Доброго времени суток.

Вопрос в следующем... если использовать SecureLogin , то удалять личные данные можно , но при нажатии не жезл выясняется , что пароли запросто восстанавливаются. В чём дело ?

Да , ещё замечал , что файлы key3 и ещё какие-то при этом всё равно не обнуляются... вот из них SecureLogin и берёт пароли... хотя лисёнок показывает что паролей сохранённых у него нету. Когда наконец будете обнулять содержимое файлов с паролями и адресами автаризации ?

Где он это показывает?

Нажмите Ctrl+Shift+Del, выбирайте в выпадающем списке «Всё» и поставьте галочки напротив всех пунктов - никакой истории не сохранится, а что там Securelogin удаляет мне не ведомо, все пожелания и вопросы имеет смысл передать автору дополнения

Zaycoff
Вот в том всё и дело что происходит следующее...:
1) идём в настройки -> приватность -> удаляем ВСЁ что только можно удалить...
2) потом идём в настройки -> защита... смотрим там пароли. Паролей разумеется не видно.
3) выходим из FF
4) заходим обратно и открыаваем например vk.com
5) тыкаем на жезл SecureLogin и вуаля - мы автаризованы.

Этого не происходит , если после удаления паролей или не удаления личных данных вообще , войти в %USERPROFILE%\Application Data , потом попасть в профиль и удалить там файл key3.db.

На основании этого я делаю вывод о том , что FF удаляет личные данные не полностью.

Ну, если куки не потёрты, то можно и авторизироваться...

Это Securelogin удаляет данные не польностью...

Zaycoff
А вы как думаете , что я делаю при удалении ВСЕХ личных данных ? Я иду сюда :

http://s16.postimg.org/97620kqxh/del0.png

Потом иду сюда :

http://s12.postimg.org/9ynem4jl9/del1.png

Жму удалить всё.

После этого выхожу из FF , захожу обратно , смотрю в

http://s12.postimg.org/3rc0lynu5/pass.png

И вижу что тут НЕ пусто.

Ввожу например vk.com и жму на секьюр логин и вуаля , я автаризован при том , что паролей у лисы нет! Но если я удаляю key3.db руками - то автаризация не проходит.

01-07-2013 03:49:37
Я ж говорил что личные данные не удаляются полностью...

ВНИМАНИЕ!!!! Пароли удаляются ТОЛЬКО если удалять их через вкладку ЗАЩИТА и выбрать сохранённые пароли. Вот только ПОСЛЕ ЭТОГО пароли удалятся , а до этого удаление в приватности НЕ УДАЛЯЕТ пароли от сайтов.

01-07-2013 03:50:42
Вот почему это так , пусть разбираются более опытные люди , мной выявлено явление.

FireFox Future
Вы нигде не удаляли пароли, а только очистили историю посещений и куки.

Вместо того, чтобы удалять key3.db проще снять галочку с «Запоминать пароли для сайтов»
Также можно нажать на кнопку «Сохранённые пароли» http://s12.postimg.org/3rc0lynu5/pass.png и в открывшимся окошке нажать «Удалить все».

Zaycoff
Вообще мне логика подсказывает , что при удалении следов , удаление паролей должно быть ОБЯЗАТЕЛЬНЫМ условием. Иначе нафига удалять историю если всё равно по паролям можно увидеть где мы бываем ?

01-07-2013 04:25:11
И самое главное , без Ctrl+Shift+Del в настройках если этого не знать - нет возможности одним кликом стиреть всю историю.

меню Журнал => Стереть недавнюю историю

рыжая кнопка => Журнал => Стереть недавнюю историю

01-07-2013 04:47:25
P.S. Параноиками не рождаются ими становятся!

Zaycoff
Честно сказать , туда даже не додумывался зайти ) впрочем ничего , спасибо что подсказали.

Но тогда возникает логичный вопрос.
При удалении по Ctrl+Shift+Del , удаляется всё кроме закреплённых вкладок. С какой целью это сделано ?

Позлить пользователей

Смею предположить, если Вы сами закрепили вкладку, то довольно странно жаловаться, что она не удаляется...

Zaycoff
Ну как бы удаление всей истории и всех личных данных должно предусматривать удаление ВСЕХ данных в прямом смысле ) то есть все пароли , смсылки , закреплённые вкладки , группы вкладок и всё такое.

Сам смысл закрепления в том, чтобы случайно что-то не удалить, та же ситуация с паролями - FF спрашивает сохранять или нет пароли для данного сайта, если Вы печётесь о безопасности, то очистка истории Вам не сильно поможет (все данные, даже удалённые, при желании можно выковырять из кластеров на диске) так что логичней использовать криптоконтейнеры (желательно «скрытый том») и портативную лису - и не заморачиваться на счёт очистки истории.

Zaycoff
Меня очистка стала заморачивать совсем недавно )) да , как раз тогда , когда я здесь регнулся , затем предложил создать аналог Opera-Unite и затем предложил создать новый дизайн ) вот для поддержки последнего мне и нужно полное удаление данных физически , но только тех которые относятся к сайтам , так как аддоны и всё такое ценности в случаи утечки не представляют )

Адоны могут слить инфы не меньше чем журнал, например Adblock Plus подсчитывает количество срабатываний фильтров, т.е., посмотрев какие фильтры сработали можно сделать вывод о том, какие сайты Вы посетили, у NoScript есть список правил, по которым можно сделать вывод о сайтах которым Вы доверяете/не доверяете и следовательно часто посещаете, WOT как дятел стучит хозяевам о каждомм посещённом сайте и притом присваивает пользователям уникальные id, так что всегда знает Вы это или кто-то ещё...
Так же учтите, что весь трафик в РФ может палится по полной (СОРМ)
Так что остаётся только портативная лиса + TOR + криптоконтейнер

Zaycoff
Ещё раз перенёс лису на VirtualBox , записал туда профиль в Users\%Username%\Appdata\Roaming\Mozilla и решил удалить личные данные по Ctrl + Shift + Del... История удалилась - пароли остались. ЧЯДНТ ?

Пароли не удаляются по Ctrl + Shift + Del

Если Вам не хочется сохранять пароли в лисе то:
1.) в меню Инструменты -> Настройки -> вкладка Защита -> снять галочку с Запоминать пароли для сайтов

2.) там же нажать кнопочку Сохранённые пароли -> Удалить все

Zaycoff
Мне нужно сохранять пароли , но мне хочется чтоб они удалялись вместе с историей , а не так как сейчас. В данный момент получается фигово очень , если я чищу следы например от посещения сайтов путём стирания истории , то это ничего не даёт , если я не чищу пароли... по паролям можно восстановить примерную исторпию посещения интернета.

KeePass в помощь.

Используйте «Мастер пароль» - незная его, будет невозможно получить доступ к базе паролей и логинов.

Zaycoff
А затирание следов тогда зачем вообще сделано ? Неужели туда так трудно добавить пунктик удалить все пароли к сайтам ?
Всего одна строчка которая позволяет именно стереть всю историю.

PS : даже я добавил бы следующее в список возможной очистки браузера... и так жмакаем Ctrl+Shift+Del и диалог сейчас :

Журнал посещений и загрузок
Журнал форм поиска
Куки
Кэш
Активные сеансы
Данные автаризации веб сайтов (уже этот пункт как бы предусматривает удаление паролей с мясом)
Настройки сайтов

Я бы сделал вообще так :

Журнал посещений и загрузок
Журнал форм поиска
Куки
Кэш
Активные сеансы
Данные автаризации веб сайтов (уже этот пункт как бы предусматривает удаление паролей с мясом)
Настройки сайтов
Удаление паролей
Закладки
Закреплённые вкладки
Настройки плагинов

То есть... при особом желании жмём Ctrl+Shift+Del и удаляем всё под ноль.

И радостно слушаем пичально-истеричные визги пользователей, которые неглядя поставили все галочки и сдуру удалили всё разом...

Если уж для Вас настолько критично удаление паролей и закладок, то это можно сделать при помощи CCleaner (там есть встроенная функция удаления паролей FF, так же CCleaner можно настроить удалять любые ненужные файлы, притом с затиранием их случайными данными)

Zaycoff
Для избежания того что вы написали можно сделать так :

Журнал посещений и загрузок
Журнал форм поиска
Куки
Кэш
Активные сеансы
Данные автаризации веб сайтов (уже этот пункт как бы предусматривает удаление паролей с мясом)
Настройки сайтов
Удаление паролей
_______________________________________________________________________________
ВНИМАНИЕ , В ДАННОМ РАЗДЕЛЕ ниже перечисленное ЧИТАТЬ ПРЕДЕЛЬНО ВНИМАТЕЛЬНО :
_______________________________________________________________________________
Закладки
Закреплённые вкладки
Настройки плагинов

Ну и там где написано такое предупреждение , ещё можно и стрелочку сделать показать.

FireFox Future
Вот я лично, вообще не понимаю почему у Вас до сих пор включена возможность сохранения паролей в , если Вы их хотите периодически удалять, то намного логичней просто не сохранять их, а вводить по мере необходимости, храня сами пароли в голове/блокноте/менеджере паролей....

Удаление паролей средствами Firefox, если Вы не используете «Мастер-пароль», бессмысленное мероприятие, т.к. их легко можно восстановить банально просканировав покластерно жёсткий диск, а раз для безопасности это бесполезно, то и не имеет смысла городить данную функцию, но если Вам так это нужно, то ВЫ можете попробовать убедить разработчиков FF или дополнений в полезности такой фичи - может они её и сделают...

Zaycoff
Поясняю ещё раз... я задумал продвигать сборку FF которую предлагал в ветке про дизайн... так вот , сборка , по-моему личному мнению должна базироваться на маленькой модификации дизайна и на некоторых добавлениях... как я их буду ставить ? Ну не через VM же каждый раз всё инсталлить ? Профиль я бэкаплю каждый день (да , такой вот дотошный) , но план по сборке на базе WinRAR за неумением ни на чём ином остаётся в силе , хоть это сообществу Mozilla и не нравится... и вот когда я нахожу новый плагин и профиль НЕ битый , возникает логически правильное желание пересобрать FireFox в предлагаемом мной варианте.. Но тут получается бякасть в виде того что я запутываюсь что и как удалять для сноса всех личных данных и именно всех под ноль. Кроме настройки плагинов , конечно же.

Дык, делайте проще - один FF Ваш личный, а второй (например портативный) тестовый, для обкатки новых дополнений и проверки настроек...

Zaycoff
Именно это я и делаю... но тестирую всё на личном и переношу в публичный... не очень приятно , когда тебе приходится ещё помнить что надо удалять и как , а главное ещё помнить куда заходить и удалять руками конкретные файлы.

Тут нужно пояснить, что аддон не "стучит как дятел", а запрашивает у сервера репутацию посещаемого сайта. Если придумаете, как доставлять информацию о репутации на пользовательский компьютер (репутационная база в сжатом виде занимает примерно 1.5 гигабайта и обновляется каждые 30 минут) без спрашивания сервера, расскажите, я вас буду считать очень умным.

И ещё такой момент – инфо о репутации кешируется в браузере на 30 минут, и аддон передает только доменное имя, а не полный URL. Так что сервера WOT понятия не имеют, по каким именно страницам вы ходите.

А уникальные идентификаторы пользователей нужны, чтобы забирать с сервера оценки самого пользователя о сайте.

Но вы конечно же в праве ничему не верить и развивать конспирологические теории.

Кстати, могу ответить на вопросы касаемо аддона/системы.

Если вы внимательно посмотрите на свой UA, то поймете , что ваши ответы на forum.mozilla ,мягко говоря, не вызывают доверия.

Не могли бы вы расшифровать свою глубокую мысль о связи UA с доверием к словам? Я вас не понимаю.

Именно, что стучит, если бы всё было честно, WOT мог бы запросто запрашивать данные о репутации сайта и предоставлять её пользователю без необходимости отдавать ID пользователя (так делает куча сторонних аддонов, которые прекрасно работают с базой WOT безо всякого ID), а вот если пользователь хочет посодействовать комьюнити, то можно сделать отдельный чекбокс, установив который юзер получает право выставлять оценки сайтам, но при этом на сайт улетает его уникальный ID.

А сейчас ID улетает при любом действии пользователя - это, я полагаю, не очень дружественное отношение к приватности и частной жизни пользователя, а также потенциальная угроза безопасности...

Вот лично я не знаю, как там на серверах WOT обрабатывают статистику посещений, передают её кому-то или нет, может продают? За счёт чего существует WOT? На донате далеко не уедешь, если у Вас часовой трафик десятки Gb...

скрытый текст

Теперь вы считаете меня очень умным? Ну или хотя бы параноиком?

Как я уже написал выше – передача ID необходима, чтобы в одном ответе получить оценки пользователя, который хранятся на сервере. Как вы можете понимать, без этого забирать пользователькую оценку невозможно. За уникальный идентификатор нет смысла беспокоится – он сам по себе никак не привязан к компьютеру пользователя, генерируется на сервере, и единственное сопоставление IP адреса и идентификатора удаляется в течении 30 дней, когда закончится подсчет общей статистики.

Ваш ход мысли понятен и имеет право на жизнь. Единственное "неудобство" в этом варианте то, что мизерная доля пользователей будет ставить какой-то там чекбокс, чтобы оценить сайт в первый раз. Мы и так стараемся облегчить процесс оценивания, и лишние настройки этому - большой враг.

А вы не полагайте, а прочитайте privacy policy. В нем всё честно рассказано, как происходит работа с личными данными (email, внутренний ID). Простите, только на английском (это конечно недоработка).

Кстати, мы также подумали о защите передавамых данных от перехвата – доменное имя, для которого запрашивается репутация, зашифровано с использованием ключа, который известен только клиенту и серверу, и который не передается никогда в открытом виде. Так что NSA и СОРМ-2 идут лесом (ну если они конечно не научились ещё ломать криптографию, тогда ой вообще всем).

Нет, не продают и не передают. Логи хранятся не более 30 дней. Об этом написано в приваси полиси.

WOT существует за счет инвестиций в основном. Некоторые компании покупают готовые данные о репутации сайтов (буквально: сайт - оценка репутации - уверенность в ней). Никакие данные о пользователях никуда не уходят.

Вы задали хорошие вопросы, и за это вам спасибо. Параноидальность вполне оправдана, и я буду рад рассказать что-нибудь ещё, насколько позволит NDA, чтобы у вас была корректная информация, а не домыслы.

В общем-то Вы правы - большая часть пользователей ленится что-либо настраивать, но чекбокс можно сделать включенным по умолчанию, а кто не хочет светиться - тот его снимет (естественно, что параллельно, лишаясь права оценивать сайты) - это было бы реально userfriendly

Вы о SSL/TLS? А ID пользователя также шифруется? А компетентным службам (при соответствующем запросе) Вы не отдадите статистику посещений пользователя?

При использовании SSL известно к какому сайту обращается пользователь, шифруются только передаваемые данные, да и то часто куки летают незашифрованными (не все сайты для них ставят https only), хотя, конечно факт шифрования идёт в плюс (особенно, то что Вы используете AES)

Нет. Любая информация внутри запроса к серверу, которая может сообщить о запрашиваемом хостнейме, отдельно шифруется самим аддоном алгоритмом RC4. Соединение с сервером также идет по TLS в тех случаях, когда это имеет смысл.

ID шифровать нет смысла. Правда. Никому никакой пользы от перехвата сообщений "Этот ID обращается к серверу WOT" нет.

Если будет формальный и корректный запрос от финской полиции/суда – мы подчинимся (как и любая органиция и человек, желающие оставаться внутри законодальтества). На запросы от органов других стран, чья юрисдикция не распространяется на Финляндию, мы не обязаны отвечать и не имеем никакого желания это делать.

В лапы финской полиции - да. Или вы предлагаете нарушать законы и становиться криминальным сервисом? Тем пользователям, которые нарушают законы своей страны или "ходят по краю", как мне кажется, никакой WOT не нужен. У них должно своей головы хватать, чтобы защищаться от мошенничества.

Тему явно в оффтоп увели ) изначально вопрос был совсем в другом )

Всё дело в том, что Вы ничего не удаляли, Вам лишь это казалось.
Secure Login берёт данные из паролехранилища лисы и только оттуда. Если при нажатии на жезл пароли "восстанавливаются" - значит они и не удалялись.
Посмотреть список паролей можно в "Menu > Tools > Options > Security (tab) > Saved Passwords (button)". Оттуда же их можно и вручную удалить.
Чтобы не лезть так далеко каждый раз, чтобы посмотреть свои пароли - рекомендую установить дополнение QuickPasswords: http://quickpasswords.mozdev.org/index.html

iDev.Pi
Решили это немного раньше через Custom Buttons )

RC4 сильно уязвим...

Нет, естественно, что я такое не предлагаю - но если бы Ваш сервис не собирал статистику включающую ID пользователей, то и отдавать спецслужбам было бы нечего
Ну, можно было бы отдать IP + сайт + время запроса, но это не много даст, если пользователь сидит за прокси, а вот когда пользователю присваивается уникальный ID, то довольно легко провести корреляцию между различными запросами и реальным человеком...