Здесь предлагается представлять свои предложения по улучшению и дополнению руководства, обеспечивающего безопасность и приватность в Mozilla Firefox средствам внутренних настроек about:config

См. тему в FAQ: https://forum.mozilla-russia.org/viewto … 19#p706419

Предложения приветствуются в формате:

Если вы хотите, чтобы ваши аргументированные предложения были приняты - используйте систему коммитов GitHub.

с возвращением
беру настройки  здесь и  здесь с описанием

Спасибо большое! Думаю, это ненадолго - до следующего бана. Я тут подсчитал - у меня их восемь... или девять; лень перепроверять.

Ха! Это ж мой собственный блог в свободной соцсети Diaspora! Как Вы на него набрели? Я, кстати, очень признателен Диаспоре за приют; дело в том, что так несчастливо совпало: у меня в Швеции закрылся сначала один хостинг, где я вел основной техблог, и собирается закрыться другой - тоже в Швеции. Так что пришлось переносить все свои матералы по Линуксу/консоли/безопасности в Диаспору. Чему я очень рад! 

На самом деле, та ссылка, которую Вы привели - только первая часть. А так их много:

[UPD: Ссылки на материалы удалены во избежание использования черновых материалов]

Часть 1
Часть 2
Часть 3 
Часть 4

Только учтите, пожалуйста, что в блоге публикуются "черновые" наброски, заметки для самого себя. Все конечные результаты смотрите на GitHub. Я тут чуток покопался и соорудил для репозитория "сайт-визитку", вот он: https://ramirosenfeld.github.io/Rosenfox/. На него и надо ориентироваться.

Я знаю этот ресурс. Хорошо человек поработал! Я рад, что тема безопасности ФФ заботит не только меня одного.

Спрашивал как-то у google о media.getusermedia.browser.enabled = так и наткнулся.  Ещё читал блог rosenfeld.blogs.se  но он закрылся

Сам не нарадуюсь на этих людей кто «не сдается»! Многие просто расслабились, и получают удовольствие от зондирования

У меня еще смешнее получается: ищу в поисковике ответ на какой-то вопрос, перехожу по ссылке ... и частенько натыкаюсь на свой собственный ответ! И вспоминаю: "батюшки, так я ж об этом уже писал!"

"Расслабившиеся" еще ничего не читали об адском механизме Workers, который Mozilla активировала, если не ошибаюсь, в версии 44!  Впрочем, в моем руководстве уже есть свежее решение для блокирования этого сервиса.

Ладно, давайте по делу... Тут мне уже начали поступать приватным образом первые отклики, в которых задают вопрос: почему я в своем руководстве не упоминаю про блокирование etag?

https://ru.wikipedia.org/wiki/HTTP_ETag

... Я отвечу на этот вопрос, когда освобожусь. Хочу лишь заметить, что эта проблема была поднята в Багзилле... аж в 2004 году (и обновлена недавно!) За 11 лет так никто и не почесался!

https://bugzilla.mozilla.org/show_bug.cgi?id=231852

... Ну так вот, о etag. Чтобы не пересказывать своими словами, вначале кратко приведу механизм его работы и существующую угрозу:

Про запрет e-tag'a я не задумывался (напоминаю, что в самом Firefox НЕТ средств для его блокирования). И вот по каким причинам:

Первая. Он тесно связан с механизмом кэширования. Но всё кэширование (в моем личном случае, т.е. в Linux) идет в так называемую tmpfs. Это, по сути - эмуляция разделов /tmp в RAM. Поэтому буквально через секунду после закрытия браузера все результаты кэширования динамически удаляются. Чем еще хороша  tmpfs для безопасности - эта система может работать глобально, т.е. для все прикладных программ, которые создают временные и промежуточные файлы. Единственная проблема - при нехватке RAM некоторые данные могут быть перемещены в раздел /swap (если он, конечно, присутствует и смонтирован).

Вторая. Некоторые кэширующие серверы, например Privoxy, могут блокировать этот заголовок.

Третья. В предлагаемой мною конфигурации ФФ (см. настройки в разделе FAQ) дисковый кэш отключен, и все кэширование разрешено только в RAM.

Таким образом, мой основной совет для обычных пользователей заключается в следующем:

1. Запретите кэширование промежуточных файлов на HDD.
2. Перенаправьте кэширование в RAM.
3. Если вы используете tmpfs, не стремитесь заполнить свою RAM полностью, например - открыв пятьдесят вкладок в Firefox: это приведет к частичной выгрузке данных в swap-раздел.
4. Чаще перезагружайте свой браузер в процессе работы. Не держите его постоянно запущенным.

По теме см.:

https://security.stackexchange.com/ques … g-by-etags
http://www.privoxy.org/

Отключение  RAM кэш"а не поможет? И  вот что делать с  dom.indexedDB.enabled= false Уж очень многие сайты ломает.

Я специально указал в руководстве, что совместное отключение кэширования и в RAM, и на HDD гипотетически может привести к проблемам. Для современных версий Firefox необходимо огромное количество ресурсов: где-то ж ему надо хранить и перерабатывать временные данные.

Определенного совета дать не могу. Следует исходить из своей личной ситуации и самостоятельно определять баланс между приватностью и работоспособностью/функционалом браузера. Допустим, на мои личные задачи - нахождение в интернете в режиме read-only (то есть только с целью чтения какой-то информации) - установка dom.indexedDB в on/off никак не влияет. А кому-то она может оказаться критичной.

Но я бы хотел предупредить, что IndexedDB API очень сильно завязана на технологии Java-Scripts; разрешив ее, Вам придется разрешать и  исполнение скриптов (как я полагаю):

https://developer.mozilla.org/en-US/doc … exedDB_API
http://www.ghacks.net/2015/12/11/an-ana … locations/

И еще: разрешив IndexedDB, Вы можете (по нарастающей!) ненароком активировать и Web Workers API (которое с ним связано) - а это уже полное непотребство:

Говоря иным языком: сначала первая сигарета в школьном туалете, потом - пиво с одноклассниками на остановке, дальше - непотребные женщины. Итог - сифилис!

Я тоже раньше фанатично настраивал Firefox в плане приватности. А потом понял, что аттаку о паттернам трафика, некоторые особенности js (функции), подмена множества переменных доступных через js (через которые можно составить отпечаток браузера), css свойства и отпечатки на их основе не отключить.
Да в общем на этой странице можно почитать https://www.torproject.org/projects/torbrowser/design/

Так вот, без патча самого исходного кода это не убрать. А значит смысла использовать настройки на практике как бы мало. Очень мало, если цель избежать развитых механизмов сбора статистики (я думаю ими обладают США, Германии, Евросоюз, может Англия). Если же цель избежать криво написанных поделок вроде рекламных сетей или COPM, то им трудно отследить браузер даже без таких настроек совсем.
Для тех кому нужна анонимность выход только один - TorBrowser. Потому что даже полное отключение js не поможет против составление отпечатка.

Дополнения вроде https://addons.mozilla.org/ru/firefox/a … t-spoofer/ и uMatrix интересны, но полезны только против рекламщиков и опять же кривых следилок вроде COPM. К тому же подобные дополнения уже ни раз бросались их авторами.

Поясню почему я считаю COPM кривым. На основе новостей о этой системе и вообще действиях России в сети. Они неуклюжи и глупы.

Но я конечно "за" ваши и другие списки. Это отличная помощь создателям TorBrowser, если они что-то проглядят.

От себя предлагаю сделать стилем панели float и таким образом исключить изменения размера видимой области окна при открытии/закрытии панелей.

Я поддержу Вашу мысль и скажу более (Извините - много текста: убираю под спойлер):

скрытый текст

Когда я работал над этим руководством, меня не покидало стойкое ощущение полной безнадежности. Почему именно? Потому что я отдавал себе отчет в том, что занимаюсь абсолютно бессмысленным трудом: пытаюсь "вычистить невычищаемое" - то есть все "фичи" и прочие "плюшки", которые Mozilla так щедро впихивает в каждую новую версию (иногда удаляя или ломая при этом что-то полезное и привычное).

Вот взгляните непредвзятым взглядом на мой список. Перечитайте его и обратите внимание:

а) сколько функций, открыто и откровенно шпионящих за пользователем, вшито в программу (я здесь имею в виду телеметрию, гуглослежку и прочее);
б) сколько ненужного функционала появилось за последнее время.

.... Видео- и аудио-общение; всякие веб-инспекторы, которые нужны только веб-мастерам, но сто лет не понадобятся обычным пользователям... Я в этой теме, к примеру, уже дважды упомянул механизм Workers. А знаете, что это такое? Это штука, которая будет абсолютно своевольно перехватывать на себя трафик и обрабатывать "что-то-там", даже когда страница с web-приложением уже закрыта(!) или неактивна. Что в это время будет твориться с нагрузкой на RAM и CPU - страшно представить; даже разработчики это признают! И все это (естественно!) будет происходить без какого-либо вашего участия или согласия! И, естественно, не отключаемо через UI.

... Что еще? Проприетарный(!) сервис Pocket, встроенный в когда-то свободный браузер. Система SYNC - удаленной синхронизации "всего со всем" - одна из самых опаснейших функций с точки зрения информационной безопасности.

Ну и так далее.

Верх издевательства - это чат-клиент, намертво вшитый в хороший ... почтовый(!) клиент (это я уже веду речь о Thunderbird).

Верх безумия - интеграция(!) с социальными сетями: чтобы хомячки имели удовольствие "ставить лайки" за "селфи" и иные фото кошечек-собачек в любое удобное для себя время.

А верх неприличия - это технология "цифровых наручников", DRM, встроенная в якобы "свободный"(!) браузер.

Что мы получили на выходе? (после последней вменяемой версии ФФ 3.х.х) Правильно - огромный и прожорливый комбайн. А, как говорил один мой подчиненный-инженер, "с увеличением степени интеграции растет количество отказов". И он, кстати, прав.

Я уже много лет работаю в среде GNOME. Похоже, что его разработчики используют самый здравый принцип: "Одна программа выполняет только одну задачу". Общий смысл - не нужно впихивать кофеварку и посудомоечную машину в браузер, для этого имеется кухня. И не стоит смешивать чатик со скайпиком и с вконтахтиком, потому что при такой дикой смеси однозначно БУДУТ и проблемы, и дыры, и утечки.

А весь парадокс заключается в том, что, по идее, вычищать все эти уязвимые места и латать дыры в браузере должны сами(!) разработчики. Ведь что наиболее главное в программе? Не возможность поставить очередной "лайк", а бе-зо-пас-ность! А у меня, наоборот, последние года четыре складывается впечатление, что вменяемые программисты в создании Firefox теперь участия не принимают вовсе, а всю власть получило то самое пресловутое поколение тридцатилетних "успешных менеджеров", цель жизни и бизнеса которых - "впарить" хомячкам как можно больше бесполезных услуг. Причем сами эти "успешные менеджеры" - по своим жизненным запросам и "знаниям" окружающего мира - ровно такие же хомячки, как и их клиентура.

Посмотрите, почему получается так, что над ФФ работает так много сторонего народа? Не от хорошей жизни: люди (к примеру - создатели IceCat, авторы множества дополнений) прилагают огромные усилия, чтобы вырезать-выкусить имеющиеся уязвимости... но на следующий же день получают новую корзину проблем! И от кого? От самих разработчиков ФФ!

Вот именно - возможно помогает каким-то сторонним разработчикам!   А отнюдь не "создателям  Firefox"; похоже, у них абсолютно другие задачи.

Так что цель моего руководства - скорее ознакомительная. "Предупрежден - значит вооружен". Главное, чтобы пользователь почувствовал интерес к тому, что находится "под капотом", плюс - знал, как с этим всем "добром" бороться. И ориентировано руководство конечно же не на серую массу под гордым лозунгом "Мне нечего скрывать", а на тех людей, для которых такие понятия как "безопасность", "приватность", "право на частную жизнь" являются приоритетом.

Ну и конечно же между "киллерами" всех этих мозилловских нововведений не должно быть никакой конкуренции и прочей зависти, а только сотрудничество. Так что лично я буду рад, если моими предложениями в своей работе воспользуется кто-то еще.

К сожалению, не понял Вашу мысль в принципе. Вы сейчас говорите об about:config?

Я говорю о userChrome.css
Можете кстати ещё и пользовательские скрипты рассмотреть https://forum.mozilla-russia.org/viewto … pid=694631
то есть можно попробовать писать штуки загружающиеся до скрипта на сайте и не дающие им получать какие-то свойства. Подменить скриптами стандартные значения.

Она в виде плагина. И они делают специальную отдельную сборку без него (EME-free) https://ftp.mozilla.org/pub/firefox/rel … -EME-free/
Так что тут формально они не при делах.

Вы видели эту интеграцию? Вы же про Services (Службы)? Я специально попробовал её установить. Всё думал что же они намутили. Пробовал на vk.com. Так там появилось окошко позволяющее входить в соц. сеть введя логин/пароль и рассылать приглашения друзьям. Я был разочарован, думал там полноценное окно будет. В общем не понятно кому это надо, даже совсем хомячкам такая штука не удобна.

Я так думаю там ядро профессионалов, которые пилят движок xml/js. Занимаются оптимизацией, системными штучками, портированием, архитектурой.
И второй отдел дизайнеров/юзабилити-инжинеров/менеджеров. Вот второй отдел по моему следует уволить.
К слову, вспоминается старая шутка: "Как Firefox ни настраивай всёравно Opera выходит" (с) Посмотрим что будет с Vivaldi, взлетит или нет. У меня только на него надежда в качестве вправлялки мозгов дизайнерам.

Мне кажется всё не так опасно, хотя и неприятно. Но сам пока не изучал эту штуку.

Его, как и Firefox Hello собираются вынести в отдельные дополнения, как я читал.

А вот тут у выбора не было, слишком многие хотели эту штуку. Кроме того. Я не совсем понимаю где именно происходит шифрование данных. У пользователя или на сервере Mozilla? Если у пользователя, то всё нормально.

Вот поэтому я и переспросил.

Не-не, это уже ни ко мне... Взгляните, какие слова содержит тема в FAQ'е: about:config. Им я и ограничусь.

У меня нет в планах заставлять людей изучать CSS и самостоятельно перенастраивать стили. А также - изучать пользовательские скрипты..

Это называется security through obscurity

Вы просто попробуйте понять одну простую вещь: хранение критичных данных (логинов, паролей, закладок и прочего) где-то вне собственного шифрованного хранилища, пусть даже на сервере "самого доброго дяди" - это верх безумия. Сто раз уже об этом писал на форуме.

А у меня вечная борьба совмещения удобства с мм., так называемой эфимерной приватностью. Т.е. настройки приватности должны причинять, как можно меньше неудобств.

Честно говоря мало что понял из найденного и прочитанного по поводу Workers., мне бы малюсенький пример вторжения в личное пространство для повода зарубить эту технологию в исходниках.)

PS: Ага, нашел..

PPS: Да и., для работы Workers мне кажется Maintenance Service нужен. Или ошибаюсь?

Вот три ссылки:

https://developer.mozilla.org/en-US/doc … orkers_API

https://developer.mozilla.org/en-US/doc … Worker_API

https://developer.mozilla.org/en-US/doc … ce_Workers

Процитирую наиболее интересные моменты (можете пробежаться только по выделенным участкам текста):

Насколько я уловил смысл: "если пользователь запер двери (DOM), то мы сунемся к нему в окно - попробуем пролезть через форточку (JavaScript)"

И для этого мы попробуем (конечно же!) создать в браузере еще один независимый кэш. И не факт, кстати, что он будет корректно удаляться (если того НЕ захотят сами разработчики отдельного процесса Workers):

А вот что сказано про Workers в сообществе, занимающемся веб-стандартами - https://whatwg.org/

То есть если теперь ваша машина при использовании Firefox малость просела или слегка задумалась под непонятной фоновой нагрузкой - в первую очередь нужно благодарить в этом того модного и продвинутого чудака, который встроил в свою страничку соответствующий механизм. Ну разработчиков Firefox - тоже. Или может оказаться, что компьютер занят тем, что втихую вычисляет вашу точнейшую геолокацию (местоположение). Или обсчитывает данные, поступающие с гироскопов мобильного устройства. Или занят фоновой синхронизацией непонятно чего с непонятно чем:

Аналогичное можно сказать и про обработку WebGL средствами Workers. Это называется  OffscreenCanvas API:

https://hacks.mozilla.org/2016/01/webgl … in-thread/
https://developer.mozilla.org/en-US/doc … reenCanvas

Причем разработчики Firefox честно признаются: "звиняйте, хлопци, это экспериментальная технология, но нам так(!) чесалось ее оттестировать совместно с Workers, что мы  включили ее в состав исходного кода, предназначающегося для ... платформы Linux(!) ... И благодарите нас, что пока что она отключена":

Rosenfeld
Спасибо за подробности. Уже несколько в исходниках ознакомился., не так просто от всего этого избавиться без некоторых казусов, привычка у них все переплетать между собой в плотный клубок. Повредить конечно можно, но пока все так топорно получается, буду впитывать дальше. Поэксперементирую.

Всегда пожалуйста. Только не переборщите с экспериментами!

То есть? Если имеется ввиду "не убейте нужный функционал", то в точку, много сомнений имеется..)

[Внимание! Изменения в репозитории]

... Хорошее и дельное предложение поступило вчера  от одного из участников форума, обратившего мое внимание на существующую проблему. Я попытался расширить ее, рассмотреть со всех сторон и сформулировать максимально детально:

***

1. Описание: Уязвимости в исходного коде поисковых плагинов OpenSearch, распространяемых в официальной сборке Firefox.

2. Проблема с безопасностью и приватностью:

Существует (как минимум) пять проблем, связанных с плагинами поисковых серверов, встраиваемых в Firefox по умолчанию:

а) соединение с поисковым сервером зачастую осуществляется по незащищенному (HTTP, а не HTTPS) соединению, и передаваемый поисковый запрос может быть легко перехвачен третьей стороной;

б) исходный код плагина содержит изображение/фавикон, кодированное в base64, что может гипотетически привести к нарушению приватности [UPD: похоже; это не подтверждается];

в) исходный код плагина может содержать встроенный идентификатор, что приведет к отслеживанию пользователя и понижению уровня его анонимности;

г) строка поискового запроса, встроенная в исходный код плагина, может содержать дополнительные условия поиска (определяющие тип браузера, используемой ОС, предпочитаемую кодировку и т.п.), что приводит к профилированию метаданных пользователя и понижению уровня анонимности;

д) существующие плагины имеют встроенный механизм автоподстановки выдачи поисковых результатов.

3. Меры по исправлению: Необходимо очистить исходный код плагинов от небезопасных элементов, не нарушая при этом рекомендации http://www.opensearch.org/

4. Уровень опасности: Низкая.

5. Статус: DONE

5. Предлагаемое решение: См. описание в разделе IV на https://ramirosenfeld.github.io/Rosenfox/ + 5 файлов.

5. Опциональный комментарий:

Помните, что Google и Yandex:
1) отслеживают поисковую активность пользователей и профилируют их;
2) пытаются заблокировать (UPD: в предлагаемой конфигурации браузера) обращение к ним через TOR.

UPD: Решение: для поиска используйте сервер DuckDuckGo; применяя версию, не требующую поддержки JavaScript:

https://duckduckgo.com/html/

Предлагаемый мною поисковый плагин DuckDuckGo отсылает запросы именно по этому адресу.

6. Ссылки:

http://www.opensearch.org/
https://developer.mozilla.org/en-US/Add … or_Firefox

А как же
https://search.disconnect.me/
https://www.ixquick.com/
?
Ну и более экзотичные
https://onion.cab/
https://hss3uro2hsxfogfq.onion.cab/ или https://hss3uro2hsxfogfq.onion.to/

Спасибо.

DuckDuckGo - лишь в качестве примера (из тех поисковых плагинов, которые я уже переделал и выложил).

А так - пользователь может самостоятельно скачивать, переделывать и использовать и другие поисковые плагины; главное - собюдать спецификации OpenSearch. Ну и еще он должен доверять самим серверам.

UPD:

Ха! ... Смотрите, какой подарочек вскоре преподнесут нам разработчики из Mozilla:

Намек ясен? Следующая версия Firefox, судя по всему, будет блокировать обращение к определенным доменным именам по умолчанию. Причем на уровне DNS.

Нравится?

Намёк на ваше не очень хорошее чувство юмора? Это же сделала специально из-за сотрудничества с Tor (вернее из-за того, что .onion признан доменом сети Tor официально), потому что для Tor не нужно слать DNS вообще.
А также потому что по новому стандарту теперь обычные сайты не могут использовать .onion домен http://www.securitylab.ru/news/476336.php

Мне просто не нравится подход, когда за меня решают - куда мне не следует ходить. 

[развернутый ответ удален]

Вот что еще грядет - подозреваю, в версии 45. Решили оттестировать очередную экспериментальную(!) и нестабильную (сами признают) технологию. И опять завязана на Workers:

Перевод с Opennet:

Так и вижу увлеченного школьника или домохозяйку, с упоением и без разбора жмущих на "пиктограмму с символом "i"" - каждый раз, когда она возникает в адресной строке... "Чё за прикольненькая картинка у нас появилась? Ну-ка нажмем!"

И потом (уже на форуме): "А чо у миня ваша мазила в натуре зависла?"

Хотелось бы чтобы Firefox после перенастроек  и дополнительных плагинов  блокирующих слежку со стороны рекламно-поисковых компаний проходил тесты на приватность и безопасность.
Среди таких тестов можно в певую очередь отметить:
https://panopticlick.eff.org/ и http://ip-check.info
Тест от EFF у меня только пока один браузер проходит -Tor с плагином от EFF "Privacy Badger"
Мозилла даже с adblock plus+DNT+Disconnect+control referrer не проходит.Менял в Firefoxе  Disconnect на Privacy Badger -не помогло. Ещё какой-то плагин рекомендовалось этими тестами pq, но и с ним тоже не проходит.
То есть можно было поставить автору темы минимальной целью своего проекта проходить  эти и похожие на них тесты по приватности и безопасности -тогда и пользователи увидели что это не просто поковырятся  5 минут в about:config, и результаты можно увидеть на конкретных тестах в Интернете.  И здорово бы было не разъединять ресурсы по разным браузерам, а сделать прогу, которая в зависимости от версий браузеров на компьютере перенастраивала их все и могла вернуть настройки на дефолтные в случае чего какого-нибудь конкретного браузера или всех. И даже эта прога бролась и за галимые браузеры от яндекса,  майлрушного амиго, оперы  и других клонов хрома.
Ещё я вот про  такой вопрос спросил вот тут https://forum.mozilla-russia.org/viewtopic.php?id=69305, но пока молчат.
Суть вопроса -в случае HTTPS соединения трафик шифруется между браузером и сайтом. Если трафик идёт к сайту, то он шифруется открытым сертификатом сайта(и этот сертификат можно посмотерть). А вот трафик от сайта к браузеру тоже шифруется каким-то сертификатом и тогда у браузера должен быть и сертификат, и закрытый ключ к этому сертификату. Тогда получается несколько вопросов:
где хранится этот сертификат?
Этот серфтикат уникален для каждого сайта или одни для всех?
Как сменить этот сертификат на другой или хотя  перегенерировать его?
Если включ браузера генерируются  при установке браузера, то не играет ли  такой сертификат  роль уникального цифрового отпечатка в случае HTTPS соединения?
Ещё после прохождения теста ip-check.info возникли вопросы как запретить браузеру отдавать информацию сайту о том какой номер присвоен текущей вкладке, и как запретить отдвать информацию о количестве записей в истории вкладки.
Браузер IсeCat виснет на прохождении теста от EFF, он тоже основан на Firefox. И непонятно можно им  в таком случае неопределённости пользоваться  в плане приватности и безопасности.

А. Перед публикацией своих вопросов внимательно выбирайте раздел, а затем и тему.

Б. Всегда проверяйте, совпадает ли смысл вопроса с рассматриваемой тематикой.

В. Не дублируйте свои вопросы в разных темах. Это не увеличит число желающих ответить, равно как и не ускорит их ответы.

Г. Не скидывайте все накопившиеся вопросы и проблемы в одно большое сообщение. Дробите их на частности. А то получается, что у вас на кухне потек кран, сломалась кофеварка и тараканы одолели. А в школе - еще и поставили "двойку" по физкультуре... Вы в самом деле думаете, что кто-то будет читать такой массив текста, выискивая отдельные проблемы?

Д. Перед формулированием вопроса старайтесь сначала вникнуть в предыдущее содержание темы, в частности - чему именно посвятил ее топикстартер и что он хотел донести до присутствующих.

***

А теперь отвечаю только по тем пунктам, которые косвенно относятся к текущей теме. Все же остальные вопросы мне глубоко безразличны.

1. "Дополнительные плагины" - это вы ошиблись адресом. Внимательно прочитайте, какие именно настройки рассматриваются в руководстве и почему его составитель НЕ советует использовать плагины в текущей конфигурации.

2. Рекомендую внимательно изучить - что подразумевается под термином "проходить тесты"? Чтобы по его окончании везде красовались обязательные "зеленые галочки" - "чиста" для самоуспокоения? Или имеется в виду что-то другое?

Тесты бывают разные. Допустим, комплексные тесты для антивируса оценивают его способности реагировать на вирусную активность (в том числе - эвристическими методами), количество ложных срабатываний, потенциальную возможность излечения зараженных объектов и т.п. Комплексные тесты для фаэрволлов подразумевают оценку его способности противостоять вторжениям извне, блокировать попытки несанкционированного доступа как изнутри, так и снаружи, а также действенность HIPS-функционала (как в CIS от фирмы Comodo) и т.п.

В данном конкретном случае - с сайтом https://panopticlick.eff.org/ - во время тестирования пользователь последовательно перенаправляется по нескольким страницам, каждая из которых пытается сымитировать конкретную ситуацию по эксплуатации какой-то уязвимости; после чего делает суммарный анализ защищенности и выдает обобщенные результаты.

Так вот, я утверждаю, что в конфигурации браузера Mozilla Firefox, предлагаемой мною здесь: https://ramirosenfeld.github.io/Rosenfox/ программа "проходит" тестирование полностью, причем проходит его на чистую "пятерку".

А теперь - почему я утверждаю именно так? Да потому что браузер при запуске данного теста вообще ОТКАЗЫВАЕТСЯ (вследствие запретительных мер) участвовать в "отклике" на специально подготовленные уязвимости. В реальной ситуации это говорит о том, что браузер действует ровно так, как это сформулировано составителем руководства:

Что это означает на практике? Это свидетельствует о том, что браузер, перейдя на какой-либо вредоносный ресурс, попросту не предоставит атакующей стороне возможности воспользоваться какой-то уязвимостью. Именно эту ситуацию я и называю "пройти тест полностью".

Для примера.  Я провел эксперимент и подсчитал: чтобы "выполнить" тесты, предлагаемые на panopticlick, мне понадобилось последовательно и САМОМУ, т.е. самостоятельно РАЗРЕШИТЬ шесть или семь перенаправлений, в том числе - на СТОРОННИЙ сайт, а то и на два сайта. Плюс - чтобы корректно завершить тест,  пришлось еще и САМОМУ РАЗРЕШИТЬ прием cookies.

Естественно, что в реальной ситуации я НИКОГДА НЕ РАЗРЕШУ сомнительное (вдобавок - стороннее перенаправление), а уж тем более - не буду откликаться на просьбы "пожалуйста, разрешите cookies", "дайте-ка нам возможность выполнить скрипты" и т.п. - если уж я В САМОМ ДЕЛЕ забочусь о собственной приватности и безопасности.

Ну а если скрипты, прием cookies, перенаправления и т.п. во время таких тестов РАЗРЕШИЛИ ВЫ ЛИЧНО (ну или не озаботились их запретом, равно как и ликвидацией других дыр) - просто для того, чтобы "пройти" это тест ради галочки, то, уж извините - вы сами себе "злобный Буратино". И никакой  браузер или чужие рекомендации вас не спасут, потому что они не предоставляют конечным пользователем самого главного средства для обеспечивания ИБ - головы на плечах.

Исходя из вышесказанного мною, могу лишь порекомендовать вам в качестве минимальной цели - попытаться самостоятельно разобраться в задачах и механизмах этих и других "тестов", а не просто "пять минут ковыряться в конфиге". Прислушайтесь, пожалуйста, к моему совету - хотя бы чтобы не смешить присутствующую здесь публику.

Все в ваших руках. Займитесь этим на досуге, я ж не против; а наоборот - всячески благословляю! Мне нравятся энтузиасты, которые пытаются изобрести большую зеленую кнопку с огромной надписью "НУ-КА СДЕЛАЙТЕ МНЕ ФСЁ ЗАШИБИСЬ"... Особенно - "для всех галимых браузеров" сразу!

А когда соорудите "такую прогу" - приходите сюда на форум: мы все детально обсудим и попробуем.

***

P.S. Я сделал несколько скриншотов с результатами теста; к сожалению, местный форум по каким-то причинам не обеспечивает их загрузку. Разбираться, в чем проблема, не буду - не хочу и некогда.

Поэтому опишу на словах... Общий смысл результатов - пройдено ВСЁ (зеленые галочки), кроме DNT (Do Not Track) - ровно потому, что  я САМ ОТКЛЮЧИЛ  эту бесполезнейшую функцию. Почему я считаю ее бесполезной - см. в руководстве.

Что касается более подробных результатов теста - все строки неопознаны или по нулям, кроме стандартного HTTP-хидера. Последний ни о чем не говорит, ибо таких миллионы.

Меня тут попросили сделать краткий обзор безопасности мобильных версий браузера. Выполняю!

К сожалению, на исходном коде Mozilla выпускается всего два продукта - непосредственно сам Firefox и браузер Fennec. До недавнего времени последний собирался на базе свободного Android-репозитория F-droid.

Не секрет, что в каждой новой версии Firefox увеличивается расход оперативной памяти, а также места, необходимого для его установки. Более того, производители непрерывно вводят сторонний и потенционально опасный  функционал: DRM, т.е. "цифровые наручники"; рекламу на стартовой странице; голосовое и видеообщение; проприетарные модули; систему телеметрии, средства отслеживания пользовательских действий и предпочтений, которые в своей совокупности могут сильно понизить пользовательскую безопасность.

Следует также со всей серьезностью отнестись к официальному предупреждению Mozilla о сборе, передаче, анализе и хранении пользовательских данных в специальной версии Firefox для мобильных систем Android и iOS:

Вот почему я всегда ранее советовал ставить Fennec - мобильную версию Firefox, из которой при сборке из исходных кодов удалены следующие компоненты (цитирую):

К сожалению, данная разработка была удалена из репозитория F-droid в конце 2015 года. Я внимательно ознакомился с обсуждением причин на их форуме; общий смысл: майнтейнер, мягко говоря, "устал" вырезать несвободные и следящие элементы из исходного кода во время сборки. И, как я понял из объяснений (могу ошибаться), Mozilla настолько глубоко прячет спецификации отдельных компонентов (предоставляя лишь бинарники), что разбираться с ними стало все труднее и труднее.

Более того, на сайте F-Droid https://f-droid.org/repository/browse/? … la.firefox в настоящее время (февраль 2016 г.) имеется предупреждение о скором удалении и нативной версии Firefox из их свободного репозитория по следующим причинам:

Таким образом, политика MoFo потихоньку приводит к тому, что их браузер перестает считаться свободным программным обеспечением.

В ответ на вопрос "Что же делать?" я предлагаю (по нарастающей) несколько вариантов:

1. Для той распространенной категории пользователей, живущей по принципу "мне нечего скрывать", - продолжать пользоваться нативной версией Firefox для мобильных ОС.

2. Для лиц, желающих самостоятельно избавиться от большинства следящего, телеметрического, излишнего и проприетарного (несвободного) функционала, - самостоятельно выбирать и видоизменять в нативном браузере необходимые установки, описываемые в руководстве: https://ramirosenfeld.github.io/Rosenfox/   ... Следует учитывать - при этом абсолютно(!) не гарантируется, что разработчики браузера не встроили в исходный код дополнительные средства слежения и т.п., не описываемые в стандартных общедоступных спецификациях.

3. Использование старых сборок Fennec (версии 3N.х.х) значительно повысит пользовательскую безопасность, особенно если дополнительно воспользоваться некоторыми изменениями в about:config (см. руководство).

4. При выполнении п. 3 пользователь может (на свой выбор) установить у себя дополнения, способствующие увеличению степени безопасности и приватности; плюс - управлять ими не посредством about:config, а более удобным средствами GUI (быстро разрешить JavaSript или cookie для надежного сайта; видоизменить UA из предустановленного набора; определить правила для отсылки рефереров, блокировать/разрешить загрузку графики и т.п.). См. под спойлером:

5. Параллельный проект по разработке браузера, основанного на исходном коде Mozilla, ведется на https://guardianproject.info/apps/ Однако описание данного программного обеспечения не является целью данного обзора.

Таким образом, пользователям предоставляется право самостоятельного выбора из вышеперечисленного.

ВАЖНО: Хочу заметить, что степень безопасности и приватности при использовании мобильных операционных систем ничтожно мала по умолчанию! И об этом необходимо постоянно помнить.

UPD: 27/02/16 - Продолжение см. чуть ниже!

Набросал обещанный анализ...

MOZILLA FIREFOX - ОСНОВНЫЕ УГРОЗЫ

- JavaScript, DOM-JavaScript

Опасность: Очень высокая. Критичная

Угрозы: Полная деанонимизация. Возможное вирусное заражение компьютера. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к любым пользовательским данным, включая похищение и использование логинов/паролей, перевод денежных средств, завладение/блокирование аккаунтов. Передача информации об ОС, браузере, дополнительных параметрах и настройках.

- Cookie

Очень высокая

Угрозы: Частичная/полная деанонимизация. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к авторизационным данным (логинам и пароля); завладение аккаунтами.

- Plugins, MarketPlace

Опасность: Высокая

Угрозы: Любые угрозы, связанные с множественными уязвимостями в сторонних плагинах; особенно это касается Java и Flash-плагинов.

- EME/DRM, Hello, Marketplace, Pocket, WebRTC, Social, Share, Capture/Cast

Опасность: Высокая

Угрозы: Любые угрозы, связанные с уязвимостями в сторонних службах и протоколах, особенно в проприетарных.

- Telemetry, Snippets, Crash-reporting, HeartBeat, Safebrowsing

Опасность: Выше средней

Угрозы: Определение настроек браузера, операционной системы. Массовая и неконтролируемая передача пользовательских метаданных, их последующее накапливание, обработка и анализ. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений пользователя.

- GEO: Geo-search, Geo-IP, Wi-Fi

Опасность: Выше средней

Угрозы: Определение местонахождения пользователя. Массовая и неконтролируемая передача пользовательских геоданных и метаданных, их последующее накапливание, обработка и анализ. Сопоставление геоданных с предпочтениями и действиями пользователя. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений и места пребывания пользователя.

- Workers

Опасность: Выше средней

Угрозы: Обеспечение механизма длительной фоновой обработки JavaScript (даже при закрытии приложения). Приложения, загружаемые с того или иного веб-ресурса, гипотетически могут привести к краху браузера или иной вредоносной активности. Неясна процедура получения прямого пользовательского согласия на выполнение подобных операций.

- SYNC

Опасность: Выше средней

Угрозы: Любые пользовательские данные, особенно закладки, логины-пароли, авторизационные cookie и т.п. должны храниться только на компьютере пользователя! Возможен несанкционированный доступ к критичным данным при передаче или хранении их на сторонних серверах; дальнейшая потеря любой информации, завладение аккаунтами, деанонимизация.

- E-Tag, HSTS

Опасность: Средняя

Угрозы: Частичная деанонимизация. Отслеживание пользовательской активности; накапливание, сопоставление и анализ метаданных.

- UA, Locale

Опасность: Средняя

Угрозы: Определение типа браузера, операционной системы и языковых предпочтений. Частичная деанонимизация. Гипотетическое распространение нежелательной рекламы исходя из языка пользователя.

- DNS-prefetching, Beacon, Predictor

Опасность: Средняя

Угрозы: Анализ активности пользователя и его предпочтений.

- Updates

Опасность: Средняя

Угрозы: Любые обновления могут скрытым образом внести в конфигурацию браузера новые (потенционально опасные или нежелательные) сервисы и службы; кроме того - обнулить или видоизменить предыдущие пользовательские настройки. Неконтролируемая отсылка телеметрии и метаданных к производителю.

- Personas/Canvas

Опасность: Средняя

Угрозы: Частичная деанонимизация; повторное опознание пользователя.

- Sessions, History, Cache, DOM-Cache

Опасность: Средняя

Угрозы: Данные, хранящиеся локально (офлайн), могут быть использованы повторно для опознания пользователя и его частичной деанонимизации. Данные истории, сессий, закладок (в случае завладения ими) могут предоставить атакующей стороне полную картину пользовательских интересов и веб-активности.

- Referers

Опасность: Ниже средней

Угрозы: Передача данных о предыдущей посещенной странице/ресурсе.

Согласен,что настройки about:config надёжнее, чем  дополнительные плагины непонятно кем написанные.
Для Firefox в качестве программы облегчающие копание в about:config  есть подрученые инструменты  это вышеуказанный Privacy Setting(опять плагин) и ConfigFox(внешняя программа, эту я ещё не смотрел). Когда компьютер один свой собственный, то можно сесть на версию ESR и раз в пару лет копаться при выходе новой версии.  Когда нужно устанавливать на большее количество компьютеров, хотелось бы иметь возможность автоматизировать как-то этот процесс, чтобы не пропустить важную настройку.
Только боюсь,что компания Мозилла, после того как их Гугл резко сократил их спонсорскую поддержку заразилась коррупцией и боюсь, что в about:config  может много через перенастраиваться по прежнему , но будет не работать или может уже не работает.   А мы тут ещё по прежнему думаем, что что-то под себя подстраиваем

С настройками да, какие то непонятки, в двух последних версиях начал замечать дубликаты настроек в greprefs.js и firefox.js, например:
dom.push.enabled
dom.serviceWorkers.enabled
dom.serviceWorkers.interception.enabled
network.manage-offline-status
..зачем?

ConfigFox, согласен, удобная вещь. Не надо по вкладкам скакать как в: Configuration Mania Но её автор не часто делает обновления, общался с ним по этому поводу, говорит никто донат не кидает, не хочу делать ничего!(хотя может и сделаю если будет настроение) Так что поторопись

dimatambov
FMRUser
amin01

У меня к вам огромная просьба. Пользователи, которые будут просматривать данную тему, придут сюда в надежде найти конкретные предложения по изменениям в about:config, выражающиеся в примерах.

Обсуждение же того, в чем лично ВАМ УДОБНЕЕ править about:config, выходит за рамки обозначенного диалога. Тем более, если речь идет о виндовой программе. Поэтому если у вас есть конкретные предложения по улучшению или изменению руководства, я всегда рад и благодарен их выслушать. А для обсуждения сторонних программ разумнее было бы завести новую тему.

***

[Внимание! Предлагаемые изменения в репозитории]

1. Описание: Анализ скрытых настроек, содержащих ссылки на сторонние ресурсы, сервисы и службы, работа с плагинами и т.п. Устранение подключений к сторонним ресурсам.

2. Существующая проблема с безопасностью и приватностью. Любая уязвимость, обнаруженная в стороннем плагине или протоколе, становится уязвимостью самого браузера

3. Меры по ее исправлению. См. ниже

4. Предлагаемая строка настройки с изменением. См. ниже

ПОДРОБНОСТИ (ПО РАЗДЕЛАМ РУКОВОДСТВА):

- INTERFACE

Благодарим за гостеприимство и безжалостно удаляем адрес "приветственной страницы":

- HELLO

Строка

содержит массу интересных сторонних ссылок на сайты, обеспечивающие сервис. В частности:

Анализ содержимого:

[Для разъяснения]: wss:// - обращение по протоколу WebSocket.

Приводим строку к состоянию:

- PLUGINS

Удаляем ссылку на Marketplace (место, откуда нам предлагают абсолютно посторонние приложения):

Удаляем ссылку для обновления плагинов (речь идет именно о плагинах, а НЕ о дополнениях):

Удаляем ссылку для поиска плагинов (plugin finder service):

Две настройки активции плагинов, характерные только для Android:

Две дополнительные настройки в DOM, связанные с плагинами или веб-компонентами:

- PROTOCOLS (HANDLERS)

Отключение обработчиков протоколов: необходимо очистить значения нижеприведеных строк. Это необязательный, т.е. опциональный пункт.

IRC

RSS, MAILTO, WebCAL

Mail.ru

Gmail

Yandex

Yahoo

- SNIPPETS

Удаление очередной порции шпионящих snippets-"обрывков" в мобильной версии браузера:

- LOCALE

"Интеллектуальная" попытка определения необходимого набора локализованных шрифтов

Значение по умолчанию:

Значения для различных языков:

http://www-archive.mozilla.org/projects … ardet.html

Уточнения и предупреждения:

В десктопной версии Firefox рекомендуется оставить поле пустым! Никогда не ставьте там значение "Universial"!

В мобильной версии Firefox не изменяйте это значение!

- HARDWARE

1)Я так понимаю, что только часть возможных  настроек доступна в  about:config. Ещё некоторая часть там не отображается, хотя Firefox их использует в значениях по умолчанию и эти значения где-то внутри себя хранит. Эти значения по умолчанию могут сменится от версии к версии. Отсюда рождается несколько вопросов:
а)Как узнать все параметры, которые может изменить пользователь?
б) Может эти параметры лучше напрямую прописать в js файлах с настройками, чтобы Firefox (например, после обновления не мог поменять внутри себя поведение какой-либо дефолтной настройки).  Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он выполнится весь или выполнится, только до параметра javascript.enabled=false ?
в)Имеет ли смысл защищать средствами файловой системы файлы js с настройками? Неважно в Linux или Window. Защитить их от записи.

Ещё вопрос: с некоторых пор и Firefox и другие браузеры стали прописывать себя в исключениях брандмауэра. Следует ли их эти исключения оттуда убирать? Я так понимаю в первую очередь из-за WebRTC это было сделано, но раз WebRTC запрещать, то может и за правил файрвола следует убрать это исключение? Возможно в Линуксе это не критично и по умолчанию не прописано, но в Виндовс Фарефокс прописывает себя даже не спрашивая пользователя...

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Дошёл наконец-то сегодня  до построения собственного RosenFox браузера пройдя по руководству. Картинки с текущего сайта правда вернул permissions.default.image=3, уж слишком жестоко без картинок, как будто в далёкий 1994 год попал со всякими gopher и фтп
Плагины по поиску все не удаляются, обязательно одно остаётся, его можно удалить потом добавив из проекта другие поисковые сервисы.
Тест panopticlick  браузер всё равно не прошёл, (с включёным или включенным  javascript ), только первые две галочки. Причём даже установив Privacy Badger третья галочка не появилась. Хотя если в свежем Firefox  включить не отслеживать и поставить Privacy badger, то он проходит  три галочки. Цифровой отпечаток  я пока не одолел. tor эту галку сразу  проходит. Но только одну её.
В каталогах профиля  healtreport и кажется datareporting нашёл два файла, которые могут использоваться как уникальные идентификаторы браузера, в одном прописана дата установки с точностью до секунды, а в другом содержится некий уникальный идентификатор. Наверно после установки или пересоздания профиля лучше удалять эти файлы на всякий случай.
Ещё обнаружил в about:config несколько  оставшихся адресов вида *.mozilla.org и google.com, не стал долго разбираться за что они отвечают,  по параметрам , видно , что это опять какие-то сервисы для отсылки или получения каких-то данных и пользователю не сдались...

Ставил версию 38 ESR. Думал настроить и чтобы долго можно было пользоваться. Увеличения скорости из-за того, что перестал использоваться диск для кеширования страниц не обнаружил или он не заметен. В любом случае диск будет меньше изнашиваться . Кстати Worker уже есть в 38 версии ESR(в инструкции же пишется, что он появился  только в 44й версии).

При прохождении теста  EFF заметил следующую вещь.  По инструкции  блокируются автообновления страниц и редиректы. И при отключенном Javacript для прохождения теста нужно несколько раз нажимать Allow, чтобы тест дошёл до конца хотя бы и все редиректы эмулирующие переходы по нескольким сайтам разрешать. Но вот когда Javascript включён, то не приходится нажимать Allow, так как таких разрешений и не возникает - Javascript плюёт на эти запреты автообновления страниц и редиректы! Боюсь что включённый javascript  много на чего ещё плюёт, опасная очень технология!

Откуда у вас создалось такое впечатление? Я не готов подтвердить такую информацию.

1) В каких именно файлах "прописать"? 2) Какие именно "эти" параметры? О чем идет речь? Более того, ФФ может замечательнейшим образом перезаписать любые файлы при обновлении; именно поэтому в руководстве указано, что мы его (обновление) отключаем - раз и навсегда!

Вообще не понял вопрос. Совсем не понял.

Зря вы написали слово "неважно". Как раз-таки разница между двумя операционными системами очень важна! Потому что в Linux в этом нет смысла (так как в правильно настроенной ОС опасность стороннего изменения настроек практически полностью отсутствует),  а вот в Windows - бессмысленно. Ибо в первом случае вы имеете систему, а во втором - система имеет вас. И защищать что-то от записи - абсолютно бесполезно.

Напрасно вы так. Лично меня такая картина радует. А если б вы знали - сколько трафика экономится (особенно это критично для владельцев смартфонов с лимитированным интернетом). Да и Gopher - это отнюдь не "далекий 1994 год" - я, к примеру, до сих пор его использую.

Кстати, Gopher - это изумительная технология, предназначенная именно для работы - т.е. для хранения, поиска и чтения полезной информации (а не для разглядывания жесткого порно): четкая, прозрачная, структурированная. В отличие от HTML, CSS  и прочих непотребств - создавать странички для Gopher - одно удовольствие! А вот модные разработчики ФФ так не считают - и давным-давно вырезали его поддержку из браузера.

Но имеется одно хитрое расширение, которое вновь подключает этот замечательный протокол! А для Android - отдельное приложение:

https://addons.mozilla.org/en-US/firefo … verbiteff/
http://gopher.floodgap.com/overbite/d?android

Либо lynx - он специально под Gopher и сделан:

https://ru.wikipedia.org/wiki/Lynx

Хотя этот вопрос абсолютно не по теме, но я все же отвечу.

А "с каких это пор" фаэрволлы вообще разрешают прикладным программа самостоятельно(!) - т.е. без участия пользователя - в своих настройках что-то прописывать? Если это так, то это - огромная дыра в безопасности, а не фаэрволл, и от него надо срочно отказываться!

Возможно, что вы немножко путаете: скорее всего, виндовый фаэрволл (кстати какой, их же много?) уже имеет какие-то предустановленные политики под общим названием "стандартные правила браузера". Вот это скорее ближе к истине.

В Linux вообще не могут быть такие вещи "прописаны по умолчанию". Ну а если в Windows такое происходит именно "не спрашивая пользователя"; то либо создатели фаэрволла окончательно обезумели и разрешают подобные опасные действия, либо на машине творится (без вашего ведома) какая-то нехорошая и нездоровая активность. Гадать не буду, разбирайтесь сами. Заодно бы, кстати, поинтересовались - а что именно написано в правиле(-ах), которые создал под себя ФФ: порты, направления, протоколы. Вы же любознательный - вот и взгляните.

Я уже ответил на эту тему немного выше.

Я знаю. Так, похоже, было всегда.

Я посмотрел профиль ФФ 38.х, настроенный под Windows в соответствии с моими рекомендациями. Там такая картина:

healtreport - пуст;
datareporting - каталог отсутствует;
crash reports - пуст.

В В Linux (RedHat) три каталога присутствуют, но они девственно пустые.

Я уже писал об этом ранее, когда упоминал о "прохождении теста" (дался вам этот тест! больше я вопросы о нем обсуждать не буду). В этом и есть весь смысл запретительных настроек, рекомендованных в моем руководстве: не дать злонамеренному сайту куда-то вас (без личного разрешения) перекинуть. Ну а поскольку вы сами жмете (причем несколько раз подряд!) на "разрешить", "разрешить" и так далее - то грех обижаться на кого-то еще.

Прошу прощения, забыл ответить. Так давно все выпущено; лежит на Gopher... Кстати, возвращаясь к нему: вот как там всё пристойно, упорядоченно и кошерно выглядит (см. под спойлером). И напрасно вы считаете, что Gopher - это что-то кондовое и без графики: неприличные картинки в нем, кстати, можно запросто смотреть:

И вы даже не можете себе представить, насколько, используя "суслика", т.е. Gopher,  конечный пользователь выигрывает в безопасности. Ровно на СТО ПРОЦЕНТОВ... И при этом вам не нужно изучать и применять ни HTML, ни CSS... Это ж вам не World Wide Web

Убираю первый раз в жизни под спойлер своё  большое  сообщение, чтобы не загромаждать тему. Надеюсь всё же, что его кто-то раскроет и прочтёт

скрытый текст

В данном тесте panoptclick(опять к нему вернёмся, чуть ниже я надеюсь разъясню почему  он мне кажется важным, но больше я о нём вспоминать не буду, раз это не в тему)переходы между сайтами просто эмуляция брожения пользователя по Интернету.   То,  есть для браузера это обычная  работа, а некакой-то исcкуственный тест. То есть, редиректы там только для того, чтобы за пользователя нажать какие-то ссылки на сайте, а не объяснять ему куда надо нажимать и куда нет в длинных инструкциях. Куки разрешать не обязательно было, тест всё равно бы завершился(на сами галочки они  не влияют), только в подробностях в таком случае было написано, что обычные куки выключены. Включение -отключени кук мало влияет на уникальность отпечатка браузера.  По тесту https://amiunique.org у 20 %  браузеров отключены куки.
Тест Panopticlick немного о другом, он мне кажется не проверяет включена ли вообще в  вашем  браузере галочка "не  отслеживать" или нет, так как в EFF понимают, что рекламным компаниям на эту галочку наплевать . Тест как раз проверяет есть  ли в вашем браузере настройки или средства, которые в не зависомомсти от этой галочки DoNotTrack не дадут  рекламным  компаниям отследить  вас в Интернете и им не обязательно показывать вам рекламу, даже если вы отключили картинки им будет  достаточно, что они могут собирать о вас информацию через тот же уникальный "отпечаток браузера+ip+время выхода в сеть+ и тп" . То есть, если такие средства есть, то галочка будет зелёная, а если нет, то ораньжевая. Но наличие этой галочки просто влияет на поведение других программ и настроек.
Для изучения пользователей Интернет у рекламных компаний расставленны тысяч или даже миллионы ловушек (через договора с  владельцами сайтов о показе на них рекламы). Тест как бы и показывает много ли будут знать о ваших предпочтениях и поведении  в сети эти третьи компании после анализа данных полученных с этих миллионов ловушек. Пока проект RosenFox нацелен на борьбу с  одним сайтом на котором сидит ( и отсылкой телеметрии на сайты Google и Mozilla), браузер всё равно остаётся уникальным, так  как прочитав инструкцию сегодня и настроив браузер я буду уникальным  своих настроек и с учётом IP. А проект меняется и тот  кто перенастроит завтра  по обновлённой инструкции свой браузер тоже останется опять уникальным, так как инструкция  изменится. Браузер остаётся уникальным,  даже если предполагать  что сайты по которым ходит пользователь сами не отсылают свою  статистику на сайты этих рекламных компаний, что в целом будет неверно. Многие эти рекламные компаний имеют хостинги,  оказывают спонсорскую поддержку(например как Яндекс этому сайту mozilla-russia.org).  То есть, Яндекс знает с какого Ip вы  сидите на форуме, что и где о чём пишете, а с учётом того, что сайты ЯНдекса не заканчиваются на этом сайте сбор информации о вас всё  равно будет происходить...Есть куча сайтов типа народ.ру, которые немало статистики собирают о предпочтениях  пользвоателей своим разным контентом... То есть, если отсказаться от некоторого количества преположений приватности я всё равно не достигаю в случае даже если всё сделаю по инструкции проекта RosenFox. И тем более не  достигаю, если ещё одно преположение убрать из своей головы, что мой провайдер Интернет не просто  продал Интернет по паспорту  на  месяц , а он для того и паспорт спросил, чтобы потом однозначно сопоставить данные, которые он накапливает о  пользователях  с конкретным лицом.  Поэтому и госдума убирает все лазейки, чтобы кроме как по паспорту выйти в ИНтернет было запрещено, типа чтобы даже на домашнем wi-fi стоял обязательно пароль. Хорошо,что они пока не запрещают сделать пароль совпадающий в названием (SSID) сети. Если вспомнить о провайдере, то от приватности вообще ничего не останется, а у провайдера  останутся dns запросы пользователя и незашифрованный трафик пользователя и ip куда он ходил шифруя трафик. Да, с настройками  по RosenFox проекту браузер Firefox становится более безопасным и более приватным (я с этим не спорю, и был рад увидеть такое количество  нужных настроек,да и ещё с разъяснениями и постоянным обновлением в одном постоянном месте!), но цель пока не достигается, даже без  оглядок на провайдеров и владельцев сайтов.Так как, если я прошёлся по 5 сайтам где расставлены ловушки Яндекса, и Яндекс  видит, я таким то уникальным браузером по ним прошёлся то он немного меня изучил, то в следующий раз как только будет  возможность  показать мне что-либо, он покажет или выдаст результы поиска, те, которые мне больше всего подойдут. Можно  пустить через прокси запросы браузера или VPN, но уникальность цифрового отпечатка браузера при этом останется. Сделать свой  браузер менее уникальным можно либо через выпуск релизов такого браузера, либо через утилиту, которая сделает из любого  свежеустановленного Firefoxа Rosenfox. И тогда будет более безопасным, если опять же забыть про ДНС провайдера и СОРМ  установленный у этого провайдера. Победить dns провайдера  открытый трафик можно только через использование ТОР сети или Тор  Браузера. А лучше,чтобы провайдер и вообще не знал,что я подключен к сети, выходил в неё  или что у меня вообще есть  устройство для выхода в сеть Так что тест хороший мне кажется, потому что позволяет увидеть куда двигаться таким проектам  как RosenFox, Tor, IceCat. 
Теперь вернёмся к проекту RosenFox
Когда я говорил про параметры отсутствующий в about:config я вот что имел ввиду. Например строка general.useragent.override  отсутсвует по умолчанию в about:config, то этот параметр внутри Мозиллы существует и используется для отсылки каждому  посешённому сайту. А что этот парамерт один такой, который не показывается в About:config, но внутри Мозиллы он есть и  используется? Вот я и спршиваю как узнать обо всех параметрах Firefox, которые могут быть добавлены в about:config? Таких  параметров может тысячи, или сотни. Не лучше ли эти параметры прописать напрямую в файлы prefs.js ? Потому что не факт , что  по какому-то дуновению ветра из Интернет поведение этих скрытых параметров может изменится, если они явно не прописаны. Боюсь  , что при такой политике фонда Мозиллы(нацеленной на неприватность и безопасность пользователя) , даже те параметры, которые  прописывает пользователь во всяких стартовых файлах JS могут периодически менятся.
Утилита по усилению приватности браузеров на компьютере должна быть более широкой -затрагивать и ОС и  другие приложения.  надеюсь в ближайшее время появится такой опенсурсный проект.   Выставить некие параметры безопасности мало, нужно их ещё и  проверять тем же анализатором трафика(лучше под Линукс), который будет видеть весь трафик исходящий от компьютера или  планшета и блочить ненужный трафик! Только в таком случае компьютеры или планшеты быстро опухнут от хранящихся на них данных  и переполнятся .
Что касается "Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он  выполнится весь или выполнится, только до параметра javascript.enabled=false"
Firefox при старте читает настройки из файла с расширением js(prefs.js, users.js), то есть стандартного расширения для  javascript файлов. Преположим, что он всё выполняет из этого файла,а  построчно. Вот когда Фарефокс дойдёт до строчки  javascript.enabled=false, должен ли он будет дальше исполнять этот файл js, если поступила команда из файла настроек,  отключить JavaScript?Я к чему это пошутил, что боюсь, что блок ответсвенный за исполнение Javascript в самом браузере не  выключается!  Интересно поддержку Javascript  можно выдрать полностью при сборке мозиллы из исходников? Я несколько лет назад  пробовал её(на относительно слабом сервере) собирать, после 3 часов сборки остановил процесс сборки...

ПОнятно, что в идеале браузер должен запросить страничку HTML и отобразить только картинки с этого же сайта(ну или вовсе без  картинок, никаких скриптов следящих за действиями пользователя или собирающим информацию об ОС,плагинах wifi и тем более  картинок с других сайтов  в принципе не допускается. А HTML не должен содержать  всяких фреймов ведущих на другие сайты.  RosenFox кстати тестировался на старые добрые фреймы? А анализатор я поставлю, в стелс режиме. Вообще такие  стелс  анализаторы-фареволлы со встроенным  wifi должны быть у всех кто думает о своей безопасности. Стелс это те, которые с тремя  езернет портами, первые два используятся для установки этого анализатора в разрыв витой пары, но на этих двух портах нет у  анализатора IP, и он в режиме бриджа пакетов  перекидывает пакеты на другой интерфейс, если только они удовлетворяют правилам  брандмауэра . Это и есть стелс режим - можно ставить в любое место сети такой брандмауэр -атаковать его невозможно, так как  нет IP.  А вот третий порт эзернет служит как раз для настройки этого стелс-брандмауэра и мониторинга пакетов.
Подходит какой-нибудь опенсурсе роутер для этого в 5 портами или микрокомпьютер  двумя езернет портами и с возможностью  подключения монитора и клавиатуры  с мышью.

Насчёт "Зря вы написали слово "неважно". Как раз-таки разница между двумя операционными системами очень важна! Потому что в  Linux в этом нет смысла (так как в правильно настроенной ОС опасность стороннего изменения настроек практически полностью  отсутствует),  а вот в Windows - бессмысленно."
Построение доверительной среды внутри компьютера на сегодняшней день проблематично и не важно Линукс, это или Виндовс.
Откуда Вы знаете, что скачанный образ Iso для установки скачан именно с того сайта?
Откуда знаете, что этот образ диска именно тот, который  сделали разработчики? Откуда знаете, что разработчики собрали именно  тот образ, который собирались выпустить ?
Откуда знаете, что записали на диск именно тот образ, который скачали ?
Откуда знаете, что установили ОС на компьютер , а не на одну из его виртуальных машин?
Откуда знаете, что можно доверять Биосу вашей материнской платы?
Откуда знаете, что утилита для проверки hashсуммы iso образа не подделана?
Откуда знаете, что DNS вашего провайдера прислал вам нужный ip-шник?
А если вы используете для dns проверку dnssec, то откуда знаете,  что в ваши доверенные центры сертификации не попал случаной  какой-либо левый УЦ? Или так ли уж можно доверять тем  сертификатам, которые выданы всеми теми УЦ, которые находятся в   доверенных на вашем компе. Например тем, которые хранятся в хранилище сертификатов того же Firefox в Линуксе? Про Виндовс тут  вообще уже молчок...
Проблема  построения доверительной среды даже  на отдельном компьютере это проблема
Нельзя также гарантировать, что взяв бинарник даже открытой программы, и изменив что-то в его настройках получить гарантии  безопасной программы. Ко многим открытым программам инструкции как собрать на Виндовс очень плохо  и расплывчато написаны,  возможно потому что бинарники на виндовс содержат закладки. Тем более при сборке официальных файлов используется  закрытые  ключи фонда Мозиллы, которых у вас нет. То есть получить такой же "экзешник" с той же хешсуммой, что выложен на сайте  mozilla.org я в принципе не могу после сборки из исходников...Асолютно те же самые проблемы и в Линукс и других ОС.
Мне также хотелось бы увидеть в этой инструкции как перенастроить Firefox на ту же  TOR сеть , так как это защищает и от прослушки  провайдером  незашифрованного трафика  и отслеживания ДНС запросов опять же этим же провайдером. Ну или хотя бы уведомление, что настроенный таким образом Фарефокс  при таких -то преположениях(СОРМ, днс) всё равно не станет приватным.

Я думал, что под гуфер нет давно сайтов. А какой интересно сервер используется для этого протокола?  Есть он по Линукс?
Плагин OverbiteFF установил, руководство нашёл, 32 страницы всего в PDF версии, а не 50 Жаль, что Вероника не знает ничего про RosenFox .Пришлось делать другие запросы, чтобы найти документ.
Никто не думал, при зарождении Wеbа то что он превратится в техновакханалию, а то никогда не бросили gopher. С другой стороны TCP никуда не делся за эти двадцать лет и RFC  на него тоже, может что-то просто нужно поправить, чтобы работало.
Интересно  обычные  поисковые системы индексируют gopher сервера? Вижу начали русскоязычный документ по selinux. Тоже нужная вещь!

Можно ли выложить куда-нибудь(gopher или веб) файлы с настройками  Фарефокс под Линукс или виндовс которые прохноодят тест eff?Только скажите какая это версия браузера и его разрядность.  Или как вариант целиком всю папку Firefox.   Возможно поведение  одной и той же версий под Линукс и Виндовс  отличается в плане приватности, или в версии под Виндовс больше закладок

Нашёл сервер для gopher под названием  motsognir(он до сих пор обновляется), скомпилировал его и он даже запустился "This directory is empty."
Надо будет попробовать что-нибудь положить туда

Ещё  важный довод   бы в защиту отключения обновлений и отсылки  всяких данных на сайты Мозиллы.
Большая проблема в том, что Мозилла не просто выпускает периодически новые версии браузера,  и потом обновляет его, но и после установки собирает данные о производительности вашего  конкретного браузера и потом присылает лично вам изменения, которые  изменят, перенастроят  поведение именно этого конкретного браузера!
Вот прям на сайте Мозиллы об этом написано:
https://www.mozilla.org/ru/privacy/firefox/
"Отчет о работоспособности Firefox (FHR) позволяет получить представление о стабильности и производительности браузера, а также воспользоваться рекомендациями службы поддержки, если у вас возникают такие проблемы, как частые падения браузераили замедление запуска. Mozilla собирает ваши данные, группирует их с данными других пользователей Firefox и отправляет данные обратно в ваш браузер. В результате этого вы сможете увидеть, как производительность вашего браузера Firefox меняется с течением времени. Эти данные включают, в частности: информацию об аппаратной части устройства, операционной системе, версии Firefox, дополнениях (числе и типе), времени наступления событий браузера, рендеринге, восстановлении сессий, продолжительности сессий, возрасте профиля, числе падений и числе страниц. В отчете о работоспособности Firefox корпорации Mozilla не сообщаются веб-адреса, которые вы посещаете."

Так что и автоматическое обновление браузера ЗЛО(лучше сидеть на  корпоративной версии  Firefox ESR https://www.mozilla.org/firefox/organizations/) и не отключение отсылки всяких рапортов  о здравии, производительности и прочей телеметрии не меньшее ЗЛО.
Вы сидите настраиваете  новый Фарефокс как вам надо полчаса, а завтра МОзила Фундешен пришлёт вам новые настройки вы о них ничего не узнате... будете думать что работаете с вашими настройками

Ещё инструкцию  по RosenFox можно было бы сделать короче: " убрать все ссылки на любые url", которые есть в about:config  и файлах js( и не только мозиллы и гугл) . Нечего им там делать! Заодно это убавило количество ошибок при добавлении настроек вручную или вдруг что инструкция пропустила!

Хм. Это, конечно, замечательно, что вы так интересуетесь вопросами обеспечения собственной безопасности. Но я, когда открывал основную тему в FAQ'е форума, сразу предупредил, что не собираюсь вступать в длительное обсуждение нужности/ненужности тех или иных подходов; поэтому здесь изначально предполагалась дискуссия о включении тех или иных настроек в общее руководство. И не более  того.

Ну а с глобальными подходами, типа как у вас, лучше обращаться на узкоспециализированные форумы по ИБ. К тому же, пожалейте мои глаза, мое время и рассудок.

Поэтому буду максимально краток.

1. Я не понимаю, о чем идет речь. Ибо проект RosenFox настроен (в первейшую очередь) исключительно на одну задачу - борьбу с пользовательской неграмотностью! Ну и с их глупостью. Точка.

2. Я не понимаю, о каких "миллионах ловушек" вы упоминаете. Да, они несомненно существуют, эксплуатируются, но упираются в одни и те же стандартные технологии - кукиз, скрипты, определение UA, IP и т.д. Ну а правильно(!) настроенная операционная система с правильно(!) настроенным браузером просто не попадает в такие ловушки. Почему? Да потому что этим сайтам попросту не отдается никакая информация. Подчеркиваю: ни-ка-ка-я!

Ну а то, что какой-то там левый сторонний рекламный сайт вдруг запомнит мой уникальный цифровой отпечаток (не такой он уж, кстати, "уникальный") и когда-то там попытается продемонстрировать мне рекламу, меня абсолютно не волнует: эта реклама попросту до меня не дойдет, т.е. я ее не увижу.

3. А КГБ знает? А ЦРУ? ... Я не понимаю, о чем вы сейчас. В моем конкретном случае все вышеперечисленное не выполняется; см. п.2.

UPD: Тем более, я практически не пользуюсь ни Яндексом, ни Гуглом. Для меня они не проблема. Равно как и реклама.

4. Нет, вы не правы. И определение "только" здесь не подходит. При стечении некоторых обстоятельств провайдер не видит не только конкретные DNS-запросы, но и сам факт обращения к DNS-серверам - БЕЗ какого-либо применения "луковичных" технологий.

5. Лучше всего - напишите разработчикам в MoFo и попросите поделиться списком. Или спросите у администраторов форума. Больше вариантов ответа у меня нет.

6. Несомненно! Только важно не только об этом заявлять, но и что-то делать. Для начала - хотя бы перейдите с Windows на Linux. А иначе вы сейчас уподобляетесь человеку, у которого нашли СПИД вместе с сифилисом и триппером, а он тщательно полирует зубы и залечивает мельчайшие прыщики на лице, попутно глобально разглагольствуя о необходимости полового воздержания и личной гигиены. Ничего личного, не обижайтесь; это просто такой пример.

7. Я продолжу предлагаемый логический ряд (с вашего позволения):

Откуда вы знаете, что вы человек, а не инопланетянин? ... Чем докажете?
Откуда вы знаете, что живете на геоиде, а не на плоскости, покоящейся на трех китах и черепахе?
Откуда вы знаете, что ваша мама - ваша родная мама? И что она - вообще мама, а не чужой и похотливый дядя?
Откуда вы знаете, что ваша любимая бабушка - бабушка, а не серый волк? ... Опять же: чем докажете?
Откуда вы знаете, что все вокруг происходит на самом деле, а не является иллюзией? А что если на самом-то деле вы живете в "матрице", а злые нехорошие роботы высасывают из вас питательные соки и прочий мозг?

... Лично мне кажется, что подобный подход развивает не критическое мышление ума, а личную паранойю... Не находите?

8. Какое-то недопонимание у вас сложилось, прошу меня извинить за констатацию. При соблюдении определенных условий у провайдера не остается: а) DNS-запросов; б) "незашифрованного трафика"; в) IP, "куда он ходил"

... Вы сейчас самого себя запугиваете или посетителей форума?

9. Я использую другие механизмы для работы с DNS, поэтому данный пример меня интересует крайне мало.

10. Это весьма похвально, что у вас есть такое желание. Однако, как говорилось в одном старом советском фильме, "не всегда ваши желания совпадают с вашими возможностями".

Откуда вы вообще почерпнули такую идею, что я - в заявленных ранее рамках обсуждения внутренних настроек Firefox - попутно обязался читать еще и общедоступные лекции по "перенастройке" браузера на ту или иную сеть? Или - обязан выкладывать здесь другие свои руководства?

Тем более, что: а) такой документацией (в том числе - и официальной) заполнен весь интернет; б) в моем руководстве ИМЕЮТСЯ вполне конкретные указания на то, как обеспечить работу браузера с промежуточными серверами... Не увидели? Ну тогда это уже не мои проблемы.

В мире Linux, если честно, не очень любят людей, которые сидят с открытым ртом и ждут, когда в него положат очередную ложку вкусной каши, а потом еще и вытрут салфеткой; а обычно отправляют либо читать официальные man'ы, либо прямиком - в Google. Даже целая аббревиатура такая есть: RTFM. Слыхали?

11. Насколько я помню, я уже упоминал ранее про любителей "большой зеленой кнопки" под названием "СДЕЛАЙТЕ МНЕ ФСЁ ЗАШИБИСЬ!"... Но вот только я, к моему глубочайшему сожалению, не вхожу в число ее разработчиков, потому что отдаю себе здравый отчет: проблема не в кнопке, а в "прослойке, находящейся между клавиатурой и креслом".

12. Не знаю, что именно вы нашли. В файле - 56 страниц формата А4. И лежит он на самом видном месте. И ссылка на файл видна на первой же иллюстрации (см. выше).

13. Вы мне прямо целый мир открыли этим своим откровением!

Скажите, вы в состоянии читать информацию и понимать прочитанное? Вы случайно не обращали внимания на сразу НЕСКОЛЬКО больших подразделов в руководстве, целиком посвященных ОТКЛЮЧЕНИЮ любых ОБНОВЛЕНИЙ и ЗАПРЕТУ ОТСЫЛКИ ТЕЛЕМЕТРИИ?

Нет?

P.S. Помимо прочего, лично мне СОВСЕМ НЕТ нужды запрещать обновление браузера средствами самого браузера. Это не винда - здесь осуществляется глобальный запрет на обновление того или иного пакета системными средствами yum.

IceCat для Android

Я тут совсем недавно допустил ошибку, когда писал вот этот краткий обзор: https://forum.mozilla-russia.org/viewto … 74#p707674

Дело в том, что практически год назад как-то абсолютно тихонько и незаметно был выпущен IceCat для Android!  А это, на самом-то деле, очень и очень большое событие. Меня в любом случае радует деятельность FSF, которая стала последовательно вычищать все ESR-сборки Firefox от ненужного  и небезопасного кода; а теперь сделан и еще один шаг вперед - этот проект распространился на мобильные системы.

Если честно, сам я его прозевал (вот что значит надеяться только на RSS-новости и "вручную" не ходить по FTP!)
Первое сообщение, оказывается, было еще о версии 31.5:

https://savannah.gnu.org/forum/forum.php?forum_id=8233

Вот краткое описание процесса сборки:

https://gitlab.com/chatch/fdroiddata/bl … icecat.txt

Несколько дней назад на хостинге свободных программ F-Droid была открыта соответствующая ветка, но вскоре она была удалена. Как я понял из обсуждения на форуме - https://f-droid.org/forums/topic/gnuzilla-and-icecat/, модератор ответил так:

- т.е. для размещения и для их "гарантии":

требуется сборка их собственными средствами, а не просто ссылка на чужой бинарник).

Готовые установочные файлы для архитектуры ARM  находятся на FTP фициального сайта GNU:

https://ftp.gnu.org/gnu/gnuzilla/

P.S. Лично я буду ставить себе версию 31.8, а не последующие: слишком уж много неведомой фигни напихали в бедный браузер модные разработчики из MoFo с того времени! Ну и хорошенько пройдусь по настройкам.

UPD: Попутно сделан анализ на лицензионную чистоту дополнений для Fennec (Android), которые предлагались мною ранее в данной теме.

CleanQuit
GNU General Public License, version 2.0

Cookie Whitelist for Fennec
GNU General Public License, version 2.0

HTTPS-Everywhere
GNU General Public License, version 3.0

Toggle JavaSript Enabled
BSD License

Phony
Mozilla Public License Version 1.1

Mobile Image Blocker
Mozilla Public License, version 2.0

HTML5 video Everywhere
Mozilla Public License, version 2.0

Privacy settings
Mozilla Public License, version 2.0

Save/load Prefs
GNU General Public License, version 2.0

PrохуМоb
Лицензия не определена. Разработчик (известная организация, занимающаяся выпуском свободного программного обеспечения в области безопасности коммуникаций) - Guardian Project - отказался от поддержки Firefox по следующим причинам:

Smart Referer
WTFPL - это, похоже, моя самая любимая свободная (правда - не GPL-совместимая) лицензия, ее полный текст см. под спойлером:

Rosenfeld
Поясните пожалуйста. Может я ошибаюсь, но Fennec уже долгое время не поддерживается и не обновляется (по вашей же ссылке на F-Droid - пусто). А значит на него действуют эксплоиты.
И перед пользователем стоит выбор. Либо использовать браузер не подверженный сборам статистики, либо браузер защищенный от вирусов + сбор статистики этими вирусами.
И я думаю выбор тут только один.

Ещё огромная проблема при установке Fennec на множество смартфонов без root - необходимость вручную устанавливать настройки, так как доступа к профилю нет. Это очень заморочно. Хотя существуют дополнения для удобной настройки приватности, но они не охватывают все настройки.

03-03-2016 10:34:19

Хочу заметить, что лично я больше доверяю разработчикам IceCat чем F-Droid. Приложения в F-Droid очень сильно запаздывают, на форуме разработчика GhostCommander вообще выяснилось, что его плагины для WebDav они просто не осилили собрать сами и не добавили в репозиторий потому что:

а на предложение автора помочь в сборке - просто не ответили

Я тут накидал списочек для настройки Firefox под Android на удобство https://gist.github.com/anonymous/03686fa61848855b3832

М-м-м... я даже и не знаю, что вам ответить. Видите ли в чем дело - меня за последние годы так сильно "разбаловал" Linux, в смысле отсутствия вирусов, антивирусов и прочего барахла, что я совсем позабыл: Java-среда Android - это опаснейшая штуковина, которая способствует всяким непотребствам!

И конкретного ответа не будет. В любом случае - советую проявлять разумную осторожность. Потому что если вы, к примеру, за день посещаете десять новых порносайтов (вместо одного - старого, любимого и проверенного!), то вас никакие свежие апдейты для браузера попросту не спасут.

Я именно так и поступаю... Что поделаешь, иногда можно и даже нужно постараться! А когда заканчиваю, то обязательно экспортирую все настройки в отдельный файл, который храню за пределами устройства. При необходимости (переустановке, поломке профиля) его можно легко импортировать обратно.

Спасибо за ссылку. Правда, справедливости ради, вам нужно было написать там немножко по другому: "Подборка минимально необходимых лично мне настроек и дополнений для Firefox под Android". Но в любом случае, я рад, что эта тема вас заинтересовала.

Только учтите, что предлагаемый вами метод "прямого" открытия jar - небезопасный. И в моем руководстве он заблокирован.

Дело не в среде Java. А в плохой проверке кода в Google Play. Java тут вообще не при чем. Там же Firefox по сути на C++ и js, а Java просто как обертка работает, через неё подключаются динамические библиотеки на C++ и может ещё частично GUI рисует.
Да и в новом Android обещают ручное управление правами доступа приложений.

03-03-2016 12:28:09

Так это само собой.

[Внимание! Изменения в репозитории]

1. Описание: Уточнение механизма действия настроек, связанных с автообновлениями / автоперенаправлениям. Уточнение информационных ссылок.

2. Существующая проблема с безопасностью и приватностью: Нет

3. Меры по ее исправлению. Нет

4. Предлагаемая строка настройки с изменением. См. ниже

Благодаря активной помощи участника форума под никнеймом negodnik (за что ему отдельное спасибо!), сделаны некоторые уточнения и изменены информационные ссылки сразу в двух разделах:

Аналогичные изменения внесены в англоязычное руководство.

network.http.redirection-limit=1 Мало, мне кажется. Я же и писал, что на panopticlick.eff.org 2 мало, а на ip-check.info 7 мало.
Стоит ли вообще ограничивать, если в результате происходит возврат на исходную страницу?

accessibility.blockautorefresh — другое дело. Может быть просто обновление, как на данном форуме (вход, выход из учётной записи),
а может быть и перенаправление (иногда нужное, например portableapps.com -> sourceforge.net).

<off-topic>Для желающих есть кнопка</off-topic>

privacy.resistFingerprinting;true - скрытый параметр, логическое. Возвращать, вроде, всегда будет только доступную видимую область, без учета chrome (это распространяется и на @media screen см. 418986 – window.screen and CSS media queries provide a large amount of identifiable information).

Заведите кнопку для быстрого вкл/откл.

custombutton://%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22UTF-8%22%3F%3E%0D%0A%3Ccustombutton%20xmlns%3Acb%3D%22http%3A//xsms.nm.ru/custombuttons/%22%3E%0A%20%20%3Cname%3EIndexedDB%20on/off%3C/name%3E%0A%20%20%3Cimage%3E%3C%21%5BCDATA%5Bdata%3Aimage/svg+xml%3Bbase64%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%3D%3D%5D%5D%3E%3C/image%3E%0A%20%20%3Cmode%3E0%3C/mode%3E%0A%20%20%3Cinitcode%3E%3C%21%5BCDATA%5Bvar%20s%20%3D%20%27dom.indexedDB.enabled%27%3B%0Athis._handleClick%20%3D%28%29%3D%3E%20cbu.setPrefs%28s%2C%20%21cbu.getPrefs%28s%29%29%3B%0A%0Afunction%20toggleImage%28%29%20%7B%0A%20%20%20var%20val%20%3D%20cbu.getPrefs%28s%29%3B%20%20%20%0A%20%20%20self.style.filter%20%3D%20val%20%3F%20%27%27%20%3A%20%27opacity%2850%25%29%27%3B%20%20%20%0A%20%20%20self.checked%20%3D%20val%3B%0A%7D%3B%0AtoggleImage%28%29%3B%0AgPrefService.addObserver%28s%2C%20toggleImage%2C%20false%29%3B%0AaddDestructor%28%28%29%3D%3E%20gPrefService.removeObserver%28s%2C%20toggleImage%29%20%29%3B%5D%5D%3E%3C/initcode%3E%0A%20%20%3Ccode%3E%3C%21%5BCDATA%5B/*CODE*/%5D%5D%3E%3C/code%3E%0A%20%20%3Caccelkey%3E%3C%21%5BCDATA%5B%5D%5D%3E%3C/accelkey%3E%0A%20%20%3Chelp%3E%3C%21%5BCDATA%5B%5D%5D%3E%3C/help%3E%0A%20%20%3Cattributes/%3E%0A%3C/custombutton%3E

Не скажите. Например, на rutracker'е не почитаешь под спойлером (началось где-то с 43-ей ночнушки. Писал (где-то там), но у них нынче других забот хватает). На dropbox'е даже залитую туда картинку не посмотришь. И т.д..

Дальше по теме пока не ушел.

06-03-2016 20:02:12

Некоторые скрытые (вроде privacy.resistFingerprinting) настройки беру отсюда: https://gitweb.torproject.org/tor-brows … 0esr-6.0-1 + мониторю багзиллу.

(с) "Маловато будет!"   ... М-м-м, дружище, мне кажется, что вполне достаточно. А вообще, мой основной принцип: пользователь сам должен решать, какой параметр ему выбрать или установить.

Это - особые и весьма специфичные случаи. Они предназначены, чтобы "протащить" вас по всем тестам. Я думаю, что даже в этих случаях пусть уж пользователь сам последовательно подтвердит перенаправления; особого труда ему это не составит.

А вот теперь взгляните ситуацию по другому.

Будем считать, что panopticlick.eff.org и ip-check.info - безопасные тестирующие сайты. А что произойдет, если при обычном серфинге (с уровнем перенаправлений, к примеру, равным 2-3-4) пользователь нажмет на абсолютно безобидную ссылку, а его последовательно (и незаметно для него) "проволочёт" по трем специально зараженным страницам? Или хотя бы для того, чтобы он специально подцепил там рекламные кукиз или суперкуки... Или еще с какими-нибудь целями.

Вы допускаете такую ситуацию? Лично я - да; кстати, очень много ловушек сделаны примерно по тому же принципу.

Поэтому уж лучше сам браузер остановит меня на первом же переходе и спросит: "Слышишь, парень, а ты точно уверен, что хочешь сюда перейти?"; после чего я внимательно посмотрю на предлагаемую ссылку и трижды подумаю - двигаться далее или нет.

У меня, к примеру, лимит перенаправлений равен именно единице, и даже здесь, на форуме, чтобы отправить сообщение и т.п., однозначно приходится нажимать на подтверждение перенаправления. Я так привык, и особого труда мне это не составляет... Ибо я никуда не тороплюсь.

P.S. Если уж говорить на более глобальном уровне, то я хотел бы подчеркнуть одну очень важную вещь, о которой я не устаю говорить.

Мое руководство  априорно НЕ ПРЕДНАЗНАЧЕНО для совершения каких-ибо нелегальных, незаконных действий. И я никогда не отвечаю на вопросы типа: "Как мне обойти своего провайдера, чтобы скачать порнушку?", "Как мне преодолеть цензурные запреты и выйти на сайт, заблокированный на официальном уровне?" (т.е. на уровне судебного постановления, вступившего в законную силу); или "Как мне подделать то-то, чтобы получилось так-то?"...

ЕДИНСТВЕННАЯ цель моего руководства - информирование пользователей о существующих угрозах в интернете и методах повышения безопасности браузера, следовательно - операционной системы в совокупности. Ну и повышение уровня их подготовленности, кругозора и осведомленности по принципу: "Предупрежден - значит вооружен!"

То есть основная цель руководства - защита, а не атака или какие-то там "ксакепские" методы.

Ну и даже в этом случае лично я никому ничего НЕ навязываю и НЕ побуждаю: "Делай только так, как я сказал". Я просто показываю: "Есть такая-то проблема. Если сделать так - то получится вот так-то. Хочешь - попробуй!"...

Ибо я - за свободу выбора.

> ...пусть уж пользователь сам последовательно подтвердит перенаправления;
> ...браузер остановит меня на первом же переходе и спросит...
Не спросит. И подтвердить не получится.

> ...и даже здесь, на форуме, чтобы отправить сообщение и т.п., однозначно приходится нажимать на подтверждение перенаправления.
Это относится только к accessibility.blockautorefresh, который и срабатывает здесь, на форуме.
У network.http.redirection-limit нет кнопки «Разрешить», только уведомление.

Впрочем я согласен, для вящей безопасности пускай будет 1.

UPD:
turbot
privacy.resistFingerprinting — это очень хорошо, но при появлении сообщений, например того же accessibility.blockautorefresh (.notificationbox-stack) или при появлении панели поиска (findbar),  viewport всё-равно уменьшается. С float у меня не получилось, а position:fixed помогает.

Я вам покажу, что нужно делать в подобном случае на вашем же примере - portableapps.com -> sourceforge.net.

Смотрите:

https://diasp.org/posts/5381848

> Смотрите: https://diasp.org/posts/5381848
Фотошоп весьма посредственного качества!  Да, на ip-check «Попробовать снова» сработало, спасибо.

> Тестировалось на редиректе с сайта portableapps.com на sourceforge.net.
Интересное дело. У меня там только blockautorefresh срабатывает. Пробовал redirection-limit 0 и 100, никак не влияет.
Но это не важно. Главное, что «мы пришли к соглашению» (прямо как Энты): redirection-limit=1 — это хорошо.

Во-во, каждый норовит обидеть старого больного еврея...   Типа "... да фотошоп у него не той системы".

Трудно сказать. Для чистого эксперимента нужны профили, создававшиеся с нуля, без дополнений и с одинаковыми настройками. Тем более, если это не блеф, я по UA вижу, что у вас SeaMonkey. Кто знает, что у нее в мозгах сложилось.

Взаимопонимание и взаимопомощь - однозначно хорошо. Спасибо.

Да, действительно, не подумал. Просто у меня самого все эти панели давно уже fixed.

Любознательный и въедливый пользователь форума с "говорящим" никнеймом negodnik прислал мне аж три(!) новых письма с дополнениями, уточнениями и поправками в руководство (за что я ему крайне признателен). При этом он обратил внимание на одну ОЧЕНЬ интересную неточность в разделе CACHE, которая относится как к самому механизму кэширования, так и к проблеме отслеживания по E-Tags:

Комментарий от negodnik

Тут интересный вопрос. Я прямо аж задумался над той конфигурацией, которая предлагалась ДО сегодняшнего дня в руководстве. Получается, что если мы имеем:

- то кэш у нас отключен глобально! Он не пишется ни на HDD, ни в RAM.

Поэтому ВСЕ(!) остальные настройки, которые рассматриваются в разделе CACHE ниже, уже(!) не имеют особого значения. В частности - настройка, которая разрешает использовать кэш в RAM!

Вот я и думаю: может быть (для увеличения скорости работы) все же перевести глобальный параметр network.http.use-cache в положение TRUE?

А вот затем - последовательно запретить дисковый кэш, SSL-дисковый кэш, офлайн-дисковый кэш и(!) РАЗРЕШИТЬ создание кэша в RAM?

То есть это будет выглядеть примерно так:

... Однако при этом следует обязательно предупредить, что в этом случае возникнет проблема с отслеживанием по E-Tags (они-то в любом случае будут кэшироваться в RAM - хотя бы на время сеанса).

Либо прописать в руководстве, что имеются два варианты работы:

1) глобальный запрет кэширования - как это рекомендовано сейчас (E-Tags блокируются);

2) разрешение кэширования в RAM с гипотетическим отслеживанием пользователя по E-Tag. И дальше привести рекомендации по блокированию такого отслеживания, о которых я писал в теме на форуме:

P.S. Чувствую, что по E-Tags  надо создать в руководстве маленький отдельный раздел с разъяснениями, раз эта тема периодически возникает...

1 предложение:
Рекомендовать в about:config keyword.enabled выставить в false, в противном случае если ошибка при наборе адреса, перейдёт к поисковой системе. Неприватная по умолчанию настройка
Дошёл наконец-то своей мечты - не только доверять, но проверять Использую два экспериметов компьютера: на одном windows 7 64бита (в брандмауэре стоит режим расширенной безопасности - все исходящие с компьютера подключения по умолчанию отключены, а затем настроены правила, по которым выпустил в сеть нужные приложения, на втором компьютере тоже "семёрка", но CentOS Linux  с двумя сетевыми картами.  Обе "семёрки" стоят рядом, с мониторами. Windows 7 выходит в Интернет через CentOS 7, на котором запущен анализатор трафика Wireshark.  То есть, я как вижу все пакеты, которые выходят с Windows 7, в частности вижу  и dns запросы. Причём в CentOS  отключаю Интернет перед запуском Firefox на Винде , то есть никаких обратных пакетов и любых ответов до Firefox точно не долетит!
Скачал версию Firefox ESR Portable 38.7.0(из проекта PortableApp) , распаковал её, но пока ещё не добавлял правило для выпуска этой версии Firefox в Интернет. То есть. единственное, что он может делать в сети -это делать dns запросы.
настроил его по инструкции проекта RosenFox,(кроме как загрузку картинки с самого сайта не отключил, только со сторонних). В Wireshark включил запись пакетов и запустил Firefox и походил по менюшкам, заходил в настройки, но никакие ссылки внешние не нажимал,в  адресной строке и поисковой писал разные символы, но нажимал Enter.
Выявил три dns запроса. Один адрес я нашёл в about:config - aus4.mozilla.org.
Он прописан в трёх местах :
media.gmp-manager.url;https://aus4.mozilla.org/update/3/GMP/%VERSION%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE%/%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%DISTRIBUTION_VERSION%/update.xml
media.gmp-manager.certs.1.commonName;aus4.mozilla.org
media.gmp-manager.certs.2.commonName;aus4.mozilla.org

В инструкции есть две позиции связанные с media.gmp-manager, одной у меня нет, а вторую media.gmp-gmpopenh264.provider.enabled я выставил в false.
Точно не разбирался с этими параметрами, но раз пользователь не командовал никуда лезть, а программа уже лезет, значит это зло. Удалил в общем этот url адрес из about:config
Два других адреса я не нашёл в about:config, но Ip адрес у них один 63.245.213.56.
fxfeeds.mozilla.com
static-non-ssl.external.zlb.scl3.mozilla.com
Похоже скрытые настройки внутри Firefox, который он не показывает в about:config.
Можно было бы поискать к исходниках, но пока просто внёс эти два адреса в hosts:
0.0.0.0 static-non-ssl.external.zlb.scl3.mozilla.com

0.0.0.0  fxfeeds.mozilla.com
То есть, если не найдутся настройки, которые заставляют лезть Firefox по этим двум адресам (опять же без желания пользователя), то в инструкции прописать блокирование скрытых настроек Firefox через файл hosts.
Ну и третье предложение удалить из настроек aus4.mozilla.com

Вы б хотя бы чуток проявили дальнейшую любознательность и посмотрели - что это за зверь... А то увидели "живые закладки", встроенные в ФФ, и сразу кинулись в панику!

Я вас и дальше попугаю: существует еще и зловещий сайт aus5.mozilla.org! И даже aus3.mozilla.org!

https://www.robtex.net/?dns=fxfeeds.mozilla.com

https://wiki.mozilla.org/AUS
https://wiki.mozilla.org/AUS:Manual

https://blog.mozilla.org/it/2011/11/14/project-scl3/

... Кстати, а слово "certs" вам ни о чем не говорит? ... А термин "openh264"?

https://support.mozilla.org/en-US/questions/1028546

***

Одним словом - хватит нагнетать на пустом месте.
А то может ненароком выйти так, что единственным человеком, которого запугаете, окажетесь вы сами.

Если пользователь отключил WebRTC и плагин этот (потом доустанавливающися) отключил, то зачем ему этот кодек от циско?
Если я отключил всякие обновления, то зачем мне соединения на сервера aus*(Application Update Service)?
Про живые закладки первый раз слышу, но именно когда мимо проходил в менюшках эти закладки , так сразу и запросы dns посыпались в wireshark.
Моё мнение, что firefox (как и любой другой браузер) не должен никому и ничего сообщать ни тогда когда я его запускаю, ни тогда когда я брожу по Интернету! В прочем как и Windows,Linux или Android. В противном случае мы не владельцы этим устройтвам, а  так, арендаторы без всяких прав. Сертификатам вера всё равно не особая, кто там их сделал и кому выдал, свечку я не держал, поэтому и обновлять сертификаты каждые запуск фарефокса вообсе не обязательно. В крайнем случае мне сообщится, что нет доверия к этому сертификату. Так что буду банить через about:config или hosts эти непонятные(мне) соединения Firefox. Раз неинтересно, что там всплывает, значит выложу в другом месте результаты опытов,если будет что ещё интересного для меня.

Как в том анекдоте: "А они там ЕСТЬ".

Это и есть глубочайшее и, к сожалению, ОЧЕНЬ распространенное заблуждение.

А на самом-то деле, т.е. в реалиях, БРАУЗЕР попросту вам НИЧЕГО НЕ ДОЛЖЕН (и его многочисленные разработчики - тоже). В том числе - и не обязан подстраиваться под ваши "хотелки" и личные представления о том, как он "должен" себя вести.

Так что у вас четыре выбора.

Первый. Мягко говоря, "есть то, что дают и чем кормят". И (немаловажно!) - еще и быть хотя бы благодарным людям, которые сделали за вас всю работу. Ну а если не нравится еда, сказать "спасибо" и распрощаться. Такой поступок будет и красивым, и правильным. Мужским.

Второй. Заработать много зеленых купюр и нанять контору талантливых программистов, которые напишут вам новый персональный браузер - в полном соответствии с вашими грамотными и внятными спецификациями и техзаданиями.

Третий. Перейти с браузера, непрерывно шпионящего за пользователями, на что-либо более безопасное. Например - тот же elinks, в котором 10-15(!) строчками в конфиге я настраиваю тот же уровень безопасности, который в моем руководстве описан аж 340 параметрами.

Четвертый. Завязать нафиг с этим опасным и гадким интернетом, вырвать шнур из компа и начать жить спокойно и независимо.

P.S. В любом случае, сразу предупреждаю, что поддерживать далее дискуссию о том, КТО и ЧТО кому должен, я не собираюсь. Тема посвящена текущим (существующим) настройкам Firefox, а не персональным желаниям отдельных пользователей.

Я работаю с тем, что уже(!) имеется, а не с чужими мечтами.

Хотите, чтобы лично ваши желания были удовлетворены - не жалуйтесь на форуме, который к разработчикам этого браузера ВООБЩЕ НЕ ИМЕЕТ НИКАКОГО отношения, а поступите по-взрослому: регистрируйтесь на их Багзилле, заводите новый баг, ищите единомышленников и требуйте его закрытия... Я думаю, такое поведение будет наиболее разумным.

Что же вы тогда понимаете под приватностью и безопасностью? Дайте пожалуйста определение! А то сначала заявляете, что цель проекта RosenFox получить приватный и безопасный браузер, а сейчас выясняется, что существуют какие-то своеобразные понятия приватности. Странная логика,  -найти и расписать 340 параметров, чтобы фарефокс ничего и никуда не отсылал и не запрашивал, а когда обнаруживается и 341й параметр,которые чего-то отсылает в фонд мозиллы, то говорите, что вам достаточно  и 340 параметров. Зачем было тогда эту тему открывать...

Я не отвечаю на риторические вопросы. Равно как у меня нет обязанности реагировать на них.

Помнится, чуть раньше вы писали несколько другую абсурдную вещь - https://forum.mozilla-russia.org/viewto … 22#p708122 - так и НЕ удосужившись конкретизировать впоследствии, что(?) именно подразумевалось:

И я на подобные глупости, кстати, отвечал, как минимум, ДВАЖДЫ - https://forum.mozilla-russia.org/viewto … 37#p708137:

Поэтому не стоит додумывать за меня: на что именно направлен проект.  В том числе - и чтобы не было такой бессмысленной и хаотической паники, которую поднимаете вы сейчас, например:

А что же вы кричите так на весь свет, если даже "точно не разобрались"?

Подумаешь, ужасы какие - встроенная по умолчанию в ФФ "живая закладка" на абсолютно законных основания  - ПОТОМУ ЧТО ВЫ ЕЕ ПРЕДВАРИТЕЛЬНО НЕ УДАЛИЛИ - захотела обновить свою новостную ленту. Или (опять на легальных основаниях) браузер решил проверить соответствия сертификатов... На кой черт вопить при этом: "Спасите! Насилуют-убивают!" на весь мир?

И я что - должен сразу кидаться вносить исправления в руководство? Только потому что так захотела ваша левая нога под влиянием вашей же перепуганности? ... Вряд ли я пойду на такой опрометчивый шаг.

Поэтому моя единственная рекомендация, которая, возможно, прекратит этот бессмысленный поток типа: "блокировать скрытые настройки через hosts":

1. Идите ВОТ СЮДА: https://forum.mozilla-russia.org/viewto … 20#p706420

2. Внимательно читайте ВСЕ пять пунктов.

3. Постарайтесь максимально ОСМЫСЛИТЬ их содержание.

4. И лишь потом расписывайте проблему. И не как обычно - "простыню" на полстраницы, а кратко и по всем пунктам: 1) проблема; 2) ... 5).

Потому что пока вырисовывается такая картина. Вы научились пользоваться сниффером. Это само по себе похвально. Но потом кто-то в десяти метрах от вас, образно говоря, тихо испустил газы, а вы испугались так, будто над ухом выстрелили из пушки. И начали громко кричать об опасности. А ведь всего-то увидели три DNS-запроса...

Свойство любого браузера - отсылать DNS-запросы и получать ответы на них. И если вы пребываете в такой панике, НЕ заходя в сеть, то что станет с вами, когда вы пойдете просматривать сайты, и такие запросы будут сыпаться тоннами! Обмочитесь от страха? ... А когда туда-сюда, не приведи Б-же, будут пролетать десятки мегабайт - наложите на себя руки?

Поэтому ПОСЛЕДНИЙ РАЗ пишу одно и то же: я НЕ буду читать ваши тонны текста. Я не буду читать о ваших "хотелках": "браузер ДОЛЖЕН мне то-то, должен мне то-то"...

Идите на Багзиллу, заводите конкретный баг и добивайтесь его закрытия. Точка.

Ну а в этой форумной теме: берёте за основу пять пунктов, затем описываете вашу проблему, существующую угрозу и т.п.  А уж потом я подумаю и приму решение.

Только в этом случае разговор состоится. Потому что я не намерен тратить на ваши мнимые страхи по полдня. У меня и так есть, чем заняться.

Ещё один сервис в список сервисов для тестирования https://torrentfreak.com/is-your-vpn-pr … ss-160320/

Спасибо. Со временем потестирую - добавлю... Тут мне negodnik задач и замечаний накидал - за год не расхлебаешь!

[Внимание! Важные изменения в репозитории]

За прошедшее время накопилось множество поправок, уточнений, добавлений и исправлений. Поэтому я решил присвоить очередной версии Rosenfox номер 0.2. По предложению одного из участников форума (и в связи с наступившей весною) версия получила собственное имя - "Aviv".

Большое спасибо всем, кто участвовал и помогал. Negodnik'у выносится отдельная благодарность за генерирование новых идей и изощреннейшую способность проверять каждую букву и даже знаки препинания! Dimatambov - достается почётная грамота за настойчивость!

***

ИЗМЕНЕНИЯ В ФАЙЛЕ ПРИМЕРА user.js

1) корректно завершена строка:

2) исправлена строка:

3) удалена дублирующаяся запись:

В user.js закомментированы следующие строки примера перенаправления на локальный прокси-сервер Polipo:

Изменено значение (старое значение "1" приводило к перенаправлению на прокси-сервер и блокировало доступ к интернету):

ДОПОЛНИТЕЛЬНОЕ ПРЕДУПРЕЖДЕНИЕ В ФАЙЛЕ ПРИМЕРА user.js

УТОЧНЕНИЯ В ОПИСАНИЯХ ДЕЙСТВИЯ ОТДЕЛЬНЫХ ФУНКЦИЙ:

УТОЧНЕНИЯ В ОПИСАНИЯХ. ДОБАВЛЕНИЕ ПАРАМЕТРОВ:

ЧАСТИЧНАЯ ПЕРЕРАБОТКА И УТОЧНЕНИЕ РАЗДЕЛА:

НОВЫЙ РАЗДЕЛ:

НОВЫЙ РАЗДЕЛ:

УТОЧНЕНИЕ РАЗДЕЛА:

ДОБАВЛЕНИЕ ПАРАМЕТРОВ В РАЗДЕЛ:

ДОБАВЛЕНИЕ ПАРАМЕТРОВ В РАЗДЕЛ:

ДОПОЛНИТЕЛЬНОЕ ПРЕДУПРЕЖДЕНИЕ:

УДАЛЕНИЕ ПОДРАЗДЕЛА

Из раздела скриптов удален подраздел, описывающий создание разрешающих политик для выполнения скриптов на отдельных сайтах, внесенных в "белый список". Похоже, этот механизм сломан самими разработчиками из MoFo.

Ещё не дочитал, но уже осуждаю. Возможно я своим потоком сознания запутал Вас.

> media.gmp-gmpopenh264.provider.enabled=false  (возможно, отключает также Adobe Primetime)
Это media.gmp-provider.enabled отключает сразу OpenH264 и Primetime.
media.gmp-gmpopenh264.enabled отключает OpenH264.
А media.gmp-gmpopenh264.provider.enabled вообще ничего не отключил.

> Запрет на закрытие окна скрипту, при помощи которого оно было открыто:
dom.allow_scripts_to_close_windows=false
Я умудрился удалить сообщения в личке, но помню что ссылался на http://kb.mozillazine.org/About:config_entries#DOM.
true: любой скрипт может закрыть любое окно.
false: только окно, открытое скриптом, может быть закрыто с помощью метода window.close().

Может наши местные скриптописатели смогут грамотно и доходчиво сформулировать.
Tо, что написано в Списке настроек... — «закрывать скриптам окна», тоже не совсем правильно.

Не только для цсс. Еще и
 

См. выше.

Большое спасибо всем за быстрые отклики. То-то я вижу, что счетчик посещений темы за несколько часов вырос, как на дрожжах.

Нет. Скорее это я курсор не в ту строчку поместил. Сейчас вот просматривал свое сообщение с телефона и понял, что что-то тут не так...  Короче говоря, исправляем на следующее:

Кстати, нет ли у присутствующих в хозяйстве конкретной ссылки на какой-нибудь ресурс MoFo, где напрямую бы связывался данный параметр и отключение Adobe Primetime? Я потому и пишу "возможно отключает", так как не могу ничего стоящего найти...

Вот-вот! Я, честно говоря, плохо понимаю этот пассаж, особенно если читать на английском, потом переводить на идиш, а уж затем только - на русский. Цитирую:

***

Сможете грамотно и корректно сформулировать самостоятельно? Буду признателен!

Я подразумевал, что сомневаюсь: будет ли настройка privacy.resistFingerprinting, созданная вручную, работать в старых версиях ФФ. А как я могу в этом убедиться, изучая ваш скриншот?

У меня самого проблемы с терминологией и правильными формулировками. Потому и скриншот.
Но попробую:
При включении настройки, скрипты, исполняемые в контексте страницы,  через объект window.screen и CSS медиа-запросы, всегда будут получать только размер видимой области страницы, без учета размеров chrome-элементов окна браузера.

Но, повторюсь, сварщик я ненастоящий. Может и чушью быть.

А, виноват. Неправильно понял. С 41-ой будет работать, если верить багзилле.

Так где скачать руководство по настройке?

[Внимание! Некоторые уточнения в репозитории]

1. Для особо одаренных пользователей в файл README внесено дополнительное ВАЖНОЕ предупреждение:

2. Очередная попытка переформулировать данный пункт:

3. Уточнен раздел о цифровых отпечатках при помощи CSS и т.п.:

4. В файл Test_your_settings.md внесена ссылка на сайт "Do I leak?" - https://www.doileak.com/

5 Примечание о гипотетическом(?) отключении Adobe Primetime перенесено в нужное место:

P.S. Эти (и предшествующие) изменения внесены в сокращенном виде в аналогичное англоязычное руководство, v. 0.2.

P.P.S. PDF-файл с руководством будет переделан в соответствии с текущими изменениями и вновь размещен на gopherspace немного позже.

[Внимание! Добавление в репозитории]

... Немного запоздало, но все же...

Судя по упоминаниям о множественных узвимостях в библиотеке шрифтов Graphite и возможностью атаки, было бы лучше отключить ее использование - даже(!) после устранения уязвимостей. Во-всяком случае, именно так поступили разработчики из MoFo в отдельно выпущенной (специально по этому случаю) новой версии Thunderbird.

По теме см.: http://blog.talosintel.com/2016/02/vuln … phite.html

Уязвимости исправлены в Firefox ESR 38.6.1. Firefox 43 и 44 применяют библиотеку Libgraphite 2 1.3, в которой данные проблемы (вроде бы как!) не существуют.

***

Аналогичные изменения, рекомендованнные для about:config, внесены в англоязычную версию руководства.

А что уважаемый автор думает об использовании Pale Moon вместо FF?
Его создатель тоже обеспокоился нашествием ненужных и небезопасных фишек, которыми Mozilla щедро снабжает свой FF, и пошел путем поддержки и оптимизации еще нормальной старой версии, попутнов выкину из нее излишества всякие вредные
Может, если вам взять Pale Moon за основу,  вам будет меньше столь необходимой и полезной нам работы?

Abdula
Оно держится на одном, максимум нескольких людях. То есть может развалиться в любой момент.

Я, как и rms, - человек идеологически упертый и нетерпимый. Поэтому в первую очередь - внимательно проверяю лицензию на конечное программное обеспечение. А она у Moonchild Productions - просто отвратительная. И никаким "свободным программным обеспечением" там и не пахнет:

https://www.palemoon.org/redist.shtml
https://www.palemoon.org/freeware-license.shtml

Более того, такое непотребство возможно исключительно(!) "благодаря" (ставлю кавычки) мозилловской MPL (под которой пролицензированы исходные коды Firefox), и о проблемах и скрытых подводных камнях применения которой я неоднократно писал ранее.

Вы немножко неправильно понимаете, что именно у меня "взято за основу" - не сам Firefox (как конечный продукт), а всего лишь настройки "ванильной" программы. А они характерны для множества браузеров этого семейства, начиная с Firefox и заканчивая IceCat, Pale Moon и т.п. (разве что отличаются некоторыми наложенными патчами и удаленными при сборке отдельными сервисами/службами).

Вот хороший и неединичный пример, каким образом сто лет не нужные в браузере сторонние технологии (протоколы, плагины) приводят к серьезнейшим проблемам и утечкам:

Общий смысл: убивать в зародыше и тотально запрещать в браузере действительно нужно ВСЁ, даже малейшие гипотетические(!) источники угроз, тем более, исходящие от сторонних встраиваемых "улучшательств"! Потому что дыры и утечки регулярно обнаруживаются там, где их, казалось бы, не ждешь.

Проекту исполнилось три месяца. Я мельком взглянул на показатели - весьма неплохие.

За 90 дней существования:

- примерно 10 700 просмотров темы на форуме;
- 20 "звезд", присвоенных проекту пользователями GitHub;
- 2 форка (буду рад, если они станут развиваться отдельно и независимо).

Проект достаточно прочно и самостоятельно(!) проиндексировался в поисковых системах (полагаю, помогло то, что ему было присвоено "старое" название, пришедшее еще со времен RosenfoxPortable).

Из приколов:

В связи с недавно обнаруженной уязвимостью в обработке текстовых данных, скопированных (через буфер обмена) со специально подготовленных веб-страниц:

https://github.com/dxa4481/Pastejacking

я настоятельно рекомендую всем, кто еще не удосужился, перепроверить (и отключить, т.е. перевести в состояние "false") в ФФ следующий параметр:

Как и следовало предполагать, "дыра" относится к применению Java-script; в частности - посредством б-гомерзкого поделия, называемого DOM.

Ниже приведена тестовая страница уязвимости:

https://security.love/Pastejacking/

Примечание: лично у меня уязвимость срабатывает ТОЛЬКО при соблюдении следующих условий:

0) с полностью включенными на странице скриптами и активированном параметре dom.event.clipboardevents.enabled=true

1) при использовании клавиатурных сокращений ^C и ^V

или

2) при копировании с помощью вызываемого по ПКМ контекстного меню: "Копировать" - "Вставить".

В традиционном для UNIX-LINUX-way'ного копирования/вставки с помощью мыша ("Выделить текст, проведя по нему ЛКМ" -> "Вставить нажатием СКМ") данная уязвимость НЕ работает (даже со включенными скриптами).

В руководстве Project Rosenfox данный параметр уже присутствует (и отключен).

P.S. Насколько я помню, эта уязвимость всплывала уже несколько лет назад...

Не нашел в вашей методике способов подмены заголовков: X-Forwarded-For и Accept header, а также отключения механизма AJAX. Не уверен, что отключение указанных заголовков вообще возможно через about:config, а вот настройка AJAX присутствует точно.

Так Вы бы указали какие конкретно что ли.

С разрешения пользователя z_7 публикую нашу приватную переписку. Поскольку рассматриваемые проблемы частично выходят за пределы текущей темы, прячу под спойлер:

Ну раз Вы сами не уверены, что это вообще возможно - т.е. их отключение средствами about:config, то и странно было бы искать данные настройки в моем руководстве. Не так ли?

А вообще - это хороший повод накатать на МоФо в их Багзиллу новый баг, типа "товарищи, сделайте наконец-то вменяемое средство для работы с заголовками!" ... Только боюсь, что они не откликнутся. Сейчас идет такая мощная волна на всеобщую дебилизацию пользователей, что я опасаюсь - МоФо скоро все основные настройки попрячет; допустим, отключение активации скриптов, запрет приема кукиз и т.п. ... Времечко, увы, сейчас такое...

P.S. Лично у меня работой с заголовками частично занимается Polipo. Его конфиг описан в моем техблоге.

У меня

user_pref("network.proxy.socks_remote_dns", true);

, а в этой статье предлагается

pref("network.proxy.socks_remote_dns", false);

. Почему?
То же с параметром

network.proxy.type;2

(в статье

pref("network.proxy.type", 0);

)?
И что это за файл extension-overrides.js? Чисто торовский?

02-06-2016 22:07:19
Уважаемый Rosenfeld!
А Ваши настройки позволяют пройти тест panopticlick.eff.org?

А вот почему.

http://kb.mozillazine.org/Network.proxy.type

http://kb.mozillazine.org/Network.proxy … remote_dns

В статье же прямо указано, ЧЕГО они хотят добиться:

Погуглите эти параметры самостоятельно, пожалуйста... Да и в моем руководстве они есть.

Об этом тесте я подробно писал в данной теме чуть выше; мне им весь мозг уже проели... Попробуйте найти и почитать. Надеюсь, этот вопрос я закрыл. И закрыл навсегда.

***

Отвечать дальше не смогу - интернет закончился. Совсем.

***

UPD: Решайте сами - "проходит" браузер с моими настройками тест (кстати, он глобально обновился до версии 2.0).Я только что его запустил.

https://diasp.org/posts/5684577

НО(!) мне при этом пришлось не менее 6-8 раз подтвердить разрешающие запросы типа: "Заблокирован переход на страницу. Слышь, чувак, разрешить? Точно разрешить?! ... Ты что, совсем с ума сошел?" - чего бы я в реальной жизни никогда бы НЕ СДЕЛАЛ!

Ну, в общем, понятно. Я просто надеялся на объяснения почему с такими настройками этот тест проходится положительно.

А почему у Вас отсутствую вообще

toolkit.telemetry.archive.enabled

и

toolkit.telemetry.unified

?

Хороший вопрос, но сложный. Потому что у меня на машинах запрещено обновление ФФ системными средствами yum. И установлена старая стабильная версия; а в ней эти параметры (судя по всему, МоФо изобрела и встроила какие-то новые функции) отсутствуют.

Ну а виндов нет уже много лет; вот и изыскиваю сейчас извращенный способ запуска новых версий ФФ, чтобы не отстать от жизни. Пока приходится вылавливать новые строки, появляющиеся в ФФ, в интернете - в техновостях. Сообщили о внедрении какой-то новой службы - сразу же ищу возможности ее отключения.

Но вы особо не волнуйтесь: адрес сервера телеметрии в моем руководстве удален. Да и сам сервис отключен. Стало быть, телеметрию передавать некуда.

А вот в руководство предлагаемые вами параметры все же вставить надо. Вернусь домой - обязательно займусь. Равно как необходимо внести еще несколько новых строчек, например:

(честно говоря, не знаю -  к каким именно версия ФФ она относится; скорее всего - тоже к новым)

Rosenfeld
Понятно.
Спасибо!
Тут (в теме) отсемафорите о внесённых изменениях?

Да. Когда руки дойдут.

После игры в about:config с параметрами куда-то задевался щиток, который сигнализировал о встроенной в FF защите от отслеживания (почему-то так нелюбимой).
А так же перестали появляться запросы на включение флэша.

я просто в about:config в поле поиска ввёл "ajax" и появились три настройки, которые содержат в значении "ajax", а именно:
devtools.gcli.jquerySrc;https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js
devtools.gcli.lodashSrc;https://cdnjs.cloudflare.com/ajax/libs/lodash.js/2.4.1/lodash.min.js
devtools.gcli.underscoreSrc;https://cdnjs.cloudflare.com/ajax/libs/underscore.js/1.7.0/underscore-min.js

как видите одна из них завязана на гугл, а две других на какое-то облако. может их просто обнулить? и приведёт ли это к отключению технологии ajax?

С первой строчкой все понятно; две последующие - это CDN-услуги от компании Cloudflare - указание на то, где брать скрипты.

https://ru.wikipedia.org/wiki/CDN
https://en.wikipedia.org/wiki/Cloudflare

Хотите - отключайте, хотите - нет. Дело хозяйское. Лично я не проверял.

z_7, возвращаясь к разговору о том, "чего нет в Windows" - если будет интересно (и разбираетесь в английском), просто взгляните - какие чудеса можно творить с помощью системы SELinux - неотъемлемой части ядра GNU/Linux:

Не так
Это с Referrer всё понятно и просто, т.к. его легко вырубить ключами, содержащими его в названии. А вот заголовок E-tag Вы отключили не напрямую каким-то ключом из about:config, а опосредованно за счёт отключения кэширования. Таким образом, не исключено, что по аналогии с E-tag, какая-то другая конфигурация ключей сможет опосредованно подменить/отключить и заголовки X-Forwarded-For, Accept header. В противном случае, анонимность браузера исключительно средствами about:config не достигается, а сам браузер похож на незадачливого воришку, который скрывает отпечатки пальцев, но забыл вывести татуировки. Использование аддонов хоть и решит проблему, но тут же добавит две новых Использование полипо или прайвокси, тоже  несёт дополнительные риски, хоть и меньшие, чем при аддонах. Если эта задача в принципе не решаемая средствами about:config, то в дисклаймере, имхо, следует конкретизировать и это ограничение. Так будет честнее и это вовсе не умолит заслуг разработчика, а напротив добавит ему доверия.

[

09-06-2016 23:35:02

Спасибо, почитаю. А вот то, что разработчик из АНБ, имхо, не плюс, а минус, т.к. бывших разведчиков не бывает

z_7

А какие предложения?

Мда., с E-tag та еще проблема, пробовал его убрать, ломается история сайтов..

FMRUser

Т.е. все этим настройки вместе и по отдельности:

user_pref("network.http.use-cache", false);
user_pref("browser.cache.disk.enable", false);
user_pref("browser.cache.disk.capacity", 0);
user_pref("browser.cache.disk.smart_size.enabled", false);
user_pref("browser.cache.disk_cache_ssl", false);

создают проблемы?

У меня задача была отключить использование E-tag без отключения кэш.

А что делали?

Zerdsa
В исходниках ковырялся.

Приятно пообщаться с компетентными людьми, которые, к тому же, могут вменяемо и четко излагать свои мысли на бумаге. Это я без иронии.

А на самом деле, мы сейчас играем в "угадайку": "не исключено, что... конфигурация сможет...", etc.

IMHO, единственная инстанция, которая могла бы прояснить этот вопрос - МоФо. Но им, повторюсь еще раз, по большому счету, пользовательская безопасность по-фи-гу. А уж тем более - какие-то там заголовки.

Мне понравился стиль Вашего изложения. Но сделаю несколько замечаний и приведу конкретные примеры.

1. Боюсь, что многие люди слегка путают "анонимность" и "безопасность". Это неравнозначные термины. Вот почему в моем руководстве на офсайте размещено специальное предупреждение:

Итак, делаем вывод... Повышение пользовательской безопасности путем "запрета всего" ОДНОЗНАЧНО снижает пользовательскую анономность. И - наоборот. Я хочу, чтобы это усвоили ВСЕ посетители данного форума.

Вот почему, кстати, я стараюсь в данной теме принципиально не обсуждать "луковичную" маршрутизацию. У нас просто разные пути и подходы. Они делают упор на анонимность, я - на безопасность. Это разные вещи.

Говоря проще, браузер, снабженный специфическими настройками, начинает выбиваться "из толпы подобных". И это может быть заметно третьей стороне. Мой основной посыл - усиление именно безопасности - как браузера, так (опосредованно) и всей ОС. Но при этом я предоставляю право конечному пользователю самому выбирать - в какую именно из сторон ему двигаться. То есть я предлагаю: "Слушай, парень, вот есть такие-то и такие-то методы. Они могут привести к тому-то или к тому-то. Выбирай сам - что тебе больше по вкусу (в зависимости от твоей личной ситуации и степени угроз)".

2. Ну а теперь - про нашего "воришку" и его отпечатки пальцев. Я же не зря совсем недавно приводил результаты прохождения Rosenfox'ом теста panopticlick - https://diasp.org/posts/5684577... Как видно из иллюстрации, улучшения ситуации все же есть. И большие. Для сравнения:

а) Mozilla Firefox (с практически дефолтными настройками; без дополнений и на чистом профиле):

б) Rosenfox (с моими настройками, опубликованными на GitHub):

Видите разницу? Насколько я понимаю, panopticlick вообще затрудняется определить - что за непонятная штуковина тестируется в настоящий момент и сообщает только: "Ну да... видно, что это какое-то неведомое приложение; что оно в состоянии обрабатывать чистый текст, HTML и XML, поддерживает сжатую передачу данных методами gnuzip и deflate; "понимает" при этом английский язык. И все. Точка! (если я тут не прав, прошу дополнить или опровергнуть - буду только рад)

Немного отвлекусь и покажу Вам прохождение того же самого теста посредством своего любимого Elinks с минимальными изменениями в текстовом конфиге (он подробно описан в моем техблоге)... Уверен, Вам будет не только интересно, но и поучительно! Смотрите:

https://diasp.org/posts/5710695

... Почувствовали разницу? Вот-вот! Она имеется и огромна! Я тут уже много-много лет не устаю говорить одну и ту же фразу:

Уже приводил такой пример. В моем user.js на GitHub - почти 350 строк! Для достижения гораздо БОЛЬШЕЙ степени безопасности в Elinks необходимо модифицировать строк 10. И это не шутка, а горькая правда жизни. Посмотрите сами, до какого уровня видоизменилась наша "проблемная" строчка:

Нравится?

Полностью согласен. Поскольку (я это заметил), Вы излагаете свои мысли в похожем на меня стиле (ну или наоборот) - был бы признателен, если Вы сформулируете этот дисклэймер; я его чуток подработаю и опубликую... Идет?

... Теперь вернемся к обеспечению безопасности в различных ОС и степени "доверия" к их разработчикам. Многим это будет неинтересно, поэтому прячу под спойлер:

> от ‹…› румынской "дефензивы"
Pan Rosenfeld, Defenzywa — to polska służba specjalna.

negodnik

В связи с этим (установить ФФ 47 я пока не могу по известным причинам) прошу пользователей чуток покопаться в about:config и посмотреть - какие именно строки:

1) блокируют возможность загрузки плагина;
2) указывают адрес для его скачивания;
UPD: 3) блокируют его запуск (выполнение).

Короче говоря, нужно искать строчку, "обслуживающую" вот этот процесс по отключению (и схожие):

https://support.mozilla.org/en-US/kb/enable-drm

UPD:

Нужно точное название плагина Widevine, употребляемое в about:config, чтобы прописать запрет на его использование в нижеописанной ситуации:

... то есть - внести его название в качестве примера в следующие строки, имеющиеся в руководстве:

P.S. Попутно, кстати, присутствующие могут насладиться подсчетом количества багов, "сидящих" в этой замечательной проприетарной технологии:

https://wiki.mozilla.org/QA/Widevine_CDM#Bug_Work

https://wiki.mozilla.org/Media/EME#Bugs

"Хорошую, годную" штуковину засунули в браузер, не правда ли?

> обратили ли Вы внимание: там даже рядышком "смайлик" поставлен - специально для вас.
Ну конечно же, я так сразу и понял, что это для меня (но с’язвить всё равно очень хотелось).

> 1) блокируют возможность его загрузки; 2) указывают адрес для скачивания;
1)+2) media.gmp-manager.url;http://255.255.255.0  адрес один для H264, Adobe (который лесом не пошёл) и Widevine.
При media.gmp-provider.enabled;false всё-равно скачиваются, но отключены.
3)media.gmp-widevinecdm.enabled

А вообще мне кажется, что надо хотя бы часть настроек переносить в *.cfg, дабы они действовали уже при создании профиля.
Это ведь не противоречит Вашей идее (только config и без дополнений)? И, может быть, сосредоточиться на ESR, как
раньше и было у Вас в Rosenfox, чтобы каждые полтора месяца не переделывать всё?

UPD: Виноват, неправильно прочитал. Они от NPAPI собираются избавляться: https://en.wikipedia.org/wiki/NPAPI

Одним словом, огромное спасибо! То есть следует внести всего одну строчку:

Кстати, а что по поводу строки plugin.state.бла-бла-бла=0? ... Не наблюдается там подобная?

Ведь по идее, widevinecdm - это отдельный плагин, значит он должен подчиняться общим правилам управления ими.

Ох... не знаю, не знаю. Если хотите, кстати, делайте на GitHub форк для Project Rosenfeld и издевайтесь там над ним, как пожелаете! ... Не?

> а что по поводу строки plugin.state.бла-бла-бла=0? ... Не наблюдается там подобная?
Наблюдается только для плагинов, установленных непосредственно в папку Firefox (или FirefoxPortable\App):
plugin.default.state, plugin.defaultXpi.state, plugin.state.flash, plugin.state.java.
А обсуждаемый плагин в профиль устанавливается: FirefoxPortable\Data\profile\gmp-widevinecdm

Созданный параметр plugin.state.widevincmd;0 ничего не меняет. Может надо как-то иначе писать.
И в менеджере дополнений неактивен пункт «Включать по запросу».
media.gmp-widevinecdm.enabled меняет только «Всегда включать» на «Никогда не включать».

> … и издевайтесь там над ним, как пожелаете! ... Не?
Не. Форк это лишняя ответственность. А издеваться над ещё живым человеком куда как приятнее.

Что это за настройка? Из 47-ой уже?

Zerdsa
Update, June 7, 2016: Support for Widevine is now available in the general Firefox release.

Rosenfeld
Это Ваш самый последний и актуальный user.js?

Имеются какие-то другие варианты?

О, как я Вас понимаю и поддерживаю!

P.S.

скрытый текст

Да, совсем забыл сообщить, что пятнадцать тысяч просмотров данной темы, накрутившиеся на счетчике форума с начала февраля 2016 г., вчера были отмечены небольшим фуршетом и большими возлияниями. Представители МоФо и местной администрации туда приглашены не были. Зато добрым словом неоднократно помянуты все форумные помощники в разработке.

Где бы вот потестить Widevine на предмет проигрывания и паранойи?
Перебрал несколько мест: 1, 2, 3, 4
Ниче не понятно, через него идут некоторые ролики или нет?

В папке \gmp-widevinecdm\1.4.8.866\ - лежат 2 файла: widevinecdm.dll, manifest.json
в манифесте стоит update на  "https://clients2.google.com/service/update2/crx"
Получается обновление модуля прописано не через about:config, а через манифест Или это только для Хромого?
Закомментировать строчку на всякий случай...?

адобовский Primetime - ест только AVC:
APIs: decode-video[com.adobe.primetime:h264], decode-audio[com.adobe.primetime:aac], eme-decrypt-v7[com.adobe.primetime]
Libraries: dxva2.dll

гугловский же Widevine - более продвинутый (берет и свой родной VP9):  "x-cdm-codecs": "vp8,vp9.0,vorbis,avc1"
Вот на него и сделали ставку.

Уважаемый Rosenfeld!
Не могу зайти на форум с Вашим user.js.
Ввожу регистрационные данные. Вылетает сообщение: "FireFox заблокировал автоматическое перенаправление на другую страницу."
Жму "Разрешить".
И попадаю на главную форума не зарегистрировавшись.

Это же замечательно! И свидетельствует сразу о нескольких вещах.

Первое. Предложенный user.js действительно РАБОТАЕТ - и именно так, как и было задумано.

Второе. Вы тотально НЕ ЧИТАЛИ НИ ОДНО из предупреждений, размещенных в самых разных местах. В частности, настоятельно рекомендую вызубрить наизусть следующую информацию с GitHub:

1) Примечание 0 - файл readme;

2) Примечание 2 - файл readme - О-БЯ-ЗА-ТЕЛЬ-НО!

3) Примечание 6 - файл readme - особенно последний абзац.

4) Третью и четвертую строки файла user.js:

А вот когда хорошенько освоите и заучите эти предупреждения, вот тогда, я надеюсь, сами себе сможете дать ответ: что же такое запрещено в конфиге, что вас выкидывает с авторизации на форуме.

Успехов

Rosenfeld, спасибо - я обязательно прочту.

Что создаёт проблему я знаю. Видимо, от того что не читал предупреждения, решил что о проблеме стоит поставить в известность Вас.

О какой именно "проблеме"?

Да есть, но я бы не зацикливался на https://panopticlick.eff.org/
имхо, https://www.browserleaks.com/ по-интереснее будет.

13-06-2016 23:36:04

Идёт, вуаля:
1.Полное руководство по безопасности и приватности БРАУЗЕРА Mozilla Firefox (через about:config)
2.Примечание 7:
Данное руководство не является исчерпывающим средством достижения анонимности браузера Mozilla Firefox. Для обеспечения контроля над заголовками рекомендуется совместное использование с кэширующим вэб-прокси (например: Pryvoxy, Polipo и т.д.).

13-06-2016 23:40:08

А я не питаю иллюзий на счёт Tor, если я не ошибаюсь, то военное ведомство США до сих пор частично финансирует данный проект. Сложно представить, чтобы Пентагон вкладывал миллиарды в системы, которые «спалил» Сноуден, а затем сам же финансировало их обход. Поэтому с Вашими выводами по ограничению на использование Tor я согласен. Что касается операционок, то показательной будет опубликованная переписка между Тео де Раадтом и его коллегой по разработке OpenBSD, предусмотрительно завербованным ФБР.
http://www.cybersecurity.ru/news/111419.html
И хотя бэкдоры не найдены, осадочек, как в известном анекдоте, остался. Теперь найдите долю рынка, которую контролирует OpenBSD, что уж говорить про более популярные ОСи?! Выводы делайте сами

А я никогда и не зацикливался. Если Вы пролистаете всю тему вверху, то обязательно увидите, как я отбивался от попыток "полного прохождения теста". Это поучительно.

Вот. Спасибо! Общая идея ясна. Но мы сделаем немножко по-другому. Понимаете, в чем дело: во "вводной части", т.е. в файле readme, идут общие положения и предупреждения. Поэтому выносить туда мелкую частность - советы об иных методах работы с заголовками - было бы некорректно. Поэтому я сделаю что-то типа такого:

А вот в описании настроек мы дадим следующее:

Примечание: Privoxy все же лучше писать через "i" (privacy + proxy), as a "privacy enhancing proxy". И еще нюансик - он НЕ является кэширующим прокси. Я сам часто ошибаюсь в этом, когда что-то начинаю объяснять.

UPDATED: ... Ну а теперь вернемся к нашим баранам - к склочному и вздорному мужику по имени Тео:

Это из раздела

?

Почему в вашем варианте настроек в about:preferences#security Общие -> Исключения -> Разрешённые сайты-Установка дополнений не удаляются
addons.mozilla.org и marketplace.firefox.com? Их наличие в исключениях никак не сказывается на безопасности?

Заметил ещё такой интересный момент (не знаю только отнести его к достоинствам или недостаткам Вашего конфига).
При включении в Вашем конфиге Защит от отслеживания (с Базовой не проверял - только со Строгой) на всех сайтах на которых я тестировал (rambler.ru и т.д.) срабатывала защита и её отключение. А на https://wiki.mozilla.org/Security/Tracking_protection она даже не включилась. При этом она нормально включается и работает на этом сайте без Вашего конфига.

Может я чего ни так, но если по теме форума, то зачем изобретать велосипед, когда всё уже наработано _https://www.privacytools.io/#addons Настройки там же есть. Чтобы не париться, можно использовать дополнение с автоматическими настройками для разного уровня приватности включая максимальный https://addons.mozilla.org/en-US/firefox/addon/privacy-settings/

Тестировать Random Agent Spoofer лучше тут _https://whoer.net/#extended Настройки приватности тут _http://ip-check.info/?lang=en

Если я чего не понял, то прошу пардона!

... Ничего страшного. Просто невнимательно прочитали преамбулу, которой открывается проект:

Понимаете, в чем дело... Лет двенадцать назад, "когда деревья были большими", а Ваш покорный слуга начинал со "стартовой" версии ФФ - то есть с vv. 0.8 - 0.9, я тоже пребывал в счастливой уверенности, что стоит понавставлять в браузер побольше дополнений и - вуаля! - задача обеспечения безопасности непременно будет решена!

Прошли годы, я чуток поумнел (надеюсь!) и осознал, что дело обстоит не так просто. Или, говоря замечательными словами американского писателя Уилльяма Берроуза:

Вот почему вместо усложнения задач (и "навороченности" софта, который их обслуживает) я пришел к их упрощению и минимизации; равно как и к выводу, что лучшего средства, чем консоль Linux (да-да, тот самый черный голый экранчик с мигающими на нем зелеными буковками) человечество пока ничего не выдумало.

Теперь по поводу процитированной Вами ссылки (я ее специально дублирую в своем сообщении): https://www.privacytools.io/

Во-первых, однозначно спасибо, что Вы ее привели. Как раз чуть выше мы с коллегами говорили о необходимости системного и комплексного подхода к обеспечению безопасности (и одним браузером здесь не обойдешься). Надеюсь, что данная ссылка (и материалы, размещенные на этом ресурсе), подвигнут некоторых пользователей форума пересмотреть свои подходы к обеспечению безопасности.

Во-вторых (увы!) - просмотрев информацию, собранную и систематизированную на предлагаемом Вами сайте, я понял несколько вещей:

1.  Человек (или люди), делавший эту подборку, сам НЕ является пользователем GNU/Linux; соответственно, большинство рекомендаций и ссылок также рассчитаны на поклонников Windows. А это, с точки зрения обеспечения безопасности, абсолютно несерьезно. Почему именно - см. дискуссию чуть выше (в текущей теме).

2. Исходя из п. 1, набор софта, подобранный там, не всегда свидетельствует о профессиональном подходе к его выбору. Например:

- в  разделе "File Encryption Software" в качестве средства для шифрования файлов предлагается ... архиватор PeaZip, что, как Вы понимаете, ни в какие ворота не лезет! Да и вообще, в целом: судя по всему, люди не знают, что для надежного и полнораздельного/либо_пофайлового шифрования используются совсем другие "классические" средства: LUKS, EncFS и т.п.

- в разделе "Secure File Sync Software" приведен набор достаточно экзотических и малораспространенных средств; в то же самое время не упомянуто, пожалуй, основное "классическое" средство синхронизации - rsync;

- в весьма деликатном разделе "Password Manager Software" приведена ссылка на "облачный" сервис хранения ВСЕЙ "чувствительной" пользовательской информации - Encryptr. Такая "рекомендация" является полным идиотизмом:

- в разделе "Privacy Email Tools" в качестве средства шифрования предлагается именно gpg4usb (то есть у людей в голове даже не существует предположения, что GnuPG может являться частью операционной системы! Ну и, как Вы, наверное, догадываетесь, хранить ключи шифрования на флэшке, мягко говоря, не самая хорошая идея. Вот почему я за версту чую "виндовую" психологию владельцев сайта;

- в разделе "Encrypted Instant Messenger" приведены исключительно "новомодные" и "навороченные" клиенты. В то же самое время, похоже, что люди и представления не имеют о существовании такого проверенного годами и надежного софт как mcabber, pidgin и т.п.

- в разделе "PC Operating Systems" приведен ОЧЕНЬ странный набор рекомендуемых операционных систем, относящихся к GNU/Linux: Debian, Trisquel и ... Qubes OS. И если третий (Qubes OS; разработка Иоанны Рутковской на базе гипервизора Xen) - действительно серьезная и безопасная ОС (предназначенная для специалистов), то с  Debian и Trisquel они чуток поторопились: первый дико консервативен в области своевременных апдейтов (и к тому же, как я побаиваюсь, вот-вот развалится из-за смерти главного разработчика и общего раздрая в команде), а второй... основан на "Убунточке" - что с точки зрения обеспечения безопасности - одно из самых ненадежных решений. Кроме того, предлагать для "безопасного" использования live-дистрибутивы типа Puppy Linux и Knoppix я бы точно не стал!

З. Набор изменений в about:config для Firefox краток и примитивен. Специально для Вас: https://github.com/RamiRosenfeld/Rosenf … er/user.js (можете сравнить)

***

Общий смысл: выглядит это все так, будто какому-то "продвинутому" офисному менеджеру дали срочное задание: "Ну-ка сядь и поищи в интернете средства для обеспечения безопасности, да побольше! Нам стартовую страничку сайта заполнить нужно!"

НО(!) - отдаю им свою толику уважения. Многие серьезные вещи они рекомендуют правильно и оправданно. Например:

- некоторые почтовые сервисы, такие как Tutanota;
- GnuPG;
- Claws Mail; K-9 Mail;
- KeePassX; Password Safe;
- клиенты для децентрализованных сетей;
- свободные социальные сети (diaspora*) и средства (GNU social) свободного микроблоггинга (сам пользуюсь и другим рекомендую!);
- DNSCrypt - средство получения DNS по защищенному каналу из любых источников.

Одним словом, моя надежда вот на что: попадет на данный сайт человек, мало знакомый со средствами обеспечения безопасности; попробует одно-другое-третье... Набьет себе побольше шишек, незаметно втянется в этот увлекательный процесс... и рано или поздно и вполне логично придет к Linux! ... Чего и вам всем искренне желаю!

UPD: И самое главное, что мне НЕ понравилось на этом сайте:

Не могу ничего сказать. Я ж не ясновидящий. Для этого нужно воспроизводить ситуацию - и уже не с моими настройками, а с Вашими. Я ж не в курсе, что Вы там "подкрутить" успели и насколько это серьезно. Впрочем, судя по некоторым вашим недавним сообщениям и темам - "подкрутили" Вы браузер достаточно лихо.

Большая просьба: ВСЕГДА конкретизируйте свои высказывания, то есть вместо "У ВАС" смело вставляйте фразу "У МЕНЯ" или подобные. Например:

... - по той весомой причине, что у меня - все замечательным образом удаляется. Только что проделал этот фокус:

https://diasp.org/posts/5727559 (обратите внимание на дату и время создания записи)

А то (я этого побаиваюсь) из-за таких вот Ваших замечаний у неподготовленных пользователей может сложится впечатление, что им предлагают не рабочий конфиг, а срань Г-дню! А я бы этого не хотел!

Я обязательно это учту конечно же. Но в данном конкретном случае МОИ настройки - полная копия ВАШИХ без единого изменения на чистом конфиге.

Проверю ещё раз но чуть позже.

(с) А что тут пить проверять?"

Вот я еще раз осуществил данную операцию - на новом профиле с моими настройками, девственном, словно третьеклассница в гольфиках и с бантиком:

https://diasp.org/posts/5727753

За данные параметры отвечают строки:

Rosenfeld, не вижу причины Вам не верить - я же использую Ваш кофиг!
Освобожусь - проверю ещё раз. Может где-то что-то просмотрел.

P.S. А Вы давно их добавили в Ваш конфиг (это вообще он )?

Кого "их"? Конкретизируйте, пожалуйста.

P.S. Я в конфиг ничего не добавляю, а, наоборот, удаляю оттуда всякую нечисть... Во-всяком случае, стараюсь так делать. Вот почему и не понял ваш вопрос.

Эти строки я в СВОЕ руководство и в СВОЙ файл-примера user.js НЕ добавлял (и НЕ собирался пока в принципе это делать).

Оба вышеуказанных файла находятся на своем законном месте. И они существуют там в ЕДИНИЧНОМ количестве:

https://github.com/RamiRosenfeld/Rosenf … er/user.js
https://github.com/RamiRosenfeld/Rosenf … l_ru-RU.md

Других (старых, промежуточных и т.п.) вариантов ЛЮБЫХ файлов на GitHub у меня НЕТ и никогда НЕ БЫЛО.

Rosenfeld
> За данные параметры отвечают строки:
    xpinstall.whitelist.add.180;marketplace.firefox.com
    xpinstall.whitelist.add;addons.mozilla.org
> ...НЕ добавлял (и НЕ собирался пока в принципе это делать).

«Мы едем на спущенных шинах». Вы используете версию Fx древнее чем 24 (что видно по строчным en-us, несмотря на пустой UA).
Пока Вы не поставите хотя бы 45ESR толку не будет.

xpinstall.whitelist.add.180, xpinstall.whitelist.add.36, xpinstall.whitelist.add уже нет.
Добавление/удаление сайтов в Настройки -> Защита -> Общие -> Исключения -> Разрешённые сайты
никак не отражается в prefs.js

И не надо нам рассказывать, что идеологические соображения не позволяют Вам ставить новые версии.
Я тоже в мирной жизни Fx47  не использую, а токмо в научно-исследовательских целях.
Как писал Венедикт Ерофеев: «Что может быть благороднее, чем эксперементировать на себе?»

Вот это адресочки тоже, наверное, можно удалить:
extensions.getAddons.get.url
extensions.getAddons.recommended.url
extensions.getAddons.search.browseURL
extensions.getAddons.search.url
extensions.systemAddon.update.url
extensions.update.background.url

Врете-врете! Больше, гораздо больше у меня версия!

Не, у меня слишком обухоженные и обустроенные машины, чтобы туда затаскивать новые версии ФФ.

(с) "Дело было не в дрезине..."

А как тогда список разрешённых сайтов очищается не через about:about:preferences#security (через about:config)?

[Это временное сообщение и вскоре оно будет удалено]:

А-а-а-у, negodnik! Ну где же Вы?

Shit happens! ... Оно все-таки случилось! Мне, увы, пришлось, поставить себе свеженькую и девственно чистую ОС, ну а с нею пришел и ФФ 47+. Провозился практически сутки с настройками (можете считать, что написал прямо здесь пару страничек с обсценной лексикой).

Пока что привожу голые результаты исследований - параметры-кандидаты на включение в руководство (их так много, что тянут на новую версию, v. 0.3). А комментировать буду позже, в следующем сообщении, ибо вчера-сегодня чертовски устал.

Итак, https://en.wikipedia.org/wiki/Shit_happens:

1. DOM

dom.push.connection.enabled;false
dom.push.enabled;false
dom.push.adaptive.enabled;false
dom.push.udp.wakeupEnabled;false
dom.push.serverURL;

dom.caches.enabled;false
dom.fileHandle.enabled;false
dom.indexedDB.experimental;false
dom.indexedDB.logging.details;false
dom.indexedDB.logging.enabled;false
dom.mms.requestReadReport;false
dom.mms.requestStatusReport;false
dom.presentation.enabled;false
dom.forms.autocomplete.experimental;false
dom.image.picture.enabled;false
dom.imagecapture.enabled;false

УСТАРЕЛИ:

    dom.fetch.enabled=false
    dom.identity.enabled=false

2. COOKIES

network.cookie.thirdparty.sessionOnly;false

3. MULTIMEDIA

media.mediasource.enabled;false
media.mediasource.mp4.enabled;false
media.mediasource.webm.audio.enabled;false
media.mediasource.webm.enabled;false

media.mp4.enabled;false
media.ffmpeg.enabled;false
media.ffvpx.enabled;false

media.gmp.decoder.enabled;false
media.encoder.webm.enabled;false

УСТАРЕЛИ:

    media.fragmented-mp4.gmp.enabled=false
    media.fragmented-mp4.enabled=false
    media.gmp-manager.log=false

4. REFERERS

network.http.sendSecureXSiteReferrer=false (настройка может отсутствовать или использоваться в Android) - ПОЯВИЛАСЬ!

5. NETWORK: PIPELINING, DNS, PREFETCH, PING, SSl

security.ssl.errorReporting.url;

УСТАРЕЛА:

    network.http.keep-alive=true

6. CLEAN

privacy.clearOnShutdown.openWindows;true

7. PLUGINS (FLASH, JAVA) и т.п.

УСТАРЕЛИ:

    pfs.datasource.url=
    plugins.hideMissingPluginsNotification=true

8. SESSIONS, HISTORY

browser.sessionstore.restore_on_demand;false
browser.sessionstore.restore_pinned_tabs_on_demand;false
browser.sessionstore.restore_hidden_tabs;false

УСТАРЕЛИ:

    browser.sessionstore.enabled=false    - ВНИМАНИЕ! ВОЗМОЖНО ХРАНЕНИЕ СЕССИИ НЕ ОТКЛЮЧАЕТСЯ ВООБЩЕ!

    browser.sessionstore.privacy_level_deferred=2

9. CACHE

УСТАРЕЛА:

    browser.cache.memory.capacity=0

ВМЕСТО НЕЕ:

browser.cache.memory.max_entry_size;

10 .GEO-IP, SEARCH: GEO-IP

browser.search.geoSpecificDefaults.url;
browser.search.geoip.url;
browser.search.geoip.url=false (настройка может отсутствовать или устареть) - ПОЯВИЛАСЬ!

11. UPDATES: BROWSER, PERSONAS, SEARCH PLUGINS, PLUGINS

app.update.autoInstallEnabled;false
extensions.update.background.url;
extensions.getAddons.search.browseURL;
extensions.getAddons.get.url;
extensions.getAddons.link.url;
extensions.systemAddon.update.url;
extensions.webservice.discoverURL;
extensions.logging.enabled;false

12. DNT, TRACKING PROTECTION

privacy.trackingprotection.introURL;
privacy.trackingprotection.ui.enabled;false

УСТАРЕЛА:

    privacy.donottrackheader.value=1 (перестал присутствовать переключатель "политики"!)

ВНИМАНИЕ: ССЫЛКИ НА ИСТОЧНИКИ (судя по всему) убраны из about:config куда-то "глубже"!

    browser.trackingprotection.gethashURL=
    browser.trackingprotection.updateURL=

13. POCKET

extensions.pocket.enabled;false
extensions.pocket.api;
extensions.pocket.site;

УСТАРЕЛА:

    browser.pocket.enabled=false

14. GOOGLE

ГЛОБАЛЬНЫЕ ИЗМЕНЕНИЯ НАСТРОЕК И ССЫЛОК:

browser.safebrowsing.blockedURIs.enabled;false
browser.safebrowsing.downloads.remote.block_dangerous;false
browser.safebrowsing.downloads.remote.block_dangerous_host;false
browser.safebrowsing.downloads.remote.block_potentially_unwanted;false
browser.safebrowsing.downloads.remote.block_uncommon;false
browser.safebrowsing.downloads.remote.enabled;false
browser.safebrowsing.forbiddenURIs.enabled;false

browser.safebrowsing.downloads.remote.url;
browser.safebrowsing.provider.google.gethashURL;
browser.safebrowsing.provider.google.lists;
browser.safebrowsing.provider.google.reportURL;
browser.safebrowsing.provider.google.updateURL;
browser.safebrowsing.provider.mozilla.gethashURL;
browser.safebrowsing.provider.mozilla.lists;
browser.safebrowsing.provider.mozilla.updateURL;
browser.safebrowsing.reportMalwareMistakeURL;
browser.safebrowsing.reportPhishMistakeURL;
browser.safebrowsing.reportPhishURL;

15. SYNC

services.sync.log.appender.file.logOnError;false
services.sync.log.appender.file.logOnSuccess;false

УСТАРЕЛИ:

    services.sync.tokenServerURI=obsolete
    services.push.serverURL=obsolete

identity.fxaccounts.profile_image.enabled;false
identity.fxaccounts.remote.profile.uri;
identity.fxaccounts.remote.webchannel.uri;
identity.sync.tokenserver.uri;

media.peerconnection.identity.enabled;false
toolkit.identity.enabled;false

Рекламные ссылки для Android & iOS:

identity.mobilepromo.android;
identity.mobilepromo.ios;

16. MARKETPLACE

offline-apps.allow_by_default;false

УСТАРЕЛА:

    browser.apps.URL

17. HELLO

loop.throttled2 obsolete
loop.feedback.formURL;
loop.feedback.manualFormURL;
loop.remote.autostart;false
loop.facebook.enabled;false
loop.facebook.appId;
loop.copy.throttler;
loop.facebook.fallbackUrl;
loop.facebook.shareUrl;
loop.linkClicker.url;

УСТАРЕЛИ:

    loop.learnMoreUrl
    loop.oauth.google.scope
    loop.soft_start_hostname

18. SPDY

network.http.spdy.enabled.deps;false

УСТАРЕЛИ:

    network.http.spdy.enabled.http2draft
    network.http.spdy.enabled.v3=

19. TELEMETRY

toolkit.telemetry.reportingpolicy.firstRun;false

toolkit.telemetry.archive.enabled;false - ВНИМАНИЕ! ЭТА ОПЦИЯ ОТВЕЧАЕТ ЗА АРХИВИРОВАНИЕ ОТЧЕТОВ!

toolkit.telemetry.cachedClientID; - УДАЛЕНИЕ ИДЕНТИФИКАТОРА ПРИВОДИТ К АВТОГЕНЕРАЦИИ НОВОГО!
toolkit.telemetry.previousBuildID;  - УДАЛЕНИЕ ИДЕНТИФИКАТОРА ПРИВОДИТ К АВТОГЕНЕРАЦИИ АНАЛОГИЧНОГО!

ВНИМАНИЕ! ОЧЕНЬ ВАЖНО. ДЛЯ ЗАПРЕТА ОТСЫЛКИ ТЕЛЕМЕТРИИ НЕОБХОДИМО ОТКЛЮЧИТЬ ОБЕ(!) ОПЦИИ:

toolkit.telemetry.unified;false

    This controls whether unified behavior is enabled. If true:

        Telemetry is always enabled and recording base data.
        Telemetry will send additional main pings.

toolkit.telemetry.enabled;false

    If unified is off, this controls whether the Telemetry module is enabled. If unified is on, this controls whether to record extended data. This preference is controlled through the Preferences dialog.

http://gecko.readthedocs.io/en/latest/t … index.html

20. HEARTBEAT

browser.selfsupport.url= (возможно, настройка может существует только в версии для Android) - ПОЯВИЛАСЬ!

21. CAST/CAPTURE/SCREENSHARING

media.getusermedia.agc_enabled;false
media.getusermedia.aec_enabled;false
media.getusermedia.noise_enabled;false
media.getusermedia.screensharing.allow_on_old_platforms;false
media.getusermedia.audiocapture.enabled;false

browser.casting.enabled=false (настройка может присутствовать только в Android) - ПОЯВИЛАСЬ!

(Была в руководстве ранее; приводится в качестве примера):

media.getusermedia.screensharing.allowed_domains; (См. ниже список разрешенных(!) сайтов):

browser.eme.ui.enabled;false
media.eme.apiVisible;false

23. WORKERS

devtools.serviceWorkers.testing.enabled;false
dom.webnotifications.serviceworker.enabled;false
dom.serviceWorkers.openWindow.enabled;false

УСТАРЕЛА:

    dom.workers.websocket.enabled=false

24. INTERFACE

УСТАРЕЛА:

    browser.fullscreen.animateUp=0

ИЗМЕНЕНА НА:

browser.fullscreen.animate;false

25. FONTS

gfx.missing_fonts.notify;false

- НОВЫЙ РАЗДЕЛ:

26. HANDLERS

(убраны ссылки на Yahoo, Mibbit, Gmail, 30Boxes)

browser.contentHandlers.types.0.uri;
browser.contentHandlers.types.0.title;
gecko.handlerService.schemes.mailto.0.uriTemplate;
gecko.handlerService.schemes.mailto.0.name;

gecko.handlerService.schemes.irc.0.name;
gecko.handlerService.schemes.ircs.0.name;
gecko.handlerService.schemes.ircs.0.uriTemplate;
gecko.handlerService.schemes.irc.0.uriTemplate;

gecko.handlerService.schemes.mailto.1.name;
gecko.handlerService.schemes.mailto.1.uriTemplate;

gecko.handlerService.schemes.webcal.0.name;
gecko.handlerService.schemes.webcal.0.uriTemplate;

***

1) НЕОПОЗНАННАЯ НАСТРОЙКА:

apz.test.logging_enabled;false - ЗАПИСЬ ЛОГА!

2) ВНИМАНИЕ: ОЧЕНЬ подозрительная строка. Если кто подскажет значение - буду признателен:

intl.ime.hack.on_ime_unaware_apps.fire_key_events_for_composition;false

3) СССЫЛКИ, на которые стоило бы обратить внимание:

services.kinto.base;https://firefox.settings.services.mozilla.com/v1
devtools.devices.url;https://code.cdn.mozilla.net/devices/devices.json

https://bugzilla.mozilla.org/show_bug.cgi?id=1112212
Коротко - только для андроида и только для пользователей IME клавиатур (иероглифического письма).

Вообще, у вас много мусорных и дублирующих настроек. Скажем, если workers вовсе отключены (dom.workers.enabled;false)- то нет нужды еще и другие, параметры переключать, вроде dom.serviceWorkers.enabled. Или если dom.serviceWorkers.enabled;false, то dom.webnotifications.serviceworker.enabled - лишнее.

Rosenfeld
зачем даете вредные советы,  сделал ваши настройки для DOM -  некоторые сайты стали криво работать
и кому это надо?

Спасибо, Вы меня просветили. Раз к клавиатурному вводу иврита эта настройка не относится, можно жить спокойно и дальше...

Нет. И в качестве доказательства я приведу Вам один очень показательный и свежий пример. Как раз таки вчера-позавчера столкнулся с очень нехорошей утечкой телеметрии на серверы МоФо. (Я, кстати, как и обещал ранее, еще вернусь к подробному "разбору полетов" с ФФ 47, но только чуть позже) Стал проверять: вроде бы все нормально, стоит значение "false". А телеметрия накапливается и уходит, накапливается и уходит; причем конкретная и деанонимизирующая: тип процессора, частота, предпочитаемая поисковая система, системная локаль и т.п. Ну и вот: казалось бы (по предлагаемому Вами способу) достаточно было заблокировать основной "верхний" параметр и на этом успокоиться:

Но когда стал проверять и разбираться, выяснилось, что разработчиками введен новый параметр (и даже два). И работают они исключительно  "в унисон". Плюс - создают два новых подкаталога в профиле:

А кто бы предполагал такой поворот событий, правда?

... Ну ладно, Вы б эти параметры, как я полагаю, заблокировали бы и на этом успокоились. Ан нет, есть еще куча других - и каждый с упоением участвует в практически непрерывной отсылке информации в МоФо, например:

Не было (до недавнего времени), например, в "стационарном" ФФ настройки:

(хотя она у меня присутствовала в руководстве), а теперь - замечательным образом появилась. А ведь она обслуживает т.н. "Heartbeat" - еще один неплохой телеметрический источник утечек.

... Ну и так далее (лень перечислять). Одним словом, вот что я Вам хочу сказать: многочисленные и подробные описания (и запреты!) самых разных настроек нисколько не выбиваются из общей идеи руководства:

Поэтому, прошу Вас, просто отнеситесь к данному руководству как к сборнику медицинских рецептов на все случаи жизни. Так будет проще. Безопасность (как правильно утверждают специалисты в ее области) - это не цель, а процесс. Причем процесс - постоянный. И нельзя останавливаться на достигнутом, закрыв пару дырок в настройках и благодатно сложив ручки на животе.

... Я доступно выражаю свои мысли?

***

Не верю. Вам - точно не верю. И могу доказать. Потому что совсем недавно Вы отзывались о предлагаемом руководстве так (цитирую):

Поэтому очень трудно предположить, что, высказав подобное отношение к проекту, Вы тут же тайком кинулись переносить к себе его настройки, плюс, тестировать их в интернете. К тому же, фраза "некоторые сайты стали криво работать" звучит настолько бездоказательно, что мне кажется, что она приведена здесь "от балды". Типа "ниасилил".

Идем далее. Мое сообщение было опубликовано вчера во 22.34; Ваше - в 23.31. Мне очень трудно поверить, что меньше чем за час Вы умудрились внести ВСЕ предлагаемые новые изменения, касающиеся DOM, в about:config, да еще и тщательно протестировать их "на некоторых сайтах".

Ну и еще: в Примечании 6 на https://github.com/RamiRosenfeld/Rosenfox честным образом указано предупреждение. Вы читали его? ... Руководство расчитано на повышение пользовательской безопасности, поэтому предполагает некоторые ограничения функционала. Ну а если у Вас не получается "в танчики погонять" или "Веселую ферму" запустить - то это вопросы не ко мне.

У меня к Вам тогда три вопроса:

1. А кто Вас заставлял вносить данные параметры?
2. А была ли в этом острая необходимость?
3. А хорошо ли Вы разобрались в значениях данных параметров?

... потому что я уже писал раз двадцать (и в той теме, в которой вы участвовали и не могли это не прочитать):

Читали? Вспомнили?

Вам - точно "не надо". Вы ж уже высказали свое отношение к проекту; и зачем тогда вдруг полезли заниматься тем, что Вам априорно не нравится и вызывает отторжение? ... Странные люди, очень странные.

Rosenfeld
вы точно больны, столько пустых слов...
оставайтесь на вашем github.com и не пишите здесь.
Т.к. все что вы делаете можно расценивать как банальное вредительство.
Ваш проект имеет имеет только одну цель  нанести вред пользователям...

не коментируете, только потому, что у вас нет аргументов.
Всё  у вас пустое, т.е. ниочем.
А оскорблять и унижать тех кто критикует, ваш бред (наиболее точное определение вашей деятельности),  вы мастер.

Rosenfeld

Представьте себе, я. Еще полгода назад. Потому что чейнджлоги читаю и регулярно, даже на ночнушке, сравниваю pref.js старой и новой версии, на предмет добавленных/удаленных строк.
Да, конечно не каждый может себе позволить тратить время на такую хрень, и для них вы этот список и составляете ведь, верно? А потому должны бы сами тратить время на подобное, раз взялись за это.

И, да, один (или даже десяток) пример, когда это нужно, не отменяет бесполезности подобной излишности в других случаях.

Я не нападаю, ни в коем разе, просто считаю, что раз взялись - то могли бы повнимательнее и поответственнее к делу подходить.

_{И вообще, я удивляюсь, почему вы не собираете себе просто фф без всей этой "полезной" нагрузки сразу. Вам-то, линуксоидам, это всяко проще. Это мне, виндузятнику, и неосилевшему VS, чтоб самому скомпилировать, приходится увешиваться фаерволами, hosts'ами, групповыми политиками и прочей хренью, чтоб хоть какую-то иллюзию подконтрольности собственной системы и софта иметь.}

Согласен. Критика принимается. К тому же, я отнюдь и не считаю, что Вы как-то "нападаете". Обычный обмен мнениями. Так что все в порядке.

Помните анекдот? Мужик собирался на свидание и взял с собою пачку презервативов -  "на всякий случай". А потом подумал: "а случаи-то бывают разные!" ... и положил в карман еще и тюбик с вазелином. ... Вот так и с моим руководством.

Не вижу смысла; причем сразу по нескольким причинам.

Первая. Если соберу "для себя", то, соответственно, не смогу отследить и описать всю ту гадость, которая представляет опасность для пользователей Windows.

Вторая. Я ленив. Действительно ленив (наш negodnik абсолютно правильно этот факт отметил).

Третья. ФФ не является моим основным браузером. Я доверяю только elinks. Чего и искренне желаю всем присутствующим.

а я нет,
видно же   Rosenfeld полный профан, он не видел кода FF (и если видел, то  не понимает)
Расуждает о его настройках и предлагает их поменять (но пользователь сначала должен подумать.)

одна эта фраза заставляет задуматся о компетентности автора.
Пока есть лохи, они будут вестись на подобных бездарей.

Кстати, turbot, изучать "найтли" это хорошо; но я бы поостерегся бежать впереди паровоза и сразу же переносить из их конфига новые строки напрямую в руководство. Это ж сырые версии, и мало ли чего там может измениться, когда они будут доведены до замороженного релиза... Лучше уж я буду отслеживать нововведения по факту их выпуска в свет; так надежнее.

Но вот для повышения собственной осведомленности знакомиться с нововведениями в "найтли" однозначно полезно. Не спорю.

Rosenfeld
Зато, на ночнушках, все новые "радости" не сваливаются мне все скопом, раз в несколько месяцев (или полгода, как esr'шикам-беднягам), как снег на голову и не приходится 

> А-а-а-у, negodnik! Ну где же Вы?

nexterr
Справедливости ради надо заметить, что составитель руководства предупреждал:  некоторые вещи, типа авторизации
перестанут работать. Но, всё-таки следует более подробно писать, что именно данная конкретная настройка ломает.

Кстати, это тоже пофиксить можно скрытой настройкой javascript.use_us_english_locale (логическое) 867501 – Date.toLocaleFormat exposes OS locale

Можно. Как и обратное. Если повозиться с настройкой сетевого стека. По крайней мере, https://www.browserleaks.com/whois - успешно обманывался. Где-то я посеял закладку по которой настраивал, поэтому могу только в гугл послать.

Нет. (с) "Ни-за-фто"! ... У меня вообще имеются большие сомнения - правильно ли я делаю, разрабатывая это руководство и тем самым невольно рекламируя ФФ (в его теперешнем плачевном состоянии). Но это долгий разговор, отпишусь, как и обещано, чуть позже.

Хм-м... А я Вам уже на эту тему отвечал... Старый больной еврей, бывает, не может по утрам вспомнить, как его зовут, с каким ключом запускать elinks, а Вы от него требуете держать в голове какую-то дублирующуюся настройку. Что это, как не издевательство?

... Вот эта?

***

Я это знаю. Но ни чем помочь им не могу. Увы

По первому утверждению повторюсь еще раз: мой вектор - в сторону безопасности, а не полной анонимизации. Уже отмечал это неоднократно.

А по второму Вашему утверждению отвечу: "не уверен". Причем ОЧЕНЬ сильно не уверен. Разная зловредная живность эксплуатирует разные уязвимости в разных браузерах. И эти дыры бывают весьма специфичны (для отдельных программ). И я все-таки считаю, что не давать ей ни малейшего намека на UA - вполне разумно.

UPD: А насчет javascript.use_us_english_locale=true  я подумаю. На Guardian Project об этой настройке тоже упоминают: https://github.com/guardianproject

turbot
> javascript.use_us_english_locale
Спасибо, в Fx 47 работает, но не в SM 2.38, 2.39. Только если в системе менять.
Но всё-равно видно. что у Вас не америкосовский формат даты: 03.07.2016, а не 07.03.2016
А javascript.default_locale нужна, или уже нет?

Rosenfeld
> Нет. (с) "Ни-за-фто"! ... У меня вообще имеются большие сомнения - правильно ли я делаю, разрабатывая это руководство
Ну, тогда объясните, пожалуйста, для какой именно версии Fx это руководство? Нечто усреднённое не прокатывает, Вы
это и сами прекрасно знаете. Если Вам всё это не нужно и не интересно, то намекните, какая дефензива заставляет Вас
работать через силу и вопреки желанию?

> Я это знаю. Но ни чем помочь им не могу. Увы
Тогда не пишите: «… пройдено ВСЁ (зеленые галочки), кроме DNT…». Вас не будут попрекать введением в заблуждение.

Оффтоп потер, давайте не сваливаться в политику.

Прокатывает, и еще как. Потому что (и я об этом упоминал) люди работают на самых разных версиях браузера - как новых, так и старых. У одних конкретные строки настроек имеются, у других - нет. И наоборот. Плюс (прошу не забывать) - имеется еще и убогое поделие под Android... Вот почему я составляю спра-воч-ник, содержащий большинство общеупотребимых опций, представляющих наибольший интерес (и опасность!) для пользователей. Не бывает такого: "Справочник только для ФФ 47" или "Только для ФФ 3.1.х", потому что подавляющая часть настроек существует и там, и там. Неужели это не понятно?

Я уже давал зарок не отвечать про Panopticlic, поэтому честно предупреждаю: БОЛЬШЕ на эту тему писать не буду. Так вот: браузер с конфигурацией, описанной в руководстве, ПОЛНОСТЬЮ ПРОХОДИТ это тестирование.

Почему я так утверждаю (и тоже УЖЕ писал об этом)?!

Да потому что для "прохождения" этого теста Я ВЫНУЖДЕН САМОСТОЯТЕЛЬНО жать на подтверждающие кнопки "Дальше", "Дальше" и т.п., что я в "реальной" жизни НИКОГДА бы НЕ СДЕЛАЛ. Вот почему получается, что моя конфигурация ЗАПРЕЩАЕТ В ПРИНЦИПЕ последовательно проходить через механизмы тестирования (и которые могут гипотетически находиться на злонамеренных сайтах). Соответственно (если пользователь, конечно, не идиот), при обычном веб-серфинге злонамеренные сайты НИКАК НЕ СМОГУТ определить конфигурацию браузера, ОС и т.п.

Это - понятно? ... Сколько мне еще раз надо написать одно и то же, чтобы это дошло до присутствующих? Сто? Двести? Что вы так уткнулись в этот синтетический тест? Медом там что ли намазано? Или EFF приплачивает за рекламу?

Хм, а ведь и правда. Вот так должно выглядеть. Надо бы отписаться на багзилле.

> И я все-таки считаю, что не давать ей ни малейшего намека на UA - вполне разумно.
Только не говорите, что действительно считаете будто пустая строка UA — это гарантия того,
что нет ни малейшего намёка.

Если у Вас универсальное и полное (как сказано в Вашей подписи и не только в подписи) руководство для любой версии,
то тогда надо напротив каждой настройки писать: Fx 3.6 - 49, Fx 31 - 45. Иначе, это просто сборная солянка (не в обиду Вам будь сказано).

> Сто? Двести?
Достаточно одного раз, но чтобы это была правда.
Вы утверждаете, что напротив фингерпринтинга зеленая галочка, т.е. настройка не уникальна,
но знаете, что с отсутствующим юзерагентом этого не может быть. Понял, спасибо.

> Медом там что ли намазано? Или EFF приплачивает за рекламу?
Жырно. Просто кое-кто маленько приврал, но упорно не желает это признать.

turbot
А насчёт javascript.default_locale что-нибудь скажете?

negodnik
Нет. Не нужна. Какая в настройках выставлена, ту и отдавать будет. Легко ж проверить, на том же browserleaks.com.

Меня как-то смутило слово "надо". Кто сказал "надо"? Я - точно так не считаю и даже не собираюсь заниматься столь бесполезным трудом. А вот чтобы проверить, действительно ли оно настолько "надо", я задам Вам несколько прямых вопросов:

1. Вы будете заниматься этой работой самостоятельно (учитывая, что в руководстве уже сейчас примерно 350 настроек и примерно 30-40 прибавится)? Т.е. будете выискивать лично: когда и в какой момент появилась та или иная настройка, а также для каких версий браузера она предназначена и для каких - нет?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" + (причины)

2. Почему Вы лично не обращаетесь к официальным представителям МоФо с просьбой внести аналогичные уточнения напротив каждой строки с настройками, которые приводятся сразу на двух справочных ресурсах:

http://kb.mozillazine.org/Knowledge_Base
https://support.mozilla.org/en-US/products/firefox

... Поскольку у них там тоже описаны ВСЕ настройки (ну или их большинство, причем для разных версий браузеров), в самую пору с Вашим-то скрупулезным подходом прямо и без обиняков заявить им: "Парни, что это за сборная солянка у вас тут размещена? Ну-ка приведите все в порядок и быстренько распишите: какая строка для какой версии ФФ предназначена!" ... Ну так что - напишете им подобное письмо? Или как?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" / "Пошлют куда подальше" / "Сочтут сумасшедшим"

3. Встречали ли Вы когда-нибудь иные руководства, состоящие из набора специфических команд / опций и т.п. - с поименным перечнем-указанием, для какой именно версии ПО они предназначаются, а для какой - нет?

ВАРИАНТЫ ОТВЕТА: "Да" / "Нет" + (примеры)

Ответьте, это не трудно.. Очень Вас прошу. И тогда мы с легкостью сможем определить - насколько оно "надо", особенно Вам

скрытый текст

... А вообще - знаете в чем Ваша (и не только Ваша проблема)? (только без обид)... Она называется "представитель мира Windows". В нем почему-то большинство пользователей настроено на то, что сейчас они разинут рот, а кто-то, т.е. чужой и добрый дядя, будет кормить их большой ложкой, при этом - тщательно вытирать ротик, сообщать количество проглоченного продукта, калорий, их полезность и попутно описывать пищеварительные процессы, включая завершающую стадию дефекации. Потом - вытрет попку и подмоет под краном теплой водичкой.

В мире же GNU/Linux (ей-ей!), если бы Вы обратились вдруг к кому-то с подобным требованием, которое Вы выдвинули вчера, в лучшем случаем люди послали бы Вас "курить маны" (начиная с $ man man) или, для разнообразия - в Google. Как вариант - недоуменно покрутили бы пальцем у виска, типа "Во блин! Ему надо - так пусть и ищет или делает". Про самые худшие варианты я здесь писать не буду, а то забанят.

0. Размещен дисклеймер и примечания о возможных проблемах в применении.
1. Перечислены варианты угроз и возможные последствия.
2. Варианты угроз сгруппированы по разделам и описаны.
3. Приведены конкретные примеры решения проблем.
4. Приведены необходимые примечания.
5. Большинство из примеров снабжено конкретными адресными ссылками на официальный сайт МоФо (базу знаний, техподдержку и т.п.).
6. Руководством могут пользоваться обладатели как старых, так и новых версий ФФ, а также ФФ для Android.

Поэтому, если Вам и этого мало (и что-то не устраивает или не хватает) - смело делайте форк на GitHub и ведите параллельный проект. Я Вас на это всячески благословляю и буду только рад за Ваши несомненные успехи!

Ну да ладно. идем далее...

Я утверждаю ТОЛЬКО ОДНО (и буду писать последующую фразу ровно до тех пор, пока Вы ее не выучите наизусть):

Браузер с конфигурацией, предлагаемой в руководстве, ПОЛНОСТЬЮ ПРОХОДИТ ТЕСТ panopticlik -  потому что самостоятельно, т.е. без деятельного участия пользователя, он ВООБЩЕ НЕ ПЕРЕДАЕТ на проверку практически никакой (или почти никакой) информации.

Ну а от того, что Вы (со склонной Вам въедливостью; я ее, кстати, только приветствую) меня где-то там пытаетесь поймать, уж поверьте - мне не холодно и не жарко.

Ага! Еще одно тяжелое наследие мира Windows: добиться, чтобы везде красовались "зеленые галочки", а еще, до кучи - огромное сообщение "ТЕПЕРЬ ВАША СИСТЕМА ПОД ЗАЩИТОЙ!" Ну скажите - Вам самому-то от этого не смешно? Как выглядит вообще этот тест panopticlik "под капотом" и что именно происходит внутри, какие процессы (вернее - их совокупность) - Вы об этом хоть раз задумывались? Или нет?

Вот ответьте мне: какому врачу Вы будете доверять больше:

1. Тому, который при вас пишет конкретные направления на анализы, потом - перечисляет вам их результаты, указывает - где проблемы и в конце - ставит диагноз. Плюс - назначает дифференцированное и обоснованное лечение.

2. Или тому, который шепчет себе под нос "крекс-пекс-фекс", делает непонятные пассы руками, а потом выдает глубокомысленное заключение: "Вот тут у вас ауру надо чуток подкорректировать. Вот здесь - карма загрязена, надо очистить. А с чакрами... с чакрами у вас все в порядке; "ставим зеленую галочку".

А? Что скажете? ... Ну так вот, panopticlik - это как раз второй случай. То есть что происходит внутри - непонятно; какие анализы и методы использовались в их совокупности - тоже; какие именно "органы" исследовались - черт его знает. Но в итоге налицо "глубокомысленное" заключение: "Батенька, да у вас аура испорчена!" "DNT не работает!"

(и еще раз отмечу: убогую и бесполезную систему DNT можно смело засунуть в задницу или куда подальше! Именно поэтому я ее выключаю сразу же. И даже указывал причины: 1) браузер может просить "Умоляю, не следите за мною", но вот только: 2) трассирующим и рекламным сайтам его просьба ПО-ФИ-ГУ! Они не обязаны их выполнять. И никогда не будут, ибо у них - свой бизнес!)

С тестирующим сайтом ip-check (давно, кстати, о нем хотел высказаться) - аналогичная проблема, хотя немного более замаскированная. Они действительно приводят в конце тестирования сводную таблицу, в которой результаты рассматриваются дифференцируемо (UA, HTTP-headers) и т.п. А также - дается оценка каждому результату и рекомендации по устранению гипотетических проблем.

... НО(!) (и это очень большое "но") - даже идиоту, читающему рекомендации, издалека видны уши их бизнеса: коммерческих услуг по впариванию прокси-анонимизатора JonDonym (и соответствующего ПО)... Почему я так утверждаю? Да потому что ЛЮБАЯ РЕКОМЕНДАЦИЯ (если ее результаты хоть как-то отличаются от "отпечатков" их "родного" браузера JonDoFox) сводится к голословному утверждению: "Ой, да у вас тут огромная проблема!!! Чтобы ее преодолеть, используйте наш браузер!" ... Дело доходит до смешного: допустим, браузер в моей конфигурации не отдает серверу рефереры; для них - это уже не "зеленый", а "желтый" цвет. Тот же самый цвет при отключенном DNT... Пустой юзер-агент - это конечно же "красный" уровень уж-ж-жасной опасности! Ну и так далее. Зато везде щедро рассыпаны "рекомендации": "Используйте JonDoFox",  "Используйте JonDoFox",  "Используйте JonDoFox",  "Используйте JonDoFox".

Я ясно выражаю свои мысли по поводу "качества" тестирования на таких сервисах?

Поэтому, если присутствующие действительно хотят протестировать свои браузеры по самым разным параметрам (по отдельности, а не в их совокупности), т.е. получить профессиональную оценку каждого параметра - идите ВОТ СЮДА: http://browserspy.dk/ ... И там тестируйтесь, сколько влезет.

Ну а любителям "зеленых чекбоксов" я рекомендую по-прежнему оставаться на panopticlik. Но только пусть они учтут: у меня нет привычки мастурбировать на "зеленые галочки", ибо, во-первых, я предпочитаю живых женщин; а что касательно ОС и ПО - имею другие цели, другие задачи; вот почему обустройство ФФ - лишь попутное и побочное увлечение. И оргазм я получаю не от надписей "чУВАК, В ВИНДАХ ТЕПЕРЬ ФСЁ ПОД КОНТРОЛЕМ!11", а от таких изысканных и красивых вещей, как, к примеру, DeltaRPM, чудесные команды systemd, использование sandbox или запретительные политики SELinux...

ВОТ ПОЧЕМУ в текущей теме дальнейшее обсуждение "зеленых галочек" или результатов "любит" / не любит" "прошел / не прошел" я буду считать злостным офтопом.

Это - понятно?

negodnik, только не вздумайте обижаться! Выше не приведено ничего личного.

turbot
Спасибо большое.

Rosenfeld
> ... А вообще - знаете в чем Ваша (и не только Ваша проблема)? (только без обид)... Она называется "представитель мира Windows"
Вот за что я Вас люблю, так это за умение внезапно повернуть обсуждение любого вопроса на противостояние линупс - виндовс.

> negodnik, только не вздумайте обижаться! Выше не приведено ничего личного.
Поздно. Слёзы застилают мне глаза и мешают читать.
Ничего личного — это ещё обиднее. Все мо́зги достались линуксоидам, а нам остаётся только скорбно вздыхать.
Линуксоиды даже нашими вопросами манкируют, зато взамен задают свои, и сами же предлагают только два варианта ответа.
Это чтобы мы не зависли.

Вы акцентируетесь на том, чего не существует. Не на "противостоянии" (ибо мне, ей Б-гу, делить с ними нечего), а на отличии двух этих миров. Иногда я задаю себе вопрос: зачем люди себя так мучают (и продолжают мучать)... но не нахожу ответа.

Уточню (для верности) - не два, а целых четыре. Цитирую:

***

А Вы все-таки не расстраивайтесь! Хорошего и смешного в этой жизни все равно больше! ... Хотите, подниму настроение?

Вон, взгляните на четыре свеженьких скриншота - они быстренько продемонстрируют: за каких феерических чудаков держат нас, виноват: вас владельцы ip-check:

https://diasp.org/posts/5791536

> Вон, взгляните на четыре свеженьких скриншота … https://diasp.org/posts/5791536
Видите ли в чем дело… В другой теме я бы легко посмотрел, но только с помощью расширения.

А здесь мы расширения не используем, как и скрипты (Учитель ведь тоже не включает скрипты, его Святым Духом
на диаспору запускаэ? Или Вам можно?).

negodnik, дружище, ну я ж только что писал, что меня ловить на слове бес-по-лез-но! Потому что на Ваш вопрос существует сразу НЕСКОЛЬКО вариантов правильных ответов: а) для "продвинутых" пользователей и... б) для "не очень... "

Попутно замечу: чем вообще уникален и хорош мир GNU/Linux - так это тем, что позволяет решать ту или иную проблему разными путями, в том числе - нетривиальными... А не так, как у Вас - в "биполярном мире" - "либо крестик сними"/"либо скрипты включи".

А в данной ситуации Вы еще и демонстрируете, что, оказывается, плохо читали мои шесть предупреждений на GitHub. Но мне ж не лень, я процитирую еще раз, пока не запомните:

Но это - рекомендация для Вас. Ну и для других любителей "зеленых галочек" навороченных браузеров.

А я, равно как десятки тысяч других людей (Вы просто, наверное, об этом не осведомлены), использую для работы в diaspora* специальный отдельный клиент. Их, кстати, несколько; причем один - даже "чиста" консольный: т.е. черный экранчик с маленькими зелеными буковками. Удобно и безопасно! И никакие кукиз-скрипты-перенаправления и т.п. разрешать не надо. И Гондурас DNT меня при этом нисколько "не беспокоит"!

> … чем вообще уникален и хорош мир GNU/Linux…
Ох, грехи наши тяжкие. Опять GNU/Linux. Хорошо, пускай диастора будет кошер.
Десятки тысяч людей не могут ошибаться.

UPD: Собственно, по поводу скриншотов( благо, там нет галочек  (я постараюсь больше не употреблять это слово)).
Несколько лет назад этот тест обсуждался с Вашим участием. И, вроде как, было решено, что
к этому и подобным тестам надо относиться с большой долей скепсиса.
Но почему же было не ответить первому спросившему про галочки (ой, вырвалось) тестов, что с Вашими настройками
псевдонимность, неразличимость пострадают в угоду безопасности (т.е. отправить человека читать Примечание 5),
что зелёной * или полосочки напротив фингерпринтинга не будет.
А не говорить, что она там, якобы, есть? И вопрос был бы закрыт. И я бы Вам мозг сверлил по другому вопросу.
Можете не отвечать, это просто мысли вслух.

A comprehensive list of Firefox privacy and security settings
http://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/

http://www.ghacks.net/2015/08/18/a-comp … -settings/

Отлично! Большое спасибо за ссылку, читал прямо с удовольствием!

Да и вообще рад, что:

1. Полку параноиков людей, которые серьезно занимаются обеспечением безопасности прибыло.

2. Что все психи (а там еще ссылки были):

http://github.com/pyllyukko/user.js
http://www.wilderssecurity.com/threads/ … wn.368003/
http://12bytes.org/articles/tech/firefo … ance-buffs
https://www.privacy-handbuch.de/handbuch_21.htm

... движутся по больничной палате упорядоченно, то есть примерно в одном и том же направлении. И об этом свидетельствуют практически одинаковые параметры.

3. Автор, как и я, сразу же, т.е. в первых строках, предупреждает идиотов - любителей "хавать не жуя" затаскивать на машину чужие настройки, абсолютно не задумываясь об их назначении:

4. Автор честно указывает:

5. Ну и (особо отмечу) - справочного материала у него побольше; там размещены полезные ссылки на форумные обсуждения, etc.

Качественно поработал мужик! Радуюсь!

Ну а теперь давайте вернемся к нашему negodnik'у

> понимаете, дружище, в чем опасность такого вот "ведомого" подхода, по типу: "Мне сказали - я сделал"?
Я ничего не сделал. Раньше вы не были таким легковерным.
Можете ещё раз посмотреть на мою картинку, я добыл все ссылки без включения скриптов.

> Я ведь на самом деле не знаю Вашу личную ситуацию,
Ситуация очень тяжёлая — никто меня не любит, у меня нет друзей, и даже Rosenfeld не хочет
ответить на простой вопрос:
— Пошто обманули dimutambov’a, сказав что есть г-чка, когда её там нет?

>> Согласен. Критика принимается.
Я понимаю это как обещание работать на совесть и не лениться. И помните — Вы это не мне,
а самому turbot’у клятвенно обещали.
А будете и дальше вредить и лениться — напишу святому, нѣпорочному Столлману, и он отлучит Вас от линупсов.

Не смог я разглядеть Вашу картинку, она с гулькин писюлек была, превьюшка; а вот в НЕЗНАКОМЫХ местах я действительно скрипты не включаю. Поэтому пришлось пожертвовать просмотром. Тем более, я ж на самом деле хорошего о Вас мнения, вот почему во мне теплилась слабая надежда, что Вы догадаетесь-таки найти прямые ссылки, покопавшись в свойствах элементов страницы. И я не обманулся в своих скромных ожиданиях - у Вас получилось!

Ага. Все-таки хотите самоутвердиться за счет старого больного еврея (иначе зачем еще Вам с такой маниакальной настойчивостью муссировать эту тему раз за разом)... Ну ничего страшного - я человек добрый, щедрый и не самолюбивый, поэтому непременно предоставлю Вам такую возможность. А то, боюсь, у Вас из-за подобной мелочной проблемы может дальнейшая жизнь не сложиться...

Ну вот, отвечу так: я НЕ ПОМНЮ. Честное слово, не помню. Врать мне особого смысла нет и не было. И если бы там было ДВА маркера (а не один) - я все же об этом сообщил бы. Вполне возможно, что в тот текущий момент у меня была просто другая конфигурация одного из используемых профилей (в процессе настройки-перенастройки)... Сейчас что-то установить невозможно; а по-хорошему, надо было делать скриншот.

Удовлетворились? Жизнь состоялась? День прошел чудесно?

(заметьте, я пребываю в таком хорошем расположении духа, что даже не добиваюсь от Вас взаимности - т.е. с ножом у сердца не пристаю: "А почему Вы не отвечаете на мои вопросы?" ... А ведь мог бы, да?)

Что ж ты так спалил первоисточник? Теперь тема выглядит жалким плагиатом.

negodnik, взгляните, как красиво (хоть и небольшой офтоп):

скрытый текст

В качестве легонького ликбеза - чудесный и простой способ просмотра веб-ресурсов напрямую из консоли (терминала) Linux - БЕЗ использования каких-либо браузеров или браузерных движков в принципе. Все происходит при помощи ОДНОЙ коротенькой и односложной команды!

... Удобно? Однозначно удобно! Не страшны зловредные скрипты, кукиз и суперкукиз, детекторы UA и прочая хрень. Заметьте: скриншот сделан специально для Вас!

https://diasp.org/posts/5795053

Сможете догадаться - что это за магический способ? Ответ, кстати, весьма прост. Более того, как традиционно водится в мире GNU/Linux, существует МНОГО вариантов подобных методов.

> в НЕЗНАКОМЫХ местах я действительно скрипты не включаю.
Кто бы спорил. Но на https://ipic.su скрипты включать не надо.
И по поводу ещё одного незнакомого места, про которое я Вам писал — https://bug787296.bmoattachments.org/at … ?id=657114
Туда заливаются Attachments’ы с багзиллы. Вот обсуждение не столько теста, сколько проблемы —
https://bugzilla.mozilla.org/show_bug.cgi?id=787296. Багзилле можно доверять, или тока диаспоре?
( MPL это не CC BY NA и уж конечно не GNU GPL, но ведь мы сможет замолить этот мелкий грешок?)

> с ножом у сердца не пристаю к Вам: "А почему Вы не отвечаете на мои вопросы?" ... А ведь мог бы, да?
Увы, должен Вас огорчить, не могли бы. Нет у Вас такого морального права, поскольку сами отвечаете
на один вопрос из трёх (в лучшем случае), да и то после адского прессинга.

Насчет полноты руководства и того что оно сразу для всех версий (Прокатывает, и ещё как)
Тогда вот так вот нельзя делать — https://forum.mozilla-russia.org/viewto … 29#p718429:

24. INTERFACE
УСТАРЕЛА:
    browser.fullscreen.animateUp=0
ИЗМЕНЕНА НА:
browser.fullscreen.animate;false

Тогда надо все версии оставлять. И, таки, придется писать, какая строка для какой Лисы.

И что толку в "обсуждении"? Баг открыт аж(!) 2012-08-30 и по сей день считается "новым". Поймите одну вещь - разработчики со МоФо НИ-КО-ГДА не будут заниматься подобной фигнею и что-то исправлять; они, скорее, встроят в исходный код еще сто потенциальных возможностей для утечек; зато будет "интеграция с соцсетями", "я прочитаю это позже", "голосовая/видеосвязь" и прочая фигня... Так зачем мне эта ссылка? Зачем мне знакомиться с пустым сотрясением воздуха, да еще и выискивать там смысл?

Хм. Кто только что произнес: "так нельзя делать"? Вы или я?

P.S.

Вы здесь, кстати, цитируете отнюдь не руководство (в его обновленном состоянии, тем более, что его еще нет в природе), а просто произвольный список параметров - кандидатов на включение/удаление - с моими же произвольными памятками-комментариями. Так что не торопитесь критиковать, стремясь обогнать паровоз.

> Хм. Кто только что произнес: "так нельзя делать"? Вы или я?
Я так старательно Вам надоедаю, что пора бы уже узнавать меня по голосу.
Попробую спросить попроще. Как могла настройка устареть, если руководство для всех версий?
А если у меня ещё нет browser.fullscreen.animateUp=0? А Вы уже собрались удалить browser.fullscreen.animate;false.
Согласен, ещё не удалили. Но ведь есть такое намерение.

«Наш паровоз вперёд летит»
Давайте сначала дровишек подкинем и тронемся, тогда уже можно будет ставить вопрос про «обгонять».
А пока "Global and complete manual" явлется просто произвольным ( и неполным) списком параметров для ...
для каких версий?

UPD: Fx 47 когда вышла? Давненько, со дня на день ждем следующую. А руководстве настроек для текущей ещё нет.
А вы говорите «обгонять».

Дружище, не нудите. Я ж только что отметил, что по указанной Вами ссылке на мое форумное сообщение - НЕ РУКОВОДСТВО, а просто произвольный список предполагаемых кандидатов на включение-изменение-удаление (с произвольными же моими пометками)... Так чего Вы так прицепились и уже на второй круг заходите? И зачем пытаетесь выдать его за руководство?

Ну а если хотите заниматься добавлением конкретных версий браузеров  к четырехстам строчкам настроек - Ваше дело. Уже Вам предлагал такую чудесную возможность, но Вы чего-то скромно промолчали. Ну а я - точно не буду.

Мне, право, становится скучно от такого бзрезультатного общения. И лимитированный трафик, увы, заканчивается напрочь.

> Дружище, не нудите.
Во! Вот это по-нашему!
Как только требуется дать простой ответ на простой вопрос, сразу же трафик заканчивается,
саранча, неурожай, мама на работе а я дома один.

И вот ещё что: изображения с диаспоры можно было бы смотреть без скриптов, если бы Вы
давали прямые ссылки — https://diasp.org/uploads/images/scaled_full_d114d2f83c4a4aff33b1.png
Вы этого не знали или есть тайная причина, по которой мы должны включать скрипты?
Мы ведь тут обсуждаем и используем Лису, а не линкс, елинкс и ещё б-г знает что.

>
Мне, право, становится скучно от такого бзрезультатного общения.
Так внесите уже параметры-кандидаты в руководство (уже и не спрашиваю, для каких версий) и
будет хоть какой-то результат.

Ну и что же, что "нету"... А кто сказал, что "ДОЛЖНА БЫТЬ"?

Вяло констатирую, что (слава Б-гу) у меня нет в этом плане никаких обязательств, причем ни перед кем... Мне б книжку дописать; а еще поплавать хорошенько в отпуске и (зеваю) отдохнуть. А когда дойдут руки и появится желание - займусь руководством. Примерно вот такая ситуация и расклад.

Так что не превращайте меня, пожалуйста, в "обязанного" перед кем-то сделать то-то и то-то. Это в любом случае не самый лучший метод. Разве что из-за чувства морального самоудовлетворения: "А-а-а! Вот! Я ж говорил, что он ленивый! Я ж говорил, что там "сборная солянка""

Вспомните, что я Вам писал намедни:

Запамятовали? ... Может все же в МоФо обратитесь с аналогичным предложениями - для разнообразия? ... Не?

UPD:

Читать, надеюсь, умеете? ВОТ ЭТО И БЫЛ ОТВЕТ::

Все, заканчиваю. неинтересно. Какое-то словоблудие. Третий круг пошел: "Вот вашем руководстве... и т.п."

Я вообще с трудом понимаю - почему Вы так хотите меня заставить что-то делать, причем прямо сейчас; помимо моего желания, доброй воли, загруженности и прочего. Хотелось бы, чтобы Вы осознали - сами фактом своего собственного скромного существования я НИКОМУ из присутствующих и НИЧЕМ НЕ ОБЯЗАН. Можете выписать эту фразу куда-нибудь на бумажку.

К тому же, я вам уже написал про принцип мира Линукс - когда что-то очень хочется, это делают самостоятельно. Воспользуйтесь им, пожалуйста? Хорошо? Успехов!

> почему Вы так хотите меня заставить что-то делать, причем прямо сейчас; помимо моего желания, доброй воли
Да просто хотелось понять, зачем человек взялся за дело, не имея ни желания ни воли его делать и не
чуствуя ни малейшей ответственности за результат.

Ныне отпущаю Вас в отпуск. Плавайте и загорайте.
P.S. Скоро будет 20000. Держите себя в руках, не переусердствуйте. Успехов!

Ну я ж специально (битые сутки) и выводил Вас на это заключение. Надо ж мне Вам как-то самооценку поднять было.

Однако, попутно замечу, что люди, которые пытались взяться за неблагодарное и тяжелое бремя - поработать в качестве моей личной совести, весьма быстро уставали... и сдувались.

Ну да ладно... Вот Вам еще чуток, опять для поднятия настроения:

скрытый текст

https://www.youtube.com/watch?v=7t96m2ynKw0 - как посмотреть без включения скриптов, вне браузера и без использование технологии Adobe, надеюсь, разберетесь!

А интернет и в самом деле заканчивается; я ж не вру.  Я вне дома и вообще - черт знает где. Лимит был всего несколько гигов.

P.S. Ну так вот - в мое отсутствие - обязательно пилите свой форк!

А то мне просто хотелось понять, почему человек САМ не берется за интересное дело, имея столько ответственности, воли, идей, тяги к творчеству и ТАК болея душою за конечный результат... А почему-то (вот нестыковка; нонсенс!) упорно настаивает, чтобы его советы, желания и прочие "хотелки" НЕПРЕМЕННО, МОЛНИЕНОСНО И БЕЗУКОСНИТЕЛЬНО воплощал кто-то другой.

... Так что же? Слабо форкнуть проект?

>> Качественно поработал мужик!
Когда то же самое можно будет сказать про Ваше руководство, тогда и выясним слабо или не слабо
сделать форк.

> UPD: Ага, еще мегабайт 80 по счетчику есть... Отлично!
Ага, а то что мы по 1.2 мегабайта на Вашей любимой диаспоре тратим только на скрипты это нормально.
— Видите ли, в Linux…
— Видим, видим, но у нас виндовс и Лиса, а не Елинкс.
Вот Вам карта Израиля на 79 мегабайт, и с лёгким сердцем  и нулём трафика отправляйтесь в отпуск.

Ужас, блин! Нельзя ли пререкания в личку что ли перенести?
Rosenfeld, а Вы ни шапку, ни user.js что-то давно не обновляли - почему?

Ребята, подскажите версию браузера firefox или же его разновидность для Linux, которая потребляла бы не больше 350 мб оперативы. У меня есть firfox portable v. 40.0.3, который потребляет меньше 300 мб. спустя час работы. Но не мону настроить так же браузер, скачанный с сайта Мозиллы. Подскажите пожалуйста как это можно сделать.
Буду очень благодарен

Что-то перестал проходить тест https://panopticlick.eff.org/ с насиройками в user.js.
На сайте что-то поменяли в механизме тестирования?

Как проверить свою настройку контроля Referer в браузере? Может есть какие-то уловки или специальные тестовые сайты?
P.S. Куда это так надолго запропастился Rosenfeld?

Rosenfeld наглухо закрылся дома и работает над своей книжкой - аж 621 страница! Пока не вычитаю-отредактирую, надежды на мое участие-сочувствие крайне мало...

P.S. Новости по поводу грядущего приема Фоксом готовых "блобов", подкачиваемых с сайта и исполняемых в пользовательской среде - просто убийственны! По теме см.:

http://webassembly.org/
http://v8project.blogspot.ru/2016/10/webassembly-browser-preview.html
https://www.opennet.ru/opennews/art.shtml?num=45403

Ну а (цитирую): "наработки инициативы по переносу из Tor Browser некоторых возможностей, которые позволяют усилить защиту персональной информации и блокировать возможности, способствующие идентификации пользователя по косвенным признакам. В частности (...) "browser.download.forbid_open_with" - СМЕ-ХО-ТВОР-НЫ.

С небольшой натяжкой минифицированный/обфусцированный JS можно назвать блобом. С чем, кстати, согласен и Ричард Столлман, предупреждающий, что JS-скрипты это вполне себе программы, запускаемые на ПК.
Так что ничего убийственного нет - JS чудесно блокируется NoScript-ом (пусть пользователь решает, что запускать) либо LibreJS (разрешаем запускать лишь код под свободной лицензией), а для WebAssembly тоже что-нибудь придумают.

В копилку ссылок на "похожие" проекты подкину ещё https://github.com/The-OP/Fox, которым (выборочно) пользуюсь сам. Там всё просто - никакой поддержки ночнушек и прочей нестабильности, все настройки ориентированы на актуальную версию браузера + последний ESR, и удобно сгруппированы по степени разрушительности их влияния на юзерэкспириенс.

Они не позиционируются, как ультимативная защита от любого отслеживания. Чем ближе к приватности, тем дальше от удобства серфинга и потребления контента. Интегрируй весь набор - и Firefox из и без того не самого популярного браузера превратиться в браузер для двух с половиной мазохистов (ни окно развернуть, привет TorBrowser с рекомендацией сохранять дефолтный размер окна), ни с сайтом поработать без предварительных ласк^Wвыяснений того, какой ему, клятому, нужен скрипт для корректной работы). Разработчики Firefox вообще не склонны к максимализму. Например, когда я переписывался с ними по поводу обхода одной из реализованных в браузере мер защиты от малвари, они сразу сказали, что если злоумышленники начнут массово использовать найденную мной лазейку - тогда и будем думать, как её закрыть. Их цель - затруднить работу злоумышленников, но, при этом (и это важно), как можно прозрачнее для пользователя. Если настройка А не ломает сайты, но капельку затрудняет отслеживание - она годится. Если настройка Б очень сильно затрудняет отслеживание, но ломает сайты - она не пройдёт.

И, как пользователь, я с этим полностью согласен. Поэтому, я не упарываюсь повседневно в максимальную приватность. То следящее, что можно совершенно прозрачно и безболезненно зарезать - следует зарезать. Блокировщики рекламы, выпрямлятели ссылок, удаляторы редиректов и мусора из ссылок, автофорсеры https это замечательно. А вот когда требуется сделать что-то, за что в случае поимки можно серьёзно огрести - вот тогда и нужно что-то типа TorBrowser и настроек, которые делают сёрфинг крайне неудобным, но крайне анонимным.

1 ты согласен пока это тебя лично не коснулось, когда ты лично попадешь на деньги и\или информацию
изза такой вот немассово используемой дыры а мозилловцы скажут "А фигня! - других то не трогают" посмотрим что ты запоёшь по поводу согласия с ними.
2 про заруднения отслеживания и прочих пакостей надо понять одно - меры и усилия не важны,важен конечный результат.
у врага ест задача тебя убить, ты нарядился в броню,окружил себя всякими защитными устройствами,не ходишь в полночь на кладбище и не шаришься по болотам и стрипклубам. а тебя взяли и тупо отравили. и какая тебе мертвому разница как это сделал вра? ты уже мертв а он достиг своей цели.
поэтому безопасность и должна быть комплексной. а все эти отдельные меры лишь увеличивают ложное чувство защищённости.
вот в ботинках ты будешь обходить лужи, надел сапоги ага круто! пошел по луже провалился в яму по колено,
ок надел костюм химзащиты - пошел по луже провалился в траншею с арматурой на дне.

3 почему мозилловцы считают нужным прогибаться под сайтописателей в ущерб безопасности юзеров? если настройка удаляет дыру но ломает сайты то это проблема сайтописателей и это ОНИ должны править свой код чтоб он корректно работал,
тем более что не существует ни одной задачи которую нельзя было бы решить нормальным способом без ущерба безопасности.

Блоб - это все же бинарник. C отсутствием свободно распространяемых исходных кодов; во-всяком случае, именно такой смысл вкладывают в этот термин в мире GNU/Linux. Но если говорить об обфусцированном JS, то rms конечно тоже по-своему прав.

Все это называется одним словом: "КОС-ТЫ-ЛИ!" Более того: в подобном обреченном подходе и кроется основная проблема. Приведу такой пример (ничего личного!)... Допустим, есть у вас любимая женщина. (мы же все тут на самом деле любим ФФ и привязаны к нему уже много лет, не правда ли?)... Ну так вот: женщина эта хоть и любимая, но, мягко говоря, гулящая. И при каждой новой встрече приносит вам очередные неприятности. Допустим, в прошлом месяце при очередных интимных отношениях она заразила вас триппером. Вы его успешно вылечили. Потом - притащила домой сифилис. Вы вздохнули, но делать нечего - опять лечитесь. И где-то подкоркой головного мозга понимаете, что на очереди - СПИД, от которого немудрено и помереть; но сами убеждаете себя: "Ничего убийственного нет! Тоже что-нибудь врачи придумают!"

... А на самом деле выход-то из ситуации единственный - гнать эту женщину из дома! И чем быстрее - тем лучше! Если, конечно, вы уважаете сами себя, свое здоровье и спокойствие-благополучие.

Я прав?

И второе: обычный среднестатистический пользователь на самом деле НИЧЕГО не "решает" самостоятельно, а с упоением и безоглядно хавает пользуется тем, что ему дают. Вот почему его браузер "из коробки" представляет из себя сплошную дыру или решето. В текущей теме не так давно один хомячок обижался, что перед тем, как менять какие-то настройки, я предлагаю пользователю предварительно "подумать" и "самостоятельно принять решение"... Ужас какой, правда?! Похоже, для него это абсолютно непосильная задача!

Да проведите сами эксперимент и займитесь небольшим социологическим опросом: много ли ваших знакомых знает что-нибудь про LibreJS? ... А? То-то!

Вот, смотрите сами, хороший и свежий пример:

Вряд ли я выгляжу мазохистом, однако когда мне случается запускать ФФ, то я использую профиль, целиком и полностью настроенный по своим же рекомендациям. Иначе зачем бы я затевал весь этот проект? И, поверьте, никаких неудобств не испытываю!

У нас, наверное, просто разные представления о "работе с сайтом". Лично у меня - это поиск, чтение и анализ текстовой информации, а не протирание штанов "ВКонтахтике" или разглядывание видео с собачками-кошечками и "гифочек" с пупсиками. Ну а если создатели сайта "запаковывают" основной (article) текст в какую-нибудь модную технологию, то я поступаю просто: не хожу на него. Во-первых, на нем свет клином не сошелся. Во-вторых, я уважаю свою приватность и безопасность гораздо больше, чем возможность единожды просмотреть какой-то несущественный веб-ресурс К тому же, как я уже неоднократно приводил примеры чуть выше по теме, в моем арсенале есть средства, которые ВООБЩЕ не требуют запуска браузера при просмотре сайтов: https://diasp.org/posts/5795168 ... Это и безопасно, и удобно.

Это не совсем верный выбор. Я неоднократно высказывался на тему, почему я не доверяю разработчикам TorBrowser (именно его, а не stand-alone TOR). Да потому что в настоящее время они (опять же под благим предлогом "упрощения жизни и для удобства пользователей") занимаются абсолютно бесперспективным и сомнительным делом: пристраиванием к жопе коня роскошной кареты. Конь, конечно, сам по себе хороший и достаточно надежный, а вот карета, хоть и выглядит замечательно: отделана позолотой, фонарики мигают, но(!) представляет реальную опасность для пассажиров: там-то крыша течет аж в десяти местах, периодически колеса отваливаются, да и в щели дует.

Общий смысл вышесказанного таков: приделывая ФФ к TOR, разработчики тем самым надежно обеспечивают свой конечный продукт равно таким же количеством проблем и гипотетических уязвимостей, которые существуют в изначальном исходном коде МоФо. Особенно - за счет встроенных сторонних сервисов, большая часть из которых, как я подозреваю, надежно внедрена в самое-самое "сердце" браузера и является неубиваемой by-design.

Поэтому по-хорошему разработчикам TorBrowser (если бы они действительно были озабочены безопасностью и анонимностью конечных пользователей) нужно было бы остановиться и честно признаться: "Ребята, мы двигаемся не в том направлении!" После чего - взять и интегрировать с TOR абсолютно другой браузер, который не имел бы таких вопиющих проблем с безопасностью, о которых я неоднократно писал: https://diasp.org/posts/5298811

А оптимальный вариант - использование не этого комбайна под название TorBrowser, а связки: TOR + прокси с дополнительными запрещающими функциями + консольный браузер (скомпиллированный из десяти строчек общедоступного исходного кода) + средство для шифрования DNS-запросов к свободному DNS-серверу (для гарантии). И безопасность такой связки будет на порядок выше, чем у TorBrowser. Это факт!

Заметьте, я тут не применяю "подход школьника", который тупо заявляет: "Ваш ФФ - отстой! Гы-гы!" Я всегда аргументирую свою позицию и мнение. А последнее таково, что в настоящее время любой консольный браузер с прозрачным текстовым конфигом и некоторыми простейшими изменениями в нем гораздо предпочтительнее.

Примеры:

okkamas_knife

Не то слово, за последний месяц из всех blob:http.. встретилось только два примера использования для функциональности сайта (и то вероятно не факт) - используется повсеместно для отслеживания, рекламы и ограничений. Посему глобально заблокировал и делаю редкие исключения.

Именно. Для этого данная технология и разрабатывалась.

Мудро. Но это, увы, половинчатое решение. (с) "Советую сменить церковь"

не удержусь и пну

нука зайди на свой
http://diasp.org/posts/5795168
с выключенными скриптами и прочитай статейку
и где твоя последовательность?

Как личная_совесть™ Розенфельда, официально заявляю что сей вопрос уже обсуждался.
И на него был даден весьма пространный и столь же туманный ответ в спойлере сообщения №156.
Если кратко — Линукс наше всё.
Только вот там, к сожалению, не написано, что мешает Розенфельду скопировать свои статьи на
какой-нибудь ресурс, где можно читать их не включая скрипты? На тот же github, например.

okkamas_knife, могу поспорить на банку варенья и коробку печенья, что Розенфельд опять расскажет
про Lynx или консоль, но только не про обсуждаемый здесь браузер.

okkamas_knife

ну сколько можно юлить?
1 по твоей ссылке на диаспоре я вижу пустой экран и включать скрипты тамошние не собираюсь т.к. глянув их исходники нашел там достаточно занятные и неприемлемые вещи.
и не надо делать вид что ты не понял вопрос, вот кто мешает выкладывать ттебе материалы там где для их просмотра обычным юзером скриптов или ухищрений не требуется? зачем тты зазываешь юзера на сайт который потенциально опасен?
2 упоминание андроида это вообще рукалицо.

3 я сижу на винде потому что мне это удобно и она практически полностью удовлетворяет мои потребности,
чего не могу сказать ни об одном дитрибутиве линукса под который софт выполняющий нужные мне задачи
либо отсутствует либо делает это  криво или очень уж неудобно.
(а еще у меня куча древнего софта который отлично выполняет свои функции и жрет минимум ресурсов не тратя их на ненужные свистоперделки. )
плюс я её контролирую в достаточной мере как и софт который юзаю.
я потратил достаточно времени на это. и ни одна программа не запускается без моего ведома.

а теперь поясни мне как ты борешься с такой дырищей в своей системе как обновления?
насколько я знаю ты не в состоянии проверить каждый да и даже хоть один апдейт лично.
то есть любая обновившаяся софтина это потенциальный вирус запущенный на твоей тачке,
ты можешь рассуждать о доверенных источнниках подписях и миллионах глаз но это ни капли
не защитит тебя от людей с корочками пришедших к админу сервака с апдейтами и вежливо попросившик его выложить прозондированный апдейт причем это можно сделать и целенаправленно т.е. тот апдейт получишь только ты а миллионы глаз получат нормальный.
также это не защитит тебя от обычного раздолбайства того же админа и прочих в результате которого обновления и репозитории будут скомпрометированы.
ну а если ты таки отключаешь обновления то расскажи как ты затыкаешь дыры которые последнее время находятся пачками как в сисеме так и в софте?

ну и до кучи вот ты в гофер приглашаешь а что там? текст? хтмл? нее там у тебя пдфки с бинарными блобами внутри.
и зачем мне такая "радость"?

странно видеть человека ратующего за безопасность и открытость и при этом выкладывающего текстовые материалы
либо в формате который требует дополнительного софта для просмотра (текстовым редактором тут не обойтись)
либо  выкладывает там гдде для просмотра контента опять же нужно запускать сторонний софт.
где последовательность то?

а уж с твоей агитацией за СПО и безопасность ты напоминаешь продавцов в магазинах расхваливающих товар но нифига толком в нём не соображающих, одни заученные рекламные слоганы.

"а теперь поясни мне как ты борешься с такой дырищей в своей системе как обновления?" - ржу от смеха, реально ржу! Сам того не подозревая, ты абсолютно правильно и точно подсознательно(!) - т.е. сугубо по дедушке Фрейду - обрисовал главную дыру винды - обновления! ... Скажи, тебя-то там самого принудительно до "десятки" обновили или нет? Или ты по-прежнему сидишь на старой самопальной сборочке с гордым названием "Zver-CD"?

А вот теперь смотри: ты б чуток перевернул все это на 180 градусов и задал подобные вопросы сам себе. Например, как можно работать на ОС, где вообще все обновления - бинарники! И помечены ничего не говорящими номерами, поэтому и неизвестно - что пришло, откуда и зачем тебе это втерли. Ты б задался вопросом - как ты можешь работать на системе, которая априорно шпионит за тобою, причем этот функционал закреплен проприетарной (собственнической) лицензией и практически неотключаем.Где сама ОС - как правило взломана, а каждая вторая программа скачивается пользователями с файлопомоек... Не? Я в чем-то не прав?

Твои познания о системе обновлений GNU/Linux просто поражают своей глубиною! Особенно компетентно ты рассуждаешь о том, как, каким образом, в системе "зеркал" обновлений на одном из серверов вдруг(!) появится пакет, отличный от тех, что синхронятся на других. Особенно, если учитывать, что зеркала синхронятся ЧЕТЫРЕ РАЗА за ДВАДЦАТЬ ЧЕТЫРЕ ЧАСА! И если вдруг по какой-то причине этого не произойдет, конкретное зеркало вылетит из списка "официальных" (т.е. о нем никто не будет знать)... Садись, "пять"!

Твои познания о механизмах произвольного выбора серверов в yum, dnf  и т.п. дважды(!) поражают мое скудное воображение! Интересно, как твои "друганы" с "корочками" догадаются - к какому именно из сотен зеркал-серверов при очередном обновлении автоматически обратится моя ОС (или, как вариант, какой сервер предпочту я сам). И в каком уголке земного шара будет находиться этот сервер - потому что я волен выбирать его по конкретному имени или целым списком - по странам. Устанут на ковре-самолете летать! Заметь, обновления через TOR я здесь даже и не рассматриваю, а то ты совсем запутаешься.

Вот тебе списочек серверов Debian, просмотри на досуге: https://www.debian.org/mirror/list

А это - списочек зеркал Fedora (только одной - текущей - т.е. 24-й версии): https://admin.fedoraproject.org/mirrorm … /Fedora/24

Это просто набор слов. Сдается мне, что тебе надо на ближайший день рождения подарить парочку хороших манов по криптографии, ЭЦП, ну и - до кучи - руководство по механизму зеркал, двухпроходной синхронизации и проч.-проч.

Ты б приводил примеры что ли. А то ж становится неинтересно слушать, право... Между прочим, если дыры находятся (и заделываются), так это должно радовать. Потому что основной постулат здесь таков: "Безопасность - не цель, а процесс". Ты хоть знаешь об этом? Так что раскрытие уязвимостей и появление обновлений - это отличный признак того, что GNU-community не почивает на лаврах, а работает. А теперь сравни со своим любимым офтопиком

У меня к тебе, кстати, (с) хороший годный совет: не уподобляйся специалистам от конторы Касперского и "Др. Веб", которые время от времени на весь интернет издают жуткие вопли: "НАЙДЕН СТРАШНЫЙ ВИРУС ПОД ЛИНУПС! СПАСИТЕ-ПОМОГИТЕ!!11 ТОЛЬКО У НАС ЕСТЬ ВОЛШЕБНАЯ ТАБЛЭТКА11"" ... А когда привычный к таким воплям народ начинает требовать пруф-линки, в очередной раз выясняется, что для активации этого молдовского вируса нужен физический доступ к машине, плюс - чтобы пользователь вдруг(!) перешел бы в режим рута и самостоятельно запустил его руками...

Договорились? Не будешь так больше делать?

Ты б привел какую-нибудь доказательную базу, что ли? А то ж завтра, прочитав твои слова, во всей желтой компьютерной прессе выйдут заголовки: "Сайты диаспоры тайно атаковали миллионы беззащитных пользователей!" Сделай так: если что-то нашел, не поленись - оформи баг в их багзилле. Это будет и красиво, и профессионально. И не по принципу: "как страшно жить... бла-бла"!

Именно! "За безопасность и открытость". Вот почему для меня это не составляет такой страшной проблемы, как для тебя. PDF - открытый формат, средства, которыми я пользуюсь для его генерирования из чистого текста и для последующего просмотра - тоже из разряда free software/open source. Или ты настолько запуган "людьми с корочками", что даже PDF отказываешься открывать? Признайся - ведь открываешь же иногда, да? Надев шапочку из фольги? И спрятавшись в "клетке Фарадея"?

UPD: Кстати, для интереса открыл сейчас поиск по тэгу "PDF" на Секьюритилаб и полистал последние материалы: http://www.securitylab.ru/news/tags/PDF/ ...  И понял(!), что тебе-то действительно есть чего бояться, потому что все проблемы связаны, как правило, с уязвимостями и дырами в программах(!) просмотра - печально знаменитом Adobe Reader и Foxit PDF Reader (о неплохой программульке Sumatra PDF, увы, ничего не нашел). Но у меня-то таких проблем НЕТ... Так и чья б корова мычала про GNU/Linux, а? И тебе не стыдно?

Причина же хранения моих материалов именно в таком виде на сервере Gopher весьма проста - он напрочь не понимает никакие кодировки, кроме стандартной "западной", и отдает любой "читаемый" контент именно в таком виде. Я пытался самыми разными способами заставить браузер правильно понимать выкладываемые мною в формате UTF-8 файлы (как txt, так и html), но ни к чему хорошему это не приводило. То есть при любом клике на новую страницу ФФ неизменно "сваливался" в "западную" кодировку, и ликвидировать возникающие на страницы "кракозябры" приходилось принудительным указанием правильной кодировки. Что не есть гут! Более того, я сознательно отказался от всех русскоязычных заголовков по той же самой причине - поисковая система "Вероника-2" автоматически индексировала мои страницы с ошибками. А сейчас это в прошлом.

... Только и всего-то! А ты уже от страху за штаны схватился!

И еще один бесплатный и добрый совет: всегда старайся писать так:

0) "текстовым редактором у меня в ОС не обойтись"
1) "у меня в ОС требует дополнительного софта..."
2) "у меня в ОС требуются костыли для просмотра контента"

Знаешь, почему? Потому что у других людей таких проблем может и не оказаться! Честно тебе говорю! Ибо для "других ОС" подобные простейшие действия доступны "из коробки". Только что проверил - просмотр моих PDF-файлов отличным образом обеспечивает ДАЖЕ(!) примитивная кнопка F3 в пакете mc! А у тебя, куда не плюнь, всюду какие-то затруднения.

Резюмирую. Мне грустно прилюдно об этом упоминать, но ты несешь чушь. Я констатирую это только потому, чтобы ты своими голословными утверждениями не запугивал бы других некомпетентных в этом деле людей. И не вводил бы их в заблуждение. Извини!

По хорошему, если ты выбрал такую достойную и принципиальную позицию насчет GNU/Linux, FSF, GPL и прочего, я б на твоем месте полностью отказался бы в первую очередь от интернета! Почему? Да потому что подавляющее большинство серверов (60%+, я уже запамятовал) - пашут именно на nix-системах... Ну а уж про роутеры и всякие другие хитрые сетевые механизмы я и не упоминаю... Ты просто представь - сидишь ты у себя дома за компом, а сквозь монитор с такого сервера на тебя вдруг лезет СТРАШНЫЙ ВИРУС!

Идем далее! В целях безопасности тебе следует выбросить на свалку практически все современные устройства: телефоны-смартфоны, "умные вещи" типа ТВ и прочего - ибо там тоже таится страшное западло: Linux! Ты просто представь картину, если система выйдет из под контроля и на тебя набросится твоя собственная стиральная машинка или холодильник, снабженные этой адской ОС... Я б долго мог перечислять тут все остальные опасности этого мира, но, боюсь, ты о них осведомлен гораздо лучше, чем я... Поэтому, увы, умолкаю и ложусь наконец-то спать.

P.S. Ой, нет, совсем забыл предупредить тебя о самой страшной опасности! Если доведется быть в Европе, в частности - в Швейцарии, ради Б-га не подходи ближе чем на сто миль к 25-километровому туннелю CERN'a - того самого, где эксплуатируется истинное порождение сатаны - Большой адронный коллайдер! Знаешь, почему прошу тебя не подходить? Да потому что он тоже управляется ОС, полностью по ядру, архитектуре и DE аналогичной, что стоит у меня на машинах - RHEL/CentOS, разве что она обвешана специализированным прикладным софтом... Представляешь, как, в случае проникновения страшного вируса, там рвануть может! Костей не соберешь! В-о-о-т!

как обычно сам придумал чтото сам поглумился над своей фантазией.
а ведь я писал что у меня и как и про обновления тоже. склероз?старость?

садись, два за незнание матчасти.

вот именно что скудное. или у тебя прямые каналы к тем серверам? и за каждым метром ты лично смотришь?
или летаешь обновляться к админам чтоб через флэшечку?
еще раз говорю учи матчасть а не рекламные слоганы и чушь которую несёт твой обожаемый столлман

еще раз изучи матчасть и пойми наконец что комп(в смысле железо+ось) ну никак не может достоверно определить
подключен он к интернету или к левой сетке с нужным контентом

я тебе не клоун и не новостной сайт чтоб развлекать, есть гугл есть куча багтрекеров - ищи если тебе так надо.

дадада  нука напомни мне на чем работает большинство устройств участвующих в популярных нынче ботнетах?
неужели виндовс?

ну так вот
1 пдф не поддерживается браузерами  а значит нужно юзать либо плагин либо программу-читалку
а это значит что нефиг заставлять юзера использовать небезопасный хоть и открытый формат
что до проблем с кодировками - снова либо твое скудное воображение но скорее незнание матчасти и истории хотябы
и нежелание их изучать

кто мешает использовать обычный текстовый файл запаковав его в зип? все равно ж используется сторонняя прога так зачем нужен пдф с его бинарными блобами и свистоперделками в виде шрифтов когда можно обойтись простым текстовым редактором?
оно и размером меньше и скачивать для спокойного чтония в любимой читалке-редакторе удобней. вобщемо на заре интернетов так оно и было - тексты? - зипуй!
2 ну и по поводу кодировок - кодировка вобщемто указывается в самом хтмл файле  это раз
(тоесть браузеру пофиг откуда его получать\открывать)
если сам сервер перекодирует отдаваемый файл то есть способы и альтернативной кодировки использующие только ascii символы для кодирования остальных.(файл конечно раздуется но как костыль оно работает)

вобщем еще раз говорю изучи матчасть а не рекламные и религиозные слоганы чтоб понимать как оно работает
и тогда уж учи других.

Бывает, что я выгляжу идиотом, но кодировку в соответствии со стандартами w3c я указать все же могу. Файлы (в прямом смысле) писались руками и потом проверялись валидатором на офсайте w3.org ... Но сервер действительно отдает не то, что хотелось бы.

А выкладывание в PDF - мой личный выбор, и я не вижу дальнейших причин его обсуждать. И перед тем, как предъявлять претензии по поводу мест, куда я выкладываю публикации (свободная соцсеть тебе не нравится, гофер тебе не нравится и т.п.), равно как и по поводу форматов, в следующий раз - ОЧЕНЬ тебя прошу: продемонстрируй окружающему миру, куда ТЫ САМ выкладываешь и ЧТО именно выкладываешь. Договорились? ... "ВКонтахтике" ведь втихую публикуешься - я угадал?

UPD - NoIndex:

Я и в самом деле  вижу, что ты абсолютно не понимаешь, как при создании подписывается каждый пакет (не каждая программа, а именно "пакет" - в программе их могут быть десятки!) с помощью PGP , и как он верифицируется вшитыми в ОС публичными ключами - еще до(!) момента транзакции... Ответь - ты в самом деле реально ничего не знаешь о механизме действия PGP? И не в курсе, что она была разработана Циммерманом в первую очередь для того, чтобы "с чемоданчиком" и "одноразовым паролем" никуда за файлами летать не нужно было? ... И что подвижник-Циммерман был готов отсидеть десятки лет в тюрьме за свободное право других людей пользоваться этим методом (против него был возбужден уголовный процесс за экспорт стойкого крипто).

Осознай такую вещь. На одной стороне - твои друзья с "корочками". На другой - строгие законы математики (криптография, как ты знаешь, наука точная). И пока существует стойкая и сильная криптография, неотъемлемые человеческие и гражданские права и свободы будут (худо-бедно) соблюдаться (это не мое утверждение, а цитата из какого-то гуру математики) - как бы этого не хотелось атакующей (т.е. первой) стороне.

Очень жаль, что ты не хочешь, вернее, не можешь привести никаких конкретных доказательств. А ты слышал когда-нибудь, что бремя доказывания возлагается на обвинителя, а не на обвиняемого? То есть это ТЫ САМ, сказав "а", должен сразу произнести и "б" - т.е. привести примеры этих самых "страшных вирусов под Линупс". Или, как вариант, "уязвимостей в исходном коде Диаспоры"... Приучайся точно излагать свои мысли, а не так: "я тут "на коленке" быстренько посмотрел их исходный код и понял, что там сплошные дыры"...

Неужели на офтопике? Я так и думал! ... А если ты ведешь речь о модной тенденции создавать ботнеты из "интернета вещей" (да, действительно: как я и писал выше, большинство из них работает на донельзя урезанном ядре GNU/Linux), то тут нет ничего странного. Исходные коды ядра, как ты знаешь, открыты для их свободного использования. и если идиоты-производители бытовых железок и прочих девайсов первым делом убирают оттуда функции защиты, то на кого обижаться-то? На Турвальдса? На Столлмэна? ... Если, к примеру, ты купишь "Мерседес", потом вырвешь из него заводскую сигнализацию, датчики и дверные замки, а потом бросишь на ночь во дворе, то кто будет виноват, что его угнали? Производитель? Нет! Ты сам.

Какие именно слоганы? И какую именно чушь? Приведи, пожалуйста!

А пока что это твое утверждение выглядит бездоказательно и как-то по-детски, будто бы ты на него лично обижен. Ты никогда не задумывался, что не будь в этом мире rms, Турвальдса, Циммермана, Шнайера, Беренса-Ли и прочих, кого можно назвать одновременно и романтиками, и идеалистами, и подвижниками, то он бы выглядел совсем по-другому?

Я еще раз вчитался в эту фразу и ПОНЯЛ!!! Я внезапно понял, откуда валом прут все эти твои страхи насчет "подключен к левой сетке с нужным контентом". Это ты просто насмотрелся "Шматрицы"! Я прав? Это ж именно там выяснилось, что каждый из клиентов психбольницы кулхацкеров подключен шлангом прямиком к "Матрице", хотя искренне полагает, что живет в реальном мире! Ты там у себя дома, когда идешь в сортир, "агентов Смитов" в черных очках часом не наблюдаешь за унитазом во множественном числе?

Поэтому я б тебя еще раз просил: пиши более конкретно, например:

Так  будет выглядеть достовернее!

P.S. Наткнулся тут на одну цитату, прямо про тебя, уж извини:

"Хотя и правительства, и транснациональные корпорации в значительной степени несут угрозу личным свободам человека в Интернете, но существует опасность, значительно превосходящая первые две. Имя ей – неинформированные граждане."

не вижу смысла спорить с верующим и неспособным вести адекватный диалог.
про уровень знаний уж молчу.
кто действительно захочет разобраться будет читать документацию и включать мозг а не тратить время на чтение твоих опусов.
можешь написать слив защитан если это потешит твоё самолюбие.
я слишком ленив комуто чтото доказывать а делюсь я теперь только с теми кто адекватен.

Да ну, прекрати - я на такое не способен. И вообще не хотел, чтобы ты обижался. Потролилли друг друга - и хватит. А все остальное - для данной темы офтопик. Но достаточно полезный офтопик!

Всё, шабат потихоньку заканчивается - я самоудаляюсь с форума и вновь принимаюсь за работу. Может к Новому году закончу, тьфу-тьфу...

Rosenfeld
Подскажите, пожалуйста, параметр browser.cache.memory.capacity в 50 версии актуален или он заменён на  browser.cache.memory.max_entry_size?

fantom123
Судя по исходникам:

#define MEMORY_CACHE_CAPACITY_PREF  "browser.cache.memory.capacity"
#define MEMORY_CACHE_MAX_ENTRY_SIZE_PREF "browser.cache.memory.max_entry_size"

// -1 = determine dynamically, 0 = none, n = memory capacity in kilobytes
//pref("browser.cache.memory.capacity",     -1);
// Max-size (in KB) for entries in memory cache. Set to -1 for no limit.
// (Note: entries bigger than than 90% of the mem-cache are never cached)
pref("browser.cache.memory.max_entry_size",  5120);

..используются обе, но browser.cache.memory.capacity (если так нужен) создается вручную.

Мое заднее место интуитивно подсказывает, что устарело еще в конце ветки 40+.

https://forum.mozilla-russia.org/viewto … 29#p718429

Этот параметр на безопасность не влияет; главное - отключить дисковое кэширование, с целью предотвращения накопления/хранения временных данных от сёрфинга. Или следов от них.

Rosenfeld
Дело не в безопасности, а в производительности. Интересовало, есть ли от установки этого параметра толк, т.к. прочитав ваш комментарий https://forum.mozilla-russia.org/viewto … 29#p718429, решил, что его отключили навсегда.

Rosenfeld
В списке упомянуто network.cookie.thirdparty.sessionOnly . Оно действует только если включен приём сторонних кук и определяет что с ними делать после закрытия браузера .
false - действуют общие разрешения
true - удаляются при закрытии независимо от общих разрешений

Говоря точнее, действие формулируется вот так:

... А вообще, какая-то замороченная настройка. У меня к cookies подход только один: запрещающий.

Rosenfeld
Куки могут очищаться при закрытии или сохранятся (настройки по умолчанию) . Для второго случая эта настройка и предназначена - удаляет в true сторонние куки , не обращая внимание на разрешения . В списке рекомендация false , потому и обратил внимание .
Все ставят то , что им удобно . И надо повысить безопасность не в ущерб удобству .

И значение network.cookie.lifetime.days не лишне подсократить - три месяца хранения нельзя безопасным считать . Хотя некоторым и нравится автологин .

А, вот вы о чем... Но при false, как вы сами и упомянули, действуют общие разрешения. А они у нас одни и те же - строгие.

Надеюсь, это благопожелание было высказано не в мой персональный адрес?

Доброй ночи!
После прочтения 6 страниц интересных перепалок и двух - ценнейшей информации, возникла идея...
Может (только не выкидывайте в окно) стоит взять за основу ТОР Браузер и доводить до нужного состояния его? В нем уже многое сделано. Или нет?

А мог бы кто-нибудь выложить список параметров из about:config отключающих всю телеметрию и социальщину в крайних версиях Firefox?

До какого состояния ? До абсолютно безопасного ? Запросто, это каждый сделать и сам может.
Меню -> Файл -> Работать автономно.

До состояния когда не останется лишней функциональности не отрезав лишнего.
Или в сабже ничего лишнего нет?

Для начала составить-бы общую концепцию, определить что такое хорошо и что такое плохо, а потом переходить к конкретным настройкам.

Например UA не трогать, как некоторые предлагают, пусть будет "стандартный" ьтипа Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0 .
Скрипты, канву, куки выборочно оставлять под каждый сайт индивидуально. Суперкуки, ДОМ и тд  - отключаем. Тайминги WebGL есть еще.

Каждый решает индивидуально что для него лишнее. "Загрузка" — лишнее ? Закладки — лишнее ?
В браузере есть только то что используется большинством, наверное. Голый браузер + пара дополнений.

А что до настроек — понимаете, здесь ведь тоже надо знать что хочешь. Например если Вы используете все настройки которые в этом треде там, выше, определены как настройки безопасности, Вы получите максимально защищённый Firefox, предназначенный для просмотра текста и картинок на некоторых простых форумах. Сёрфить в привычном значении слова им не получится. Без кукисов, скриптов, даже умирающего флэша. Без редиректов, без trackingprotection и прочего. Средство просмотра некоторых сайтов. Этакий Links с кнопочками.

Включаете где надо — и всё. Но для каждого ведь разное надо. Кстати лучше под IE или Edge закосить. У Firefox не такой и большой процент пользователей, к тому же, возможно, скоро уменьшится.

Нужна максимальная защита — TAILS + TOR на зашифрованной флешке. Нужно сёрфить и пользоваться интернетом — TOR со своими настройками для каждого сайта. Ну как то так. удалено

Безопасный автомобиль это тот который в гараже охраняемом стоит. Менее безопасный тот, на котором  в ближайший супермаркет раз в месяц ездят. А каждый день кататься — опасно, но большинству требуется именно это. Так что TOR по умолчанию — автомобиль хорошей фирмы с подушками безопасности и прошедший краш-тесты с успехом. Можно подкрутить в нём кое что, чтобы ездил медленнее, возможно аварийность понизится, но неудобно же будет.

Я не ставлю целью (в этой теме) достичь "полной анонимности"; выходить в сеть только через даблвпн пользоваться текстовым браузером.  Думаю, пока достаточно будет не стать объектом интереса товарища майора или копирастов и оставить по меньше компромата на себя на будущее.  За свои действия в сети я ручаюсь, но не могу поручиться за свой браузер, который отсылает что хочет, кому хочет. Вот эту функциональность считаю лишней и хочу контролировать.  Мне не комильфо что третьи стороны получают историю моего серфинга через щели в браузере. Как в будущем это может быть использовано только Богу известно.
Не знаю как у вас, но у нас меняются политические режимы и мои убеждения могут стать вне закона.

Да таких не меньше двух третей населения. Всех не пересодют.

Тогда мне кажется что достаточно штатного функционала и штатных настроек. Хотя вот как относится к автоматической проверке обновлений ? С одной стороны это лишняя самостоятельность браузера, с другой — вроде как наоборот, забота о своевременном улучшении параметров безопасности и закрытии возможных уязвимостей. Вроде как  TOR Browser пока ни в чём никто не упрекнул. А тем более если Вы за свои действия в сети ручаетесь. Просто желательно не использовать один и тот же браузер для обеспечения безопасности и обычного брожжения по сайтам. Я например использую TOR Browser для .onion, а для обычного посещения интернета мне как правило хватает и Firefox + AdVor. Так какая-то, но анонимность обеспечивается и функционал настроенного Firefox сохраняется. Хотя в этом случае многое уже зависит от дополнений.

Ничего особенного, но всё же https://robinlinus.github.io/socialmedia-leak/

С включенным uBlock и фильтром Fanboy’s Enhanced Tracking List — ничего не видит.

скрытый текст

Я Вам больше скажу: на чистом (без всяких дополнений) и с правильными настройками по средствам только одного about:config та же самая ситуация.

Zerdsa, я боюсь что с "правильными" настройками проблемы на некоторых сайтах будут, нет?

Да особо не замечал. Ну разве что на некоторых не происходит сразу переход по клику (вылезает что-то типа "Сайт недоступен. Повторить?" и после пары кликов всё открывается нормально). Но это, для меня, большая редкость.

Скажите пожалуйста, как поступить в такой ситуации:
Если не разрешить IndexedDB, то в расширении UBlock,  в фильтре EasyList не происходит обновления, тоесть остается на уровне 2018г? Другой фильтр как Ru Adlist, обновляется нормально.

Это руководство для параноиков, а труъ-параноики никаких UBlock использовать не должны. Как и прочих дополнений.
Ну разве что NoScript, да и то — лучше JS вообще отрубить. Вдруг кто-нибудь что-нибудь сворует.

Это написано было три (3!) года назад. Сейчас и многие сайты и многие дополнения без этого дела просто работать не будут верно.
И, разумеется, UBlock активно использует IndexedDB, как и все другие дополнения, что-либо хранящие на компьютере.

UBlock продвигают как защиту от рекламы, понятно что из за него хранится на компе фильтры и создаются свои, это как бы нехорошо. А прибить рекламу настраивая конфиг плюс NoScript возможно таки? Как альтернатива несколько профилей.

Навряд ли это возможно.
На старых версиях можно было бы обойтись чем-то вроде Silent Block прописывая регэкспы для скриптов, картинок и прочего для каждого сайта.
Можно сторонним софтом пользоваться, каким-нибудь Proxomitron-ом, Privoxy или чисто резалкой рекламы, например адгвард (платный кажется).

Как вариант — поглядеть в сторону сборок на базе старых Firefox — Palemoon или Basilik, они вроде используют ABPrime (переделанный adBlock), который возможно хранит свои данные по-старому, точно не скажу, но на ABPrime хранит свои данные в patterns.ini, elemhide.css и так далее. Но как с безопасностью у этих браузеров — не знаю.

lord99
Что-то не могу представить реальную задачу для которой нужно такое делать. Вообще.

Знает кто  где страница  Rosenfox/About-config_Full_manual_ru-RU.md at master · RamiRosenfeld/Rosenfox что была на GitHub  ?

GitHub продался Майкрософту, а значит стал некошегным. Старый, больной, ленивый Розенфельд страницу удалил, но было уже поздно.
Столлман лично выпер его из евреев.

Так что, Розенфельду теперь не положено отвечать вопросом на вопрос, жаловаться на старость, болеть и лениться.

Да ладно... Как торчал на диаспоре — так и торчит. Он настолько скрытен, что ищется гуглем.
Судя по гуглокэшу — по крайней мере три месяца назад там отписывался...

© Сабж

Верно. Я как-то с Диаспоры его статью цитировал, где он снова разоблачает Google, который перехватывает личную почтовую переписку в браузере .

Всё так и есть

С 50-х версий в about:config произошло очень много изменений.
Где-нибудь появился ресурс наподобие Rosenfox или The-OP, в котором собраны все настройки безопасности уже для 60-х версий?

Мне такое попадалось один раз, но автор честно писал что:

1. Под каждую новую версию FF (а то и просто для патча) приходится перелопачивать все настройки и он задолбался.
2. Приемлемую «безопасность» не получишь без ломания функционала большинства сайтов.
3. «юзайте тор-браузер и отстаньте от меня» — не дословно, но что-то в этом роде.

Ссылку я не помню, хотя возможно что в истории осталась. Лично я, ради любопытства, попробовал скормить файлик с настройками браузеру и потом долго и безуспешно пытался походить по сайтам, которые посылали меня в известном направлении. Выходит так, что хоть один раз, но придётся всё это отключить, хотя бы ради того чтобы где-то залогиниться или скачать файлик или просмотреть содержимое комментария под спойлером. А в этом случае уже всё польза от этих настроек начинает снижаться...

Попадётся ссылка — пришлю сюда, но честно говоря — пробовать самому уже желания нет...

Буду ждать!

Конечно, странно, что только, по сути то, TOR с середина десятых занимается безопасностью FF.

Ну не зря же они интеграцию запланировали: Возобновление работы по интеграции поддержки Tor в Firefox

И да, что про тор, вот ещё новость по теме безопасности: Фиктивная русская версия Tor Browser использовалась для кражи криптовалюты и QIWI

Привет!
Не попадалась до сих пор?

Нет. Более того — самому как-то понадобилась.
В декабре писал одному человеку на хабре, тот как-то настройки выкладывал, правда по безопасности было немного, но думал что он ссылками поделится.
Тоже не подсказал.
И вижу что тема сия заглохла, хотя народ, вроде бы, вопросом интересуется. Выходит нет информации или её мало...

Ну что, братья - может всколыхнём забытую тему? Или приватность и безопасность уже не актуальны в новых версиях Firefox?

никогда не делалась через файрфокс

обеспечивается совсем другими средствами

sonyas75

Ну, тогда уж - не делается ни через один браузер.

так точно

Вот.
Поэтому к словам придираться не будем.

Zerdsa
https://github.com/arkenfox/user.js

Спасибо - это известный user.js. Так сказать дошлифовывает FF. Но в плане безопасностии и приватности он ни о чём.
Те же 3d куки, например, обойдены. И многое другое. Если сравнивать, например, с очень хорошо собранным в этом плане, но безвременно почившим проектом https://github.com/The-OP/Fox.

https://github.com/arkenfox/user.js/issues/1051

Zerdsa
Ничего там не обойдено. Правильно вам выше написали, FPI все изолирует, а кэш теперь изолирован по умочанию.

_zt
Я потом https://forum.mozilla-russia.org/viewto … 27#p794727 почитаю.
Но Вы попробуйте пройти сначала с этими настройками любой тест на 3d-куки.

Zerdsa
Хорошая попытка, но пожалуй оставлю это вам. FPI изолирует любые куки и для этого никакие user.js не нужны.