всем доброго дня!
у меня такой вопрос к вам(а может и не вопрос a такая просьба):
посоветуйте обязательные настройки безопасности для firefox в about:config.

- Скзать не буду, но есть мнение что в FF  заложен шпионский код и необходимо сделать так :

dom.ipc.plugins.enabled.npctrl.dll .............. false
dom.ipc.plugins.enabled.npqtplugin.dll ........false
dom.ipc.plugins.enabled.npswf32.dll ...........false
dom.ipc.plugins.enabled.nptest.dll ..............false

в маих настройках таковых нет!

- Если их нет, значит они в true. Создай и установи в false.)

а как мне их создать?

alexx-alexx ,Список настроек About:config на русском языке с пояснениями

a что за чего здесь отвечает?  здесь их нет  http://forum.mozilla-russia.org/viewtopic.php?id=36226

Вы тоже музицируете на фортепиано?

Это подхватываемые из системы плагины - Flash, Microsoft Silverlight, QuickTime и тд.

Парни, кончайте путать человека!
Alexx-alexx, тут так:
есть глобальная установка dom.ipc.plugins.enabled, запрещающая (false) или разрешающая (true) запуск ряда плагинов отдельным процессом. Поэтому если Вы хотите запретить это дело, то установите её в false и не парьтесь. А вышеуказанные параметры следует создавать только в том случае, когда для какого-то из плагинов Вы хотите сделать исключение, т.е., к примеру, все запуски отдельным процессом запрещены, а для какого-то одного-двух Вы хотите такие запуски разрешить. Или наоборот.
P.S. Да не обидится на меня г-н Brici, но по-моему все эти разговоры про шпионские модули - чушь несусветная. Впрочем, могу и ошибаться.
P.P.S. У меня запуск в отдельных процессах разрешен на двух компьютерах, и вроде никаких проблем.

Vladimir_S, да я и не утверждаю. Надыбал где то. Не могу найти ссылку.

Вот ссылка

:)brici_в интернете много чего пишут,прo уязвимости в firefoxe.я потому и спрашиваю знатоков,где и как закрыть эти уязвимые дыры. очевидно же что,юзера firefox настраивают его под себя в целях безопасности...
Vladimir_S_спасибо за разъяснение!я и правда Запутался!..

Вы тот бред с ошибками, сами то читали?

Заголовок статьи - Plugin container вирус

Вы так на каждую надпись на заборе реагируете?

А вот эту глубокую фразу я так и не осилил.

Фраза, достойная занесения в анналы. ))

alexx-alexx, по поводу настроек через about:config , ссылку на которые дал Крошка Ру, я там не нашёл некоторых из них, так что допишу их сюда, если пожелаете, то сможете воспользоваться

спасибо!
network.dns.disablePrefetch _ а вот это не нашел.его надо создать?

Честно говоря не знаю, по идее, этот параметр должен быть во всех современных версиях , но если Вы его создадите сами, то ничего страшного не случится

настройки-дополнительные-сеть:использовать под кэш не более,у меня выставлен 0.

что посоветуйте выставить на эти параметры?
browser.cache.disk.enable - (параметр, отвечающий за использование дискового кэша)
browser.cache.disk_cache_ssl  - (Разрешить кэширование защищённых страниц (HTTPS/SSL))
browser.cache.memory.enable  -  (параметр, отвечающий за использование кэша в оперативной)

Чтобы отключить DNS Prefetching нужно зайти в about:config создать булевую переменную network.dns.disablePrefetch и присвоить ей значение true. По-умолчанию, этой переменной не существует и Firefox ведёт себя как будто задано значение false, т.е. DNS Prefetching включён. источник
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Шарящие товарищи подскажите пожалуйста, для приватности/безопасности какое нужно задать значение для переменной network.dns.disablePrefetchFromHTTPS: true или false? А то я запутался , дело в том что этой переменной нет, значит DNS Prefetching (для HTTPS) отключён (источник). Для приватности/безопасности это и требуется? т.е. создавать эту переменную не надо?
- - - - - - - - - - - - - - - - - - - - - - - - - -

тональ
DNS prefetch грубо говоря делает следующее - смотрит ссылки на странице и заранее обращается к днс узнавая инфу о тех адресах чтоб потом при клике не тратить время на днс запрос.

как это влияет на вашу безопасность и анонимность решайте сами.
я лично жертвую скоростью и предпочитаю отрубать все запросы.привык чтоб программа делала только то что ей сказали и только тогда когда сказали без самодеятельности.

Здравствуйте! У меня на домашней странице стоит прогноз погоды по моему городу, как на этом скажется отключение геолокации, и на других сайтах с определением местонахождения ?

япогс
по идее никак, сайты как правило сами определяют IP запросившего и смотрят по своей базе

Ясно, но а в чем смысл тогда его отключать. А вот это browser.send_pings   поставить в false отключается в Инструменты-Настройки-Приватность-сообщать сайтам что я не хочу чтоб за мной следили-поставить галочку. Я поставил и browser.send_pings  стоит уже в false

а зачем оно вооще нужно? если не используешь-отключай это основное правило.
а галочка сообщать сайтам лишняя - большинство сайтов кладёт на это сообщение а вот если используешь подмену юзерагента то этот параметр выдаст что у тебя ФФ
не хочешь чтоб следили - адблок+ноускрипт+регулярная чистка кук и LSO

адблок стоит, ноускрипт нет. СиКлинер вместо бэттерпрайвеси. Да мне и прятаться не от кого, или есть опасности?

Спасибо okkamas_knife, мне тоже не нравится идея что браузер будет отсылать какие-то запросы без моего явного желания. Значит создавать network.dns.disablePrefetchFromHTTPS не буду.
=======================================

Кто шарит, как через about:config (или с помощью расширений, или как-то иначе) довести анонимность/уникальность своего браузера чтоб при проверке тут не было (хотя бы) красных позиций.
(Windows 7; NoScript стоит; Adobe флеш-плеер отключен; в системе не установлена Java). Скриншот результатов проверки анонимности/уникальности:

до кучи можно еще поставить RequestPolicy
блокирует межсайтовые запросы

тональ
по второму красному
network.http.keep-alive;false
network.http.proxy.keep-alive;false

насчет первого зайди в конфиг в фильтре набери auth
и поиграйся с параметрами
есичо намудришь - пкм-сбросить

еще проверь
layout.css.visited_links_enabled;false

кстати в ноускрипте проверь белый список там наверняка гугль сидит.

а вообще имхо сайт частично разводилово. я им юзерагента вообще не посылал а они определили мою трёшку как 10ку и начали впаривать свои услуги

еще насчет первого красного - сдаётся мне что это разводка
как я посмотрел там обычная хттп аутентификация из адресной строки и по ней выдаётся цсс-ка
то бишь он сам отсылает данные аутентификации и самже ругается что мол браузер это делает хотя так и должно быть
потому что это обычная ссылка. вида http://login:password@site.com/

Спасибо, но пробовал я это расширение, совсем с ним неудобно, блокирует полезное постоянно, серфить невозможно просто. И угрозы от которых это расширение защищает какие-то непонятные и кажутся мне надуманными и мало-относящимся к реалиям обычного юзера; в конце-концов у меня есть антивирусный комбайн (класса интернет секьюрити) и NoScript.

Нет, не помогло.

Поигрался (с теми, которые были в положении true - не помогло)

О, это полезная примочка, хоть в этом тесте она не улучшила ничего, но пусть будет. (За людьми следят через браузеры)

Не, с этой корпорацией у меня строго... (кстати рекомендую расширение GoogleSharing - Позволяет анонимно пользоваться поисковой системой Google. Скрывает от Google приватную информацию (IP-адрес, cookies, браузер, поисковые запросы, посещенные сайты и т.д.). Отправляет все ваши запросы поиска (трафик) через прокси-сервер (соединение по SSL, когда возможно), и только после этого трафик передается в сам Google. Вследствие чего в статистике Гугла будет записана информация только о прокси-сервере, а не о вашем компьютере. GoogleSharing смешивает запросы и прочую приватную информацию всех своих пользователей, так что Google не способен узнать, кто есть кто и чем занимался.)

JavaScript'ы были при этом разрешены? А то например расширение UAControl палит реальный юзер-агент при разрешении JavaScript. Нужно дополнительно устанавливать расширение User-Agent JS Fixer (сам его ещё не пробовал). Или по другим косвенным параметрам они ложно предположили, что у тебя FF10.
Вот я запретил отсылку user agent'a (скрипты запрещены через NoScript) и в итоге пустая строчка
Но это считается плохо, т.к. выделяет из толпы. Оценку "хорошо" получает (только?) юзер-агент от Firefox 10 с долгосрочной поддержкой:
Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0
- - - - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - - - - - - - -
P.S. Сейчас поставил расширение User-Agent JS Fixer (как багфикс к расширению UAControl; всего 1 кбайт). Теперь при разрешённых скриптах реальный user agent не палится, я это проверил (тут). Рекомендую!

я вообще их включаю только на десятке годами проверенных сайтов.
если мне дают ссылку где нужны скрипты я посылаю нафик.

странно у меня всё ок.

Все знают что программное обеспечение с открытым исходным кодом предпочтительнее. И так как у много расширений делающих одно-и-тоже, то хотелось бы знать как выбирать их исходя в 1-ю очередь из соображений приватности/безопасности чтоб быть уверенным что расширение не отсылает к своим создателям какую-либо информацию и т. п.. Хоть контора Mozilla и проверяет расширения, тем не менее были случаи размещения вредоносных расширений для скачивания.
Кто разбирается в типах лицензий, подскажите пожалуйста какие лицензии подразумевают открытый исходный код (и следовательно можно 100%-но доверять что расширение не следит за пользователем и безопасно)? А то оказывается видов лицензий куча и к каждой талмуд на вражьем языке , или с непонятными для обычных пользователей формулировками. Например вот так представлены типы лицензий на страницах Mozilla Firefox Addons:
1) не указан тип лицензии - Расширение BetterPrivacy и расширение Force-TLS
2) Своя лицензия (Custom License; Released under AGPL license, version 3.) - Расширение UnPlug
3) Своя лицензия (Custom License; BEGIN LICENSE BLOCK; Version: MPL 1.1/GPL 2.0/LGPL 2.1) - Расширение RefControl
4) Своя лицензия (Private License) - Расширение  Ghostery
5) Своя лицензия (Custom License; Copyright 2011 Enzymatic Software, LLC.  All Rights Reserved) - Расширение Download Statusbar
6) Своя лицензия (Custom License; Lazarus is Freeware. Donations appreciated) - Расширение Lazarus: Form Recovery
7) Mozilla Public License, версия 1.1 - Расширение Adblock Plus
8) GNU Lesser General Public License, версия 2.1 - Расширение  NoSquint
9) GNU General Public License, версия 2.0 - Расширение Preferences Cleaner
10) GNU Lesser General Public License, версия 3.0 - Расширение Fireforce
11) GNU General Public License, версия 3.0 - Расширение ipFlood (ipFuck)
12) Лицензия BSD - Расширение Thumbnail Zoom Plus
13) free for non-commercial, personal use - Расширение pdfit
     и т.д.

И хотелось бы ещё знать градацию доверия к расширениям (т.е. каким типам лицензий можно доверять больше, а каким меньше).

скрытый текст

       

Не все.

Пока Вы не берётесь создавать своё расширение на основе существующего - достаточно того, что расширение расространяется свободно. Насчёт отсылки данных - внимательно читайте "свои" лицензии и прочие предупреждения.
Но больше приходится надеяться на совесть автора. Вот, например, открываю я эту тему и не догадываюсь, что под спойлером 400КБ лишних.

мне этого не достаточно. Если есть выбор из нескольких расширений с одинаковым функционалом, то я хотел бы поставить наиболее прозрачное из них и без потенциальных сюрпризов.

В том то и дело что читать талмуды (зачастую на буржуйском языке) написанные изворотливыми юристами (которые нарочно пишут таким языком чтоб запудрить моск человеку) + со специфическими терминами - гемор. Другое дело если шарящий человек скажет: "Такой-то тип лицензии ставь смело, подвоха там точно не будет; а такой-то тип лицензии - внимательно читай условия"

тональ поясните мне какая связь между лицензией оговаривающей условия распространиеия и использования продукта на безопасность продукта для конечного юзера?
некоторые вирусы вполне попадают под определение свободного и открытого программного обеспечения.
исхдный код открыт, используйте как хотите.
в лицензии совсем необязательно перечислять функционал продукта и какие либо гарантии
основных типаоп лицензий два это по с открытым исходным кодом и по с закрытым.
то которое с открытым тоже имеет массу особенностей и соответственно лицензий
опенсорс это не значит бесплатный. бесплатным может быть и по с закрытым кодом.
открытость исходного кода всего лишь уменьшает шанс но не гарантирует отсутствие каких либо закладок.
хотите быть уверенными на все сто - изучайте язык прграммирования на котором написан опенсорцевый продукт и потом изучайте исходный код продукта которым собираетесь воспользоваться.
только так.

тональ
Допустим, напишу я расширение или программу под знаменитой лицензией GPL и главное - объявлю, что она абсолютно безопасна.
Но ведь опасность будет зависеть не от моего честного слова, а от кода программы. Опенсурц даёт хорошую возможность изучить код и выявить его недостатки, но если этого никто не делал, то Вы просто надеетесь на честное слово!

Нет, это мне не нужно . Не хочу изучать инструменты, хочу просто ими пользоваться, так-сказать на "готовенькое" (а что, разве нескромное желание? )
Мне нужно просто совет (от того кто знает), типа такого: 1-й, 2-й, ...., 10-й пункт (смотри мой список) - это open source, а 4-й и такой-то пункт - не open source. И второй совет (к примеру): среди open source - расширение под GNU General Public License, версия 3.0 лучше (безопасней, прозрачней или в этом дУхе) чем расширение написанное под Mozilla Public License, версия 1.1 (допустим).

вы читать хоть умеете?
еще раз внимательно прочитайте мой предыдущий пост о связи лецензии и безопасности.

тональ
Все вопросы к Яндексу.

Офигеть... никто не понимает моего вопроса...
Ладно хрен с ним, забейте.

тональ,Вот на русском кое-что >

Свободная лицензия

Виды лицензий на программное обеспечение

Виды лицензий Open Source

а я на основе ощущения выбираю - если нравится расширение , значит подвоха быть не может .... вот так

тональ
Если Вы спросите меня: "какая версия Adblock Plus лучше?" - я найду что ответить.
А чтобы понять свой вопрос, сравните мне две вымышленных лицензии на продажу картошки:

Какая из двух лицензий обеспечит лучшее качество картошки?

потому что вопрос ваш типа как зависит наличие бузины в огороде от присутствия в Киеве дядьки?
лицензия и код программы(а следовательно безопасность) несвязаны никак вообще.

тональ
Какие лицензии лучше — это философский вопрос. Даже между сторонниками GPL и BSD крупные холивары идут, хотя, казалось бы, они обе насквозь свободные и открытые. Короче говоря, изучать вопрос придётся тебе самому.

Я предложил бы обратить внимание на раздел «Информация о версии» на странице расширения. Если там внизу есть маленькая ссылка «Просмотреть исходный текст», значит исходный код у расширения уж точно открытый (независимо от лицензии). Но вообще тут уже правильно сказали — зацикливаться на этом не стоит.

Пандёнок, okkamas_knife, Крошка Ру, Sid спасибо .

О! Вот это то что нужно. Теперь когда будет стоять выбор между несколькими однотипными расширениями, то буду выбирать то, у которого выложены исходники. Предполагаю что это хороший критерий с точки зрения безопасности для нас, пользователей .

Только технически это всего лишь возможность посмотреть содержимое *.xpi через веб-интерфейс.

Это глупый критерий о чем вам пытаются втолковать уже фиг знает какой пост.
между открытым исходным кодом и безопасностью  связь такая же как между скоростью машины и её цветом например.
наличие открытого исходного кода НЕ ГАРАНТИРУЕТ его БЕЗОПАСНОСТЬ.

Ну "не гарантирует", ну и пусть "не гарантирует", зато увеличивает шансы что там всё чисто.
Спасибо okkamas_knife за ответ.