresh срабатывает. Пробовал redirection-limit 0 и 100, никак не влияет.

Трудно сказать. Для чистого эксперимента нужны профили, создававшиеся с нуля, без дополнений и с одинаковыми настройками. Тем более, если это не блеф, :) я по UA вижу, что у вас SeaMonkey. Кто знает, что у нее в мозгах сложилось.

Но это не важно. Главное, что «мы пришли к соглашению» (прямо как Энты): redirection-limit=1 — это хорошо.

Взаимопонимание и взаимопомощь - однозначно хорошо. Спасибо.

negodnik пишет:

но при появлении сообщений, например того же accessibility.blockautorefresh (.notificationbox-stack) или при появлении панели поиска (findbar),  viewport всё-равно уменьшается

Да, действительно, не подумал. Просто у меня самого все эти панели давно уже fixed.

Любознательный и въедливый :) пользователь форума с "говорящим" никнеймом negodnik прислал мне аж три(!) новых письма с дополнениями, уточнениями и поправками в руководство (за что я ему крайне признателен). При этом он обратил внимание на одну ОЧЕНЬ интересную неточность в разделе CACHE, которая относится как к самому механизму кэширования, так и к проблеме отслеживания по E-Tags:

1. Запрет кэширования файлов на диск (в том числе - поступающих по защищенным соединениям):

network.http.use-cache=false

Комментарий от negodnik

"...in memory OR(!) on disk"

Тут интересный вопрос. Я прямо аж задумался над той конфигурацией, которая предлагалась ДО сегодняшнего дня в руководстве. Получается, что если мы имеем:

network.http.use-cache=false

- то кэш у нас отключен глобально! Он не пишется ни на HDD, ни в RAM.

Поэтому ВСЕ(!) остальные настройки, которые рассматриваются в разделе CACHE ниже, уже(!) не имеют особого значения. В частности - настройка, которая разрешает использовать кэш в RAM!

Вот я и думаю: может быть (для увеличения скорости работы) все же перевести глобальный параметр network.http.use-cache в положение TRUE?

А вот затем - последовательно запретить дисковый кэш, SSL-дисковый кэш, офлайн-дисковый кэш и(!) РАЗРЕШИТЬ создание кэша в RAM?

То есть это будет выглядеть примерно так:

network.http.use-cache=true
    browser.cache.disk.enable=false
    browser.cache.disk_cache_ssl=false
    browser.cache.offline.enable=false
    browser.cache.disk.smart_size.enabled=false
    browser.cache.disk.capacity=0
    browser.cache.offline.capacity=0

И

    browser.cache.memory.enable=true
    browser.cache.memory.capacity=-1

... Однако при этом следует обязательно предупредить, что в этом случае возникнет проблема с отслеживанием по E-Tags (они-то в любом случае будут кэшироваться в RAM - хотя бы на время сеанса).

Либо прописать в руководстве, что имеются два варианты работы:

1) глобальный запрет кэширования - как это рекомендовано сейчас (E-Tags блокируются);

2) разрешение кэширования в RAM с гипотетическим отслеживанием пользователя по E-Tag. И дальше привести рекомендации по блокированию такого отслеживания, о которых я писал в теме на форуме:

1. Запретите кэширование промежуточных файлов на HDD.
2. Перенаправьте кэширование в RAM.
3. Если вы используете tmpfs, не стремитесь заполнить свою RAM полностью, например - открыв пятьдесят вкладок в Firefox: это приведет к частичной выгрузке данных в swap-раздел.
4. Чаще перезагружайте свой браузер в процессе работы. Не держите его постоянно запущенным.

P.S. Чувствую, что по E-Tags  надо создать в руководстве маленький отдельный раздел с разъяснениями, раз эта тема периодически возникает...

1 предложение:
Рекомендовать в about:config keyword.enabled выставить в false, в противном случае если ошибка при наборе адреса, перейдёт к поисковой системе. Неприватная по умолчанию настройка
Дошёл наконец-то своей мечты - не только доверять, но проверять :) Использую два экспериметов компьютера: на одном windows 7 64бита (в брандмауэре стоит режим расширенной безопасности - все исходящие с компьютера подключения по умолчанию отключены, а затем настроены правила, по которым выпустил в сеть нужные приложения, на втором компьютере тоже "семёрка", но CentOS Linux  с двумя сетевыми картами.  Обе "семёрки" стоят рядом, с мониторами. Windows 7 выходит в Интернет через CentOS 7, на котором запущен анализатор трафика Wireshark.  То есть, я как вижу все пакеты, которые выходят с Windows 7, в частности вижу  и dns запросы. Причём в CentOS  отключаю Интернет перед запуском Firefox на Винде , то есть никаких обратных пакетов и любых ответов до Firefox точно не долетит!
Скачал версию Firefox ESR Portable 38.7.0(из проекта PortableApp) , распаковал её, но пока ещё не добавлял правило для выпуска этой версии Firefox в Интернет. То есть. единственное, что он может делать в сети -это делать dns запросы.
настроил его по инструкции проекта RosenFox,(кроме как загрузку картинки с самого сайта не отключил, только со сторонних). В Wireshark включил запись пакетов и запустил Firefox и походил по менюшкам, заходил в настройки, но никакие ссылки внешние не нажимал,в  адресной строке и поисковой писал разные символы, но нажимал Enter.
Выявил три dns запроса. Один адрес я нашёл в about:config - aus4.mozilla.org.
Он прописан в трёх местах :
media.gmp-manager.url;https://aus4.mozilla.org/update/3/GMP/%VERSION%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE%/%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%DISTRIBUTION_VERSION%/update.xml
media.gmp-manager.certs.1.commonName;aus4.mozilla.org
media.gmp-manager.certs.2.commonName;aus4.mozilla.org

В инструкции есть две позиции связанные с media.gmp-manager, одной у меня нет, а вторую media.gmp-gmpopenh264.provider.enabled я выставил в false.
Точно не разбирался с этими параметрами, но раз пользователь не командовал никуда лезть, а программа уже лезет, значит это зло. Удалил в общем этот url адрес из about:config
Два других адреса я не нашёл в about:config, но Ip адрес у них один 63.245.213.56.
fxfeeds.mozilla.com
static-non-ssl.external.zlb.scl3.mozilla.com
Похоже скрытые настройки внутри Firefox, который он не показывает в about:config.
Можно было бы поискать к исходниках, но пока просто внёс эти два адреса в hosts:
0.0.0.0 static-non-ssl.external.zlb.scl3.mozilla.com

0.0.0.0  fxfeeds.mozilla.com
То есть, если не найдутся настройки, которые заставляют лезть Firefox по этим двум адресам (опять же без желания пользователя), то в инструкции прописать блокирование скрытых настроек Firefox через файл hosts.
Ну и третье предложение удалить из настроек aus4.mozilla.com

fxfeeds.mozilla.com

:cry: Вы б хотя бы чуток проявили дальнейшую любознательность и посмотрели - что это за зверь... А то увидели "живые закладки", встроенные в ФФ, и сразу кинулись в панику!

static-non-ssl.external.zlb.scl3.mozilla.com

aus4.mozilla.org

Я вас и дальше попугаю: существует еще и зловещий сайт aus5.mozilla.org! И даже aus3.mozilla.org!

https://www.robtex.net/?dns=fxfeeds.mozilla.com

https://wiki.mozilla.org/AUS
https://wiki.mozilla.org/AUS:Manual

https://blog.mozilla.org/it/2011/11/14/project-scl3/

... Кстати, а слово "certs" вам ни о чем не говорит? :) ... А термин "openh264"?

https://support.mozilla.org/en-US/questions/1028546

***

Одним словом - хватит нагнетать на пустом месте.
А то может ненароком выйти так, что единственным человеком, которого запугаете, окажетесь вы сами. :)

Rosenfeld пишет:

Я вас и дальше попугаю: существует еще и зловещий сайт aus5.mozilla.org! И даже aus3.mozilla.org!

Если пользователь отключил WebRTC и плагин этот (потом доустанавливающися) отключил, то зачем ему этот кодек от циско?
Если я отключил всякие обновления, то зачем мне соединения на сервера aus*(Application Update Service)?
Про живые закладки первый раз слышу, но именно когда мимо проходил в менюшках эти закладки , так сразу и запросы dns посыпались в wireshark.
Моё мнение, что firefox (как и любой другой браузер) не должен никому и ничего сообщать ни тогда когда я его запускаю, ни тогда когда я брожу по Интернету! В прочем как и Windows,Linux или Android. В противном случае мы не владельцы этим устройтвам, а  так, арендаторы без всяких прав. Сертификатам вера всё равно не особая, кто там их сделал и кому выдал, свечку я не держал, поэтому и обновлять сертификаты каждые запуск фарефокса вообсе не обязательно. В крайнем случае мне сообщится, что нет доверия к этому сертификату. Так что буду банить через about:config или hosts эти непонятные(мне) соединения Firefox. Раз неинтересно, что там всплывает, значит выложу в другом месте результаты опытов,если будет что ещё интересного для меня.

Про живые закладки первый раз слышу

Как в том анекдоте: "А они там ЕСТЬ".

Моё мнение, что firefox (как и любой другой браузер) не должен никому и ничего сообщать ни тогда когда я его запускаю, ни тогда когда я брожу по Интернету!

Это и есть глубочайшее и, к сожалению, ОЧЕНЬ распространенное заблуждение. :)

А на самом-то деле, т.е. в реалиях, БРАУЗЕР попросту вам НИЧЕГО НЕ ДОЛЖЕН (и его многочисленные разработчики - тоже). В том числе - и не обязан подстраиваться под ваши "хотелки" и личные представления о том, как он "должен" себя вести.

Так что у вас четыре выбора.

Первый. Мягко говоря, "есть то, что дают и чем кормят". И (немаловажно!) - еще и быть хотя бы благодарным людям, которые сделали за вас всю работу. Ну а если не нравится еда, сказать "спасибо" и распрощаться. Такой поступок будет и красивым, и правильным. Мужским.

Второй. Заработать много зеленых купюр и нанять контору талантливых программистов, которые напишут вам новый персональный браузер - в полном соответствии с вашими грамотными и внятными спецификациями и техзаданиями.

Третий. Перейти с браузера, непрерывно шпионящего за пользователями, на что-либо более безопасное. Например - тот же elinks, в котором 10-15(!) строчками в конфиге я настраиваю тот же уровень безопасности, который в моем руководстве описан аж 340 параметрами.

Четвертый. Завязать нафиг :) с этим опасным и гадким интернетом, вырвать шнур из компа и начать жить спокойно и независимо.

P.S. В любом случае, сразу предупреждаю, что поддерживать далее дискуссию о том, КТО и ЧТО кому должен, :) я не собираюсь. Тема посвящена текущим (существующим) настройкам Firefox, а не персональным желаниям отдельных пользователей.

Я работаю с тем, что уже(!) имеется, а не с чужими мечтами.

Хотите, чтобы лично ваши желания были удовлетворены - не жалуйтесь на форуме, который к разработчикам этого браузера ВООБЩЕ НЕ ИМЕЕТ НИКАКОГО отношения, а поступите по-взрослому: регистрируйтесь на их Багзилле, заводите новый баг, ищите единомышленников и требуйте его закрытия... Я думаю, такое поведение будет наиболее разумным.

Rosenfeld пишет:

Я работаю с тем, что уже(!) имеется, а не с чужими мечтами.

Что же вы тогда понимаете под приватностью и безопасностью? Дайте пожалуйста определение! А то сначала заявляете, что цель проекта RosenFox получить приватный и безопасный браузер, а сейчас выясняется, что существуют какие-то своеобразные понятия приватности. Странная логика,  -найти и расписать 340 параметров, чтобы фарефокс ничего и никуда не отсылал и не запрашивал, а когда обнаруживается и 341й параметр,которые чего-то отсылает в фонд мозиллы, то говорите, что вам достаточно  и 340 параметров. Зачем было тогда эту тему открывать...

Что же вы тогда понимаете под приватностью и безопасностью? Дайте пожалуйста определение!

Я не отвечаю на риторические вопросы. Равно как у меня нет обязанности реагировать на них.

А то сначала заявляете, что цель проекта RosenFox получить приватный и безопасный браузер

Помнится, чуть раньше вы писали несколько другую абсурдную вещь - https://forum.mozilla-russia.org/viewto … 22#p708122 - так и НЕ удосужившись конкретизировать впоследствии, что(?) именно подразумевалось:

Пока проект RosenFox нацелен на борьбу с  одним сайтом

И я на подобные глупости, кстати, отвечал, как минимум, ДВАЖДЫ - https://forum.mozilla-russia.org/viewto … 37#p708137:

проект RosenFox настроен (в первейшую очередь) исключительно на одну задачу - борьбу с пользовательской неграмотностью! Ну и с пользовательской глупостью.  Точка.

Поэтому не стоит додумывать за меня: на что именно направлен проект.  В том числе - и чтобы не было такой бессмысленной и хаотической паники, которую поднимаете вы сейчас, например:

Выявил три dns запроса. (...)

Точно не разбирался с этими параметрами (...)

то в инструкции прописать блокирование скрытых настроек Firefox через файл hosts (...)

А что же вы кричите так на весь свет, если даже "точно не разобрались"?

Подумаешь, ужасы какие - встроенная по умолчанию в ФФ "живая закладка" на абсолютно законных основания  - ПОТОМУ ЧТО ВЫ ЕЕ ПРЕДВАРИТЕЛЬНО НЕ УДАЛИЛИ - захотела обновить свою новостную ленту. Или (опять на легальных основаниях) браузер решил проверить соответствия сертификатов... На кой черт вопить при этом: "Спасите! Насилуют-убивают!" на весь мир?

И я что - должен сразу кидаться вносить исправления в руководство? Только потому что так захотела ваша левая нога под влиянием вашей же перепуганности? :) ... Вряд ли я пойду на такой опрометчивый шаг.

Поэтому моя единственная рекомендация, которая, возможно, прекратит этот бессмысленный поток типа: "блокировать скрытые настройки через hosts": :)

1. Идите ВОТ СЮДА: https://forum.mozilla-russia.org/viewto … 20#p706420

2. Внимательно читайте ВСЕ пять пунктов.

3. Постарайтесь максимально ОСМЫСЛИТЬ их содержание.

4. И лишь потом расписывайте проблему. И не как обычно - "простыню" на полстраницы, а кратко и по всем пунктам: 1) проблема; 2) ... 5).

Потому что пока вырисовывается такая картина. Вы научились пользоваться сниффером. Это само по себе похвально. :) Но потом кто-то в десяти метрах от вас, образно говоря, тихо испустил газы, а вы испугались так, будто над ухом выстрелили из пушки. И начали громко кричать об опасности. А ведь всего-то увидели три DNS-запроса...

Свойство любого браузера - отсылать DNS-запросы и получать ответы на них. И если вы пребываете в такой панике, НЕ заходя в сеть, то что станет с вами, когда вы пойдете просматривать сайты, и такие запросы будут сыпаться тоннами! Обмочитесь от страха? :) ... А когда туда-сюда, не приведи Б-же, будут пролетать десятки мегабайт - наложите на себя руки? :)

Поэтому ПОСЛЕДНИЙ РАЗ пишу одно и то же: я НЕ буду читать ваши тонны текста. Я не буду читать о ваших "хотелках": "браузер ДОЛЖЕН мне то-то, должен мне то-то"...

Идите на Багзиллу, заводите конкретный баг и добивайтесь его закрытия. Точка.

Ну а в этой форумной теме: берёте за основу пять пунктов, затем описываете вашу проблему, существующую угрозу и т.п.  А уж потом я подумаю и приму решение.

Только в этом случае разговор состоится. Потому что я не намерен тратить на ваши мнимые страхи по полдня. У меня и так есть, чем заняться.

Ещё один сервис в список сервисов для тестирования https://torrentfreak.com/is-your-vpn-pr … ss-160320/

Спасибо. Со временем потестирую - добавлю... Тут мне negodnik задач и замечаний накидал - за год не расхлебаешь! :)

[Внимание! Важные изменения в репозитории]

За прошедшее время накопилось множество поправок, уточнений, добавлений и исправлений. Поэтому я решил присвоить очередной версии Rosenfox номер 0.2. По предложению одного из участников форума (и в связи с наступившей весною) версия получила собственное имя - "Aviv".

Большое спасибо всем, кто участвовал и помогал. Negodnik'у выносится отдельная благодарность за генерирование новых идей и изощреннейшую способность проверять каждую букву и даже знаки препинания! :) Dimatambov - достается почётная грамота за настойчивость! :)

***

ИЗМЕНЕНИЯ В ФАЙЛЕ ПРИМЕРА user.js

1) корректно завершена строка:

user_pref("general.smoothScroll", false);

2) исправлена строка:

user_pref("network.security.ports.banned", "9050,9051,9150,9151,8118,4444");

3) удалена дублирующаяся запись:

user_pref("geo.wifi.uri", "");

В user.js закомментированы следующие строки примера перенаправления на локальный прокси-сервер Polipo:

// user_pref("network.proxy.ftp_port", 8118);
// user_pref("network.proxy.ftp", "localhost");

// user_pref("network.proxy.http_port", 8118);
// user_pref("network.proxy.http", "localhost");

// user_pref("network.proxy.socks_port", 9050);
// user_pref("network.proxy.socks", "localhost");

// user_pref("network.proxy.ssl_port", 8118);
// user_pref("network.proxy.ssl", "localhost");

// user_pref("network.security.ports.banned", "9050,9051,9150,9151,8118,4444");

Изменено значение (старое значение "1" приводило к перенаправлению на прокси-сервер и блокировало доступ к интернету):

user_pref("network.proxy.type", 0);

ДОПОЛНИТЕЛЬНОЕ ПРЕДУПРЕЖДЕНИЕ В ФАЙЛЕ ПРИМЕРА user.js

// This is ABC-sorted lists of preferences
//
// ATTENTION! Don't copy this EXAMPLE file to the new Firefox profile!
// Please insert preferred strings in about:config manually, one-by-one!

УТОЧНЕНИЯ В ОПИСАНИЯХ ДЕЙСТВИЯ ОТДЕЛЬНЫХ ФУНКЦИЙ:

- DOM (Document Object Model) STORAGE

Запрет на закрытие окна скрипту, при помощи которого оно было открыто:

    dom.allow_scripts_to_close_windows=false

Запрет скриптам менять фокус окон (перемещать одно под другое):

    dom.disable_window_flip=true

Запрет скриптам скрывать пользовательскую панель закладок:

    dom.disable_window_open_feature.personalbar=true

Запрет скриптам скрывать панель навигации:

    dom.disable_window_open_feature.toolbar=true

УТОЧНЕНИЯ В ОПИСАНИЯХ. ДОБАВЛЕНИЕ ПАРАМЕТРОВ:

- MULTIMEDIA

Выключение WebGL с целью блокирования определения CPU и скорости видеокарты по "цифровым отпечаткам". Также рекомендовано при торможениях, сбоях и проблемах с видеокартой:

    webgl.disable-extensions=true
    webgl.disabled=true
    webgl.force-enabled=false
    webgl.min_capability_mode=true

Внимание: Следующие параметры отличаются друг от друга в разных версиях Firefox (и могут отсутствовать в ранних версиях браузера):

    webgl.disable-debug-renderer-info=true (устаревшая строка)

ИЛИ

    webgl.enable-debug-renderer-info=false (FF 42 и выше)

Отключение медиакодеков:

(...)
    media.fragmented-mp4.gmp.enabled=false

Предотвращения закачки, автообновления и использования кодека H.264 (а также проверки его сертификатов):

    media.gmp-gmpopenh264.enabled=false
    media.gmp-manager.url=
    media.gmp-manager.log=false

    media.gmp-gmpopenh264.autoupdate=false
[UPD]    media.gmp-provider.enabled=false  (возможно, отключает также Adobe Primetime)
    media.gmp-gmpopenh264.provider.enabled=false
    media.gmp-manager.certs.1.commonName=
    media.gmp-manager.certs.1.issuerName=
    media.gmp-manager.certs.2.commonName=
    media.gmp-manager.certs.2.issuerName=

https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections#w_openh264-codec

ЧАСТИЧНАЯ ПЕРЕРАБОТКА И УТОЧНЕНИЕ РАЗДЕЛА:

- CACHE

Внимание: если вы настраиваете Firefox для Android или iOS, не изменяйте настройки, описываемые в данном разделе, особенно если на вашем устройстве нет достаточного (> 1 Гб) количества оперативной памяти (RAM)!

ГЛОБАЛЬНЫЙ ЗАПРЕТ КЭШИРОВАНИЯ:

Глобальный запрет кэширования файлов - на HDD и в RAM (в том числе - поступающих по защищенным соединениям):

    network.http.use-cache=false  (начиная с FF 45, эта общая настройка может отсутствовать или устареть)

http://kb.mozillazine.org/Network.http.use-cache

ЗАПРЕТ КЭШИРОВАНИЯ НА HDD:

Запрет использования дискового кэша:

    browser.cache.disk.enable=false

http://kb.mozillazine.org/Browser.cache.disk.enable

Запрет использования дискового кэша, если используется шифрованное SSL-соединение (и обрабатываются приватные пользовательские данные):

    browser.cache.disk_cache_ssl=false

http://kb.mozillazine.org/Browser.cache.disk_cache_ssl

Запрет создания кэша для просмотра страниц в офлайне:

    browser.cache.offline.enable=false

http://kb.mozillazine.org/Browser.cache.offline.enable

Запрет автоматического управления дисковым кэшем (если он включен):

    browser.cache.disk.smart_size.enabled=false

https://developer.mozilla.org/en-US/docs/Mozilla/Preferences/Mozilla_networking_preferences#Cache

Обнуление (запрет) объема дискового кэша, хранящегося на винчестере (в том числе - и офлайн-кэша):

    browser.cache.disk.capacity=0
    browser.cache.offline.capacity=0

http://kb.mozillazine.org/Browser.cache.disk.capacity

Примечание: включать в совокупности с browser.cache.disk.smart_size.enabled=false

КЭШИРОВАНИЕ В RAM:

Внимание: Разрешение кэширования в оперативную память может привести к отслеживанию браузера по "цифровым отпечаткам", создаваемым при помощи E-Tag!

Разрешение хранения кэша в оперативной памяти (в том числе и данных, полученных по шифрованным SSL-соединениям):

    browser.cache.memory.enable=true

http://kb.mozillazine.org/Browser.cache.memory.enable

Внимание: Кэширование данных в RAM (browser.cache.memory.enable=true) не будет работать, если кэширование запрещено глобально (network.http.use-cache=false)

Определение количества оперативной памяти, выделяемой под кэш (в зависимости от общего объема RAM):

    browser.cache.memory.capacity=-1 (автоматическое определение; рекомендуется)

Допустимые значения:

0 - оперативная память не используется (не рекомендуется; см. примечание ниже);

n (целое цифровое значение) - количество килобайт, выделенных на кэш.

Примечание: Требует browser.cache.memory.enable=true

http://kb.mozillazine.org/Browser.cache.memory.capacity

НОВЫЙ РАЗДЕЛ:

- CSS FINGERPRINTING

Блокирование опознания "цифровых отпечатков" (c помощью технологий CSS) - внешних размеров (высоты и ширины) активного окна браузера.

Внимание: К самостоятельному внесению данной строки ("Создать" - "Логическое")  в ранних версиях браузера необходимо относиться осторожно: ее действие изучено не до конца; возможно, эта настройка не будет работать):

    privacy.resistFingerprinting=true

НОВЫЙ РАЗДЕЛ:

- E-TAGS FINGERPRINTING

E-Tag - часть HTTP-заголовка: "непрозрачный" идентификатор, обеспечивающий проверку устаревания веб-кэша браузера. Если содержимое страницы изменилось за время обращения к веб-ресурсу, E-Tag меняется на новый. Этот механизм может применяться также для распознавания "электронных отпечатков" браузера и схож с использованием cookie. Для предотвращения распознавания полностью запретите кэширование интернет-данных на HDD и(!) в RAM.

Если вы все же используете кэширование файлов в RAM:

а) не стремитесь заполнить оперативную память полностью (например - открыв множество вкладок в Firefox): это приведет к частичной выгрузке данных в swap-раздел;

б) чаще перезагружайте свой браузер в процессе работы.

УТОЧНЕНИЕ РАЗДЕЛА:

- NETWORK: PIPELINING, DNS, PREFETCH, PING, SSl

Отправка DNS-запросов на удаленный сервер для предотвращения их утечки или спуфинга веб-адреса:

    network.proxy.socks_remote_dns=true

Внимание: Данная настройка действует только(!) если вы работаете через удаленный сервер; например, при использовании "луковичной" маршрутизации:

    true - браузер осуществляет поиск DNS на удаленном сервере;
    false - происходит поиск DNS на localhost (как правило, осуществляется прямое получение DNS от интернет-провайдера).

Если удаленный сервер не используется, то применяются адреса DNS-серверов, указанные в свойствах текущего сетевого подключения компьютера, т.е. настройка не имеет значения.

http://kb.mozillazine.org/Network.proxy.socks_remote_dns

Отключение DNS-запросов посредством IPv6:

    network.dns.disableIPv6=true

http://kb.mozillazine.org/Network.dns.disableIPv6

ДОБАВЛЕНИЕ ПАРАМЕТРОВ В РАЗДЕЛ:

- PLUGINS (FLASH, JAVA), etc

Отключение сканирования Plugin ID (PLID) в каталогах, определенных в реестре Windows:

    plugin.scan.plid.all=false

http://kb.mozillazine.org/Plugin_scanning

ДОБАВЛЕНИЕ ПАРАМЕТРОВ В РАЗДЕЛ:

- FONTS

Отключение отображения шрифтов, примененных на просматриваемой странице:

    browser.display.use_document_fonts=0

http://kb.mozillazine.org/About:config_entries

ДОПОЛНИТЕЛЬНОЕ ПРЕДУПРЕЖДЕНИЕ:

- PORTS

Внимание: Данный раздел приведен исключительно в качестве ПРИМЕРА использования прокси- и прочих сторонних серверов! Не изменяйте настройки, описываемые в данном разделе, если вы НЕ понимаете, что делаете!

Браузер гипотетически может быть сконфигурирован для использования с промежуточным сервером, например - локальным прокси-сервером Polipo (этот пример рассматривается ниже).

Примечание: Некоторые настройки локальных и внешних промежуточных серверов также могут усилить степень безопасности пользователя. Однако рассмотрение принципов их работы не входит в задачи данного руководства.

УДАЛЕНИЕ ПОДРАЗДЕЛА

Из раздела скриптов удален подраздел, описывающий создание разрешающих политик для выполнения скриптов на отдельных сайтах, внесенных в "белый список". Похоже, этот механизм сломан самими разработчиками из MoFo.

Ещё не дочитал, но уже осуждаю. Возможно я своим потоком сознания запутал Вас.

> media.gmp-gmpopenh264.provider.enabled=false  (возможно, отключает также Adobe Primetime)
Это media.gmp-provider.enabled отключает сразу OpenH264 и Primetime.
media.gmp-gmpopenh264.enabled отключает OpenH264.
А media.gmp-gmpopenh264.provider.enabled вообще ничего не отключил.


> Запрет на закрытие окна скрипту, при помощи которого оно было открыто:
dom.allow_scripts_to_close_windows=false

Я умудрился удалить сообщения в личке, но помню что ссылался на http://kb.mozillazine.org/About:config_entries#DOM.
true: любой скрипт может закрыть любое окно.
false: только окно, открытое скриптом, может быть закрыто с помощью метода window.close().

Может наши местные скриптописатели смогут грамотно и доходчиво сформулировать.
Tо, что написано в Списке настроек... — «закрывать скриптам окна», тоже не совсем правильно.

Rosenfeld пишет:

Блокирование опознания "цифровых отпечатков" (c помощью технологий CSS) - внешних размеров (высоты и ширины) активного окна браузера.

Не только для цсс. Еще и
https://lh3.googleusercontent.com/-THWqrD03xDA/VvRiDcbhEII/AAAAAAAAcSg/IvMJxIfepvg/s0/thumb2.jpg 

Rosenfeld пишет:

возможно, эта настройка не будет работать):

См. выше. :rolleyes:

Большое спасибо всем за быстрые отклики. То-то я вижу, что счетчик посещений темы за несколько часов вырос, как на дрожжах. :)

Ещё не дочитал, но уже осуждаю. Возможно я своим потоком сознания запутал Вас.

Нет. Скорее это я курсор не в ту строчку поместил. Сейчас вот просматривал свое сообщение с телефона и понял, что что-то тут не так...  Короче говоря, исправляем на следующее:

media.gmp-provider.enabled=false  (возможно, отключает также Adobe Primetime)

Кстати, нет ли у присутствующих в хозяйстве конкретной ссылки на какой-нибудь ресурс MoFo, где напрямую бы связывался данный параметр и отключение Adobe Primetime? Я потому и пишу "возможно отключает", так как не могу ничего стоящего найти...

Может наши местные скриптописатели смогут грамотно и доходчиво сформулировать.

Вот-вот! Я, честно говоря, плохо понимаю этот пассаж, особенно если читать на английском, потом переводить на идиш, :) а уж затем только - на русский. Цитирую:

dom. allow_scripts_to_close_windows

Determines which close() operations are legal.
True: Any script may close any window
False (default): Only windows opened via script may be closed via close().

***

Не только для цсс. Еще и ...

Сможете грамотно и корректно сформулировать самостоятельно? Буду признателен!

Rosenfeld пишет:
возможно, эта настройка не будет работать)

См. выше

Я подразумевал, что сомневаюсь: будет ли настройка privacy.resistFingerprinting, созданная вручную, работать в старых версиях ФФ. А как я могу в этом убедиться, изучая ваш скриншот?

Rosenfeld пишет:

Сможете грамотно и корректно сформулировать самостоятельно? Буду признателен!

У меня самого проблемы с терминологией и правильными формулировками. Потому и скриншот.
Но попробую:
При включении настройки, скрипты, исполняемые в контексте страницы,  через объект window.screen и CSS медиа-запросы, всегда будут получать только размер видимой области страницы, без учета размеров chrome-элементов окна браузера.

Но, повторюсь, сварщик я ненастоящий. Может и чушью быть. :)

Я подразумевал, что сомневаюсь: будет ли настройка privacy.resistFingerprinting, созданная вручную, работать в старых версиях ФФ

А, виноват. Неправильно понял. С 41-ой будет работать, если верить багзилле.

Так где скачать руководство по настройке?

[Внимание! Некоторые уточнения в репозитории]

1. Для особо одаренных :) пользователей в файл README внесено дополнительное ВАЖНОЕ предупреждение:

Примечание 0: В данном репозитории находится файл user.js, в котором сведены воедино все настройки, рассматриваемые в руководстве. Пожалуйста, НИКОГДА НЕ КОПИРУЙТЕ его в каталог, содержащий активный профиль Firefox! Этот файл приведен здесь лишь в качестве примера. ВСЕГДА вносите отдельные изменения в настройки браузера исключительно посредством about:config и "вручную", т.е. шаг за шагом.

2. Очередная попытка :) переформулировать данный пункт:

Метод close() будет срабатывать только в случае, если данное окно было открыто ранее при помощи скрипта:

    dom.allow_scripts_to_close_windows=false

3. Уточнен раздел о цифровых отпечатках при помощи CSS и т.п.:

- CSS FINGERPRINTING

Блокирование опознания "цифровых отпечатков" браузера - внешних размеров (высоты и ширины) активного окна браузера.

Как правило, большинство пользователей разворачивает активное окно браузера на весь экран. При помощи специально подготовленной веб-страницы гипотетическая атакующая сторона (посредством использования объекта window.screen и CSS медиа-запросов) может опознать в этом случае физические размеры монитора (в пикселях), даже если в браузере глобально запрещены скрипты. Активация настройки "privacy.resistFingerprinting" приведет к тому, что третьей стороне будет доступна малозначительная информация о размере видимой области просматриваемой веб-страницы - т.е. без учета размеров chrome-элементов окна браузера:

    privacy.resistFingerprinting=true

Внимание: К самостоятельному внесению данной строки ("Создать" - "Логическое")  в ранних версиях браузера (до FF 41) необходимо относиться осторожно: ее действие изучено не до конца; возможно, эта настройка не будет работать!

4. В файл Test_your_settings.md внесена ссылка на сайт "Do I leak?" - https://www.doileak.com/

5 Примечание о гипотетическом(?) отключении Adobe Primetime перенесено в нужное место:

media.gmp-provider.enabled=false (возможно, отключает также Adobe Primetime)

P.S. Эти (и предшествующие) изменения внесены в сокращенном виде в аналогичное англоязычное руководство, v. 0.2.

P.P.S. PDF-файл с руководством будет переделан в соответствии с текущими изменениями и вновь размещен на gopherspace немного позже.

[Внимание! Добавление в репозитории]

... Немного запоздало, но все же...

Судя по упоминаниям о множественных узвимостях в библиотеке шрифтов Graphite и возможностью атаки, было бы лучше отключить ее использование - даже(!) после устранения уязвимостей. Во-всяком случае, именно так поступили разработчики из MoFo в отдельно выпущенной (специально по этому случаю) новой версии Thunderbird.

gfx.font_rendering.graphite.enabled=false

По теме см.: http://blog.talosintel.com/2016/02/vuln … phite.html

Graphite is a package that can be used to create “smart fonts” capable of displaying writing systems with various complex behaviors. Basically Graphite’s smart fonts are just TrueType Fonts (TTF) with added extensions. The issues that Talos identified include the following:

- An exploitable denial of service vulnerability exists in the font handling of Libgraphite. A specially crafted font can cause an out-of-bounds read potentially resulting in an information leak or denial of service.

- A specially crafted font can cause a buffer overflow resulting in potential code execution.

- An exploitable NULL pointer dereference exists in the bidirectional font handling functionality of Libgraphite. A specially crafted font can cause a NULL pointer dereference resulting in a crash.

In each of the situations an attacker can provide a malicious font to trigger the specified vulnerability.

Уязвимости исправлены в Firefox ESR 38.6.1. Firefox 43 и 44 применяют библиотеку Libgraphite 2 1.3, в которой данные проблемы (вроде бы как!) не существуют.

***

Аналогичные изменения, рекомендованнные для about:config, внесены в англоязычную версию руководства.

А что уважаемый автор думает об использовании Pale Moon вместо FF?
Его создатель тоже обеспокоился нашествием ненужных и небезопасных фишек, которыми Mozilla щедро снабжает свой FF, и пошел путем поддержки и оптимизации еще нормальной старой версии, попутнов выкину из нее излишества всякие вредные :)
Может, если вам взять Pale Moon за основу,  вам будет меньше столь необходимой и полезной нам работы?

Abdula
Оно держится на одном, максимум нескольких людях. То есть может развалиться в любой момент.

А что уважаемый автор думает об использовании Pale Moon вместо FF?

Я, как и rms, :) - человек идеологически упертый и нетерпимый. Поэтому в первую очередь - внимательно проверяю лицензию на конечное программное обеспечение. А она у Moonchild Productions - просто отвратительная. И никаким "свободным программным обеспечением" там и не пахнет:

https://www.palemoon.org/redist.shtml
https://www.palemoon.org/freeware-license.shtml

Более того, такое непотребство возможно исключительно(!) "благодаря" (ставлю кавычки) мозилловской MPL (под которой пролицензированы исходные коды Firefox), и о проблемах и скрытых подводных камнях применения которой я неоднократно писал ранее.

Может, если вам взять Pale Moon за основу,  вам будет меньше столь необходимой и полезной нам работы?

Вы немножко неправильно понимаете, что именно у меня "взято за основу" - не сам Firefox (как конечный продукт), а всего лишь настройки "ванильной" программы. А они характерны для множества браузеров этого семейства, начиная с Firefox и заканчивая IceCat, Pale Moon и т.п. (разве что отличаются некоторыми наложенными патчами и удаленными при сборке отдельными сервисами/службами).

Вот хороший и неединичный пример, каким образом сто лет не нужные в браузере сторонние технологии (протоколы, плагины) приводят к серьезнейшим проблемам и утечкам:

24 Апреля 2016
Ошибка в WebRTC раскрывает реальный IP-адрес пользователей Opera даже при активированном VPN

https://www.securitylab.ru/news/481480.php

Встроенный в новую версию Opera для разработчиков VPN не скрывает реальный IP-адрес.

На этой неделе Opera выпустила новую сборку своего браузера для разработчиков, получившую бесплатный встроенный VPN. Расширение позволяет скрывать IP-адрес и посещать сайты, заблокированные на территории страны, где проживает пользователь. Однако, как оказалось, функция сокрытия IP-адреса не работает. Это связано с тем, что браузер Opera создан на базе исходного кода Chromium, где из-за ошибки в WebRTC реальный адрес становится видимым.

При активированном VPN проверка утечки IP-адреса покажет следующее:

При обычной проверке будет отображаться только IP-адрес VPN.
При проверке утечки через WebRTC будет отображаться как удаленный, так и локальный IP-адрес.

Данная проблема затрагивает не только Opera, но и другие браузеры с поддержкой WebRTC. В отличие от Opera, в Mozilla Firefox предусмотрена возможность отключения WebRTC. Для того чтобы отключить WebRTC в Mozilla Firefox, нужно ввести в адресную строку about:config прокрутить до media.peerconnection.enabled и деактивировать двойным нажатием мыши. Пользователи Chrome могут решить проблему, установив официальное расширение WebRTC Network Limiter.

Пользователи Opera могут установить расширение WebRTC Leak Prevent, однако оно скроет лишь локальный IP-адрес, тогда как публичный все равно останется видимым.

Общий смысл: убивать в зародыше и тотально запрещать в браузере действительно нужно ВСЁ, даже малейшие гипотетические(!) источники угроз, тем более, исходящие от сторонних встраиваемых "улучшательств"! Потому что дыры и утечки регулярно обнаруживаются там, где их, казалось бы, не ждешь.

Проекту исполнилось три месяца. Я мельком взглянул на показатели - весьма неплохие.

За 90 дней существования:

- примерно 10 700 просмотров темы на форуме;
- 20 "звезд", присвоенных проекту пользователями GitHub;
- 2 форка (буду рад, если они станут развиваться отдельно и независимо).

Проект достаточно прочно и самостоятельно(!) проиндексировался в поисковых системах (полагаю, помогло то, что ему было присвоено "старое" название, пришедшее еще со времен RosenfoxPortable).

Из приколов:

скрытый текст
... понравилось, как кто-то из студентов на альтернативной "борде" Московского физико-технического института переиначил название проекта (по мотивам моего любимого фильма с Тимом Ротом и Гэри Олдменом):

http://mipt.me/threads/%D0%98%D0%BD%D0% … a_Firefox/

В связи с недавно обнаруженной уязвимостью в обработке текстовых данных, скопированных (через буфер обмена) со специально подготовленных веб-страниц:

https://github.com/dxa4481/Pastejacking

я настоятельно рекомендую всем, кто еще не удосужился, перепроверить (и отключить, т.е. перевести в состояние "false") в ФФ следующий параметр:

dom.event.clipboardevents.enabled=false

Как и следовало предполагать, "дыра" относится к применению Java-script; в частности - посредством б-гомерзкого поделия, называемого DOM.

Ниже приведена тестовая страница уязвимости:

https://security.love/Pastejacking/

Примечание: лично у меня уязвимость срабатывает ТОЛЬКО при соблюдении следующих условий:

0) с полностью включенными на странице скриптами и активированном параметре dom.event.clipboardevents.enabled=true

1) при использовании клавиатурных сокращений ^C и ^V

или

2) при копировании с помощью вызываемого по ПКМ контекстного меню: "Копировать" - "Вставить".

В традиционном для UNIX-LINUX-way'ного копирования/вставки с помощью мыша ("Выделить текст, проведя по нему ЛКМ" -> "Вставить нажатием СКМ") данная уязвимость НЕ работает (даже со включенными скриптами).

В руководстве Project Rosenfox данный параметр уже присутствует (и отключен).

P.S. Насколько я помню, эта уязвимость всплывала уже несколько лет назад...

Не нашел в вашей методике способов подмены заголовков: X-Forwarded-For и Accept header, а также отключения механизма AJAX. Не уверен, что отключение указанных заголовков вообще возможно через about:config, а вот настройка AJAX присутствует точно.

z_7 пишет:

настройка AJAX присутствует точно

Так Вы бы указали какие конкретно что ли.

С разрешения пользователя z_7 публикую нашу приватную переписку. Поскольку рассматриваемые проблемы частично выходят за пределы текущей темы, прячу под спойлер:

скрытый текст

Добрый вечер!

Я с большим уважением отношусь к тому, что Вы делаете.
Мои тезисы, имхо, немного офф-топ, поэтопу пишу не на форум, а в личку. Если хотите, можете перенести их на форум.

1.Думаю Вас может заинтересовать данная статья "Tor Browser без Tor"
https://geektimes.ru/post/247784/
Система получается очень даже, но минус в том, что нет полного понимания, что именно парни из проекта Тор сделали.
Вам я благодарен, за раскрытие внутреннего содержания изменений в about:config
Сделаю всё по Вашим рекомендациям и сравню результаты с "Tor Browser без Tor".

2. В посте https://forum.mozilla-russia.org/viewtopic.php?pid=706419
Вы пишите, цитирую "попутно убедился в тотальной невозможности любых мер по поддержанию должного уровня приватности и анонимности в среде Windows". Мои эксперименты с "допиливанием" ОС семейства Windows показали, что Вы правы практически полностью за исключением XP. Я думаю, что это единственная ОС из всего семейства, которую можно превратить в "невидимку" + можно добиться практически полной вирусонепроницаемости без антивиря и внешнего файера.
В связи с чем прошу хотя бы тезисно обозначить Ваши претензии к Windows XP.
Может я чего упустил?

Добрый день!

Большое спасибо за отклик. В любом случае - чем больше людей интересуется этой темой, тем выше техническая грамотность пользователей. А это радует. :)

Прошу меня извинить - я немного занят, поэтому отвечу очень коротко.

По п. 1. Вполне логично было бы предположить, что FF "отстыковывается" от Tor Browser (вернее - от Tor'a, а еще точнее - от промежуточного прокси-сервера Privoxy) именно этим набором настроек. Но лично я бы не стал проводить подобные эксперименты у себя на машине, так как (и Вы сами справедливо об этом написали!) "нет полного понимания, что именно парни из проекта Тор сделали". Поэтому я предпочитаю такие деликатные настройки изменять сам и исключительно своими "ручками".

Но в любом случае - было бы интересно понаблюдать за результатами Ваших экспериментов.

По п. 2 (и очень сжато и тезисно)... Понимаете, в чем дело: безопасность любой машины должна быть комп-лекс-ной. И речь здесь идет не только о защите браузера и коммуникаций "пользователь" - "конечный сайт". Поэтому, уж поскольку я много лет назад перешел с Win XP на Red Hat, мне проще перечислить, чего в Win XP нет:

1. Первая проблема: несвободное (проприетарное) программное обеспечение - как сама ОС, так и большинство прикладного софта к ней. Соответственно, всю ОС с закрытыми исходными кодами уже(!) можно считать недоверенной средой.

2. Отсутствие полноценного дискового шифрования, включая: 1) системный раздел; 2) раздел-загрузчик (с выносом его на сменный носитель); 2) раздел подкачки; 4) пользовательский раздел. Для сравнения: лично для меня это вполне привычная схема шифрования при установке ОС.

3. Отсутствие дополнительного шифрования пользовательских разделов в /home. Отсутствие возможности надежного полнораздельного шифрования съемных носителей (флэшек и т.п.)

4. Небезопасная и непрозрачная система обновлений ОС. Для сравнения: в GNU/Linux я полность контролирую данный процесс (ибо вижу поименно, какие пакеты приходят для обновления; могу легко управлять ими: запрещать отдельные обновления, делать даунгрейды и т.п.). Кроме того, каждый пакет имеет жесткие зависимости, подписан отдельной цифровой подписью, что исключает его подделку/видоизменение при автоматическом скачивании из официального репозитория или с "зеркала".

5. Полное отсутствие в ОС "из коробки" каких-либо симметричных, ассиметричных и комбинированных средств шифрования: GnuPG, LUKS, EncFS  и т.п. В GNU/Linux первые две системы - неотъемлемая часть ОС.

6. 1. Полное игнорирование разграничения прав пользователей. 2. Полное игнорирование разграничения прав отдельных процессов, демонов и прикладных программ.  То есть никаких там DAC, MAC, RBAC..., не говоря уже о SELinux (в Red Hat он встроен прямо в ядро ОС); наверное, сейчас SELinux - это самое лучшее, что имеется в GNU/Linux с точки зрения безопасности (подробнее можете почитать в Википедии).

7. Отсутствие нативного обеспечения sandbox,  "песочницы", т.е. средства безопасного ("бесправного") запуска любых процессов в изолированной среде. Для сравнения: я могу запустить любой пакет в песочнице буквально одной простенькой командой (это подробно описано в моем техблоге на diaspora*)

8. Отсутствие нативного запуска "виртуальных машин". У меня это - встроенная функция; соответственно, поверх хоста я могу запустить любую(!) изолированную операционную систему: от Windows и до самых экзотических... Ну и дальше - безопасно работать из-под нее.

9. Отсутствие TmpFS (системы, когда промежуточные данные перенаправляются исключительно в RAM). Соответственно, все многочисленные временные данные в Win XP "оседают" на HDD и могут быть легко восстановлены гипотетической атакующей стороной. В Red Hat это нативная функция.

10. Отсутствие надежных и проверенных средств уничтожения данных. Для сравненения, у меня это - встроенная функция.

11. "Родной" фаэрволл в Win XP - это отдельная и очень большая проблема. Будем считать, что его там вообще нет. Это, кстати, не мое утверждение, а результаты исследований со специализированного сайта matousec.com, много лет подряд занимающегося тестированием и сравнением брандмауэров и т.п. (к сожалению, сейчас эти данные там недоступны - из-за устаревания самой ОС).

12. Вирусная активность. Могу ли я дальше ничего не объяснять подробно, хорошо? :)

13. Небезопасная и система обновлений прикладных программ. Как правило, для "правильного" и "чистого" обновления какой-либо программы в  Win XP необходимо "руками" осуществить следующие действия: 1) экспортировать и сохранить критичные данные из пользовательского профиля (пароли, закладки и т.п.); 2) деинсталлировать старую программу; 3) "зачистить" множественные обрывки в реестре при помощи дополнительного софта; 4) найти официальный(!) сайт производителя; самостоятельно выбрать(!) и скачать оттуда инсталлятор, подходящий для текущей ОС и для ее разрядности; 5) установить программу; 6) настроить ее; 7) импортировать в программу сохраненные пользовательские данные... Учитывая, что большинство обычных пользователей тупо набирает в Яндексе/Гугле название программы и качает ее из первого же(!) попавшегося источника (т.е. с любой файлопомойки), результат их действий вполне предсказуем. :) И это - не говоря уже о том, что даже в "официальный" дистрибутив, скачанный с не менее официального сайта, производители - и на вполне легальной основе - могут засадить кучу стороннего мусорного софта (и отказаться от него можно только перейдя в "расширенные настройки установки"). В GNU/Linux, как Вы, наверное, понимаете, такая ситуация невозможна в принципе, ибо весь прикладной софт: 1) автоматически скачивается из официальных репозиториев по 2) защищенному каналу, причем 3) каждый пакет дистрибутива подписан цифровой подписью.

14. Пользователю предлагается всего две файловые системы - FAT и NTFS.

15. Отсутствие отслеживания зависимостей между компонентами (пакетами) со стороны общесистемного инсталлятора (в GNU/Linux это apt-get, yum, dnf). Как результат, любая(!) сторонняя программа может затащить с собой при установке любые(!) компоненты (библиотеки и т.п.), необходимые для ее работы, абсолютно не обращая внимания на тот факт, что они в ОС: 1) уже имеются; 2) не подходят по версии к другому, т.е. уже установленному ПО.

16. (...) извините, устал. :)

И это - только навскидку.

P.S. А вообще, в качестве полушутки... Есть такой известный сайт/форум, посвященный стойкому крипто - pgpru.com. И вот когда там возникает очередной пользователь с вопросом "А как мне обеспечить безопасность того-то в среде Windows?", то все местные старожилы хором отвечают: "Ой, это не к нам!" :)


***

Не нашел в вашей методике способов подмены заголовков: X-Forwarded-For и Accept header (...) Не уверен, что отключение указанных заголовков вообще возможно через about:config

Ну раз Вы сами не уверены, что это вообще возможно - т.е. их отключение средствами about:config, то и странно было бы искать данные настройки в моем руководстве. :) Не так ли?

А вообще - это хороший повод накатать на МоФо в их Багзиллу новый баг, типа "товарищи, сделайте наконец-то вменяемое средство для работы с заголовками!" ... Только боюсь, что они не откликнутся. :) Сейчас идет такая мощная волна на всеобщую дебилизацию пользователей, что я опасаюсь - МоФо скоро все основные настройки попрячет; допустим, отключение активации скриптов, запрет приема кукиз и т.п. ... Времечко, увы, сейчас такое...

P.S. Лично у меня работой с заголовками частично занимается Polipo. Его конфиг описан в моем техблоге.

Rosenfeld пишет:

данная статья "Tor Browser без Tor"
https://geektimes.ru/post/247784/

У меня

Выделить код

Код:

user_pref("network.proxy.socks_remote_dns", true);

, а в этой статье предлагается

Выделить код

Код:

pref("network.proxy.socks_remote_dns", false);

. Почему?
То же с параметром

Выделить код

Код:

network.proxy.type;2

(в статье

Выделить код

Код:

pref("network.proxy.type", 0);

)?
И что это за файл extension-overrides.js? Чисто торовский?

02-06-2016 22:07:19
Уважаемый Rosenfeld!
А Ваши настройки позволяют пройти тест panopticlick.eff.org?

А вот почему. :)

http://kb.mozillazine.org/Network.proxy.type

http://kb.mozillazine.org/Network.proxy … remote_dns

В статье же прямо указано, ЧЕГО они хотят добиться:

Как бы то ни было, была поставлена задача: получить Tor Browser, который бы пускал трафик напрямую.

Погуглите эти параметры самостоятельно, пожалуйста... Да и в моем руководстве они есть.

А Ваши настройки позволяют пройти тест panopticlick.eff.org?

Об этом тесте я подробно писал в данной теме чуть выше; мне им весь мозг уже проели... :) Попробуйте найти и почитать. Надеюсь, этот вопрос я закрыл. И закрыл навсегда.

***

Отвечать дальше не смогу - интернет закончился. Совсем. :)

***

UPD: Решайте сами - "проходит" браузер с моими настройками тест (кстати, он глобально обновился до версии 2.0).Я только что его запустил.

https://diasp.org/posts/5684577

НО(!) мне при этом пришлось не менее 6-8 раз подтвердить разрешающие запросы типа: "Заблокирован переход на страницу. Слышь, чувак, разрешить? Точно разрешить?! ... Ты что, совсем с ума сошел?" :) - чего бы я в реальной жизни никогда бы НЕ СДЕЛАЛ!

Rosenfeld пишет:

Об этом тесте я подробно писал в данной теме чуть выше

Ну, в общем, понятно.;) Я просто надеялся на объяснения почему с такими настройками этот тест проходится положительно.

А почему у Вас отсутствую вообще

Выделить код

Код:

toolkit.telemetry.archive.enabled

и

Выделить код

Код:

toolkit.telemetry.unified

?

А почему у Вас отсутствую вообще...

Хороший вопрос, но сложный. :) Потому что у меня на машинах запрещено обновление ФФ системными средствами yum. И установлена старая стабильная версия; а в ней эти параметры (судя по всему, МоФо изобрела и встроила какие-то новые функции) отсутствуют.

Ну а виндов нет уже много лет; вот и изыскиваю сейчас извращенный способ запуска новых версий ФФ, чтобы не отстать от жизни. :) Пока приходится вылавливать новые строки, появляющиеся в ФФ, в интернете - в техновостях. Сообщили о внедрении какой-то новой службы - сразу же ищу возможности ее отключения.

Но вы особо не волнуйтесь: адрес сервера телеметрии в моем руководстве удален. Да и сам сервис отключен. Стало быть, телеметрию передавать некуда.

А вот в руководство предлагаемые вами параметры все же вставить надо. Вернусь домой - обязательно займусь. Равно как необходимо внести еще несколько новых строчек, например:

datareporting.policy.dataSubmissionEnabled.v2

(честно говоря, не знаю -  к каким именно версия ФФ она относится; скорее всего - тоже к новым)

Rosenfeld
Понятно.
Спасибо!:beer:
Тут (в теме) отсемафорите о внесённых изменениях?

Да. Когда руки дойдут.

После игры в about:config с параметрами куда-то задевался щиток, который сигнализировал о встроенной в FF защите от отслеживания (почему-то так нелюбимой).
А так же перестали появляться запросы на включение флэша.

Zerdsa пишет:

z_7 пишет:

настройка AJAX присутствует точно

Так Вы бы указали какие конкретно что ли.

я просто в about:config в поле поиска ввёл "ajax" и появились три настройки, которые содержат в значении "ajax", а именно:
devtools.gcli.jquerySrc;https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js
devtools.gcli.lodashSrc;https://cdnjs.cloudflare.com/ajax/libs/lodash.js/2.4.1/lodash.min.js
devtools.gcli.underscoreSrc;https://cdnjs.cloudflare.com/ajax/libs/underscore.js/1.7.0/underscore-min.js

как видите одна из них завязана на гугл, а две других на какое-то облако. может их просто обнулить? и приведёт ли это к отключению технологии ajax?

https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js
https://cdnjs.cloudflare.com/ajax/libs/lodash.js/2.4.1/lodash.min.js
https://cdnjs.cloudflare.com/ajax/libs/underscore.js/1.7.0/underscore-min.js

С первой строчкой все понятно; две последующие - это CDN-услуги от компании Cloudflare - указание на то, где брать скрипты.

https://ru.wikipedia.org/wiki/CDN
https://en.wikipedia.org/wiki/Cloudflare

Хотите - отключайте, хотите - нет. Дело хозяйское. Лично я не проверял.

z_7, возвращаясь к разговору о том, "чего нет в Windows" :) - если будет интересно (и разбираетесь в английском), просто взгляните - какие чудеса можно творить с помощью системы SELinux - неотъемлемой части ядра GNU/Linux:

скрытый текст
http://russianfedora.pro/content/dan-wa … д-selinux
https://people.redhat.com/dwalsh/
http://danwalsh.livejournal.com/

(пара нижних - ссылки на странички матерого АНБ-шника :) (USA National Security Agency) Дана Уолша, "папы" SELinux, который уже 15(!) лет "пилит" (в хорошем смысле этого слова) свое детище).

Daniel Walsh has worked in the computer security field for over 30 years. Dan joined Red Hat in August 2001. Dan leads the RHEL Docker enablement team since August 2013, but has been working on container technology for several years. He has led the SELinux project, concentrating on the application space and policy development. Dan helped developed sVirt, Secure Vitrualization. He also created the SELinux Sandbox, the Xguest user and the Secure Kiosk. Previously, Dan worked Netect/Bindview's on Vulnerability Assessment Products and at Digital Equipment Corporation working on the Athena Project, AltaVista Firewall/Tunnel (VPN) Products. Dan has a BA in Mathematics from the College of the Holy Cross and a MS in Computer Science from Worcester Polytechnic Institute.

Rosenfeld пишет:

Не нашел в вашей методике способов подмены заголовков: X-Forwarded-For и Accept header (...) Не уверен, что отключение указанных заголовков вообще возможно через about:config

Ну раз Вы сами не уверены, что это вообще возможно - т.е. их отключение средствами about:config, то и странно было бы искать данные настройки в моем руководстве. :) Не так ли?
.....
b]P.S.[/b] Лично у меня работой с заголовками частично занимается Polipo. Его конфиг описан в моем техблоге.

Не так :)
Это с Referrer всё понятно и просто, т.к. его легко вырубить ключами, содержащими его в названии. А вот заголовок E-tag Вы отключили не напрямую каким-то ключом из about:config, а опосредованно за счёт отключения кэширования. Таким образом, не исключено, что по аналогии с E-tag, какая-то другая конфигурация ключей сможет опосредованно подменить/отключить и заголовки X-Forwarded-For, Accept header. В противном случае, анонимность браузера исключительно средствами about:config не достигается, а сам браузер похож на незадачливого воришку, который скрывает отпечатки пальцев, но забыл вывести татуировки. Использование аддонов хоть и решит проблему, но тут же добавит две новых :( Использование полипо или прайвокси, тоже  несёт дополнительные риски, хоть и меньшие, чем при аддонах. Если эта задача в принципе не решаемая средствами about:config, то в дисклаймере, имхо, следует конкретизировать и это ограничение. Так будет честнее и это вовсе не умолит заслуг разработчика, а напротив добавит ему доверия.

[

09-06-2016 23:35:02

Rosenfeld пишет:

z_7, возвращаясь к разговору о том, "чего нет в Windows" :) - если будет интересно (и разбираетесь в английском), просто взгляните - какие чудеса можно творить с помощью системы SELinux - неотъемлемой части ядра GNU/Linux:

Спасибо, почитаю. А вот то, что разработчик из АНБ, имхо, не плюс, а минус, т.к. бывших разведчиков не бывает ;)

z_7

В противном случае, анонимность браузера исключительно средствами about:config не достигается, а сам браузер похож на незадачливого воришку, который скрывает отпечатки пальцев, но забыл вывести татуировки. Использование аддонов хоть и решит проблему, но тут же добавит две новых :( Использование полипо или прайвокси, тоже  несёт дополнительные риски, хоть и меньшие, чем при аддонах.

А какие предложения?

Мда., с E-tag та еще проблема, пробовал его убрать, ломается история сайтов.. :|

FMRUser

с E-tag та еще проблема, пробовал его убрать, ломается история сайтов

Т.е. все этим настройки вместе и по отдельности:

Выделить код

Код:

user_pref("network.http.use-cache", false);
user_pref("browser.cache.disk.enable", false);
user_pref("browser.cache.disk.capacity", 0);
user_pref("browser.cache.disk.smart_size.enabled", false);
user_pref("browser.cache.disk_cache_ssl", false);

создают проблемы?

Zerdsa пишет:

Т.е. все этим настройки вместе и по отдельности

У меня задача была отключить использование E-tag без отключения кэш. :(

FMRUser пишет:

У меня задача была отключить использование E-tag без отключения кэш.

:/
А что делали?

Zerdsa
В исходниках ковырялся. :rolleyes:

А вот заголовок E-tag Вы отключили не напрямую каким-то ключом из about:config, а опосредованно за счёт отключения кэширования. Таким образом, не исключено, что по аналогии с E-tag, какая-то другая конфигурация ключей сможет опосредованно подменить/отключить и заголовки X-Forwarded-For, Accept header.

Приятно пообщаться с компетентными людьми, которые, к тому же, могут вменяемо и четко излагать свои мысли на бумаге. :) Это я без иронии.

А на самом деле, мы сейчас играем в "угадайку": "не исключено, что... конфигурация сможет...", etc.

IMHO, единственная инстанция, которая могла бы прояснить этот вопрос - МоФо. Но им, повторюсь еще раз, по большому счету, пользовательская безопасность по-фи-гу. :) А уж тем более - какие-то там заголовки.

В противном случае, анонимность браузера исключительно средствами about:config не достигается, а сам браузер похож на незадачливого воришку, который скрывает отпечатки пальцев, но забыл вывести татуировки.

Мне понравился стиль Вашего изложения. :) Но сделаю несколько замечаний и приведу конкретные примеры.

1. Боюсь, что многие люди слегка путают "анонимность" и "безопасность". Это неравнозначные термины. Вот почему в моем руководстве на офсайте размещено специальное предупреждение:

Примечание 5: Рекомендуемые настройки увеличивают степень пользовательской приватности и безопасности, однако создают уникальный "цифровой отпечаток" браузера, который может способствовать уменьшению степени анонимности. Вам предоставляется право самостоятельно определять разумный баланс между приватностью/безопасностью и анонимностью.

Итак, делаем вывод... Повышение пользовательской безопасности путем "запрета всего" ОДНОЗНАЧНО снижает пользовательскую анономность. И - наоборот. Я хочу, чтобы это усвоили ВСЕ посетители данного форума.

Вот почему, кстати, я стараюсь в данной теме принципиально не обсуждать "луковичную" маршрутизацию. У нас просто разные пути и подходы. Они делают упор на анонимность, я - на безопасность. Это разные вещи.

Говоря проще, браузер, снабженный специфическими настройками, начинает выбиваться "из толпы подобных". И это может быть заметно третьей стороне. Мой основной посыл - усиление именно безопасности - как браузера, так (опосредованно) и всей ОС. Но при этом я предоставляю право конечному пользователю самому выбирать - в какую именно из сторон ему двигаться. То есть я предлагаю: "Слушай, парень, вот есть такие-то и такие-то методы. Они могут привести к тому-то или к тому-то. Выбирай сам - что тебе больше по вкусу (в зависимости от твоей личной ситуации и степени угроз)".

2. Ну а теперь - про нашего "воришку" :) и его отпечатки пальцев. Я же не зря совсем недавно приводил результаты прохождения Rosenfox'ом теста panopticlick - https://diasp.org/posts/5684577... Как видно из иллюстрации, улучшения ситуации все же есть. И большие. Для сравнения:

а) Mozilla Firefox (с практически дефолтными настройками; без дополнений и на чистом профиле):

text/html, */*; q=0.01 gzip, deflate ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3

б) Rosenfox (с моими настройками, опубликованными на GitHub):

text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 gzip, deflate en-us,en;q=0.5

Видите разницу? Насколько я понимаю, panopticlick вообще затрудняется определить - что за непонятная штуковина тестируется в настоящий момент и сообщает только: "Ну да... видно, что это какое-то неведомое приложение; что оно в состоянии обрабатывать чистый текст, HTML и XML, поддерживает сжатую передачу данных методами gnuzip и deflate; "понимает" при этом английский язык. И все. Точка! (если я тут не прав, прошу дополнить или опровергнуть - буду только рад)

Немного отвлекусь и покажу Вам прохождение того же самого теста посредством своего любимого Elinks с минимальными изменениями в текстовом конфиге (он подробно описан в моем техблоге)... Уверен, Вам будет не только интересно, но и поучительно! :) Смотрите:

https://diasp.org/posts/5710695

... Почувствовали разницу? Вот-вот! Она имеется и огромна! Я тут уже много-много лет не устаю говорить одну и ту же фразу:

Консольный браузер Elinks с незначительно измененными настройками НА ПОРЯДОК БЕЗОПАСНЕЕ (и анонимнее!), чем Mozilla Firefox! Особенно - используемый с промежуточными прокси.

Уже приводил такой пример. В моем user.js на GitHub - почти 350 строк! Для достижения гораздо БОЛЬШЕЙ степени безопасности в Elinks необходимо модифицировать строк 10. И это не шутка, а горькая правда жизни. :) Посмотрите сами, до какого уровня видоизменилась наша "проблемная" строчка:

*/* en-US

Нравится? :)

Если эта задача в принципе не решаемая средствами about:config, то в дисклаймере, имхо, следует конкретизировать и это ограничение. Так будет честнее и это вовсе не умоалит заслуг разработчика, а напротив добавит ему доверия.

Полностью согласен. Поскольку (я это заметил), Вы излагаете свои мысли в похожем на меня стиле (ну или наоборот) - был бы признателен, если Вы сформулируете этот дисклэймер; я его чуток подработаю и опубликую... Идет? :)

... Теперь вернемся к обеспечению безопасности в различных ОС и степени "доверия" к их разработчикам. Многим это будет неинтересно, поэтому прячу под спойлер:

скрытый текст

А вот то, что разработчик из АНБ, имхо, не плюс, а минус, т.к. бывших разведчиков не бывает ;)

Обычно я отвечаю на подобные заявления так: "Всё в этом мире относительно"... Для кого-то это минус, а для кого-то - большой плюс. :)

Поэтому главное - самостоятельно определиться, откуда у Вас исходит вектор угрозы: от ЦРУ, Моссада, НКВД, МИ-6 или румынской "дефензивы" :) И затем уж, отталкиваясь от первоначальных данных, необходимо выбрать методы работы и безопасный инструментарий.

К тому же, смотрите какая интересная штуковина получается...

1. "Луковица" (которой Вы наверняка пользуетесь, а значит - доверяете ей) - создана в лаборатории Военно-морского флота США.

2. Сертифицированная по высшим классам защиты так называемая "Мобильная система Вооружённых Сил РФ": https://ru.wikipedia.org/wiki/Моби … х_Сил - ПОЛНОСТЬЮ (за исключением "нескучных обоев" и переименованных названий программ) :) основана на американском  дистрибутиве Red Hat (над которым, кстати, трудился и трудится пресловутый Дан Уолш). Это уже, как Вы сами понимаете, долбаный стыд; ну так НИИ им. Соломатина еще и превратил его в проприетарный продукт, что является грубейшим нарушением исходной свободной лицензии.

3. Разработчик "Булавы" и "Ярсов" однозначно закупает и использует для проектирования американское ПО. И не только они: ЦМКБ "Алмаз" (военные суда), "Ильюшин", "Сухой", космическое НИИ им. Хруничева, Воронежский авиазавод... Для Вас это разве новость? Взгляните вот сюда: https://rns.online/military/Razrabotchi … 016-06-01/

4. Б-гомерзкий язык "Ада" успешно "позаимствован" :) у проклятых американцев, в частности - у Министерства обороны США и использовался при разработке ракет, а также (заметьте!) - при разработке станции документальной связи(!) МО РФ. При этом ее основной задачей является обеспечение обмена документальной информацией в сетях передачи данных Министерства Обороны Российской Федерации: https://ru.wikipedia.org/wiki/Ада_( … ания)

5. Когда Военно-морские силы РФ напрочь лишились оперативной связи с собственными боевыми кораблями и подлодками, то даже они не побоялись воспользоваться услугами ... английской спутниковой компании Inmarsat... Исторический факт! См.: http://izvestia.ru/news/539037

6. А интернетом Вы пользуетесь? :) А зря! Потому что по абсолютно официальным заявлениям, исходящим с самого высокого уровня - http://www.vesti.ru/doc.html?id=1512663, - этот сатанинский проект, цитирую дословно:

"... возник как спецпроект ЦРУ США, так и развивается"

6. Ну и последнее: сильно подозреваю, что сообщения выше Вы писали отнюдь не с девайса, произведенного где-нибудь в Зеленограде. :) Я прав?

> от ‹…› румынской "дефензивы"
Pan Rosenfeld, Defenzywa — to polska służba specjalna.

negodnik

скрытый текст

Pan Rosenfeld, Defenzywa — to polska służba specjalna.

Абсолютно правы! А румынская - это Сигуранца... :) Тем более, мне ли этого не знать - я там жил пару лет. Но оборот "румынская дефензива" - это устоявшийся литературный прием, призванный придать фразе комический и абсурдный смысл (поищите в интернете самостоятельно). Основан он, как и многие, на выражениях типа: "это ты рассказывай (спроси у...) пленным немецким румынам" и прочих. Почему так повелось - я не в курсе... И не знаю, обратили ли Вы внимание: там даже рядышком "смайлик" поставлен - специально для вас. :)


Лучше вот о чем пусть мне присутствующие скажут. Это просьба. В версии ФФ 47 появилась (ура-а-а-а!) новая эманация "цифровых наручников" (EME/DRM): проприетарного CDM Widevine. Вернее - возможность его загрузки. При этом NPAPI-плагин Primetime от Adobe (призванный выполнять схожие функции), похоже, пошел лесом...

В связи с этим (установить ФФ 47 я пока не могу по известным причинам) прошу пользователей чуток покопаться в about:config и посмотреть - какие именно строки:

1) блокируют возможность загрузки плагина;
2) указывают адрес для его скачивания;
UPD: 3) блокируют его запуск (выполнение).

Короче говоря, нужно искать строчку, "обслуживающую" вот этот процесс по отключению (и схожие):

https://support.mozilla.org/en-US/kb/enable-drm

Opt out of CDM playback, uninstall CDMs and stop all CDM downloads

You have the choice to globally opt out of HTML5 DRM playback. Once you opt out, Firefox will delete any downloaded CDMs from your hard drive, cease all future CDM downloads and disable DRM playback. This affects only DRM-controlled HTML5 audio and video. To opt out of HTML5 DRM playback completely, follow these steps:

    At the top of the Firefox window, click on the Firefox button and then select Options.At the top of the Firefox window, click on the Tools menu and then select Options.On the menu bar, click on the Firefox menu and select Preferences....At the top of the Firefox window, click on the Edit menu and select Preferences.

    Click the menu button New Fx Menu and choose Options.Preferences.

    Click the Content panel.

    !!! Remove the check mark next to Play DRM content.

UPD:

Нужно точное название плагина Widevine, употребляемое в about:config, чтобы прописать запрет на его использование в нижеописанной ситуации:

Disable the Google Widevine CDM without uninstalling

Disabling Google Widevine from the Add-ons Manager prevents it from running on your computer and prevents future updates from downloading. To disable this CDM plugin:

    At the top of the Firefox window, click on the Firefox buttonOn the menu bar, click on the Tools menuAt the top of the Firefox window, click on the Tools menu, and then click Add-ons. The Add-ons Manager tab will open. Click the menu button New Fx Menu and choose Add-ons. The Add-ons Manager tab will open.
    In the Add-ons Manager tab, select the Plugins panel.
    !!! Select Never Activate on the menu next to Widevine Content Decryption Module provided by Google Inc.

You may encounter sites where content playback is not possible without Google Widevine enabled. You may always turn Google Widevine on again by selecting Always Activate on the menu next to Widevine Content Decryption Module provided by Google Inc.

... то есть - внести его название в качестве примера в следующие строки, имеющиеся в руководстве:

Отключение отдельных плагинов:

    plugin.state.flash=0
    plugin.state.java=0
    plugin.state.quicktime=0

P.S. Попутно, кстати, присутствующие могут насладиться подсчетом количества багов, "сидящих" в этой замечательной проприетарной технологии:

https://wiki.mozilla.org/QA/Widevine_CDM#Bug_Work

https://wiki.mozilla.org/Media/EME#Bugs

"Хорошую, годную" штуковину засунули в браузер, не правда ли? :)

> обратили ли Вы внимание: там даже рядышком "смайлик" поставлен - специально для вас.
Ну конечно же, я так сразу и понял, что это для меня (но с’язвить всё равно очень хотелось).

> 1) блокируют возможность его загрузки; 2) указывают адрес для скачивания;
1)+2) media.gmp-manager.url;http://255.255.255.0  адрес один для H264, Adobe (который лесом не пошёл) и Widevine.
При media.gmp-provider.enabled;false всё-равно скачиваются, но отключены.
3)media.gmp-widevinecdm.enabled

А вообще мне кажется, что надо хотя бы часть настроек переносить в *.cfg, дабы они действовали уже при создании профиля.
Это ведь не противоречит Вашей идее (только config и без дополнений)? И, может быть, сосредоточиться на ESR, как
раньше и было у Вас в Rosenfox, чтобы каждые полтора месяца не переделывать всё?

Adobe (который лесом не пошёл)

UPD: Виноват, неправильно прочитал. Они от NPAPI собираются избавляться: https://en.wikipedia.org/wiki/NPAPI

Update, June 7, 2016: Support for Widevine is now available in the general Firefox release.

As we previously announced, Mozilla has been working to enable playback of HTML5 video content that requires DRM. Last year, we launched with Adobe’s Primetime CDM and now we will soon be testing Firefox support for Google’s Widevine CDM on Windows and Mac OS X. Firefox will download the CDM shortly after users first run Firefox after installing or upgrading. The CDM will be activated when users first interact with a site that uses Widevine.

Widevine support is an alternative solution for streaming services that currently rely on Silverlight for playback of DRM-protected video content. It will allow websites to show DRM-protected video content in Firefox without the use of NPAPI plugins. This is an important step on Mozilla’s roadmap to remove NPAPI plugin support.

Одним словом, огромное спасибо! То есть следует внести всего одну строчку:

media.gmp-widevinecdm.enabled=false

Кстати, а что по поводу строки plugin.state.бла-бла-бла=0? ... Не наблюдается там подобная?

Ведь по идее, widevinecdm - это отдельный плагин, значит он должен подчиняться общим правилам управления ими.

А вообще мне кажется, что надо хотя бы часть настроек переносить в *.cfg, дабы они действовали уже при создании профиля.
Это ведь не противоречит Вашей идее (только config и без дополнений)? И, может быть, сосредоточиться на ESR, как
раньше и было у Вас в Rosenfox, чтобы каждые полтора месяца не переделывать всё?

Ох... не знаю, не знаю. Если хотите, кстати, делайте на GitHub форк для Project Rosenfeld и издевайтесь там над ним, как пожелаете! :) ... Не?

> а что по поводу строки plugin.state.бла-бла-бла=0? ... Не наблюдается там подобная?
Наблюдается только для плагинов, установленных непосредственно в папку Firefox (или FirefoxPortable\App):
plugin.default.state, plugin.defaultXpi.state, plugin.state.flash, plugin.state.java.
А обсуждаемый плагин в профиль устанавливается: FirefoxPortable\Data\profile\gmp-widevinecdm

Созданный параметр plugin.state.widevincmd;0 ничего не меняет. Может надо как-то иначе писать.
И в менеджере дополнений неактивен пункт «Включать по запросу».
media.gmp-widevinecdm.enabled меняет только «Всегда включать» на «Никогда не включать».

> … и издевайтесь там над ним, как пожелаете! :) ... Не?
Не. Форк это лишняя ответственность. А издеваться над ещё живым человеком куда как приятнее.

Rosenfeld пишет:

media.gmp-widevinecdm.enabled

Что это за настройка? Из 47-ой уже?

Zerdsa
Update, June 7, 2016: Support for Widevine is now available in the general Firefox release.

Rosenfeld
Это Ваш самый последний и актуальный user.js?

Это Ваш самый последний и актуальный user.js?

Имеются какие-то другие варианты? :)

А издеваться над ещё живым человеком куда как приятнее.

О, как я Вас понимаю и поддерживаю!

P.S.

скрытый текст
Да, совсем забыл сообщить, что пятнадцать тысяч просмотров данной темы, накрутившиеся на счетчике форума с начала февраля 2016 г., вчера были отмечены небольшим фуршетом и большими возлияниями. Представители МоФо и местной администрации туда приглашены не были. :) Зато добрым словом неоднократно помянуты все форумные помощники в разработке.

Rosenfeld пишет:

Лучше вот о чем пусть мне присутствующие скажут. Это просьба. В версии ФФ 47 появилась (ура-а-а-а!) новая эманация "цифровых наручников" (EME/DRM): проприетарного CDM Widevine. Вернее - возможность его загрузки.

Где бы вот потестить Widevine на предмет проигрывания и паранойи?
Перебрал несколько мест: 1, 2, 3, 4
Ниче не понятно, через него идут некоторые ролики или нет? :/

В папке \gmp-widevinecdm\1.4.8.866\ - лежат 2 файла: widevinecdm.dll, manifest.json
в манифесте стоит update на  "https://clients2.google.com/service/update2/crx"
Получается обновление модуля прописано не через about:config, а через манифест :/ Или это только для Хромого?
Закомментировать строчку на всякий случай...?

Rosenfeld пишет:

При этом NPAPI-плагин Primetime от Adobe (призванный выполнять схожие функции), похоже, пошел лесом...

адобовский Primetime - ест только AVC:
APIs: decode-video[com.adobe.primetime:h264], decode-audio[com.adobe.primetime:aac], eme-decrypt-v7[com.adobe.primetime]
Libraries: dxva2.dll

гугловский же Widevine - более продвинутый (берет и свой родной VP9):  "x-cdm-codecs": "vp8,vp9.0,vorbis,avc1"
Вот на него и сделали ставку.

Уважаемый Rosenfeld!
Не могу зайти на форум с Вашим user.js.
Ввожу регистрационные данные. Вылетает сообщение: "FireFox заблокировал автоматическое перенаправление на другую страницу."
Жму "Разрешить".
И попадаю на главную форума не зарегистрировавшись.:|

Не могу зайти на форум с Вашим user.js.
Ввожу регистрационные данные. Вылетает сообщение: "FireFox заблокировал автоматическое перенаправление на другую страницу.
И попадаю на главную форума не зарегистрировавшись.:|

Это же замечательно! :) И свидетельствует сразу о нескольких вещах.

Первое. Предложенный user.js действительно РАБОТАЕТ - и именно так, как и было задумано.

Второе. Вы тотально НЕ ЧИТАЛИ НИ ОДНО из предупреждений, размещенных в самых разных местах. В частности, настоятельно рекомендую вызубрить наизусть следующую информацию с GitHub:

1) Примечание 0 - файл readme;

2) Примечание 2 - файл readme - О-БЯ-ЗА-ТЕЛЬ-НО!

3) Примечание 6 - файл readme - особенно последний абзац.

4) Третью и четвертую строки файла user.js:

// ATTENTION! Don't copy this EXAMPLE file to the new Firefox profile!
// Please insert preferred strings in about:config manually, one-by-one!

А вот когда хорошенько освоите и заучите эти предупреждения, вот тогда, я надеюсь, сами себе сможете дать ответ: что же такое запрещено в конфиге, что вас выкидывает с авторизации на форуме.

Успехов :)

Rosenfeld, спасибо - я обязательно прочту.

Rosenfeld пишет:

А вот когда хорошенько освоите и заучите эти предупреждения, вот тогда, я надеюсь, сами себе сможете дать ответ: что же такое запрещено в конфиге, что вас выкидывает с авторизации на форуме.

Что создаёт проблему я знаю. Видимо, от того что не читал предупреждения, решил что о проблеме стоит поставить в известность Вас.

О какой именно "проблеме"?

скрытый текст
(с) "Операция "Ы" и другие приключения Шурика":

- А старушка засвистела?

- Нет.

- Так чего ж вы прибежали?

Rosenfeld пишет:

[. Я же не зря совсем недавно приводил результаты прохождения Rosenfox'ом теста panopticlick - https://diasp.org/posts/5684577... Как видно из иллюстрации, улучшения ситуации все же есть. И большие.

Да есть, но я бы не зацикливался на https://panopticlick.eff.org/
имхо, https://www.browserleaks.com/ по-интереснее будет.

13-06-2016 23:36:04

Rosenfeld пишет:

Полностью согласен. Поскольку (я это заметил), Вы излагаете свои мысли в похожем на меня стиле (ну или наоборот) - был бы признателен, если Вы сформулируете этот дисклэймер; я его чуток подработаю и опубликую... Идет? :)

Идёт, вуаля:
1.Полное руководство по безопасности и приватности БРАУЗЕРА Mozilla Firefox (через about:config)
2.Примечание 7:
Данное руководство не является исчерпывающим средством достижения анонимности браузера Mozilla Firefox. Для обеспечения контроля над заголовками рекомендуется совместное использование с кэширующим вэб-прокси (например: Pryvoxy, Polipo и т.д.).

13-06-2016 23:40:08

Rosenfeld пишет:

... Теперь вернемся к обеспечению безопасности в различных ОС и степени "доверия" к их разработчикам. Многим это будет неинтересно, поэтому прячу под спойлер:

скрытый текст

А вот то, что разработчик из АНБ, имхо, не плюс, а минус, т.к. бывших разведчиков не бывает ;)

Обычно я отвечаю на подобные заявления так: "Всё в этом мире относительно"... Для кого-то это минус, а для кого-то - большой плюс. :)

Поэтому главное - самостоятельно определиться, откуда у Вас исходит вектор угрозы: от ЦРУ, Моссада, НКВД, МИ-6 или румынской "дефензивы" :) И затем уж, отталкиваясь от первоначальных данных, необходимо выбрать методы работы и безопасный инструментарий.

К тому же, смотрите какая интересная штуковина получается...

1. "Луковица" (которой Вы наверняка пользуетесь, а значит - доверяете ей) - создана в лаборатории Военно-морского флота США.

2. Сертифицированная по высшим классам защиты так называемая "Мобильная система Вооружённых Сил РФ": https://ru.wikipedia.org/wiki/Моби … х_Сил - ПОЛНОСТЬЮ (за исключением "нескучных обоев" и переименованных названий программ) :) основана на американском  дистрибутиве Red Hat (над которым, кстати, трудился и трудится пресловутый Дан Уолш). Это уже, как Вы сами понимаете, долбаный стыд; ну так НИИ им. Соломатина еще и превратил его в проприетарный продукт, что является грубейшим нарушением исходной свободной лицензии.

3. Разработчик "Булавы" и "Ярсов" однозначно закупает и использует для проектирования американское ПО. И не только они: ЦМКБ "Алмаз" (военные суда), "Ильюшин", "Сухой", космическое НИИ им. Хруничева, Воронежский авиазавод... Для Вас это разве новость? Взгляните вот сюда: https://rns.online/military/Razrabotchi … 016-06-01/

4. Б-гомерзкий язык "Ада" успешно "позаимствован" :) у проклятых американцев, в частности - у Министерства обороны США и использовался при разработке ракет, а также (заметьте!) - при разработке станции документальной связи(!) МО РФ. При этом ее основной задачей является обеспечение обмена документальной информацией в сетях передачи данных Министерства Обороны Российской Федерации: https://ru.wikipedia.org/wiki/Ада_( … ания)

5. Когда Военно-морские силы РФ напрочь лишились оперативной связи с собственными боевыми кораблями и подлодками, то даже они не побоялись воспользоваться услугами ... английской спутниковой компании Inmarsat... Исторический факт! См.: http://izvestia.ru/news/539037

6. А интернетом Вы пользуетесь? :) А зря! Потому что по абсолютно официальным заявлениям, исходящим с самого высокого уровня - http://www.vesti.ru/doc.html?id=1512663, - этот сатанинский проект, цитирую дословно:

"... возник как спецпроект ЦРУ США, так и развивается"

6. Ну и последнее: сильно подозреваю, что сообщения выше Вы писали отнюдь не с девайса, произведенного где-нибудь в Зеленограде. :) Я прав?


А я не питаю иллюзий на счёт Tor, если я не ошибаюсь, то военное ведомство США до сих пор частично финансирует данный проект. Сложно представить, чтобы Пентагон вкладывал миллиарды в системы, которые «спалил» Сноуден, а затем сам же финансировало их обход. Поэтому с Вашими выводами по ограничению на использование Tor я согласен. Что касается операционок, то показательной будет опубликованная переписка между Тео де Раадтом и его коллегой по разработке OpenBSD, предусмотрительно завербованным ФБР.
http://www.cybersecurity.ru/news/111419.html
И хотя бэкдоры не найдены, осадочек, как в известном анекдоте, остался. Теперь найдите долю рынка, которую контролирует OpenBSD, что уж говорить про более популярные ОСи?! Выводы делайте сами :)

Да есть, но я бы не зацикливался на https://panopticlick.eff.org/

А я никогда и не зацикливался. Если Вы пролистаете всю тему вверху, то обязательно увидите, как я отбивался от попыток "полного прохождения теста". :) Это поучительно.

Примечание 7:
Данное руководство не является исчерпывающим средством достижения анонимности браузера Mozilla Firefox. Для обеспечения контроля над заголовками рекомендуется совместное использование с кэширующим вэб-прокси (например: Pryvoxy, Polipo и т.д.).

Вот. Спасибо! Общая идея ясна. Но мы сделаем немножко по-другому. Понимаете, в чем дело: во "вводной части", т.е. в файле readme, идут общие положения и предупреждения. Поэтому выносить туда мелкую частность - советы об иных методах работы с заголовками - было бы некорректно. Поэтому я сделаю что-то типа такого:

Примечание 7. Предлагаемые изменения внутренних настроек Mozilla Firefox посредством about:config в любом случае не являются достаточным средством для обеспечения тотальной (системной) пользовательской безопасности и анонимности. Этот процесс обязан быть непрерывным, комплексным и, помимо правильных настроек браузера, включать в себя как адекватную оценку степени гипотетических угроз и их вектора, так и расширенные методы и способы достижения поставленных целей. Однако рассмотрение комплексной защиты операционных систем выходит за пределы данного руководства.

А вот в описании настроек мы дадим следующее:

E-TAGS FINGERPRINTING (... сча меня negodnik убьет за дефис в E-tags!) :)

(...)

(добавляем последний абзац):

Для обеспечения улучшенного контроля HTTP-заголовков рекомендуется совместное использование браузера с локальным прокси-сервером: Privoxy, Polipo и т.д.

Примечание: Privoxy все же лучше писать через "i" (privacy + proxy), as a "privacy enhancing proxy". :) И еще нюансик - он НЕ является кэширующим прокси. Я сам часто ошибаюсь в этом, когда что-то начинаю объяснять.

UPDATED: ... Ну а теперь вернемся к нашим баранам - к склочному и вздорному мужику по имени Тео: :)

скрытый текст

Что касается операционок, то показательной будет опубликованная переписка между Тео де Раадтом и его коллегой по разработке OpenBSD, предусмотрительно завербованным ФБР. http://www.cybersecurity.ru/news/111419.html И хотя бэкдоры не найдены, осадочек, как в известном анекдоте, остался. Теперь найдите долю рынка, которую контролирует OpenBSD, что уж говорить про более популярные ОСи?! Выводы делайте сами :)

Ох-ох... Я не способен на скоропалительные выводы. И хотя за данной ситуацией я с интересом следил, похоже она закончилась ничем, то есть "пшиком".

Вот смотрите сами:

1. Было это в далеком 2000-м году, когда самой OpenBSD едва-едва исполнилось... три-четыре годика. Первый вопрос - нафига внедряться в сырую и непопулярную ОС?

2. Искомая фраза:

"Я хотел, чтобы все узнали, что ФБР развернуло несколько лазеек и обходных механизмов в OCF, чтобы иметь возможность отслеживать некоторые сайты и механизмы шифрования данных в VPN-сетях... - пишет Перри.

... выглядит ОЧЕНЬ сомнительно. "Если ЗНАЕШЬ - так ПОКАЖИ!" А иначе зачем воздух-то сотрясать? :)

Все присутствующие, наверное, слышали о компании Dr.Web? Ну так вот - с завидной периодичностью они публикуют "ужасающие разоблачения" (особенно этим славится ОпенНет):

ДЛЯ ЛИНУКС ОПЯТЬ(!) ОБНАРУЖЕН СТРАШНЫЙ ТРОЯН, КОТОРЫЙ ВЫНОСИТ-ВЕСЬ-МОЗГ-И-ВЕЩИ-ИЗ-КВАРТИРЫ!!! ОЙ-СПАСИТЕ-ПОМОГИТЕ! ЭТО МЫ, МЫ ЕГО ОБНАРУЖИЛИ!!!111 И РАЗРАБОТАЛИ НАДЕЖНОЕ СРЕДСТВО ДЛЯ БОРЬБЫ С ЭТИМ ЗЛОВРЕДОМ!1111"

Ага! :) Начинаешь разбираться. И получается полный качественный bullshit! :) Потом что "злобный супертроян" - опять из серии "скрипт, который пользователю надо запустить руками" (вначале, естественно, заполучив при этом права администратора).

Зато цель(!) такой "новости" однозначно достигнута - во всех СМИ появляется очередное упоминание компании, плюс - информация о том, какие они молодцы и как доблестно справились с заразою. Полагаю, это сильно увеличивает количество продаж ПО под винду :) (ибо там пользователи шибко пугливые).

Поэтому кто знает: может это часть рекламной кампании компании Netsec: "Вон мы какие крутые программеры и "ксакепы", к нам даже ФБР обращалась за помощью!" Ведь доказать или опровергнуть их голословное утверждение все равно невозможно. :)

3. Никто никого не вербовал. Грегори Перри (якобы!) просто дал подписку о неразглашении (содержимого беседы; письменного обращения; определенных следственных действий и т.п.). Это стандартная процедура существует в законодательстве практически всех цивилизованных стран и НЕ ПРЕВРАЩАЕТ человека в какого-то там "агента". Допустим, Вы тоже сможете попасть в схожую ситуацию и поставить подпись "о не разглашении". И что же - мне Вам после этого не подавать руки и считать "стукачком ментовским"? :)

4. Часть фразы: "чтобы иметь возможность отслеживать некоторые сайты" тоже звучит сомнительно. Если "некоторые сайты" (то есть конкретно попавшие в оперативную разработку), то попросту не стоит овчинка выделки... Нанимание целой конторы сторонних (зачем?!) программистов, обеспечение режима секретности, внедрение "дыр", "взлом ОС" и прочее - и все ради каких-то там паршивых пары-тройки сайтов? :) (с) "Это несерьезно!"

5. Похоже, самым трезвым :) оказался сотрудник ФБР, констатировавший:

"Развертывание бэкдоров внутри программного обеспечения с открытым кодом - это полный идиотизм. Программные коды полностью открыты и доступны всем. Если ФБР создавало бэкдоры в OpenBSD, то сейчас бы вся система была поражена закладками и хакерскими системами. Код системы создан таким образом, что кто угодно может получить к нему доступ", - говорит Эдвард Хилберт, следователь ФБР из подразделения компьютерных преступлений.

6. Ну и последнее. Закончилась эта история полным нулем:

On 11 December 2010, a former government contractor named Gregory Perry sent an email to OpenBSD project leader Theo de Raadt alleging that the FBI had paid some OpenBSD ex-developers 10 years previously to compromise the security of the system, inserting "a number of backdoors and side channel key leaking mechanisms into the OCF." Theo de Raadt made the email public on 14 December by forwarding it to the openbsd-tech mailing list and suggested an audit of the IPsec codebase. De Raadt's response was skeptical of the report and he invited all developers to independently review the relevant code. In the weeks that followed, bugs were fixed but no evidence of backdoors was found.

А посему, вся ситуация сильно напоминает мне "разоблачителя"-Сноудена. Вы не обращали внимания на достаточно частые (и счастливые!) совпадения: как только на определенной части суши затевается очередная неведомая фигня, так Сноуден вновь и вновь появляется на сцене и камуфлирует ее своими "разоблачительными" выступлениями по типу: "А зато в Америке негров на улицах убивают"...? :)

Ну или (для разнообразия): "США опять(!) хочет анально поработить весь мир, похитить с вашего айфончика все картинки прыщавой одноклассницы из "ФКонтахтика", удалить все home video, а потом и отключить у вас интернет!" https://forum.mozilla-russia.org/viewtopic.php?id=69349

Так что это - типичный "агент влияния", а все его "разоблачительные" выступления (которые длятся, если я не ошибаюсь, уже годика два-три) - всего лишь дымовая завеса... "Слышь, парень, если что-то знаешь, так скажи. Всё и сразу! А нечего тянуть кота за гениталии". Но Сноуден, как хорошая и годная :) кхм... Шахерезада, выдает свои истории порционно. Иначе к нему пропадет интерес!

Rosenfeld пишет:

О какой именно "проблеме"?

скрытый текст
(с) "Операция "Ы" и другие приключения Шурика":

Это из раздела

Rosenfeld пишет:

А издеваться над ещё живым человеком куда как приятнее.

?;)

Почему в вашем варианте настроек в about:preferences#security Общие -> Исключения -> Разрешённые сайты-Установка дополнений не удаляются
addons.mozilla.org и marketplace.firefox.com? Их наличие в исключениях никак не сказывается на безопасности?

Заметил ещё такой интересный момент (не знаю только отнести его к достоинствам или недостаткам Вашего конфига).
При включении в Вашем конфиге Защит от отслеживания (с Базовой не проверял - только со Строгой) на всех сайтах на которых я тестировал (rambler.ru и т.д.) срабатывала защита и её отключение. А на https://wiki.mozilla.org/Security/Tracking_protection она даже не включилась. При этом она нормально включается и работает на этом сайте без Вашего конфига.

Может я чего ни так, но если по теме форума, то зачем изобретать велосипед, когда всё уже наработано _https://www.privacytools.io/#addons Настройки там же есть. Чтобы не париться, можно использовать дополнение с автоматическими настройками для разного уровня приватности включая максимальный https://addons.mozilla.org/en-US/firefox/addon/privacy-settings/

Тестировать Random Agent Spoofer лучше тут _https://whoer.net/#extended Настройки приватности тут _http://ip-check.info/?lang=en

Если я чего не понял, то прошу пардона!

Может я чего ни так, но если по теме форума, то зачем изобретать велосипед, когда всё уже наработано... Настройки там же есть. Чтобы не париться, можно использовать дополнение с автоматическими настройками для разного уровня приватности включая максимальный

Если я чего не понял, то прошу пардона!

... Ничего страшного. Просто невнимательно прочитали преамбулу, которой открывается проект:

Задачи повышения безопасности и приватности, а также достижения должной степени анонимности с целью предотвращения возможных атак и сбора данных третьей стороной решаются, как правило, установкой сторонних дополнений в Mozilla Firefox, что отрицательно сказывается на скорости загрузки и работы браузера. Кроме того, в сторонних дополнениях не гарантируется отсутствие утечек, уязвимостей и встроенных средств несанкционированного доступа.

Данное руководство обеспечивает максимум безопасности и повышает анонимность конечного пользователя исключительно за счет внутренних настроек браузера, вызываемых через about:config.

Основной принцип, использовавшийся при составлении данного руководства:

"ЗАПРЕЩЕНО ВСЁ, ЧТО ЯВНО НЕ РАЗРЕШЕНО ПОЛЬЗОВАТЕЛЕМ!"

https://github.com/RamiRosenfeld/Rosenfox

Понимаете, в чем дело... Лет двенадцать назад, "когда деревья были большими", а Ваш покорный слуга начинал со "стартовой" версии ФФ - то есть с vv. 0.8 - 0.9, я тоже пребывал в счастливой уверенности, что стоит понавставлять в браузер побольше дополнений и - вуаля! - задача обеспечения безопасности непременно будет решена! :)

Прошли годы, я чуток поумнел (надеюсь!) и осознал, что дело обстоит не так просто. Или, говоря замечательными словами американского писателя Уилльяма Берроуза:

A paranoid is a man who knows a little of what's going on.

Параноик - это человек, который кое-что понимает в происходящем. :)

Вот почему вместо усложнения задач (и "навороченности" софта, который их обслуживает) я пришел к их упрощению и минимизации; равно как и к выводу, что лучшего средства, чем консоль Linux (да-да, тот самый черный голый экранчик с мигающими на нем зелеными буковками) человечество пока ничего не выдумало. :)

Теперь по поводу процитированной Вами ссылки (я ее специально дублирую в своем сообщении): https://www.privacytools.io/

Во-первых, однозначно спасибо, что Вы ее привели. Как раз чуть выше мы с коллегами говорили о необходимости системного и комплексного подхода к обеспечению безопасности (и одним браузером здесь не обойдешься). Надеюсь, что данная ссылка (и материалы, размещенные на этом ресурсе), подвигнут некоторых пользователей форума пересмотреть свои подходы к обеспечению безопасности.

Во-вторых (увы!) - просмотрев информацию, собранную и систематизированную на предлагаемом Вами сайте, я понял несколько вещей:

1.  Человек (или люди), делавший эту подборку, сам НЕ является пользователем GNU/Linux; соответственно, большинство рекомендаций и ссылок также рассчитаны на поклонников Windows. А это, с точки зрения обеспечения безопасности, абсолютно несерьезно. Почему именно - см. дискуссию чуть выше (в текущей теме).

2. Исходя из п. 1, набор софта, подобранный там, не всегда свидетельствует о профессиональном подходе к его выбору. Например:

- в  разделе "File Encryption Software" в качестве средства для шифрования файлов предлагается ... архиватор PeaZip, что, как Вы понимаете, ни в какие ворота не лезет! Да и вообще, в целом: судя по всему, люди не знают, что для надежного и полнораздельного/либо_пофайлового шифрования используются совсем другие "классические" средства: LUKS, EncFS и т.п.

- в разделе "Secure File Sync Software" приведен набор достаточно экзотических и малораспространенных средств; в то же самое время не упомянуто, пожалуй, основное "классическое" средство синхронизации - rsync;

- в весьма деликатном разделе "Password Manager Software" приведена ссылка на "облачный" сервис хранения ВСЕЙ "чувствительной" пользовательской информации - Encryptr. Такая "рекомендация" является полным идиотизмом:

Encryptr (Cloud Based)
EncryptrEncryptr is simple and easy to use. It stores your sensitive data like passwords, credit card data, PINs, or access codes, in the cloud.

- в разделе "Privacy Email Tools" в качестве средства шифрования предлагается именно gpg4usb (то есть у людей в голове даже не существует предположения, что GnuPG может являться частью операционной системы! :) Ну и, как Вы, наверное, догадываетесь, хранить ключи шифрования на флэшке, мягко говоря, не самая хорошая идея. :) Вот почему я за версту чую "виндовую" психологию владельцев сайта;

- в разделе "Encrypted Instant Messenger" приведены исключительно "новомодные" и "навороченные" клиенты. В то же самое время, похоже, что люди и представления не имеют о существовании такого проверенного годами и надежного софт как mcabber, pidgin и т.п.

- в разделе "PC Operating Systems" приведен ОЧЕНЬ странный набор рекомендуемых операционных систем, относящихся к GNU/Linux: Debian, Trisquel и ... Qubes OS. И если третий (Qubes OS; разработка Иоанны Рутковской на базе гипервизора Xen) - действительно серьезная и безопасная ОС (предназначенная для специалистов), то с  Debian и Trisquel они чуток поторопились: первый дико консервативен в области своевременных апдейтов (и к тому же, как я побаиваюсь, вот-вот развалится из-за смерти главного разработчика и общего раздрая в команде), а второй... основан на "Убунточке" - что с точки зрения обеспечения безопасности - одно из самых ненадежных решений. Кроме того, предлагать для "безопасного" использования live-дистрибутивы типа Puppy Linux и Knoppix я бы точно не стал!

З. Набор изменений в about:config для Firefox краток и примитивен. Специально для Вас: https://github.com/RamiRosenfeld/Rosenf … er/user.js (можете сравнить)

***

Общий смысл: выглядит это все так, будто какому-то "продвинутому" офисному менеджеру дали срочное задание: "Ну-ка сядь и поищи в интернете средства для обеспечения безопасности, да побольше! Нам стартовую страничку сайта заполнить нужно!" :)

НО(!) - отдаю им свою толику уважения. Многие серьезные вещи они рекомендуют правильно и оправданно. Например:

- некоторые почтовые сервисы, такие как Tutanota;
- GnuPG;
- Claws Mail; K-9 Mail;
- KeePassX; Password Safe;
- клиенты для децентрализованных сетей;
- свободные социальные сети (diaspora*) и средства (GNU social) свободного микроблоггинга (сам пользуюсь и другим рекомендую!);
- DNSCrypt - средство получения DNS по защищенному каналу из любых источников.


Одним словом, моя надежда вот на что: попадет на данный сайт человек, мало знакомый со средствами обеспечения безопасности; попробует одно-другое-третье... Набьет себе побольше шишек, незаметно втянется в этот увлекательный процесс... и рано или поздно и вполне логично придет к Linux! :) ... Чего и вам всем искренне желаю!

UPD: И самое главное, что мне НЕ понравилось на этом сайте:

скрытый текст
... - это заунывные церковные песнопения Сноудена, приведенные в самом низу.

Мне порою делается смешно: люди на весь мир клянут сатанинское АНБ... и в то же время тут же(!), не отходя от кассы, рекомендуют пользоваться ее многочисленными разработками, которые входят во многие действительно качественные программные продукты.

Если мне не изменяет память, подобное заболевание называется "раздвоение личности" :) Как свидетельствует Википедия: "Причинами этого расстройства служат тяжёлые эмоциональные травмы в раннем детстве, повторяющееся экстремальное физическое, сексуальное или эмоциональное насилие".

При этом она нормально включается и работает на этом сайте без Вашего конфига.

Не могу ничего сказать. Я ж не ясновидящий. :) Для этого нужно воспроизводить ситуацию - и уже не с моими настройками, а с Вашими. Я ж не в курсе, что Вы там "подкрутить" успели и насколько это серьезно. Впрочем, судя по некоторым вашим недавним сообщениям и темам - "подкрутили" Вы браузер достаточно лихо. :)

Почему в вашем варианте настроек в about:preferences#security Общие -> Исключения -> Разрешённые сайты-Установка дополнений не удаляются
addons.mozilla.org и marketplace.firefox.com?

Большая просьба: ВСЕГДА конкретизируйте свои высказывания, то есть вместо "У ВАС" смело вставляйте фразу "У МЕНЯ" или подобные. Например:

Почему в моем варианте настроек ... не удаляются?

... - по той весомой причине, что у меня - все замечательным образом удаляется. Только что проделал этот фокус:

https://diasp.org/posts/5727559 (обратите внимание на дату и время создания записи)

А то (я этого побаиваюсь) из-за таких вот Ваших замечаний у неподготовленных пользователей может сложится впечатление, что им предлагают не рабочий конфиг, а срань Г-дню! :) А я бы этого не хотел!

Rosenfeld пишет:

Большая просьба: ВСЕГДА конкретизируйте свои высказывания, то есть вместо "У ВАС" смело вставляйте фразу "У МЕНЯ" или подобные.

Я обязательно это учту конечно же. Но в данном конкретном случае МОИ настройки - полная копия ВАШИХ без единого изменения на чистом конфиге.

Rosenfeld пишет:

Почему в моем варианте настроек ... не удаляются?

... - по той весомой причине, что у меня - все замечательным образом удаляется.

Проверю ещё раз но чуть позже.

(с) А что тут пить проверять?"

Вот я еще раз осуществил данную операцию - на новом профиле с моими настройками, девственном, словно третьеклассница в гольфиках и с бантиком:

https://diasp.org/posts/5727753

За данные параметры отвечают строки:

xpinstall.whitelist.add.180;marketplace.firefox.com
xpinstall.whitelist.add;addons.mozilla.org

Rosenfeld, не вижу причины Вам не верить - я же использую Ваш кофиг!
Освобожусь - проверю ещё раз. Может где-то что-то просмотрел.

P.S. А Вы давно их добавили в Ваш конфиг (это вообще он :o)?

Кого "их"? Конкретизируйте, пожалуйста.

P.S. Я в конфиг ничего не добавляю, а, наоборот, удаляю оттуда всякую нечисть... :) Во-всяком случае, стараюсь так делать. Вот почему и не понял ваш вопрос.

Rosenfeld пишет:

Кого "их"? Конкретизируйте, пожалуйста.

Rosenfeld пишет:

строки:

    xpinstall.whitelist.add.180;marketplace.firefox.com
    xpinstall.whitelist.add;addons.mozilla.org

А Вы давно их добавили в Ваш конфиг (это вообще он :o)?

Эти строки я в СВОЕ руководство и в СВОЙ файл-примера user.js НЕ добавлял (и НЕ собирался пока в принципе это делать).

Оба вышеуказанных файла находятся на своем законном месте. И они существуют там в ЕДИНИЧНОМ количестве:

https://github.com/RamiRosenfeld/Rosenf … er/user.js
https://github.com/RamiRosenfeld/Rosenf … l_ru-RU.md

Других (старых, промежуточных и т.п.) вариантов ЛЮБЫХ файлов на GitHub у меня НЕТ и никогда НЕ БЫЛО.

Rosenfeld
> За данные параметры отвечают строки:
    xpinstall.whitelist.add.180;marketplace.firefox.com
    xpinstall.whitelist.add;addons.mozilla.org
> ...НЕ добавлял (и НЕ собирался пока в принципе это делать).

«Мы едем на спущенных шинах». Вы используете версию Fx древнее чем 24 (что видно по строчным en-us, несмотря на пустой UA).
Пока Вы не поставите хотя бы 45ESR толку не будет.

xpinstall.whitelist.add.180, xpinstall.whitelist.add.36, xpinstall.whitelist.add уже нет.
Добавление/удаление сайтов в Настройки -> Защита -> Общие -> Исключения -> Разрешённые сайты
никак не отражается в prefs.js

И не надо нам рассказывать, что идеологические соображения не позволяют Вам ставить новые версии.
Я тоже в мирной жизни Fx47  не использую, а токмо в научно-исследовательских целях.
Как писал Венедикт Ерофеев: «Что может быть благороднее, чем эксперементировать на себе?»

Вот это адресочки тоже, наверное, можно удалить:
extensions.getAddons.get.url
extensions.getAddons.recommended.url
extensions.getAddons.search.browseURL
extensions.getAddons.search.url
extensions.systemAddon.update.url
extensions.update.background.url

Вы используете версию Fx древнее чем 24

Врете-врете! :) Больше, гораздо больше у меня версия!

Я тоже в мирной жизни Fx47  не использую, а токмо в научно-исследовательских целях.

Не, у меня слишком обухоженные и обустроенные машины, чтобы туда затаскивать новые версии ФФ.

(с) "Дело было не в дрезине..."

negodnik пишет:

xpinstall.whitelist.add.180, xpinstall.whitelist.add.36, xpinstall.whitelist.add уже нет.
Добавление/удаление сайтов в Настройки -> Защита -> Общие -> Исключения -> Разрешённые сайты
никак не отражается в prefs.js

А как тогда список разрешённых сайтов очищается не через about:about:preferences#security (через about:config)?

[Это временное сообщение и вскоре оно будет удалено]:

скрытый текст
Прошу прощения, я дней -надцать буду на природе и без интернета. Никому ответить, увы, не смогу]

А-а-а-у, negodnik! Ну где же Вы? :)

Shit happens! ... Оно все-таки случилось! Мне, увы, пришлось, поставить себе свеженькую и девственно чистую ОС, ну а с нею пришел и ФФ 47+. Провозился практически сутки с настройками (можете считать, что написал прямо здесь пару страничек с обсценной лексикой). :)

Пока что привожу голые результаты исследований - параметры-кандидаты на включение в руководство (их так много, что тянут на новую версию, v. 0.3). А комментировать буду позже, в следующем сообщении, ибо вчера-сегодня чертовски устал.

Итак, https://en.wikipedia.org/wiki/Shit_happens:

1. DOM

dom.push.connection.enabled;false
dom.push.enabled;false
dom.push.adaptive.enabled;false
dom.push.udp.wakeupEnabled;false
dom.push.serverURL;

dom.caches.enabled;false
dom.fileHandle.enabled;false
dom.indexedDB.experimental;false
dom.indexedDB.logging.details;false
dom.indexedDB.logging.enabled;false
dom.mms.requestReadReport;false
dom.mms.requestStatusReport;false
dom.presentation.enabled;false
dom.forms.autocomplete.experimental;false
dom.image.picture.enabled;false
dom.imagecapture.enabled;false

УСТАРЕЛИ:

    dom.fetch.enabled=false
    dom.identity.enabled=false

2. COOKIES

network.cookie.thirdparty.sessionOnly;false

3. MULTIMEDIA

media.mediasource.enabled;false
media.mediasource.mp4.enabled;false
media.mediasource.webm.audio.enabled;false
media.mediasource.webm.enabled;false

media.mp4.enabled;false
media.ffmpeg.enabled;false
media.ffvpx.enabled;false

media.gmp.decoder.enabled;false
media.encoder.webm.enabled;false

УСТАРЕЛИ:

    media.fragmented-mp4.gmp.enabled=false
    media.fragmented-mp4.enabled=false
    media.gmp-manager.log=false

4. REFERERS

network.http.sendSecureXSiteReferrer=false (настройка может отсутствовать или использоваться в Android) - ПОЯВИЛАСЬ!

5. NETWORK: PIPELINING, DNS, PREFETCH, PING, SSl

security.ssl.errorReporting.url;

УСТАРЕЛА:

    network.http.keep-alive=true

6. CLEAN

privacy.clearOnShutdown.openWindows;true

7. PLUGINS (FLASH, JAVA) и т.п.

УСТАРЕЛИ:

    pfs.datasource.url=
    plugins.hideMissingPluginsNotification=true

8. SESSIONS, HISTORY

browser.sessionstore.restore_on_demand;false
browser.sessionstore.restore_pinned_tabs_on_demand;false
browser.sessionstore.restore_hidden_tabs;false

УСТАРЕЛИ:

    browser.sessionstore.enabled=false    - ВНИМАНИЕ! ВОЗМОЖНО ХРАНЕНИЕ СЕССИИ НЕ ОТКЛЮЧАЕТСЯ ВООБЩЕ!

    browser.sessionstore.privacy_level_deferred=2

9. CACHE

УСТАРЕЛА:

    browser.cache.memory.capacity=0

ВМЕСТО НЕЕ:

browser.cache.memory.max_entry_size;

10 .GEO-IP, SEARCH: GEO-IP

browser.search.geoSpecificDefaults.url;
browser.search.geoip.url;
browser.search.geoip.url=false (настройка может отсутствовать или устареть) - ПОЯВИЛАСЬ!

11. UPDATES: BROWSER, PERSONAS, SEARCH PLUGINS, PLUGINS

app.update.autoInstallEnabled;false
extensions.update.background.url;
extensions.getAddons.search.browseURL;
extensions.getAddons.get.url;
extensions.getAddons.link.url;
extensions.systemAddon.update.url;
extensions.webservice.discoverURL;
extensions.logging.enabled;false

12. DNT, TRACKING PROTECTION

privacy.trackingprotection.introURL;
privacy.trackingprotection.ui.enabled;false

УСТАРЕЛА:

    privacy.donottrackheader.value=1 (перестал присутствовать переключатель "политики"!)

ВНИМАНИЕ: ССЫЛКИ НА ИСТОЧНИКИ (судя по всему) убраны из about:config куда-то "глубже"!

    browser.trackingprotection.gethashURL=
    browser.trackingprotection.updateURL=

13. POCKET

extensions.pocket.enabled;false
extensions.pocket.api;
extensions.pocket.site;

УСТАРЕЛА:

    browser.pocket.enabled=false

14. GOOGLE

ГЛОБАЛЬНЫЕ ИЗМЕНЕНИЯ НАСТРОЕК И ССЫЛОК:

browser.safebrowsing.blockedURIs.enabled;false
browser.safebrowsing.downloads.remote.block_dangerous;false
browser.safebrowsing.downloads.remote.block_dangerous_host;false
browser.safebrowsing.downloads.remote.block_potentially_unwanted;false
browser.safebrowsing.downloads.remote.block_uncommon;false
browser.safebrowsing.downloads.remote.enabled;false
browser.safebrowsing.forbiddenURIs.enabled;false

browser.safebrowsing.downloads.remote.url;
browser.safebrowsing.provider.google.gethashURL;
browser.safebrowsing.provider.google.lists;
browser.safebrowsing.provider.google.reportURL;
browser.safebrowsing.provider.google.updateURL;
browser.safebrowsing.provider.mozilla.gethashURL;
browser.safebrowsing.provider.mozilla.lists;
browser.safebrowsing.provider.mozilla.updateURL;
browser.safebrowsing.reportMalwareMistakeURL;
browser.safebrowsing.reportPhishMistakeURL;
browser.safebrowsing.reportPhishURL;

15. SYNC

services.sync.log.appender.file.logOnError;false
services.sync.log.appender.file.logOnSuccess;false

УСТАРЕЛИ:

    services.sync.tokenServerURI=obsolete
    services.push.serverURL=obsolete

identity.fxaccounts.profile_image.enabled;false
identity.fxaccounts.remote.profile.uri;
identity.fxaccounts.remote.webchannel.uri;
identity.sync.tokenserver.uri;

media.peerconnection.identity.enabled;false
toolkit.identity.enabled;false

Рекламные ссылки для Android & iOS:

identity.mobilepromo.android;
identity.mobilepromo.ios;

16. MARKETPLACE

offline-apps.allow_by_default;false

УСТАРЕЛА:

    browser.apps.URL

17. HELLO

loop.throttled2 obsolete
loop.feedback.formURL;
loop.feedback.manualFormURL;
loop.remote.autostart;false
loop.facebook.enabled;false
loop.facebook.appId;
loop.copy.throttler;
loop.facebook.fallbackUrl;
loop.facebook.shareUrl;
loop.linkClicker.url;

УСТАРЕЛИ:

    loop.learnMoreUrl
    loop.oauth.google.scope
    loop.soft_start_hostname

18. SPDY

network.http.spdy.enabled.deps;false

УСТАРЕЛИ:

    network.http.spdy.enabled.http2draft
    network.http.spdy.enabled.v3=

19. TELEMETRY

toolkit.telemetry.reportingpolicy.firstRun;false

toolkit.telemetry.archive.enabled;false - ВНИМАНИЕ! ЭТА ОПЦИЯ ОТВЕЧАЕТ ЗА АРХИВИРОВАНИЕ ОТЧЕТОВ!

toolkit.telemetry.cachedClientID; - УДАЛЕНИЕ ИДЕНТИФИКАТОРА ПРИВОДИТ К АВТОГЕНЕРАЦИИ НОВОГО!
toolkit.telemetry.previousBuildID;  - УДАЛЕНИЕ ИДЕНТИФИКАТОРА ПРИВОДИТ К АВТОГЕНЕРАЦИИ АНАЛОГИЧНОГО!


ВНИМАНИЕ! ОЧЕНЬ ВАЖНО. ДЛЯ ЗАПРЕТА ОТСЫЛКИ ТЕЛЕМЕТРИИ НЕОБХОДИМО ОТКЛЮЧИТЬ ОБЕ(!) ОПЦИИ:

toolkit.telemetry.unified;false

    This controls whether unified behavior is enabled. If true:

        Telemetry is always enabled and recording base data.
        Telemetry will send additional main pings.

toolkit.telemetry.enabled;false

    If unified is off, this controls whether the Telemetry module is enabled. If unified is on, this controls whether to record extended data. This preference is controlled through the Preferences dialog.

http://gecko.readthedocs.io/en/latest/t … index.html


20. HEARTBEAT

browser.selfsupport.url= (возможно, настройка может существует только в версии для Android) - ПОЯВИЛАСЬ!

21. CAST/CAPTURE/SCREENSHARING

media.getusermedia.agc_enabled;false
media.getusermedia.aec_enabled;false
media.getusermedia.noise_enabled;false
media.getusermedia.screensharing.allow_on_old_platforms;false
media.getusermedia.audiocapture.enabled;false

browser.casting.enabled=false (настройка может присутствовать только в Android) - ПОЯВИЛАСЬ!

(Была в руководстве ранее; приводится в качестве примера):

media.getusermedia.screensharing.allowed_domains; (См. ниже список разрешенных(!) сайтов):

скрытый текст
media.getusermedia.screensharing.allowed_domains;webex.com,*.webex.com,ciscospark.com,*.ciscospark.com,projectsquared.com,*.projectsquared.com,*.room.co,room.co,beta.talky.io,talky.io,*.clearslide.com,appear.in,*.appear.in,tokbox.com,*.tokbox.com,*.sso.francetelecom.fr,*.si.francetelecom.fr,*.sso.infra.ftgroup,*.multimedia-conference.orange-business.com,*.espacecollaboration.orange-business.com,free.gotomeeting.com,g2m.me,*.g2m.me,example.com,*.mypurecloud.com,*.mypurecloud.com.au,spreed.me,*.spreed.me,*.spreed.com,air.mozilla.org,*.circuit.com,*.yourcircuit.com,circuit.siemens.com,yourcircuit.siemens.com,circuitsandbox.net,*.unify.com,tandi.circuitsandbox.net,*.ericsson.net,*.cct.ericsson.net,*.opentok.com,*.conf.meetecho.com,meet.jit.si,*.meet.jit.si,web.stage.speakeasyapp.net,web.speakeasyapp.net,*.hipchat.me,*.beta-wspbx.com,*.wspbx.com,*.unifiedcloudit.com,*.smartboxuc.com,*.smartbox-uc.com,*.panterranetworks.com,pexipdemo.com,*.pexipdemo.com,pex.me,*.pex.me,*.rd.pexip.com,1click.io,*.1click.io,*.fuze.com,*.fuzemeeting.com,*.thinkingphones.com,gotomeeting.com,*.gotomeeting.com,gotowebinar.com,*.gotowebinar.com,gototraining.com,*.gototraining.com,citrix.com,*.citrix.com,expertcity.com,*.expertcity.com,citrixonline.com,*.citrixonline.com,g2m.me,*.g2m.me,gotomeet.me,*.gotomeet.me,gotomeet.at,*.gotomeet.at

22. DRM / EME

browser.eme.ui.enabled;false
media.eme.apiVisible;false

23. WORKERS

devtools.serviceWorkers.testing.enabled;false
dom.webnotifications.serviceworker.enabled;false
dom.serviceWorkers.openWindow.enabled;false

УСТАРЕЛА:

    dom.workers.websocket.enabled=false

24. INTERFACE

УСТАРЕЛА:

    browser.fullscreen.animateUp=0

ИЗМЕНЕНА НА:

browser.fullscreen.animate;false

25. FONTS

gfx.missing_fonts.notify;false


- НОВЫЙ РАЗДЕЛ:

26. HANDLERS

(убраны ссылки на Yahoo, Mibbit, Gmail, 30Boxes)

browser.contentHandlers.types.0.uri;
browser.contentHandlers.types.0.title;
gecko.handlerService.schemes.mailto.0.uriTemplate;
gecko.handlerService.schemes.mailto.0.name;

gecko.handlerService.schemes.irc.0.name;
gecko.handlerService.schemes.ircs.0.name;
gecko.handlerService.schemes.ircs.0.uriTemplate;
gecko.handlerService.schemes.irc.0.uriTemplate;

gecko.handlerService.schemes.mailto.1.name;
gecko.handlerService.schemes.mailto.1.uriTemplate;

gecko.handlerService.schemes.webcal.0.name;
gecko.handlerService.schemes.webcal.0.uriTemplate;

***

1) НЕОПОЗНАННАЯ НАСТРОЙКА:

apz.test.logging_enabled;false - ЗАПИСЬ ЛОГА!

2) ВНИМАНИЕ: ОЧЕНЬ подозрительная строка. Если кто подскажет значение - буду признателен:

intl.ime.hack.on_ime_unaware_apps.fire_key_events_for_composition;false

3) СССЫЛКИ, на которые стоило бы обратить внимание:

services.kinto.base;https://firefox.settings.services.mozilla.com/v1
devtools.devices.url;https://code.cdn.mozilla.net/devices/devices.json

Rosenfeld пишет:

2) ВНИМАНИЕ: ОЧЕНЬ подозрительная строка. Если кто подскажет значение - буду признателен:

https://bugzilla.mozilla.org/show_bug.cgi?id=1112212
Коротко - только для андроида и только для пользователей IME клавиатур (иероглифического письма).

Вообще, у вас много мусорных и дублирующих настроек. Скажем, если workers вовсе отключены (dom.workers.enabled;false)- то нет нужды еще и другие, параметры переключать, вроде dom.serviceWorkers.enabled. Или если dom.serviceWorkers.enabled;false, то dom.webnotifications.serviceworker.enabled - лишнее.

Rosenfeld
зачем даете вредные советы,  сделал ваши настройки для DOM -  некоторые сайты стали криво работать
и кому это надо?

Коротко - только для андроида и только для пользователей IME клавиатур (иероглифического письма).

Спасибо, Вы меня просветили. :) Раз к клавиатурному вводу иврита эта настройка не относится, можно жить спокойно и дальше...

Вообще, у вас много мусорных и дублирующих настроек.

Нет. И в качестве доказательства я приведу Вам один очень показательный и свежий пример. Как раз таки вчера-позавчера столкнулся с очень нехорошей утечкой телеметрии на серверы МоФо. (Я, кстати, как и обещал ранее, еще вернусь к подробному "разбору полетов" с ФФ 47, но только чуть позже) Стал проверять: вроде бы все нормально, стоит значение "false". А телеметрия накапливается и уходит, накапливается и уходит; причем конкретная и деанонимизирующая: тип процессора, частота, предпочитаемая поисковая система, системная локаль и т.п. Ну и вот: казалось бы (по предлагаемому Вами способу) достаточно было заблокировать основной "верхний" параметр и на этом успокоиться:

toolkit.telemetry.enabled;false

Но когда стал проверять и разбираться, выяснилось, что разработчиками введен новый параметр (и даже два). И работают они исключительно  "в унисон". Плюс - создают два новых подкаталога в профиле:

toolkit.telemetry.unified;false
toolkit.telemetry.archive.enabled

А кто бы предполагал такой поворот событий, правда? :)

... Ну ладно, Вы б эти параметры, как я полагаю, заблокировали бы и на этом успокоились. Ан нет, есть еще куча других - и каждый с упоением участвует в практически непрерывной отсылке информации в МоФо, например:

datareporting.healthreport.service.firstRun=false
datareporting.healthreport.service.enabled=false
datareporting.healthreport.uploadEnabled=false
datareporting.policy.dataSubmissionEnabled=false
datareporting.healthreport.logging.dumpEnabled=false
datareporting.healthreport.infoURL=
datareporting.healthreport.documentServerURI=
datareporting.healthreport.about.reportUrl=

Не было (до недавнего времени), например, в "стационарном" ФФ настройки:

browser.selfsupport.url=

(хотя она у меня присутствовала в руководстве), а теперь - замечательным образом появилась. А ведь она обслуживает т.н. "Heartbeat" - еще один неплохой телеметрический источник утечек.

... Ну и так далее (лень перечислять). Одним словом, вот что я Вам хочу сказать: многочисленные и подробные описания (и запреты!) самых разных настроек нисколько не выбиваются из общей идеи руководства:

"ЗАПРЕЩЕНО ВСЁ, ЧТО ЯВНО НЕ РАЗРЕШЕНО ПОЛЬЗОВАТЕЛЕМ!"

Поэтому, прошу Вас, просто отнеситесь к данному руководству как к сборнику медицинских рецептов на все случаи жизни. Так будет проще. :) Безопасность (как правильно утверждают специалисты в ее области) - это не цель, а процесс. Причем процесс - постоянный. И нельзя останавливаться на достигнутом, закрыв пару дырок в настройках и благодатно сложив ручки на животе.

... Я доступно выражаю свои мысли? :)

***

Зачем даете вредные советы (...)  некоторые сайты стали криво работать

Не верю. Вам - точно не верю. И могу доказать. Потому что совсем недавно Вы отзывались о предлагаемом руководстве так (цитирую):

Это разрабатывание Руководства по безопасности   всего лишь толчение воды в ступе (носить воду решетом, в лес дрова возить, Сизифов труд)
(...)
Думаю, что  это борьба с ветряными мельницами.

https://forum.mozilla-russia.org/viewto … 24#p717724

Поэтому очень трудно предположить, что, высказав подобное отношение к проекту, Вы тут же тайком кинулись переносить к себе его настройки, :) плюс, тестировать их в интернете. К тому же, фраза "некоторые сайты стали криво работать" звучит настолько бездоказательно, что мне кажется, что она приведена здесь "от балды". Типа "ниасилил".

Идем далее. Мое сообщение было опубликовано вчера во 22.34; Ваше - в 23.31. Мне очень трудно поверить, что меньше чем за час Вы умудрились внести ВСЕ предлагаемые новые изменения, касающиеся DOM, в about:config, да еще и тщательно протестировать их "на некоторых сайтах".

Ну и еще: в Примечании 6 на https://github.com/RamiRosenfeld/Rosenfox честным образом указано предупреждение. Вы читали его? ... Руководство расчитано на повышение пользовательской безопасности, поэтому предполагает некоторые ограничения функционала. Ну а если у Вас не получается "в танчики погонять" или "Веселую ферму" запустить - то это вопросы не ко мне. :)

... сделал ваши настройки для DOM

У меня к Вам тогда три вопроса:

1. А кто Вас заставлял вносить данные параметры?
2. А была ли в этом острая необходимость?
3. А хорошо ли Вы разобрались в значениях данных параметров?

... потому что я уже писал раз двадцать (и в той теме, в которой вы участвовали и не могли это не прочитать):

1) сначала изучите;
2) потом хорошенько подумайте - нужна ли мне эта конкретная строка;
3) а уж затем что-то вносите/меняйте; причем делайте это пошагово и "ручками";
4) а не получилось - вернитесь на шаг назад и перепроверьте, а не кричите на весь мир "ой, это отстой!"


Я уже приводил свою мотивацию. У меня нет идеи воспитывать и взращивать ментальных иждивенцев, которые охотно глотают все готовое, причем не жуя. И потом зарабатывают крах браузера заворот кишок... :) Мой проект имеет целью повышения уровня пользователей (т.е. просветительские и информационные функции), а не подсовывание им "волшебной пилюли", которую они бы бездумно "хавали" и просили "ещё!" Я не собираюсь решать за офисных хомячков их проблемы, а всего лишь описываю "виды ложек и вилок", с помощью которых они могли бы нормально питаться САМОСТОЯТЕЛЬНО.

Читали? Вспомнили? :)

и кому это надо?

Вам - точно "не надо". Вы ж уже высказали свое отношение к проекту; и зачем тогда вдруг полезли заниматься тем, что Вам априорно не нравится и вызывает отторжение? :) ... Странные люди, очень странные.

Rosenfeld
вы точно больны, столько пустых слов...
оставайтесь на вашем github.com и не пишите здесь.
Т.к. все что вы делаете можно расценивать как банальное вредительство.
Ваш проект имеет имеет только одну цель  нанести вред пользователям...

скрытый текст

вы точно больны, столько пустых слов...
оставайтесь на вашем github.com и не пишите здесь.
Т.к. все что вы делаете можно расценивать как банальное вредительство.
Ваш проект имеет имеет только одну цель  нанести вред пользователям...

... Наконец-то прорвалось. :) Упоительный процесс всенародного "поиска вредителей" добрался и до форума.

Не комментирую.

не коментируете, только потому, что у вас нет аргументов.
Всё  у вас пустое, т.е. ниочем.
А оскорблять и унижать тех кто критикует, ваш бред (наиболее точное определение вашей деятельности),  вы мастер.

Rosenfeld

А кто бы предполагал такой поворот событий, правда? :)

Представьте себе, я. Еще полгода назад. Потому что чейнджлоги читаю и регулярно, даже на ночнушке, сравниваю pref.js старой и новой версии, на предмет добавленных/удаленных строк.
Да, конечно не каждый может себе позволить тратить время на такую хрень, и для них вы этот список и составляете ведь, верно? А потому должны бы сами тратить время на подобное, раз взялись за это.

И, да, один (или даже десяток) пример, когда это нужно, не отменяет бесполезности подобной излишности в других случаях.

Я не нападаю, ни в коем разе, просто считаю, что раз взялись - то могли бы повнимательнее и поответственнее к делу подходить.

И вообще, я удивляюсь, почему вы не собираете себе просто фф без всей этой "полезной" нагрузки сразу. Вам-то, линуксоидам, это всяко проще. Это мне, виндузятнику, и неосилевшему VS, чтоб самому скомпилировать, приходится увешиваться фаерволами, hosts'ами, групповыми политиками и прочей хренью, чтоб хоть какую-то иллюзию подконтрольности собственной системы и софта иметь.

Да, конечно не каждый может себе позволить тратить время на такую хрень, и для них вы этот список и составляете ведь, верно? А потому должны бы сами тратить время на подобное, раз взялись за это.

Я не нападаю, ни в коем разе, просто считаю, что раз взялись - то могли бы повнимательнее и поответственнее к делу подходить.

Согласен. Критика принимается. К тому же, я отнюдь и не считаю, что Вы как-то "нападаете". Обычный обмен мнениями. Так что все в порядке.

И, да, один (или даже десяток) пример, когда это нужно, не отменяет бесполезности подобной излишности в других случаях.

Помните анекдот? Мужик собирался на свидание и взял с собою пачку презервативов -  "на всякий случай". А потом подумал: "а случаи-то бывают разные!" ... и положил в карман еще и тюбик с вазелином. :) ... Вот так и с моим руководством.

И вообще, я удивляюсь, почему вы не собираете себе просто фф без всей этой "полезной" нагрузки сразу.

Не вижу смысла; причем сразу по нескольким причинам.

Первая. Если соберу "для себя", то, соответственно, не смогу отследить и описать всю ту гадость, которая представляет опасность для пользователей Windows.

Вторая. Я ленив. Действительно ленив (наш negodnik абсолютно правильно этот факт отметил). :)

Третья. ФФ не является моим основным браузером. Я доверяю только elinks. Чего и искренне желаю всем присутствующим. :)

turbot пишет:

я удивляюсь, почему вы не собираете себе просто фф без всей этой "полезной" нагрузки сразу

а я нет,
видно же   Rosenfeld полный профан, он не видел кода FF (и если видел, то  не понимает)
Расуждает о его настройках и предлагает их поменять (но пользователь сначала должен подумать.)

Rosenfeld пишет:

Если кто подскажет значение - буду признателен:

одна эта фраза заставляет задуматся о компетентности автора.
Пока есть лохи, они будут вестись на подобных бездарей.

Потому что чейнджлоги читаю и регулярно, даже на ночнушке, сравниваю pref.js старой и новой версии, на предмет добавленных/удаленных строк.

Кстати, turbot, изучать "найтли" это хорошо; но я бы поостерегся бежать впереди паровоза и сразу же переносить из их конфига новые строки напрямую в руководство. Это ж сырые версии, и мало ли чего там может измениться, когда они будут доведены до замороженного релиза... Лучше уж я буду отслеживать нововведения по факту их выпуска в свет; так надежнее.

Но вот для повышения собственной осведомленности знакомиться с нововведениями в "найтли" однозначно полезно. Не спорю.

Rosenfeld
Зато, на ночнушках, все новые "радости" не сваливаются мне все скопом, раз в несколько месяцев (или полгода, как esr'шикам-беднягам), как снег на голову и не приходится 

Провозился практически сутки с настройками (можете считать, что написал прямо здесь пару страничек с обсценной лексикой).

;)

> А-а-а-у, negodnik! Ну где же Вы?

скрытый текст
Здесь, вестимо. Где же мне ещё подкормиться поговорить с умным человеком?

> … их так много, что тянут на новую версию, v. 0.3
Сразу меняйте Aviv на בשלהי הסתיו (с учётом сроков обновления).

> … ну а с нею пришел и ФФ 47+.
Значит ли это, что Вы будете обновлять руководство одновременно с выходом каждой следующей?
Потому что сейчас это руководство для несуществующей_в_природе_версии.
И Вы сами знаете, почему.

turbot пишет:

Да, конечно не каждый может себе позволить тратить время на такую хрень, и для них вы этот список и составляете ведь, верно? А потому должны бы сами тратить время на подобное, раз взялись за это.

Я не нападаю, ни в коем разе, просто считаю, что раз взялись - то могли бы повнимательнее и поответственнее к делу подходить.

Вот именно эту мысль я и пытался до Вас донести, но у меня плохо получалось.
Будьте же составителем, а не компилятором, не доверяйте никому.
Вам два человека сказали, с какой именно версии работает privacy.resistFingerprinting, а Вы пишете «нуждается
в дополнительной проверке». И это правильно. Проверяйте всё самостоятельно.
Некоторые пункты, отмеченые как «только для андроида», на самом деле есть и в десктопной версии.
Надеюсь, что теперь Вам ничего (кроме лени) не помешает разобраться со всем этим.
Я ещё месяца два (если не три) тому назад говорил Вам, что одна из настроек повторяется два раза подряд — думаю,
что приходит время начать постепенно убирать эту лишнюю строку.


> ... Я доступно выражаю свои мысли? :)
Поскольку мы не имеем счастья принадлежать к Избранному народу, то, конечно,
всей глубины нам не постичь, но мы стараемся.

Кстати, в том что Вы вводите людей в заблуждение, небольшая доля правды есть. Это я по поводу юзерагента.
Вы же сами задавались вопросом уникальности своих настроек.
А столь «любимый» Вами panopticlick, да и ip-check расценивают отсутствующий юзерагент как уникальную настройку.
В частности, поэтому напротив фингерпринтинга никак не может быть зелёной галочки, вопреки Вашим заверениям.
Надёжно спрятать версию Лисы всё-равно не получится, а, тем более, выдать линукс за винду.
При этом весьма сомнительно, что пустая строка UA спасёт от каких-то зловредов.


nexterr
> … все что вы делаете можно расценивать как банальное вредительство.
Rosenfeld’а отзывали на две недели в Центр на переподготовку.
Надеемся, что теперь вредительство будет более изощрённым.

nexterr
Справедливости ради надо заметить, что составитель руководства предупреждал:  некоторые вещи, типа авторизации
перестанут работать. Но, всё-таки следует более подробно писать, что именно данная конкретная настройка ломает.

Infocatcher пишет:

new Date().toLocaleString(); // 4 Февраль 2012 г. 00:00:00

Кстати, это тоже пофиксить можно скрытой настройкой javascript.use_us_english_locale (логическое) 867501 – Date.toLocaleFormat exposes OS locale

negodnik пишет:

выдать линукс за винду

Можно. Как и обратное. Если повозиться с настройкой сетевого стека. По крайней мере, https://www.browserleaks.com/whois - успешно обманывался. Где-то я посеял закладку по которой настраивал, поэтому могу только в гугл послать.

Значит ли это, что Вы будете обновлять руководство одновременно с выходом каждой следующей?

Нет. (с) "Ни-за-фто"! ... У меня вообще имеются большие сомнения - правильно ли я делаю, разрабатывая это руководство и тем самым невольно рекламируя ФФ (в его теперешнем плачевном состоянии). Но это долгий разговор, отпишусь, как и обещано, чуть позже.

Я ещё месяца два (если не три) тому назад говорил Вам, что одна из настроек повторяется два раза подряд — думаю, что приходит время начать постепенно убирать эту лишнюю строку.

Хм-м... А я Вам уже на эту тему отвечал... Старый больной еврей, бывает, не может по утрам вспомнить, как его зовут, с каким ключом запускать elinks, а Вы от него требуете держать в голове какую-то дублирующуюся настройку. Что это, как не издевательство? :)

... Вот эта?

privacy.clearOnShutdown.sessions=true

***

А столь «любимый» Вами panopticlick, да и ip-check расценивают отсутствующий юзерагент как уникальную настройку.

Я это знаю. Но ни чем помочь им не могу. Увы :)

Надёжно спрятать версию Лисы всё-равно не получится, а, тем более, выдать линукс за винду.
При этом весьма сомнительно, что пустая строка UA спасёт от каких-то зловредов.

По первому утверждению повторюсь еще раз: мой вектор - в сторону безопасности, а не полной анонимизации. Уже отмечал это неоднократно.

А по второму Вашему утверждению отвечу: "не уверен". Причем ОЧЕНЬ сильно не уверен. Разная зловредная живность эксплуатирует разные уязвимости в разных браузерах. И эти дыры бывают весьма специфичны (для отдельных программ). И я все-таки считаю, что не давать ей ни малейшего намека на UA - вполне разумно.

UPD: А насчет javascript.use_us_english_locale=true  я подумаю. На Guardian Project об этой настройке тоже упоминают: https://github.com/guardianproject

turbot
> javascript.use_us_english_locale
Спасибо, в Fx 47 работает, но не в SM 2.38, 2.39. Только если в системе менять.
Но всё-равно видно. что у Вас не америкосовский формат даты: 03.07.2016, а не 07.03.2016
А javascript.default_locale нужна, или уже нет?

Rosenfeld
> Нет. (с) "Ни-за-фто"! ... У меня вообще имеются большие сомнения - правильно ли я делаю, разрабатывая это руководство
Ну, тогда объясните, пожалуйста, для какой именно версии Fx это руководство? Нечто усреднённое не прокатывает, Вы
это и сами прекрасно знаете. Если Вам всё это не нужно и не интересно, то намекните, какая дефензива заставляет Вас
работать через силу и вопреки желанию?

> Я это знаю. Но ни чем помочь им не могу. Увы
Тогда не пишите: «… пройдено ВСЁ (зеленые галочки), кроме DNT…». Вас не будут попрекать введением в заблуждение.

Оффтоп потер, давайте не сваливаться в политику.

Ну, тогда объясните, пожалуйста, для какой именно версии Fx это руководство? Нечто усреднённое не прокатывает, Вы
это и сами прекрасно знаете.

Прокатывает, и еще как. Потому что (и я об этом упоминал) люди работают на самых разных версиях браузера - как новых, так и старых. У одних конкретные строки настроек имеются, у других - нет. И наоборот. Плюс (прошу не забывать) - имеется еще и убогое поделие под Android... Вот почему я составляю спра-воч-ник, содержащий большинство общеупотребимых опций, представляющих наибольший интерес (и опасность!) для пользователей. Не бывает такого: "Справочник только для ФФ 47" или "Только для ФФ 3.1.х", потому что подавляющая часть настроек существует и там, и там. Неужели это не понятно? :)

Тогда не пишите: «… пройдено ВСЁ (зеленые галочки), кроме DNT…». Вас не будут попрекать введением в заблуждение.

Я уже давал зарок не отвечать про Panopticlic, поэтому честно предупреждаю: БОЛЬШЕ на эту тему писать не буду. Так вот: браузер с конфигурацией, описанной в руководстве, ПОЛНОСТЬЮ ПРОХОДИТ это тестирование.

Почему я так утверждаю (и тоже УЖЕ писал об этом)?!

Да потому что для "прохождения" этого теста Я ВЫНУЖДЕН САМОСТОЯТЕЛЬНО жать на подтверждающие кнопки "Дальше", "Дальше" и т.п., что я в "реальной" жизни НИКОГДА бы НЕ СДЕЛАЛ. Вот почему получается, что моя конфигурация ЗАПРЕЩАЕТ В ПРИНЦИПЕ последовательно проходить через механизмы тестирования (и которые могут гипотетически находиться на злонамеренных сайтах). Соответственно (если пользователь, конечно, не идиот), при обычном веб-серфинге злонамеренные сайты НИКАК НЕ СМОГУТ определить конфигурацию браузера, ОС и т.п.

Это - понятно? ... Сколько мне еще раз надо написать одно и то же, чтобы это дошло до присутствующих? :) Сто? Двести? Что вы так уткнулись в этот синтетический тест? Медом там что ли намазано? Или EFF приплачивает за рекламу? :)

negodnik пишет:

Но всё-равно видно. что у Вас не америкосовский формат даты: 03.07.2016, а не 07.03.2016

Хм, а ведь и правда. Вот так должно выглядеть. Надо бы отписаться на багзилле.

> И я все-таки считаю, что не давать ей ни малейшего намека на UA - вполне разумно.
Только не говорите, что действительно считаете будто пустая строка UA — это гарантия того,
что нет ни малейшего намёка.

Прокатывает, и еще как. Потому что (и я об этом упоминал) люди работают на самых разных версиях браузера - как новых, так и старых. У одних конкретные строки настроек имеются, у других - нет. И наоборот. Плюс (прошу не забывать) - имеется еще и убогое поделие под Android... Вот почему я составляю спра-воч-ник, содержащий большинство общеупотребимых опций, представляющих наибольший интерес (и опасность!) для пользователей. Не бывает такого: "Справочник только для ФФ 47" или "Только для ФФ 3.1.х", потому что подавляющая часть настроек существует и там, и там. Неужели это не понятно?

Если у Вас универсальное и полное (как сказано в Вашей подписи и не только в подписи) руководство для любой версии,
то тогда надо напротив каждой настройки писать: Fx 3.6 - 49, Fx 31 - 45. Иначе, это просто сборная солянка (не в обиду Вам будь сказано).

> Сто? Двести?
Достаточно одного раз, но чтобы это была правда.
Вы утверждаете, что напротив фингерпринтинга зеленая галочка, т.е. настройка не уникальна,
но знаете, что с отсутствующим юзерагентом этого не может быть. Понял, спасибо.
http://ipic.su/img/img7/tn/finger_2.1467574664.png

> Медом там что ли намазано? Или EFF приплачивает за рекламу?
Жырно. Просто кое-кто маленько приврал, но упорно не желает это признать.

turbot
А насчёт javascript.default_locale что-нибудь скажете?

negodnik
Нет. Не нужна. Какая в настройках выставлена, ту и отдавать будет. Легко ж проверить, на том же browserleaks.com.

Если у Вас универсальное и полное (как сказано в Вашей подписи и не только в подписи) руководство для любой версии,
то тогда надо напротив каждой настройки писать: Fx 3.6 - 49, Fx 31 - 45.

Меня как-то смутило слово "надо". Кто сказал "надо"? Я - точно так не считаю и даже не собираюсь заниматься столь бесполезным трудом. А вот чтобы проверить, действительно ли оно настолько "надо", я задам Вам несколько прямых вопросов:

1. Вы будете заниматься этой работой самостоятельно (учитывая, что в руководстве уже сейчас примерно 350 настроек и примерно 30-40 прибавится)? Т.е. будете выискивать лично: когда и в какой момент появилась та или иная настройка, а также для каких версий браузера она предназначена и для каких - нет?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" + (причины)

2. Почему Вы лично не обращаетесь к официальным представителям МоФо с просьбой внести аналогичные уточнения напротив каждой строки с настройками, которые приводятся сразу на двух справочных ресурсах:

http://kb.mozillazine.org/Knowledge_Base
https://support.mozilla.org/en-US/products/firefox

... Поскольку у них там тоже описаны ВСЕ настройки (ну или их большинство, причем для разных версий браузеров), в самую пору с Вашим-то скрупулезным подходом :) прямо и без обиняков заявить им: "Парни, что это за сборная солянка у вас тут размещена? Ну-ка приведите все в порядок и быстренько распишите: какая строка для какой версии ФФ предназначена!" ... Ну так что - напишете им подобное письмо? Или как?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" / "Пошлют куда подальше" / "Сочтут сумасшедшим"

3. Встречали ли Вы когда-нибудь иные руководства, состоящие из набора специфических команд / опций и т.п. - с поименным перечнем-указанием, для какой именно версии ПО они предназначаются, а для какой - нет?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" + (примеры)

Ответьте, это не трудно.. Очень Вас прошу. И тогда мы с легкостью сможем определить - насколько оно "надо", особенно Вам :)

скрытый текст
... А вообще - знаете в чем Ваша (и не только Ваша проблема)? (только без обид)... Она называется "представитель мира Windows". В нем почему-то большинство пользователей настроено на то, что сейчас они разинут рот, а кто-то, т.е. чужой и добрый дядя, будет кормить их большой ложкой, при этом - тщательно вытирать ротик, сообщать количество проглоченного продукта, калорий, их полезность и попутно описывать пищеварительные процессы, включая завершающую стадию дефекации. :) Потом - вытрет попку и подмоет под краном теплой водичкой.

В мире же GNU/Linux (ей-ей!), если бы Вы обратились вдруг к кому-то с подобным требованием, которое Вы выдвинули вчера, в лучшем случаем люди послали бы Вас "курить маны" (начиная с $ man man) или, для разнообразия - в Google. Как вариант - недоуменно покрутили бы пальцем у виска, типа "Во блин! Ему надо - так пусть и ищет или делает". Про самые худшие варианты я здесь писать не буду, а то забанят. :)

Поэтому (стесняюсь я спросить) - не кажется ли лично Вам, что в руководстве и так сделано весьма много? А именно:

0. Размещен дисклеймер и примечания о возможных проблемах в применении.
1. Перечислены варианты угроз и возможные последствия.
2. Варианты угроз сгруппированы по разделам и описаны.
3. Приведены конкретные примеры решения проблем.
4. Приведены необходимые примечания.
5. Большинство из примеров снабжено конкретными адресными ссылками на официальный сайт МоФо (базу знаний, техподдержку и т.п.).
6. Руководством могут пользоваться обладатели как старых, так и новых версий ФФ, а также ФФ для Android.


Поэтому, если Вам и этого мало (и что-то не устраивает или не хватает) - смело делайте форк на GitHub и ведите параллельный проект. Я Вас на это всячески благословляю и буду только рад за Ваши несомненные успехи!

Ну да ладно. идем далее...

Вы утверждаете, что ...

Я утверждаю ТОЛЬКО ОДНО (и буду писать последующую фразу ровно до тех пор, пока Вы ее не выучите наизусть): :)

Браузер с конфигурацией, предлагаемой в руководстве, ПОЛНОСТЬЮ ПРОХОДИТ ТЕСТ panopticlik -  потому что самостоятельно, т.е. без деятельного участия пользователя, он ВООБЩЕ НЕ ПЕРЕДАЕТ на проверку практически никакой (или почти никакой) информации.

Ну а от того, что Вы (со склонной Вам въедливостью; я ее, кстати, только приветствую) :) меня где-то там пытаетесь поймать, уж поверьте - мне не холодно и не жарко.

зеленая галочка...

Ага! Еще одно тяжелое наследие :) мира Windows: добиться, чтобы везде красовались "зеленые галочки", а еще, до кучи - огромное сообщение "ТЕПЕРЬ ВАША СИСТЕМА ПОД ЗАЩИТОЙ!" Ну скажите - Вам самому-то от этого не смешно? Как выглядит вообще этот тест panopticlik "под капотом" и что именно происходит внутри, какие процессы (вернее - их совокупность) - Вы об этом хоть раз задумывались? Или нет?

Вот ответьте мне: какому врачу Вы будете доверять больше:

1. Тому, который при вас пишет конкретные направления на анализы, потом - перечисляет вам их результаты, указывает - где проблемы и в конце - ставит диагноз. Плюс - назначает дифференцированное и обоснованное лечение.

2. Или тому, который шепчет себе под нос "крекс-пекс-фекс", делает непонятные пассы руками, а потом выдает глубокомысленное заключение: "Вот тут у вас ауру надо чуток подкорректировать. Вот здесь - карма загрязена, надо очистить. А с чакрами... с чакрами у вас все в порядке; "ставим зеленую галочку".

А? Что скажете? ... Ну так вот, panopticlik - это как раз второй случай. То есть что происходит внутри - непонятно; какие анализы и методы использовались в их совокупности - тоже; какие именно "органы" исследовались - черт его знает. Но в итоге налицо "глубокомысленное" заключение: "Батенька, да у вас аура испорчена!" "DNT не работает!"

(и еще раз отмечу: убогую и бесполезную систему DNT можно смело засунуть в задницу или куда подальше! Именно поэтому я ее выключаю сразу же. И даже указывал причины: 1) браузер может просить "Умоляю, не следите за мною", но вот только: 2) трассирующим и рекламным сайтам его просьба ПО-ФИ-ГУ! Они не обязаны их выполнять. И никогда не будут, ибо у них - свой бизнес!)

С тестирующим сайтом ip-check (давно, кстати, о нем хотел высказаться) - аналогичная проблема, хотя немного более замаскированная. Они действительно приводят в конце тестирования сводную таблицу, в которой результаты рассматриваются дифференцируемо (UA, HTTP-headers) и т.п. А также - дается оценка каждому результату и рекомендации по устранению гипотетических проблем.

... НО(!) (и это очень большое "но") - даже идиоту, читающему рекомендации, издалека видны уши их бизнеса: коммерческих услуг по впариванию прокси-анонимизатора JonDonym (и соответствующего ПО)... Почему я так утверждаю? Да потому что ЛЮБАЯ РЕКОМЕНДАЦИЯ (если ее результаты хоть как-то отличаются от "отпечатков" их "родного" браузера JonDoFox) сводится к голословному утверждению: "Ой, да у вас тут огромная проблема!!! Чтобы ее преодолеть, используйте наш браузер!" ... Дело доходит до смешного: допустим, браузер в моей конфигурации не отдает серверу рефереры; для них - это уже не "зеленый", а "желтый" цвет. Тот же самый цвет при отключенном DNT... Пустой юзер-агент - это конечно же "красный" уровень уж-ж-жасной опасности! Ну и так далее. Зато везде щедро рассыпаны "рекомендации": "Используйте JonDoFox",  "Используйте JonDoFox",  "Используйте JonDoFox",  "Используйте JonDoFox".

Я ясно выражаю свои мысли по поводу "качества" тестирования на таких сервисах? :)

Поэтому, если присутствующие действительно хотят протестировать свои браузеры по самым разным параметрам (по отдельности, а не в их совокупности), т.е. получить профессиональную оценку каждого параметра - идите ВОТ СЮДА: http://browserspy.dk/ ... И там тестируйтесь, сколько влезет.

Ну а любителям "зеленых чекбоксов" я рекомендую по-прежнему оставаться на panopticlik. Но только пусть они учтут: у меня нет привычки мастурбировать на "зеленые галочки", :) ибо, во-первых, я предпочитаю живых женщин; а что касательно ОС и ПО - имею другие цели, другие задачи; вот почему обустройство ФФ - лишь попутное и побочное увлечение. И оргазм я получаю не от надписей "чУВАК, В ВИНДАХ ТЕПЕРЬ ФСЁ ПОД КОНТРОЛЕМ!11", а от таких изысканных и красивых вещей, как, к примеру, DeltaRPM, чудесные команды systemd, использование sandbox или запретительные политики SELinux...

ВОТ ПОЧЕМУ в текущей теме дальнейшее обсуждение "зеленых галочек" или результатов "любит" / не любит" "прошел / не прошел" я буду считать злостным офтопом.

Это - понятно? :)

negodnik, только не вздумайте обижаться! Выше не приведено ничего личного. :)

turbot
Спасибо большое.

Rosenfeld
> ... А вообще - знаете в чем Ваша (и не только Ваша проблема)? (только без обид)... Она называется "представитель мира Windows"
Вот за что я Вас люблю, так это за умение внезапно повернуть обсуждение любого вопроса на противостояние линупс - виндовс.

> negodnik, только не вздумайте обижаться! Выше не приведено ничего личного.
Поздно. Слёзы застилают мне глаза и мешают читать.
Ничего личного — это ещё обиднее. Все мо́зги достались линуксоидам, а нам остаётся только скорбно вздыхать.
Линуксоиды даже нашими вопросами манкируют, зато взамен задают свои, и сами же предлагают только два варианта ответа.
Это чтобы мы не зависли.

Вот за что я Вас люблю, так это за умение внезапно повернуть обсуждение любого вопроса на противостояние линупс - виндовс.

Вы акцентируетесь на том, чего не существует. Не на "противостоянии" (ибо мне, ей Б-гу, делить с ними нечего), а на отличии двух этих миров. Иногда я задаю себе вопрос: зачем люди себя так мучают (и продолжают мучать)... но не нахожу ответа. :)

и сами же предлагают только два варианта ответа.

Уточню (для верности) - не два, а целых четыре. Цитирую:

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" / "Пошлют куда подальше" / "Сочтут сумасшедшим"

***

Ничего личного — это ещё обиднее.

А Вы все-таки не расстраивайтесь! :) Хорошего и смешного в этой жизни все равно больше! ... Хотите, подниму настроение?

Вон, взгляните на четыре свеженьких скриншота - они быстренько продемонстрируют: за каких феерических чудаков держат нас, виноват: вас владельцы ip-check:

https://diasp.org/posts/5791536

> Вон, взгляните на четыре свеженьких скриншота … https://diasp.org/posts/5791536
Видите ли в чем дело… В другой теме я бы легко посмотрел, но только с помощью расширения.
http://ipic.su/img/img7/tn/bez_skriptov.1467638266.png
А здесь мы расширения не используем, как и скрипты (Учитель ведь тоже не включает скрипты, его Святым Духом
на диаспору запускаэ? Или Вам можно?).

скрытый текст
— Лев Николаич, что ж Вы всех девок перепортили?
— Я нравственный ориентир, мне можно.

Так как же быть, Учитель, крестик снимать скрипты включать, или расширение ставить?

Так как же быть, Учитель, крестик снимать скрипты включать, или расширение ставить?

negodnik, дружище, ну я ж только что писал, что меня ловить на слове бес-по-лез-но! :) Потому что на Ваш вопрос существует сразу НЕСКОЛЬКО вариантов правильных ответов: а) для "продвинутых" пользователей и... б) для "не очень... " :)

Попутно замечу: чем вообще уникален и хорош мир GNU/Linux - так это тем, что позволяет решать ту или иную проблему разными путями, в том числе - нетривиальными... А не так, как у Вас - в "биполярном мире" :) - "либо крестик сними"/"либо скрипты включи".

А в данной ситуации Вы еще и демонстрируете, что, оказывается, плохо читали мои шесть предупреждений на GitHub. Но мне ж не лень, я процитирую еще раз, пока не запомните:

Примечание 6: (...)

В этом случае мы рекомендуем создать отдельный пользовательский профиль, предназначенный исключительно для работы с надежными веб-ресурсами, внести в него остальную часть предлагаемых настроек, разрешив однако при этом скрипты, прием сеансовых кукиз, перенаправления, передачу рефереров, отображение графики и отсылку реального user-agent.

См.: https://github.com/RamiRosenfeld/Rosenfox

Но это - рекомендация для Вас. Ну и для других любителей "зеленых галочек" навороченных браузеров.

А я, равно как десятки тысяч других людей (Вы просто, наверное, об этом не осведомлены), использую для работы в diaspora* специальный отдельный клиент. Их, кстати, несколько; причем один - даже "чиста" :) консольный: т.е. черный экранчик с маленькими зелеными буковками. Удобно и безопасно! И никакие кукиз-скрипты-перенаправления и т.п. разрешать не надо. И Гондурас DNT меня при этом нисколько "не беспокоит"!

> … чем вообще уникален и хорош мир GNU/Linux…
Ох, грехи наши тяжкие. Опять GNU/Linux. Хорошо, пускай диастора будет кошер.
Десятки тысяч людей не могут ошибаться.

UPD: Собственно, по поводу скриншотов( благо, там нет галочек  (я постараюсь больше не употреблять это слово)).
Несколько лет назад этот тест обсуждался с Вашим участием. И, вроде как, было решено, что
к этому и подобным тестам надо относиться с большой долей скепсиса.
Но почему же было не ответить первому спросившему про галочки (ой, вырвалось) тестов, что с Вашими настройками
псевдонимность, неразличимость пострадают в угоду безопасности (т.е. отправить человека читать Примечание 5),
что зелёной * или полосочки напротив фингерпринтинга не будет.
А не говорить, что она там, якобы, есть? И вопрос был бы закрыт. И я бы Вам мозг сверлил по другому вопросу.
Можете не отвечать, это просто мысли вслух.

A comprehensive list of Firefox privacy and security settings
http://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/

http://www.ghacks.net/2015/08/18/a-comp … -settings/

Отлично! Большое спасибо за ссылку, читал прямо с удовольствием!

Да и вообще рад, что:

1. Полку параноиков людей, которые серьезно занимаются обеспечением безопасности прибыло.

2. Что все психи (а там еще ссылки были):

http://github.com/pyllyukko/user.js
http://www.wilderssecurity.com/threads/ … wn.368003/
http://12bytes.org/articles/tech/firefo … ance-buffs
https://www.privacy-handbuch.de/handbuch_21.htm

... движутся по больничной палате упорядоченно, то есть примерно в одном и том же направлении. И об этом свидетельствуют практически одинаковые параметры.

3. Автор, как и я, сразу же, т.е. в первых строках, предупреждает идиотов - любителей "хавать не жуя" затаскивать на машину чужие настройки, абсолютно не задумываясь об их назначении:

README/IMPORTANT:

End users of this list/file are expected to know what they are doing. These are the author's settings.

The author does NOT expect (or indeed want) end users to just run with it as is.
Use it as a comprehensive list, or as a template for your own.

4. Автор честно указывает:

COMMON ISSUES:

Some prefs will break some sites (it's inevitable). If you are having issues search for  "WARNING:" in this document, especially the ones listed just below.

This user.js uses the author's settings, so you need to check these EACH release because
the author prefers anonymity, security, and privacy over functionality [eg being able to
paste in Facebook, downloadable fonts, and other minor inconveniences]. You have been warned.

5. Ну и (особо отмечу) - справочного материала у него побольше; там размещены полезные ссылки на форумные обсуждения, etc.

Качественно поработал мужик! Радуюсь!

Ну а теперь давайте вернемся к нашему negodnik'у :)

скрытый текст

Так как же быть, Учитель, крестик снимать скрипты включать, или расширение ставить?

Хорошо, пускай диастора будет кошер.

negodnik, понимаете, дружище, в чем опасность такого вот "ведомого" подхода, по типу: "Мне сказали - я сделал"? В том, что Вам могут дать абсолютно неверный и даже опасный совет. Допустим, порекомендует Вам какой-нибудь такой "учитель" бабушку ногой пнуть... и что же - сразу понесетесь исполнять, да? :)

Я ведь на самом деле не знаю Вашу личную ситуацию, степень и вектор угроз. Один вектор, допустим, появится, если Вы на своей машине храните любимые запасы cp, :) а совсем другой - если прячете секреты ядерного комплекса в Димоне или, на худой конец - схему удаленного управления/отключения системы жизнеобеспечения в клинике Сорока... Понятно?

Поэтому выбирать: что делать и как поступать в том или ином случае - Вам и только Вам. А чтобы выбирать самостоятельно, а не быть иждивенцем (не бойтесь, я тут СОВСЕМ не про Вас), нужен опыт. А опыт приходит со знаниями. А знания лучше всего усваиваются, когда их не кладут в рот посторонние бородатые дяденьки с сильно покрасневшими глазами, а они добываются самостоятельно... А нарабатывать качественные знания лучше всего не в офтопике :) априорно недоверенной ОС, а в той, где безопасность системы и пользователей является первостепенной задачей... Ну и так далее.

Вот какая интересная цепочка получилась. Прошу прощения за назидательность. :)

P.S. Бородатые дяденьки типа такого: https://pbs.twimg.com/profile_images/52 … lgES2.jpeg ... Узнаёте его?

> понимаете, дружище, в чем опасность такого вот "ведомого" подхода, по типу: "Мне сказали - я сделал"?
Я ничего не сделал. Раньше вы не были таким легковерным.
Можете ещё раз посмотреть на мою картинку, я добыл все ссылки без включения скриптов.

> Я ведь на самом деле не знаю Вашу личную ситуацию,
Ситуация очень тяжёлая — никто меня не любит, у меня нет друзей, и даже Rosenfeld не хочет
ответить на простой вопрос:
— Пошто обманули dimutambov’a, сказав что есть г-чка, когда её там нет?

>> Согласен. Критика принимается.
Я понимаю это как обещание работать на совесть и не лениться. И помните — Вы это не мне,
а самому turbot’у клятвенно обещали.
А будете и дальше вредить и лениться — напишу святому, нѣпорочному Столлману, и он отлучит Вас от линупсов.

Можете ещё раз посмотреть на мою картинку, я добыл все ссылки без включения скриптов.

Не смог я разглядеть Вашу картинку, она с гулькин писюлек была, превьюшка; а вот в НЕЗНАКОМЫХ местах я действительно скрипты не включаю. Поэтому пришлось пожертвовать просмотром. Тем более, я ж на самом деле хорошего о Вас мнения, вот почему во мне теплилась слабая надежда, что Вы догадаетесь-таки найти прямые ссылки, покопавшись в свойствах элементов страницы. И я не обманулся в своих скромных ожиданиях - у Вас получилось! :)

и даже Rosenfeld не хочет ответить на простой вопрос:
— Пошто обманули dimutambov’a, сказав что есть г-чка, когда её там нет?

Ага. Все-таки хотите самоутвердиться за счет старого больного еврея (иначе зачем еще Вам с такой маниакальной настойчивостью муссировать эту тему раз за разом)... Ну ничего страшного - я человек добрый, щедрый и не самолюбивый, поэтому непременно предоставлю Вам такую возможность. :) А то, боюсь, у Вас из-за подобной мелочной проблемы может дальнейшая жизнь не сложиться...

Ну вот, отвечу так: я НЕ ПОМНЮ. Честное слово, не помню. Врать мне особого смысла нет и не было. И если бы там было ДВА маркера (а не один) - я все же об этом сообщил бы. Вполне возможно, что в тот текущий момент у меня была просто другая конфигурация одного из используемых профилей (в процессе настройки-перенастройки)... Сейчас что-то установить невозможно; а по-хорошему, надо было делать скриншот.

Удовлетворились? Жизнь состоялась? День прошел чудесно? :)

(заметьте, я пребываю в таком хорошем расположении духа, что даже не добиваюсь от Вас взаимности :) - т.е. с ножом у сердца не пристаю: "А почему Вы не отвечаете на мои вопросы?" ... А ведь мог бы, да?)

laprad пишет:

A comprehensive list of Firefox privacy and security settings
http://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/

Что ж ты так спалил первоисточник? Теперь тема выглядит жалким плагиатом.

я добыл все ссылки без включения скриптов.

negodnik, взгляните, как красиво (хоть и небольшой офтоп):

скрытый текст
В качестве легонького ликбеза :) - чудесный и простой способ просмотра веб-ресурсов напрямую из консоли (терминала) Linux - БЕЗ использования каких-либо браузеров или браузерных движков в принципе. Все происходит при помощи ОДНОЙ коротенькой и односложной команды!

... Удобно? Однозначно удобно! Не страшны зловредные скрипты, кукиз и суперкукиз, детекторы UA и прочая хрень. Заметьте: скриншот сделан специально для Вас! :)

https://diasp.org/posts/5795053

Сможете догадаться - что это за магический способ? Ответ, кстати, весьма прост. Более того, как традиционно :) водится в мире GNU/Linux, существует МНОГО вариантов подобных методов.

UPD:
скрытый текст
Можно, кстати, сделать текст еще чище - без "алиасов" ссылок и без ссылок на изображения:

https://diasp.org/posts/5795168

(а можно и окончательно удалить markdown-форматирование... Linux - ОС для ленивых!) :)

> в НЕЗНАКОМЫХ местах я действительно скрипты не включаю.
Кто бы спорил. Но на https://ipic.su скрипты включать не надо.
И по поводу ещё одного незнакомого места, про которое я Вам писал — https://bug787296.bmoattachments.org/at … ?id=657114
Туда заливаются Attachments’ы с багзиллы. Вот обсуждение не столько теста, сколько проблемы —
https://bugzilla.mozilla.org/show_bug.cgi?id=787296. Багзилле можно доверять, или тока диаспоре?
( MPL это не CC BY NA и уж конечно не GNU GPL, но ведь мы сможет замолить этот мелкий грешок?)

> с ножом у сердца не пристаю к Вам: "А почему Вы не отвечаете на мои вопросы?" ... А ведь мог бы, да?
Увы, должен Вас огорчить, не могли бы. Нет у Вас такого морального права, поскольку сами отвечаете
на один вопрос из трёх (в лучшем случае), да и то после адского прессинга.

Насчет полноты руководства и того что оно сразу для всех версий (Прокатывает, и ещё как)
Тогда вот так вот нельзя делать — https://forum.mozilla-russia.org/viewto … 29#p718429:

24. INTERFACE
УСТАРЕЛА:
    browser.fullscreen.animateUp=0
ИЗМЕНЕНА НА:
browser.fullscreen.animate;false

Тогда надо все версии оставлять. И, таки, придется писать, какая строка для какой Лисы.

Вот обсуждение не столько теста, сколько проблемы

И что толку в "обсуждении"? Баг открыт аж(!) 2012-08-30 и по сей день считается "новым". Поймите одну вещь - разработчики со МоФо НИ-КО-ГДА не будут заниматься подобной фигнею и что-то исправлять; они, скорее, встроят в исходный код еще сто потенциальных возможностей для утечек; зато будет "интеграция с соцсетями", "я прочитаю это позже", "голосовая/видеосвязь" и прочая фигня... Так зачем мне эта ссылка? Зачем мне знакомиться с пустым сотрясением воздуха, да еще и выискивать там смысл?

Тогда вот так вот нельзя делать...

Хм. Кто только что произнес: "так нельзя делать"? Вы или я? :)

P.S.

24. INTERFACE
УСТАРЕЛА:
    browser.fullscreen.animateUp=0
ИЗМЕНЕНА НА:
browser.fullscreen.animate;false

Вы здесь, кстати, цитируете отнюдь не руководство (в его обновленном состоянии, тем более, что его еще нет в природе), а просто произвольный список параметров - кандидатов на включение/удаление - с моими же произвольными памятками-комментариями. Так что не торопитесь критиковать, стремясь обогнать паровоз. :)

> Хм. Кто только что произнес: "так нельзя делать"? Вы или я?
Я так старательно Вам надоедаю, что пора бы уже узнавать меня по голосу.
Попробую спросить попроще. Как могла настройка устареть, если руководство для всех версий?
А если у меня ещё нет browser.fullscreen.animateUp=0? А Вы уже собрались удалить browser.fullscreen.animate;false.
Согласен, ещё не удалили. Но ведь есть такое намерение.

Вы здесь, кстати, цитируете отнюдь не руководство (в его обновленном состоянии, тем более, что его еще нет в природе), а просто произвольный список параметров - кандидатов на включение/удаление - с моими же произвольными памятками-комментариями. Так что не торопитесь критиковать, стремясь обогнать паровоз. :)

«Наш паровоз вперёд летит»
Давайте сначала дровишек подкинем и тронемся, тогда уже можно будет ставить вопрос про «обгонять».
А пока "Global and complete manual" явлется просто произвольным ( и неполным) списком параметров для ...
для каких версий?

UPD: Fx 47 когда вышла? Давненько, со дня на день ждем следующую. А руководстве настроек для текущей ещё нет.
А вы говорите «обгонять».

Попробую спросить попроще. Как могла настройка устареть, если руководство для всех версий?
А если у меня ещё нет browser.fullscreen.animateUp=0? А Вы уже собрались удалить browser.fullscreen.animate;false.

Дружище, не нудите. Я ж только что отметил, что по указанной Вами ссылке на мое форумное сообщение - НЕ РУКОВОДСТВО, а просто произвольный список предполагаемых кандидатов на включение-изменение-удаление (с произвольными же моими пометками)... Так чего Вы так прицепились и уже на второй круг заходите? И зачем пытаетесь выдать его за руководство?

Ну а если хотите заниматься добавлением конкретных версий браузеров  к четырехстам строчкам настроек - Ваше дело. Уже Вам предлагал такую чудесную возможность, но Вы чего-то скромно промолчали. Ну а я - точно не буду.

Мне, право, становится скучно от такого бзрезультатного общения. И лимитированный трафик, увы, заканчивается напрочь.

> Дружище, не нудите.
Во! Вот это по-нашему!
Как только требуется дать простой ответ на простой вопрос, сразу же трафик заканчивается,
саранча, неурожай, мама на работе а я дома один.

И вот ещё что: изображения с диаспоры можно было бы смотреть без скриптов, если бы Вы
давали прямые ссылки — https://diasp.org/uploads/images/scaled_full_d114d2f83c4a4aff33b1.png
Вы этого не знали или есть тайная причина, по которой мы должны включать скрипты?
Мы ведь тут обсуждаем и используем Лису, а не линкс, елинкс и ещё б-г знает что.

>
Мне, право, становится скучно от такого бзрезультатного общения.
Так внесите уже параметры-кандидаты в руководство (уже и не спрашиваю, для каких версий) и
будет хоть какой-то результат.

Fx 47 когда вышла? Давненько, со дня на день ждем следующую. А руководстве настроек для текущей ещё нет.

Ну и что же, что "нету"... А кто сказал, что "ДОЛЖНА БЫТЬ"?

Вяло констатирую, что (слава Б-гу) у меня нет в этом плане никаких обязательств, причем ни перед кем... Мне б книжку дописать; а еще поплавать хорошенько в отпуске и (зеваю) отдохнуть. А когда дойдут руки и появится желание - займусь руководством. Примерно вот такая ситуация и расклад.

Так что не превращайте меня, пожалуйста, в "обязанного" перед кем-то сделать то-то и то-то. Это в любом случае не самый лучший метод. Разве что из-за чувства морального самоудовлетворения: "А-а-а! Вот! Я ж говорил, что он ленивый! Я ж говорил, что там "сборная солянка"" :)

Вспомните, что я Вам писал намедни:

А вот чтобы проверить, действительно ли оно настолько "надо", я задам Вам несколько прямых вопросов:

1. Вы будете заниматься этой работой самостоятельно (учитывая, что в руководстве уже сейчас примерно 350 настроек и примерно 30-40 прибавится)? Т.е. будете выискивать лично: когда и в какой момент появилась та или иная настройка, а также для каких версий браузера она предназначена и для каких - нет?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" + (причины)

2. Почему Вы лично не обращаетесь к официальным представителям МоФо с просьбой внести аналогичные уточнения напротив каждой строки с настройками, которые приводятся сразу на двух справочных ресурсах:

http://kb.mozillazine.org/Knowledge_Base
https://support.mozilla.org/en-US/products/firefox

... Поскольку у них там тоже описаны ВСЕ настройки (ну или их большинство, причем для разных версий браузеров), в самую пору с Вашим-то скрупулезным подходом :) прямо и без обиняков заявить им: "Парни, что это за сборная солянка у вас тут размещена? Ну-ка приведите все в порядок и быстренько распишите: какая строка для какой версии ФФ предназначена!" ... Ну так что - напишете им подобное письмо? Или как?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" / "Пошлют куда подальше" / "Сочтут сумасшедшим"

3. Встречали ли Вы когда-нибудь иные руководства, состоящие из набора специфических команд / опций и т.п. - с поименным перечнем-указанием, для какой именно версии ПО они предназначаются, а для какой - нет?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" + (примеры)

Ответьте, это не трудно.. Очень Вас прошу. И тогда мы с легкостью сможем определить - насколько оно "надо", особенно Вам :)

Запамятовали? ... Может все же в МоФо обратитесь с аналогичным предложениями - для разнообразия? ... Не? :)

UPD:

Во! Вот это по-нашему!
Как только требуется дать простой ответ на простой вопрос

Читать, надеюсь, умеете? :) ВОТ ЭТО И БЫЛ ОТВЕТ::

Я ж только что отметил, что по указанной Вами ссылке на мое форумное сообщение - НЕ РУКОВОДСТВО, а просто произвольный список предполагаемых кандидатов на включение-изменение-удаление (с произвольными же моими пометками)... Так чего Вы так прицепились и уже на второй круг заходите? И зачем пытаетесь выдать его за руководство?

Все, заканчиваю. неинтересно. Какое-то словоблудие. Третий круг пошел: "Вот вашем руководстве... и т.п."

Я вообще с трудом понимаю - почему Вы так хотите меня заставить что-то делать, причем прямо сейчас; помимо моего желания, доброй воли, загруженности и прочего. Хотелось бы, чтобы Вы осознали - сами фактом своего собственного скромного существования я НИКОМУ из присутствующих и НИЧЕМ НЕ ОБЯЗАН. Можете выписать эту фразу куда-нибудь на бумажку.

К тому же, я вам уже написал про принцип мира Линукс - когда что-то очень хочется, это делают самостоятельно. Воспользуйтесь им, пожалуйста? Хорошо? :) Успехов!

> почему Вы так хотите меня заставить что-то делать, причем прямо сейчас; помимо моего желания, доброй воли
Да просто хотелось понять, зачем человек взялся за дело, не имея ни желания ни воли его делать и не
чуствуя ни малейшей ответственности за результат.

Ныне отпущаю Вас в отпуск. Плавайте и загорайте.
P.S. Скоро будет 20000. Держите себя в руках, не переусердствуйте. Успехов!

Да просто хотелось понять, зачем человек взялся за дело, не имея ни желания ни воли его делать и не
чуствуя ни малейшей ответственности за результат.

Ну я ж специально (битые сутки) и выводил Вас на это заключение. :) Надо ж мне Вам как-то самооценку поднять было. :)

Однако, попутно замечу, что люди, которые пытались взяться за неблагодарное и тяжелое бремя - поработать в качестве моей личной совести, весьма быстро уставали... и сдувались.

Ну да ладно... Вот Вам еще чуток, опять для поднятия настроения:

скрытый текст
https://www.youtube.com/watch?v=7t96m2ynKw0 - как посмотреть без включения скриптов, вне браузера и без использование технологии Adobe, надеюсь, разберетесь! :)

А интернет и в самом деле заканчивается; я ж не вру.  Я вне дома и вообще - черт знает где. Лимит был всего несколько гигов.

UPD: Ага, еще мегабайт 80 по счетчику есть... Отлично!

P.S. Ну так вот - в мое отсутствие - обязательно пилите свой форк!

А то мне просто хотелось понять, почему человек САМ не берется за интересное дело, имея столько ответственности, воли, идей, тяги к творчеству и ТАК болея душою за конечный результат... А почему-то (вот нестыковка; нонсенс!) упорно настаивает, чтобы его советы, желания и прочие "хотелки" НЕПРЕМЕННО, МОЛНИЕНОСНО И БЕЗУКОСНИТЕЛЬНО воплощал кто-то другой.

... Так что же? Слабо форкнуть проект? :)

>> Качественно поработал мужик!
Когда то же самое можно будет сказать про Ваше руководство, тогда и выясним слабо или не слабо
сделать форк.

> UPD: Ага, еще мегабайт 80 по счетчику есть... Отлично!
Ага, а то что мы по 1.2 мегабайта на Вашей любимой диаспоре тратим только на скрипты это нормально.
— Видите ли, в Linux…
— Видим, видим, но у нас виндовс и Лиса, а не Елинкс.
Вот Вам карта Израиля на 79 мегабайт, и с лёгким сердцем  и нулём трафика отправляйтесь в отпуск.

Ужас, блин! Нельзя ли пререкания в личку что ли перенести? :(
Rosenfeld, а Вы ни шапку, ни user.js что-то давно не обновляли - почему?

Ребята, подскажите версию браузера firefox или же его разновидность для Linux, которая потребляла бы не больше 350 мб оперативы. У меня есть firfox portable v. 40.0.3, который потребляет меньше 300 мб. спустя час работы. Но не мону настроить так же браузер, скачанный с сайта Мозиллы. Подскажите пожалуйста как это можно сделать.
Буду очень благодарен

Что-то перестал проходить тест https://panopticlick.eff.org/ с насиройками в user.js.
На сайте что-то поменяли в механизме тестирования?

Как проверить свою настройку контроля Referer в браузере? Может есть какие-то уловки или специальные тестовые сайты?
P.S. Куда это так надолго запропастился Rosenfeld?

Rosenfeld наглухо закрылся дома и работает над своей книжкой - аж 621 страница! Пока не вычитаю-отредактирую, надежды на мое участие-сочувствие крайне мало... :)

P.S. Новости по поводу грядущего приема Фоксом готовых "блобов", подкачиваемых с сайта и исполняемых в пользовательской среде - просто убийственны! По теме см.:

http://webassembly.org/
http://v8project.blogspot.ru/2016/10/webassembly-browser-preview.html
https://www.opennet.ru/opennews/art.shtml?num=45403

Ну а (цитирую): "наработки инициативы по переносу из Tor Browser некоторых возможностей, которые позволяют усилить защиту персональной информации и блокировать возможности, способствующие идентификации пользователя по косвенным признакам. В частности (...) "browser.download.forbid_open_with" - СМЕ-ХО-ТВОР-НЫ.

С небольшой натяжкой минифицированный/обфусцированный JS можно назвать блобом. С чем, кстати, согласен и Ричард Столлман, предупреждающий, что JS-скрипты это вполне себе программы, запускаемые на ПК.
Так что ничего убийственного нет - JS чудесно блокируется NoScript-ом (пусть пользователь решает, что запускать) либо LibreJS (разрешаем запускать лишь код под свободной лицензией), а для WebAssembly тоже что-нибудь придумают.

В копилку ссылок на "похожие" проекты подкину ещё https://github.com/The-OP/Fox, которым (выборочно) пользуюсь сам. Там всё просто - никакой поддержки ночнушек и прочей нестабильности, все настройки ориентированы на актуальную версию браузера + последний ESR, и удобно сгруппированы по степени разрушительности их влияния на юзерэкспириенс.

СМЕ-ХО-ТВОР-НЫ

Они не позиционируются, как ультимативная защита от любого отслеживания. Чем ближе к приватности, тем дальше от удобства серфинга и потребления контента. Интегрируй весь набор - и Firefox из и без того не самого популярного браузера превратиться в браузер для двух с половиной мазохистов (ни окно развернуть, привет TorBrowser с рекомендацией сохранять дефолтный размер окна), ни с сайтом поработать без предварительных ласк^Wвыяснений того, какой ему, клятому, нужен скрипт для корректной работы). Разработчики Firefox вообще не склонны к максимализму. Например, когда я переписывался с ними по поводу обхода одной из реализованных в браузере мер защиты от малвари, они сразу сказали, что если злоумышленники начнут массово использовать найденную мной лазейку - тогда и будем думать, как её закрыть. Их цель - затруднить работу злоумышленников, но, при этом (и это важно), как можно прозрачнее для пользователя. Если настройка А не ломает сайты, но капельку затрудняет отслеживание - она годится. Если настройка Б очень сильно затрудняет отслеживание, но ломает сайты - она не пройдёт.

И, как пользователь, я с этим полностью согласен. Поэтому, я не упарываюсь повседневно в максимальную приватность. То следящее, что можно совершенно прозрачно и безболезненно зарезать - следует зарезать. Блокировщики рекламы, выпрямлятели ссылок, удаляторы редиректов и мусора из ссылок, автофорсеры https это замечательно. А вот когда требуется сделать что-то, за что в случае поимки можно серьёзно огрести - вот тогда и нужно что-то типа TorBrowser и настроек, которые делают сёрфинг крайне неудобным, но крайне анонимным.

Разработчики Firefox вообще не склонны к максимализму. Например, когда я переписывался с ними по поводу обхода одной из реализованных в браузере мер защиты от малвари, они сразу сказали, что если злоумышленники начнут массово использовать найденную мной лазейку - тогда и будем думать, как её закрыть. Их цель - затруднить работу злоумышленников, но, при этом (и это важно), как можно прозрачнее для пользователя. Если настройка А не ломает сайты, но капельку затрудняет отслеживание - она годится. Если настройка Б очень сильно затрудняет отслеживание, но ломает сайты - она не пройдёт.

И, как пользователь, я с этим полностью согласен.

1 ты согласен пока это тебя лично не коснулось, когда ты лично попадешь на деньги и\или информацию
изза такой вот немассово используемой дыры а мозилловцы скажут "А фигня! - других то не трогают" посмотрим что ты запоёшь по поводу согласия с ними.
2 про заруднения отслеживания и прочих пакостей надо понять одно - меры и усилия не важны,важен конечный результат.
у врага ест задача тебя убить, ты нарядился в броню,окружил себя всякими защитными устройствами,не ходишь в полночь на кладбище и не шаришься по болотам и стрипклубам. а тебя взяли и тупо отравили. и какая тебе мертвому разница как это сделал вра? ты уже мертв а он достиг своей цели.
поэтому безопасность и должна быть комплексной. а все эти отдельные меры лишь увеличивают ложное чувство защищённости.
вот в ботинках ты будешь обходить лужи, надел сапоги ага круто! пошел по луже провалился в яму по колено,
ок надел костюм химзащиты - пошел по луже провалился в траншею с арматурой на дне.

3 почему мозилловцы считают нужным прогибаться под сайтописателей в ущерб безопасности юзеров? если настройка удаляет дыру но ломает сайты то это проблема сайтописателей и это ОНИ должны править свой код чтоб он корректно работал,
тем более что не существует ни одной задачи которую нельзя было бы решить нормальным способом без ущерба безопасности.

С небольшой натяжкой минифицированный/обфусцированный JS можно назвать блобом.

Блоб - это все же бинарник. C отсутствием свободно распространяемых исходных кодов; во-всяком случае, именно такой смысл вкладывают в этот термин в мире GNU/Linux. Но если говорить об обфусцированном JS, то rms конечно тоже по-своему прав.

Так что ничего убийственного нет - JS чудесно блокируется NoScript-ом (пусть пользователь решает, что запускать) либо LibreJS (разрешаем запускать лишь код под свободной лицензией), а для WebAssembly тоже что-нибудь придумают.

Все это называется одним словом: "КОС-ТЫ-ЛИ!" Более того: в подобном обреченном подходе :) и кроется основная проблема. Приведу такой пример (ничего личного!)... Допустим, есть у вас любимая женщина. (мы же все тут на самом деле любим ФФ и привязаны к нему уже много лет, не правда ли?)... Ну так вот: женщина эта хоть и любимая, но, мягко говоря, гулящая. И при каждой новой встрече приносит вам очередные неприятности. Допустим, в прошлом месяце при очередных интимных отношениях она заразила вас триппером. Вы его успешно вылечили. Потом - притащила домой сифилис. Вы вздохнули, но делать нечего - опять лечитесь. И где-то подкоркой головного мозга понимаете, что на очереди - СПИД, от которого немудрено и помереть; но сами убеждаете себя: "Ничего убийственного нет! Тоже что-нибудь врачи придумают!"

... А на самом деле выход-то из ситуации единственный - гнать эту женщину из дома! И чем быстрее - тем лучше! Если, конечно, вы уважаете сами себя, свое здоровье и спокойствие-благополучие.

Я прав?

И второе: обычный среднестатистический пользователь на самом деле НИЧЕГО не "решает" самостоятельно, а с упоением и безоглядно хавает пользуется тем, что ему дают. Вот почему его браузер "из коробки" представляет из себя сплошную дыру или решето. В текущей теме не так давно один хомячок обижался, что перед тем, как менять какие-то настройки, я предлагаю пользователю предварительно "подумать" и "самостоятельно принять решение"... Ужас какой, правда?! Похоже, для него это абсолютно непосильная задача! :)

Да проведите сами эксперимент и займитесь небольшим социологическим опросом: много ли ваших знакомых знает что-нибудь про LibreJS? ... А? То-то! :)

Вот, смотрите сами, хороший и свежий пример:

скрытый текст
http://www.opennet.ru/opennews/art.shtml?num=45517

Проект Mozilla анонсировал новый web-браузер для платформы iOS - Firefox Focus, который ориентирован на предоставление пользователю полного контроля за своими данными и предоставляющий встроенные инструменты для блокировки нежелательного контента, включая рекламу, внешний JavaScript-код для отслеживания перемещений и виджеты социальных сетей.

[То есть вроде бы пока все хорошо: цель благая - "полный контроль за личными данными" и другое бла-ла-бла. А теперь читаем дальше и на выходе получаем абсолютно иную картину]

Дополнение: По умолчанию Firefox Focus осуществляет отправку статистики о поведении пользователя на серверы сторонней компании. Данные отправляются обезличенными и статистика собирается анонимно, но сам факт включения по умолчанию отправки статистки в браузере, нацеленном на обеспечение приватности, вызывает большие вопросы. Отправка данных отключается в настройках, при этом в официальном пресс-релизе скриншот экрана настроек обрезан, чтобы лишний раз не привлекать внимание к данной функции.

При установке отправляются сведения об источнике получения приложения (App Store, идентификатор рекламной кампании, IP-адрес, страна, локаль, ОС). В дальнейшем периодически отправляются сведения о частоте использования приложения. Данные включают информацию об активности вызова приложения, используемых настройках, частоте открытия страниц из адресной строки, частоте отправки поисковых запросов и нажатиях кнопки "Erase" (информация о том какие именно сайты открываются не передаётся). Данные собираются через сервис сторонней немецкой компании Adjust GmbH. Так как данные отправляются на серверы Adjust напрямую, раскрываются сведения о об IP-адресе устройства (по IP перемещение пользователя можно отслеживать на основе оценки местоположения текущего провайдера, но Firefox Focus отправляет данные без идентификатора, т.е. привязать IP в общем наборе статистики к конкретному устройству не получится).


И что же? Кто-то по этому поводу хоть слово скажет? Да наоборот - эту "надстройку" над Сафари будут с упоением использовать миллионы хомячков, пребывающих в уверенности, что теперь-то их данные "под полным контролем"! :) Вот только под чьим именно?

Интегрируй весь набор - и Firefox из и без того не самого популярного браузера превратиться в браузер для двух с половиной мазохистов (ни окно развернуть, привет TorBrowser с рекомендацией сохранять дефолтный размер окна), ни с сайтом поработать без предварительных ласк

Вряд ли я выгляжу мазохистом, :) однако когда мне случается запускать ФФ, то я использую профиль, целиком и полностью настроенный по своим же рекомендациям. Иначе зачем бы я затевал весь этот проект? И, поверьте, никаких неудобств не испытываю!

У нас, наверное, просто разные представления о "работе с сайтом". Лично у меня - это поиск, чтение и анализ текстовой информации, а не протирание штанов "ВКонтахтике" или разглядывание видео с собачками-кошечками и "гифочек" с пупсиками. :) Ну а если создатели сайта "запаковывают" основной (article) текст в какую-нибудь модную технологию, то я поступаю просто: не хожу на него. Во-первых, на нем свет клином не сошелся. Во-вторых, я уважаю свою приватность и безопасность гораздо больше, чем возможность единожды просмотреть какой-то несущественный веб-ресурс К тому же, как я уже неоднократно приводил примеры чуть выше по теме, в моем арсенале есть средства, которые ВООБЩЕ не требуют запуска браузера при просмотре сайтов: https://diasp.org/posts/5795168 ... Это и безопасно, и удобно.

А вот когда требуется сделать что-то, за что в случае поимки можно серьёзно огрести - вот тогда и нужно что-то типа TorBrowser

Это не совсем верный выбор. Я неоднократно высказывался на тему, почему я не доверяю разработчикам TorBrowser (именно его, а не stand-alone TOR). Да потому что в настоящее время они (опять же под благим предлогом "упрощения жизни и для удобства пользователей") занимаются абсолютно бесперспективным и сомнительным делом: пристраиванием к жопе коня роскошной кареты. Конь, конечно, сам по себе хороший и достаточно надежный, а вот карета, хоть и выглядит замечательно: отделана позолотой, фонарики мигают, но(!) представляет реальную опасность для пассажиров: там-то крыша течет аж в десяти местах, периодически колеса отваливаются, да и в щели дует.

Общий смысл вышесказанного таков: приделывая ФФ к TOR, разработчики тем самым надежно обеспечивают свой конечный продукт равно таким же количеством проблем и гипотетических уязвимостей, которые существуют в изначальном исходном коде МоФо. Особенно - за счет встроенных сторонних сервисов, большая часть из которых, как я подозреваю, надежно внедрена в самое-самое "сердце" браузера и является неубиваемой by-design.

Поэтому по-хорошему разработчикам TorBrowser (если бы они действительно были озабочены безопасностью и анонимностью конечных пользователей) нужно было бы остановиться и честно признаться: "Ребята, мы двигаемся не в том направлении!" После чего - взять и интегрировать с TOR абсолютно другой браузер, который не имел бы таких вопиющих проблем с безопасностью, о которых я неоднократно писал: https://diasp.org/posts/5298811

А оптимальный вариант - использование не этого комбайна под название TorBrowser, а связки: TOR + прокси с дополнительными запрещающими функциями + консольный браузер (скомпиллированный из десяти строчек общедоступного исходного кода) + средство для шифрования DNS-запросов к свободному DNS-серверу (для гарантии). И безопасность такой связки будет на порядок выше, чем у TorBrowser. Это факт!

Заметьте, я тут не применяю "подход школьника", который тупо заявляет: "Ваш ФФ - отстой! Гы-гы!" Я всегда аргументирую свою позицию и мнение. А последнее таково, что в настоящее время любой консольный браузер с прозрачным текстовым конфигом и некоторыми простейшими изменениями в нем гораздо предпочтительнее.

Примеры:


Вот почему, кстати, я и притормозил разработку Project Rosenfox. Ибо (с) "меня терзают смутные сомнения" - тем ли дело я вообще занимаюсь? Что получается: не успеваем заткнуть очередной десяток дыр в безопасности, как разработчики ФФ вновь подсовывают нам (исключительно "для удобства пользователей"!) новую неведомую фигню, для устранения которой требуется очередной костыль, патч-заплатка или изменение в настройках... Так стоит ли вообще возиться с этой "каретой"?! Глупо.

okkamas_knife
скрытый текст

поэтому безопасность и должна быть комплексной

Это моя фраза! Не присваивай! :) ... Но вообще-то я рад, что ты до этого ТОЖЕ дошел. Наверное, сказывается многолетнее чтение моих форумных опусов... Замечено, что если постоянно капать на чьи-то мозги, иногда в них что-нибудь да остается!

Однако тогда будь последователен! И в первую очередь - смени церковь слезь с офтопика! У тебя ж до сих пор винда, так ведь? :)

Rosenfeld пишет:

P.S. Новости по поводу грядущего приема Фоксом готовых "блобов", подкачиваемых с сайта и исполняемых в пользовательской среде - просто убийственны!

Не то слово, за последний месяц из всех blob:http.. встретилось только два примера использования для функциональности сайта (и то вероятно не факт) - используется повсеместно для отслеживания, рекламы и ограничений. Посему глобально заблокировал и делаю редкие исключения.

используется повсеместно для отслеживания, рекламы и ограничений

Именно. Для этого данная технология и разрабатывалась.

Посему глобально заблокировал и делаю редкие исключения.

Мудро. Но это, увы, половинчатое решение. (с) "Советую сменить церковь" :)

не удержусь и пну

Rosenfeld пишет: Однако тогда будь последователен!

Rosenfeld пишет:у а если создатели сайта "запаковывают" основной (article) текст в какую-нибудь модную технологию, то я поступаю просто: не хожу на него.

нука зайди на свой
http://diasp.org/posts/5795168
с выключенными скриптами и прочитай статейку
и где твоя последовательность?

Как личная_совесть™ Розенфельда, официально заявляю что сей вопрос уже обсуждался.
И на него был даден весьма пространный и столь же туманный ответ в спойлере сообщения №156.
Если кратко — Линукс наше всё.
Только вот там, к сожалению, не написано, что мешает Розенфельду скопировать свои статьи на
какой-нибудь ресурс, где можно читать их не включая скрипты? На тот же github, например.

okkamas_knife, могу поспорить на банку варенья и коробку печенья, что Розенфельд опять расскажет
про Lynx или консоль, но только не про обсуждаемый здесь браузер.

okkamas_knife

скрытый текст

и где твоя последовательность?

Слушай, это мне (по национальности) положено отвечать вопросом на вопрос! Так ведь? А ты, похоже, просто "соскочил" с вопроса про винду... Что, стыдно стало? :)

Ну ладно, я сегодня добрый; да и работа моя слегка притормозилась. Поэтому все же отвечу.

Поскольку ты сам(!) не указал в своем вопросе - как(!) именно мне туда заходить: 1) посредством браузера, 2) скрипта-конвертера, 3) консольного приложения, 4) специализированного приложения с GUI, то существует, как минимум, три варианта ответа.

1. "Чисто" без скриптов - см. здесь: https://diasp.org/posts/6367805 - я только что лично(!) протестировал и (специально для тебя!) :) проиллюстрировал этот метод, разве что авторизоваться не стал. Как видишь, все выполняется в консоли GNU/Linux. Никакой браузер не нужен.

2. Из специализированной программки-GUI: https://github.com/Diaspora-for-Android … ENSHOTS.md (да-да, я в курсе, что ты любишь рассматривать картинки, ибо так быстрее доходит, а там их мно-о-ого) :)

3. Опять "чисто" без скриптов (сугубо через CLI) - см. здесь: https://freeshell.de/~mk/projects/cliaspora.html. Если честно, этот вариант я не пробовал - руки не дошли, да и лень.

В-о-от! Я считаю, что любопытство твое удовлетворил полностью! Ну а не веришь мне, так можешь сам все это добро протестировать - будет надежнее и вернее! :)

Ну а теперь все-таки ответь на предыдущий вопрос: если "защита должна быть комплексной", так почему ты до сих пор сидишь на офтопике?


negodnik
скрытый текст

что мешает Розенфельду скопировать свои статьи на какой-нибудь ресурс, где можно читать их не включая скрипты? На тот же github, например.

Ничего не мешает. Но я, признаться, вообще не понимаю, почему что-то куда-то должен "копировать". Я ж писал уже раз десять ранее, что сугубо скептически отношусь к чужим "хотелкам", равно как и никогда не выполняю их. Я выкладываю там, где мне удобно и где я считаю нужным. Как эти личные решения влияют на мнение социума о моей скромной персоне, я даже и не задумываюсь. А то один, к примеру, захочет, чтобы я публиковался в ЖЖ, другой (ибо так ему(!) удобненько) - чтобы это вообще выкладывалось "ВКонтахтике"... :) Позвольте, господа, но так и до каких-нибудь "Одноклассников" или "Народа.ру" опуститься можно! :)

Ну а GitHub, смею напомнить, это вовсе не соцсеть и площадка для "бложиков". Там размещается исходный код и комментарии к нему. И нечего его захламлять... Зато в свободной соцсети diaspora* -  как раз то, что мне нужно: масса гиков, а не хомячков. Напишешь что-то интересно, обязательно последуют дельные отклики, примеры и т.п. Заводятся новые и весьма необычные знакомства. Да и сам много нового узнаешь из "потока"; а уж когда начинаешь чужие блоги читать, на это может ночь уйти. Плюс - на мои вирши и опусы подписана куча разнообразного народа (особенно почему-то активны немцы)... Зачем мне еще куда-то уходить?

Ну а желаете читать "без скриптов" - идите ... в мой Gophersace! :) Там как раз полная тишь и благодать - ни скриптов, ни кукиз, ни зловредов. Надеюсь, вы еще не разучились пользоваться Gopher'ом? ... И только не надо сразу заводить волынку, что "ФФ его не поддерживает"...

в спойлере сообщения №156

А надо было смотреть на сообщение № 153 от 04-07-2016 16:41:20

ну сколько можно юлить?
1 по твоей ссылке на диаспоре я вижу пустой экран и включать скрипты тамошние не собираюсь т.к. глянув их исходники нашел там достаточно занятные и неприемлемые вещи.
и не надо делать вид что ты не понял вопрос, вот кто мешает выкладывать ттебе материалы там где для их просмотра обычным юзером скриптов или ухищрений не требуется? зачем тты зазываешь юзера на сайт который потенциально опасен?
2 упоминание андроида это вообще рукалицо.

3 я сижу на винде потому что мне это удобно и она практически полностью удовлетворяет мои потребности,
чего не могу сказать ни об одном дитрибутиве линукса под который софт выполняющий нужные мне задачи
либо отсутствует либо делает это  криво или очень уж неудобно.
(а еще у меня куча древнего софта который отлично выполняет свои функции и жрет минимум ресурсов не тратя их на ненужные свистоперделки. )
плюс я её контролирую в достаточной мере как и софт который юзаю.
я потратил достаточно времени на это. и ни одна программа не запускается без моего ведома.

а теперь поясни мне как ты борешься с такой дырищей в своей системе как обновления?
насколько я знаю ты не в состоянии проверить каждый да и даже хоть один апдейт лично.
то есть любая обновившаяся софтина это потенциальный вирус запущенный на твоей тачке,
ты можешь рассуждать о доверенных источнниках подписях и миллионах глаз но это ни капли
не защитит тебя от людей с корочками пришедших к админу сервака с апдейтами и вежливо попросившик его выложить прозондированный апдейт причем это можно сделать и целенаправленно т.е. тот апдейт получишь только ты а миллионы глаз получат нормальный.
также это не защитит тебя от обычного раздолбайства того же админа и прочих в результате которого обновления и репозитории будут скомпрометированы.
ну а если ты таки отключаешь обновления то расскажи как ты затыкаешь дыры которые последнее время находятся пачками как в сисеме так и в софте?

ну и до кучи вот ты в гофер приглашаешь а что там? текст? хтмл? нее там у тебя пдфки с бинарными блобами внутри.
и зачем мне такая "радость"?

странно видеть человека ратующего за безопасность и открытость и при этом выкладывающего текстовые материалы
либо в формате который требует дополнительного софта для просмотра (текстовым редактором тут не обойтись)
либо  выкладывает там гдде для просмотра контента опять же нужно запускать сторонний софт.
где последовательность то?

а уж с твоей агитацией за СПО и безопасность ты напоминаешь продавцов в магазинах расхваливающих товар но нифига толком в нём не соображающих, одни заученные рекламные слоганы.

а теперь поясни мне как ты борешься с такой дырищей в своей системе как обновления?
насколько я знаю ты не в состоянии проверить каждый да и даже хоть один апдейт лично.
то есть любая обновившаяся софтина это потенциальный вирус запущенный на твоей тачке,

"а теперь поясни мне как ты борешься с такой дырищей в своей системе как обновления?" - ржу от смеха, реально ржу! Сам того не подозревая, ты абсолютно правильно и точно подсознательно(!) - т.е. сугубо по дедушке Фрейду - обрисовал главную дыру винды - обновления! ... Скажи, тебя-то там самого принудительно до "десятки" обновили или нет? Или ты по-прежнему сидишь на старой самопальной сборочке с гордым названием "Zver-CD"?

А вот теперь смотри: ты б чуток перевернул все это на 180 градусов и задал подобные вопросы сам себе. :) Например, как можно работать на ОС, где вообще все обновления - бинарники! И помечены ничего не говорящими номерами, поэтому и неизвестно - что пришло, откуда и зачем тебе это втерли. Ты б задался вопросом - как ты можешь работать на системе, которая априорно шпионит за тобою, причем этот функционал закреплен проприетарной (собственнической) лицензией и практически неотключаем.Где сама ОС - как правило взломана, а каждая вторая программа скачивается пользователями с файлопомоек... Не? Я в чем-то не прав?

ты можешь рассуждать о доверенных источнниках подписях и миллионах глаз но это ни капли
не защитит тебя от людей с корочками пришедших к админу сервака с апдейтами и вежливо попросившик его выложить прозондированный апдейт

Твои познания о системе обновлений GNU/Linux просто поражают своей глубиною! Особенно компетентно ты рассуждаешь о том, как, каким образом, в системе "зеркал" обновлений на одном из серверов вдруг(!) появится пакет, отличный от тех, что синхронятся на других. Особенно, если учитывать, что зеркала синхронятся ЧЕТЫРЕ РАЗА за ДВАДЦАТЬ ЧЕТЫРЕ ЧАСА! И если вдруг по какой-то причине этого не произойдет, конкретное зеркало вылетит из списка "официальных" (т.е. о нем никто не будет знать)... Садись, "пять"!

причем это можно сделать и целенаправленно т.е. тот апдейт получишь только ты а миллионы глаз получат нормальный.

Твои познания о механизмах произвольного выбора серверов в yum, dnf  и т.п. дважды(!) поражают мое скудное воображение! Интересно, как твои "друганы" с "корочками" догадаются - к какому именно из сотен зеркал-серверов при очередном обновлении автоматически обратится моя ОС (или, как вариант, какой сервер предпочту я сам). И в каком уголке земного шара будет находиться этот сервер - потому что я волен выбирать его по конкретному имени или целым списком - по странам. :) Устанут на ковре-самолете летать! Заметь, обновления через TOR я здесь даже и не рассматриваю, а то ты совсем запутаешься. :)

Вот тебе списочек серверов Debian, просмотри на досуге: https://www.debian.org/mirror/list

А это - списочек зеркал Fedora (только одной - текущей - т.е. 24-й версии): https://admin.fedoraproject.org/mirrorm … /Fedora/24

также это не защитит тебя от обычного раздолбайства того же админа и прочих в результате которого обновления и репозитории будут скомпрометированы.

Это просто набор слов. Сдается мне, что тебе надо на ближайший день рождения подарить парочку хороших манов по криптографии, ЭЦП, ну и - до кучи - руководство по механизму зеркал, двухпроходной синхронизации и проч.-проч.

ну а если ты таки отключаешь обновления то расскажи как ты затыкаешь дыры которые последнее время находятся пачками как в сисеме так и в софте?

Ты б приводил примеры что ли. :) А то ж становится неинтересно слушать, право... Между прочим, если дыры находятся (и заделываются), так это должно радовать. Потому что основной постулат здесь таков: "Безопасность - не цель, а процесс". Ты хоть знаешь об этом? :) Так что раскрытие уязвимостей и появление обновлений - это отличный признак того, что GNU-community не почивает на лаврах, а работает. А теперь сравни со своим любимым офтопиком :)

У меня к тебе, кстати, (с) хороший годный совет: не уподобляйся специалистам от конторы Касперского и "Др. Веб", которые время от времени на весь интернет издают жуткие вопли: "НАЙДЕН СТРАШНЫЙ ВИРУС ПОД ЛИНУПС! СПАСИТЕ-ПОМОГИТЕ!!11 ТОЛЬКО У НАС ЕСТЬ ВОЛШЕБНАЯ ТАБЛЭТКА11"" ... А когда привычный к таким воплям народ начинает требовать пруф-линки, в очередной раз выясняется, что для активации этого молдовского вируса нужен физический доступ к машине, плюс - чтобы пользователь вдруг(!) перешел бы в режим рута и самостоятельно запустил его руками... :)

Договорились? Не будешь так больше делать? :)

глянув их исходники нашел там достаточно занятные и неприемлемые вещи.
зачем тты зазываешь юзера на сайт который потенциально опасен?

Ты б привел какую-нибудь доказательную базу, что ли? А то ж завтра, прочитав твои слова, во всей желтой компьютерной прессе выйдут заголовки: "Сайты диаспоры тайно атаковали миллионы беззащитных пользователей!" Сделай так: если что-то нашел, не поленись - оформи баг в их багзилле. Это будет и красиво, и профессионально. И не по принципу: "как страшно жить... бла-бла"!

ну и до кучи вот ты в гофер приглашаешь а что там? текст? хтмл? нее там у тебя пдфки с бинарными блобами внутри. и зачем мне такая "радость"?
... странно видеть человека ратующего за безопасность и открытость...

Именно! "За безопасность и открытость". Вот почему для меня это не составляет такой страшной проблемы, как для тебя. PDF - открытый формат, средства, которыми я пользуюсь для его генерирования из чистого текста и для последующего просмотра - тоже из разряда free software/open source. Или ты настолько запуган "людьми с корочками", что даже PDF отказываешься открывать? :) Признайся - ведь открываешь же иногда, да? Надев шапочку из фольги? :) И спрятавшись в "клетке Фарадея"?

UPD: Кстати, для интереса открыл сейчас поиск по тэгу "PDF" на Секьюритилаб и полистал последние материалы: http://www.securitylab.ru/news/tags/PDF/ ...  И понял(!), что тебе-то действительно есть чего бояться, потому что все проблемы связаны, как правило, с уязвимостями и дырами в программах(!) просмотра - печально знаменитом Adobe Reader и Foxit PDF Reader (о неплохой программульке Sumatra PDF, увы, ничего не нашел). Но у меня-то таких проблем НЕТ... Так и чья б корова мычала про GNU/Linux, а? :) И тебе не стыдно?

Причина же хранения моих материалов именно в таком виде на сервере Gopher весьма проста - он напрочь не понимает никакие кодировки, кроме стандартной "западной", и отдает любой "читаемый" контент именно в таком виде. Я пытался самыми разными способами заставить браузер правильно понимать выкладываемые мною в формате UTF-8 файлы (как txt, так и html), но ни к чему хорошему это не приводило. То есть при любом клике на новую страницу ФФ неизменно "сваливался" в "западную" кодировку, и ликвидировать возникающие на страницы "кракозябры" приходилось принудительным указанием правильной кодировки. Что не есть гут! :) Более того, я сознательно отказался от всех русскоязычных заголовков по той же самой причине - поисковая система "Вероника-2" автоматически индексировала мои страницы с ошибками. А сейчас это в прошлом.

... Только и всего-то! А ты уже от страху за штаны схватился! :)

либо в формате который требует дополнительного софта для просмотра (текстовым редактором тут не обойтись)
либо  выкладывает там гдде для просмотра контента опять же нужно запускать сторонний софт.

И еще один бесплатный :) и добрый совет: всегда старайся писать так:

0) "текстовым редактором у меня в ОС не обойтись"
1) "у меня в ОС требует дополнительного софта..."
2) "у меня в ОС требуются костыли для просмотра контента" :)

Знаешь, почему? Потому что у других людей таких проблем может и не оказаться! :) Честно тебе говорю! Ибо для "других ОС" подобные простейшие действия доступны "из коробки". Только что проверил - просмотр моих PDF-файлов отличным образом обеспечивает ДАЖЕ(!) примитивная кнопка F3 в пакете mc! А у тебя, куда не плюнь, всюду какие-то затруднения.

Резюмирую. Мне грустно прилюдно об этом упоминать, но ты несешь чушь. Я констатирую это только потому, чтобы ты своими голословными утверждениями не запугивал бы других некомпетентных в этом деле людей. И не вводил бы их в заблуждение. Извини!

а уж с твоей агитацией за СПО и безопасность ты напоминаешь продавцов в магазинах расхваливающих товар

По хорошему, если ты выбрал такую достойную и принципиальную позицию насчет GNU/Linux, FSF, GPL и прочего, я б на твоем месте полностью отказался бы в первую очередь от интернета! Почему? Да потому что подавляющее большинство серверов (60%+, я уже запамятовал) - пашут именно на nix-системах... Ну а уж про роутеры и всякие другие хитрые сетевые механизмы я и не упоминаю... Ты просто представь - сидишь ты у себя дома за компом, а сквозь монитор с такого сервера на тебя вдруг лезет СТРАШНЫЙ ВИРУС!

Идем далее! В целях безопасности тебе следует выбросить на свалку практически все современные устройства: телефоны-смартфоны, "умные вещи" типа ТВ и прочего - ибо там тоже таится страшное западло: Linux! Ты просто представь картину, если система выйдет из под контроля и на тебя набросится твоя собственная стиральная машинка или холодильник, снабженные этой адской ОС... Я б долго мог перечислять тут все остальные опасности этого мира, но, боюсь, ты о них осведомлен гораздо лучше, чем я... Поэтому, увы, умолкаю и ложусь наконец-то спать.

P.S. Ой, нет, совсем забыл предупредить тебя о самой страшной опасности! Если доведется быть в Европе, в частности - в Швейцарии, ради Б-га не подходи ближе чем на сто миль к 25-километровому туннелю CERN'a - того самого, где эксплуатируется истинное порождение сатаны - Большой адронный коллайдер! Знаешь, почему прошу тебя не подходить? Да потому что он тоже управляется ОС, полностью по ядру, архитектуре и DE аналогичной, что стоит у меня на машинах - RHEL/CentOS, разве что она обвешана специализированным прикладным софтом... Представляешь, как, в случае проникновения страшного вируса, там рвануть может! Костей не соберешь! В-о-о-т! :)

Скажи, тебя-то там самого принудительно до "десятки" обновили или нет? Или ты по-прежнему сидишь на старой самопальной сборочке с гордым названием "Zver-CD"?

А вот теперь смотри: ты б чуток перевернул все это на 180 градусов и задал подобные вопросы сам себе.

как обычно сам придумал чтото сам поглумился над своей фантазией.
а ведь я писал что у меня и как и про обновления тоже. склероз?старость?

Садись, "пять"!

садись, два за незнание матчасти.

Твои познания о механизмах произвольного выбора серверов в yum, dnf  и т.п. дважды(!) поражают мое скудное воображение!

вот именно что скудное. или у тебя прямые каналы к тем серверам? и за каждым метром ты лично смотришь?
или летаешь обновляться к админам чтоб через флэшечку?
еще раз говорю учи матчасть а не рекламные слоганы и чушь которую несёт твой обожаемый столлман

о просто набор слов. Сдается мне, что тебе надо на ближайший день рождения подарить парочку хороших манов по криптографии, ЭЦП, ну и - до кучи - руководство по механизму зеркал, двухпроходной синхронизации и проч.-проч.

еще раз изучи матчасть и пойми наконец что комп(в смысле железо+ось) ну никак не может достоверно определить
подключен он к интернету или к левой сетке с нужным контентом


б приводил примеры что ли. :) А то ж становится неинтересно слушать, право..

я тебе не клоун и не новостной сайт чтоб развлекать, есть гугл есть куча багтрекеров - ищи если тебе так надо.

А когда привычный к таким воплям народ начинает требовать пруф-линки, в очередной раз выясняется, что для активации этого молдовского вируса нужен физический доступ к машине, плюс - чтобы пользователь вдруг(!) перешел бы в режим рута и самостоятельно запустил его руками...

дадада  нука напомни мне на чем работает большинство устройств участвующих в популярных нынче ботнетах?
неужели виндовс?


Именно! "За безопасность и открытость"....
блаблабла
...А сейчас это в прошлом.

ну так вот
1 пдф не поддерживается браузерами  а значит нужно юзать либо плагин либо программу-читалку
а это значит что нефиг заставлять юзера использовать небезопасный хоть и открытый формат
что до проблем с кодировками - снова либо твое скудное воображение но скорее незнание матчасти и истории хотябы
и нежелание их изучать

кто мешает использовать обычный текстовый файл запаковав его в зип? все равно ж используется сторонняя прога так зачем нужен пдф с его бинарными блобами и свистоперделками в виде шрифтов когда можно обойтись простым текстовым редактором?
оно и размером меньше и скачивать для спокойного чтония в любимой читалке-редакторе удобней. вобщемо на заре интернетов так оно и было - тексты? - зипуй!
2 ну и по поводу кодировок - кодировка вобщемто указывается в самом хтмл файле  это раз
(тоесть браузеру пофиг откуда его получать\открывать)
если сам сервер перекодирует отдаваемый файл то есть способы и альтернативной кодировки использующие только ascii символы для кодирования остальных.(файл конечно раздуется но как костыль оно работает)

вобщем еще раз говорю изучи матчасть а не рекламные и религиозные слоганы чтоб понимать как оно работает
и тогда уж учи других.

ну и по поводу кодировок - кодировка вобщемто указывается в самом хтмл файле  это раз

Бывает, что я выгляжу идиотом, но кодировку в соответствии со стандартами w3c я указать все же могу. Файлы (в прямом смысле) писались руками и потом проверялись валидатором на офсайте w3.org ... Но сервер действительно отдает не то, что хотелось бы.

А выкладывание в PDF - мой личный выбор, и я не вижу дальнейших причин его обсуждать. И перед тем, как предъявлять претензии по поводу мест, куда я выкладываю публикации (свободная соцсеть тебе не нравится, гофер тебе не нравится и т.п.), равно как и по поводу форматов, в следующий раз - ОЧЕНЬ тебя прошу: продемонстрируй окружающему миру, куда ТЫ САМ выкладываешь и ЧТО именно выкладываешь. Договорились? ... "ВКонтахтике" ведь втихую публикуешься - я угадал? :)

UPD - NoIndex:

скрытый текст
Войдите или зарегистрируйтесь, чтобы увидеть скрытый текст.


или у тебя прямые каналы к тем серверам? и за каждым метром ты лично смотришь?
или летаешь обновляться к админам чтоб через флэшечку?

еще раз изучи матчасть и пойми наконец что комп(в смысле железо+ось) ну никак не может достоверно определить

Я и в самом деле  вижу, что ты абсолютно не понимаешь, как при создании подписывается каждый пакет (не каждая программа, а именно "пакет" - в программе их могут быть десятки!) с помощью PGP , и как он верифицируется вшитыми в ОС публичными ключами - еще до(!) момента транзакции... Ответь - ты в самом деле реально ничего не знаешь о механизме действия PGP? И не в курсе, что она была разработана Циммерманом в первую очередь для того, чтобы "с чемоданчиком" и "одноразовым паролем" никуда за файлами летать не нужно было? :) ... И что подвижник-Циммерман был готов отсидеть десятки лет в тюрьме за свободное право других людей пользоваться этим методом (против него был возбужден уголовный процесс за экспорт стойкого крипто).

Осознай такую вещь. На одной стороне - твои друзья с "корочками". На другой - строгие законы математики (криптография, как ты знаешь, наука точная). И пока существует стойкая и сильная криптография, неотъемлемые человеческие и гражданские права и свободы будут (худо-бедно) соблюдаться (это не мое утверждение, а цитата из какого-то гуру математики) - как бы этого не хотелось атакующей (т.е. первой) стороне.

я тебе не клоун и не новостной сайт чтоб развлекать, есть гугл есть куча багтрекеров - ищи если тебе так надо.

Очень жаль, что ты не хочешь, вернее, не можешь привести никаких конкретных доказательств. А ты слышал когда-нибудь, что бремя доказывания возлагается на обвинителя, а не на обвиняемого? То есть это ТЫ САМ, сказав "а", должен сразу произнести и "б" - т.е. привести примеры этих самых "страшных вирусов под Линупс". Или, как вариант, "уязвимостей в исходном коде Диаспоры"... Приучайся точно излагать свои мысли, а не так: "я тут "на коленке" быстренько посмотрел их исходный код и понял, что там сплошные дыры"... :)

нука напомни мне на чем работает большинство устройств участвующих в популярных нынче ботнетах?

Неужели на офтопике? :) Я так и думал! ... А если ты ведешь речь о модной тенденции создавать ботнеты из "интернета вещей" (да, действительно: как я и писал выше, большинство из них работает на донельзя урезанном ядре GNU/Linux), то тут нет ничего странного. Исходные коды ядра, как ты знаешь, открыты для их свободного использования. и если идиоты-производители бытовых железок и прочих девайсов первым делом убирают оттуда функции защиты, то на кого обижаться-то? На Турвальдса? На Столлмэна? ... Если, к примеру, ты купишь "Мерседес", потом вырвешь из него заводскую сигнализацию, датчики и дверные замки, а потом бросишь на ночь во дворе, то кто будет виноват, что его угнали? Производитель? Нет! Ты сам.

а не рекламные слоганы и чушь которую несёт твой обожаемый столлман

Какие именно слоганы? И какую именно чушь? Приведи, пожалуйста!

А пока что это твое утверждение выглядит бездоказательно и как-то по-детски, будто бы ты на него лично обижен. :) Ты никогда не задумывался, что не будь в этом мире rms, Турвальдса, Циммермана, Шнайера, Беренса-Ли и прочих, кого можно назвать одновременно и романтиками, и идеалистами, и подвижниками, то он бы выглядел совсем по-другому?

пойми наконец что комп (в смысле железо+ось) ну никак не может достоверно определить
подключен он к интернету или к левой сетке с нужным контентом

Я еще раз вчитался в эту фразу и ПОНЯЛ!!! :) Я внезапно понял, откуда валом прут все эти твои страхи насчет "подключен к левой сетке с нужным контентом". Это ты просто насмотрелся "Шматрицы"! Я прав? Это ж именно там выяснилось, что каждый из клиентов психбольницы кулхацкеров подключен шлангом прямиком к "Матрице", хотя искренне полагает, что живет в реальном мире! :) Ты там у себя дома, когда идешь в сортир, "агентов Смитов" в черных очках часом не наблюдаешь за унитазом во множественном числе?

Поэтому я б тебя еще раз просил: пиши более конкретно, например:

"Мой комп (в смысле железо+ось) ну никак не может достоверно определить подключен он к интернету или к левой сетке"

Так  будет выглядеть достовернее! :)

P.S. Наткнулся тут на одну цитату, прямо про тебя, уж извини:

"Хотя и правительства, и транснациональные корпорации в значительной степени несут угрозу личным свободам человека в Интернете, но существует опасность, значительно превосходящая первые две. Имя ей – неинформированные граждане."

не вижу смысла спорить с верующим и неспособным вести адекватный диалог.
про уровень знаний уж молчу.
кто действительно захочет разобраться будет читать документацию и включать мозг а не тратить время на чтение твоих опусов.
можешь написать слив защитан если это потешит твоё самолюбие.
я слишком ленив комуто чтото доказывать а делюсь я теперь только с теми кто адекватен.

можешь написать слив защитан если это потешит твоё самолюбие

Да ну, прекрати - я на такое не способен. И вообще не хотел, чтобы ты обижался. Потролилли друг друга - и хватит. А все остальное - для данной темы офтопик. Но достаточно полезный офтопик!

Всё, шабат потихоньку заканчивается - я самоудаляюсь с форума и вновь принимаюсь за работу. Может к Новому году закончу, тьфу-тьфу...

Rosenfeld
Подскажите, пожалуйста, параметр browser.cache.memory.capacity в 50 версии актуален или он заменён на  browser.cache.memory.max_entry_size?

fantom123
Судя по исходникам:

Выделить код

Код:

#define MEMORY_CACHE_CAPACITY_PREF  "browser.cache.memory.capacity"
#define MEMORY_CACHE_MAX_ENTRY_SIZE_PREF "browser.cache.memory.max_entry_size"
Выделить код

Код:

// -1 = determine dynamically, 0 = none, n = memory capacity in kilobytes
//pref("browser.cache.memory.capacity",     -1);
// Max-size (in KB) for entries in memory cache. Set to -1 for no limit.
// (Note: entries bigger than than 90% of the mem-cache are never cached)
pref("browser.cache.memory.max_entry_size",  5120);

..используются обе, но browser.cache.memory.capacity (если так нужен) создается вручную.

Мое заднее место интуитивно подсказывает, что устарело еще в конце ветки 40+.

https://forum.mozilla-russia.org/viewto … 29#p718429

Этот параметр на безопасность не влияет; главное - отключить дисковое кэширование, с целью предотвращения накопления/хранения временных данных от сёрфинга. Или следов от них.

Rosenfeld
Дело не в безопасности, а в производительности. Интересовало, есть ли от установки этого параметра толк, т.к. прочитав ваш комментарий https://forum.mozilla-russia.org/viewto … 29#p718429, решил, что его отключили навсегда.

Rosenfeld
В списке упомянуто network.cookie.thirdparty.sessionOnly . Оно действует только если включен приём сторонних кук и определяет что с ними делать после закрытия браузера .
false - действуют общие разрешения
true - удаляются при закрытии независимо от общих разрешений

Говоря точнее, действие формулируется вот так:

These are cookies which are requested by websites outside of the domain of the website that you are currently visiting. In general, they are treated like cookies from the primary website once accepted based on the network.cookie.cookieBehavior preference for the duration specified in the network.cookie.lifetimePolicy setting. With this preference, third-party cookies can be forced to be accepted for the current session only, even if network.cookie.lifetimePolicy would allow a longer retention period.

... А вообще, какая-то замороченная настройка. У меня к cookies подход только один: запрещающий.

Rosenfeld
Куки могут очищаться при закрытии или сохранятся (настройки по умолчанию) . Для второго случая эта настройка и предназначена - удаляет в true сторонние куки , не обращая внимание на разрешения . В списке рекомендация false , потому и обратил внимание .
Все ставят то , что им удобно . И надо повысить безопасность не в ущерб удобству .

И значение network.cookie.lifetime.days не лишне подсократить - три месяца хранения нельзя безопасным считать . Хотя некоторым и нравится автологин .

В списке рекомендация false , потому и обратил внимание .

А, вот вы о чем... Но при false, как вы сами и упомянули, действуют общие разрешения. А они у нас одни и те же - строгие. :)

И значение network.cookie.lifetime.days не лишне подсократить - три месяца хранения нельзя безопасным считать

Надеюсь, это благопожелание было высказано не в мой персональный адрес? :)

скрытый текст

Глобальный запрет приема cookies (в том числе - со сторонних сайтов):

network.cookie.cookieBehavior=2 (рекомендовано)

http://kb.mozillazine.org/Network.cookie.cookieBehavior

Прием cookie только с посещаемого (оригинального) сайта. Cookie со сторонних (third-party) серверов будут блокироваться:

network.cookie.cookieBehavior=1 (не рекомендуется)

Примечание: В последнем случае (=1) необходимо активировать опцию устаревания загруженных cookies при закрытии браузера:

network.cookie.lifetimePolicy=2

http://kb.mozillazine.org/Network.cookie.lifetimePolicy

Очистка истории, сессий, паролей, кэша, cookies и т.п. при выходе из браузера:

privacy.sanitize.sanitizeOnShutdown=true
(...)
privacy.clearOnShutdown.cookies=true

https://github.com/RamiRosenfeld/Rosenf … l_ru-RU.md

Доброй ночи!
После прочтения 6 страниц интересных перепалок и двух - ценнейшей информации, возникла идея...
Может (только не выкидывайте в окно) стоит взять за основу ТОР Браузер и доводить до нужного состояния его? В нем уже многое сделано. Или нет?

А мог бы кто-нибудь выложить список параметров из about:config отключающих всю телеметрию и социальщину в крайних версиях Firefox? :)

id_4f8ac пишет:

взять за основу ТОР Браузер и доводить до нужного состояния его?

До какого состояния ? До абсолютно безопасного ? Запросто, это каждый сделать и сам может.
Меню -> Файл -> Работать автономно.

Coroner пишет:

До какого состояния ?

До состояния когда не останется лишней функциональности не отрезав лишнего.
Или в сабже ничего лишнего нет?

Для начала составить-бы общую концепцию, определить что такое хорошо и что такое плохо, а потом переходить к конкретным настройкам.

Например UA не трогать, как некоторые предлагают, пусть будет "стандартный" ьтипа Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0 .
Скрипты, канву, куки выборочно оставлять под каждый сайт индивидуально. Суперкуки, ДОМ и тд  - отключаем. Тайминги WebGL есть еще.

id_4f8ac пишет:

Или в сабже ничего лишнего нет?

Каждый решает индивидуально что для него лишнее. "Загрузка" — лишнее ? Закладки — лишнее ?
В браузере есть только то что используется большинством, наверное. Голый браузер + пара дополнений.

А что до настроек — понимаете, здесь ведь тоже надо знать что хочешь. Например если Вы используете все настройки которые в этом треде там, выше, определены как настройки безопасности, Вы получите максимально защищённый Firefox, предназначенный для просмотра текста и картинок на некоторых простых форумах. Сёрфить в привычном значении слова им не получится. Без кукисов, скриптов, даже умирающего флэша. Без редиректов, без trackingprotection и прочего. Средство просмотра некоторых сайтов. Этакий Links с кнопочками.

id_4f8ac пишет:

Например UA не трогать, как некоторые предлагают, пусть будет "стандартный" ьтипа Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0 .
Скрипты, канву, куки выборочно оставлять под каждый сайт индивидуально.

Включаете где надо — и всё. Но для каждого ведь разное надо. Кстати лучше под IE или Edge закосить. У Firefox не такой и большой процент пользователей, к тому же, возможно, скоро уменьшится.

Нужна максимальная защита — TAILS + TOR на зашифрованной флешке. Нужно сёрфить и пользоваться интернетом — TOR со своими настройками для каждого сайта. Ну как то так. удалено

Безопасный автомобиль это тот который в гараже охраняемом стоит. Менее безопасный тот, на котором  в ближайший супермаркет раз в месяц ездят. А каждый день кататься — опасно, но большинству требуется именно это. Так что TOR по умолчанию — автомобиль хорошей фирмы с подушками безопасности и прошедший краш-тесты с успехом. Можно подкрутить в нём кое что, чтобы ездил медленнее, возможно аварийность понизится, но неудобно же будет. :)

Coroner пишет:

Нужна максимальная защита — TAILS + TOR на зашифрованной флешке.

Я не ставлю целью (в этой теме) достичь "полной анонимности"; выходить в сеть только через даблвпн пользоваться текстовым браузером.  Думаю, пока достаточно будет не стать объектом интереса товарища майора или копирастов и оставить по меньше компромата на себя на будущее.  За свои действия в сети я ручаюсь, но не могу поручиться за свой браузер, который отсылает что хочет, кому хочет. Вот эту функциональность считаю лишней и хочу контролировать.  Мне не комильфо что третьи стороны получают историю моего серфинга через щели в браузере. Как в будущем это может быть использовано только Богу известно.
Не знаю как у вас, но у нас меняются политические режимы и мои убеждения могут стать вне закона.

id_4f8ac пишет:

Не знаю как у вас, но у нас меняются политические режимы и мои убеждения могут стать вне закона.

Да таких не меньше двух третей населения. Всех не пересодют. :)

id_4f8ac пишет:

За свои действия в сети я ручаюсь, но не могу поручиться за свой браузер, который отсылает что хочет, кому хочет. Вот эту функциональность считаю лишней и хочу контролировать.

Тогда мне кажется что достаточно штатного функционала и штатных настроек. Хотя вот как относится к автоматической проверке обновлений ? С одной стороны это лишняя самостоятельность браузера, с другой — вроде как наоборот, забота о своевременном улучшении параметров безопасности и закрытии возможных уязвимостей. Вроде как  TOR Browser пока ни в чём никто не упрекнул. А тем более если Вы за свои действия в сети ручаетесь. Просто желательно не использовать один и тот же браузер для обеспечения безопасности и обычного брожжения по сайтам. Я например использую TOR Browser для .onion, а для обычного посещения интернета мне как правило хватает и Firefox + AdVor. Так какая-то, но анонимность обеспечивается и функционал настроенного Firefox сохраняется. Хотя в этом случае многое уже зависит от дополнений.

Ничего особенного, но всё же https://robinlinus.github.io/socialmedia-leak/ :cool:

Zerdsa пишет:

Ничего особенного, но всё же https://robinlinus.github.io/socialmedia-leak/

С включенным uBlock и фильтром Fanboy’s Enhanced Tracking List — ничего не видит. :)

скрытый текст
https://hsto.org/web/488/62c/b2b/48862cb2b5b14b22b381f0e1ef810897.png

Coroner пишет:

С включенным uBlock и фильтром Fanboy’s Enhanced Tracking List — ничего не видит.

Я Вам больше скажу: на чистом (без всяких дополнений) и с правильными настройками по средствам только одного about:config та же самая ситуация.

Zerdsa, я боюсь что с "правильными" настройками проблемы на некоторых сайтах будут, нет?

Coroner пишет:

с "правильными" настройками проблемы на некоторых сайтах будут

Да особо не замечал. Ну разве что на некоторых не происходит сразу переход по клику (вылезает что-то типа "Сайт недоступен. Повторить?" и после пары кликов всё открывается нормально). Но это, для меня, большая редкость.