Полезная информация

Хотите узнать больше о расширениях? Посмотрите ролики, рассказывающие о работе с расширениями Firefox.
  • Форумы
  •  » Разработка
  •  » Разработка руководства по безопасности и приватности (предложения)

№2615-02-2016 04:24:11

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Меня тут попросили сделать краткий обзор безопасности мобильных версий браузера. Выполняю! :)

К сожалению, на исходном коде Mozilla выпускается всего два продукта - непосредственно сам Firefox и браузер Fennec. До недавнего времени последний собирался на базе свободного Android-репозитория F-droid.

Не секрет, что в каждой новой версии Firefox увеличивается расход оперативной памяти, а также места, необходимого для его установки. Более того, производители непрерывно вводят сторонний и потенционально опасный  функционал: DRM, т.е. "цифровые наручники"; рекламу на стартовой странице; голосовое и видеообщение; проприетарные модули; систему телеметрии, средства отслеживания пользовательских действий и предпочтений, которые в своей совокупности могут сильно понизить пользовательскую безопасность.

Следует также со всей серьезностью отнестись к официальному предупреждению Mozilla о сборе, передаче, анализе и хранении пользовательских данных в специальной версии Firefox для мобильных систем Android и iOS:

Firefox for Android and Firefox for iOS: In order to understand the performance of certain Mozilla marketing campaigns, Firefox sends data, including a Google advertising ID, IP address, timestamp, country, language/locale, operating system, app version, to our third party vendor. This data allows us to attribute an install to a specific advertising channel and optimize marketing campaign strategies.

https://www.mozilla.org/en-US/privacy/firefox/

Вот почему я всегда ранее советовал ставить Fennec - мобильную версию Firefox, из которой при сборке из исходных кодов удалены следующие компоненты (цитирую):

Removed: Tests
Removed: Crashreporter
Removed: Mediastreaming (требует несвободные библиотеки для трансляции потока)
Removed: Updater
Removed: EME/DRM

https://f-droid.org/repository/browse/? … nec_fdroid

К сожалению, данная разработка была удалена из репозитория F-droid в конце 2015 года. Я внимательно ознакомился с обсуждением причин на их форуме; общий смысл: майнтейнер, мягко говоря, "устал" :) вырезать несвободные и следящие элементы из исходного кода во время сборки. И, как я понял из объяснений (могу ошибаться), Mozilla настолько глубоко прячет спецификации отдельных компонентов (предоставляя лишь бинарники), что разбираться с ними стало все труднее и труднее.

Более того, на сайте F-Droid https://f-droid.org/repository/browse/? … la.firefox в настоящее время (февраль 2016 г.) имеется предупреждение о скором удалении и нативной версии Firefox из их свободного репозитория по следующим причинам:

DEPRECATION NOTICE

Note that this package will soon be dropped from the F-Droid repo.

Anti-Features

Non-free Addons: The license of the addons may be seen in the version notes, but often are non-free. The marketplace has no license information on most apps.

Tracking: Stats are sent back regularly to the developers, but that can be disabled via settings. Also some versions contain "Adjust" tracking software.

UpstreamNonFree: Contains proprietary software, e.g. play-services.

Таким образом, политика MoFo потихоньку приводит к тому, что их браузер перестает считаться свободным программным обеспечением.

В ответ на вопрос "Что же делать?" я предлагаю (по нарастающей) несколько вариантов:

1. Для той распространенной :) категории пользователей, живущей по принципу "мне нечего скрывать", - продолжать пользоваться нативной версией Firefox для мобильных ОС.

2. Для лиц, желающих самостоятельно избавиться от большинства следящего, телеметрического, излишнего и проприетарного (несвободного) функционала, - самостоятельно выбирать и видоизменять в нативном браузере необходимые установки, описываемые в руководстве: https://ramirosenfeld.github.io/Rosenfox/   ... Следует учитывать - при этом абсолютно(!) не гарантируется, что разработчики браузера не встроили в исходный код дополнительные средства слежения и т.п., не описываемые в стандартных общедоступных спецификациях.

3. Использование старых сборок Fennec (версии 3N.х.х) значительно повысит пользовательскую безопасность, особенно если дополнительно воспользоваться некоторыми изменениями в about:config (см. руководство).

4. При выполнении п. 3 пользователь может (на свой выбор) установить у себя дополнения, способствующие увеличению степени безопасности и приватности; плюс - управлять ими не посредством about:config, а более удобным средствами GUI (быстро разрешить JavaSript или cookie для надежного сайта; видоизменить UA из предустановленного набора; определить правила для отсылки рефереров, блокировать/разрешить загрузку графики и т.п.). См. под спойлером:

скрытый текст
Дополнения для мобильной версии Firefox и Fennec находятся по адресу:

https://addons.mozilla.org/ru/android/

По желанию можно установить следующие дополнения:

CleanQuit
(очистка временных данных при выходе из браузера; помните, что завершать сессию надо при помощи специального подпункта в меню):

https://addons.mozilla.org/en-US/androi … cleanquit/

Cookie Whitelist for Fennec
("белый лист" для cookie. Не забудьте предварительно запретить все cookie средствам браузера; само дополнение этого не делает! Разрешайте кукиз только на нужных сайтах и очищайте их при выходе):

https://addons.mozilla.org/en-us/androi … or-fennec/

HTTPS-Everywhere
(форсирует соединение с сайтами по защищенному каналу):

https://www.eff.org/Https-everywhere

Smart Referer
(запрет или видоизменение отсылаемых рефереров - сведений о предыдущей посещенной странице):

https://addons.mozilla.org/en-US/androi … t-referer/

Toggle JavaSript Enabled
(глобально запрещает или разрешает выполнение JavaSript; разрешайте их только на проверенных сайтах):

https://addons.mozilla.org/En-US/androi … t-enabled/

Phony
(выбор user-agent (UA) из предустановленного набора):

https://addons.mozilla.org/en-US/android/addon/phony/

PrохуМоb
(обеспечивает работу с локальным прокси-сервером):

https://guardianproject.info/apps/firefoxprivacy/

Mobile Image Blocker
(глобально блокирует статичные изображения на веб-страницах, за исключением флэш-объектов):

https://addons.mozilla.org/En-US/androi … e-blocker/

HTML5 video Everywhere
(отображает просматриваемое видео не посредством Adobe Flash Player, а через стандарт HTML5; это позволяет значительно повысить безопасность и обойтись без проприетарного флэш-модуля):

https://addons.mozilla.org/ru/android/a … verywhere/

Privacy settings
(позволяет усилить приватность без использования about:config - с помощью кнопок "вкл/выкл" на отдельной странице):

https://addons.mozilla.org/ru/android/a … -settings/

Save/load Prefs
(экспортирует и импортирует все внутренние настройки браузера, включая изменения, внесенные пользователем):

https://addons.mozilla.org/ru/android/a … oad-prefs/

Примечание 1 : Как правило, все вышеперечисленное  - это т.н. "легковесные дополнения", чья работа заключается в переключении тех или иных установок в about:config.

Примечание 2: Я сознательно не привожу ссылки на дополнения, работающие по принципам AdBlock, uBlock и т.п., так как считаю, что они тормозят работу браузера.


Общий же принцип настройки дополнений заключается в следующем - чем больше опасного функционала блокируется пользователем, тем серьезнее становится его безопасность.  Перечисление степени угроз будет подробно приведено в моем следующем сообщении.

5. Параллельный проект по разработке браузера, основанного на исходном коде Mozilla, ведется на https://guardianproject.info/apps/ Однако описание данного программного обеспечения не является целью данного обзора.

Таким образом, пользователям предоставляется право самостоятельного выбора из вышеперечисленного.

ВАЖНО: Хочу заметить, что степень безопасности и приватности при использовании мобильных операционных систем ничтожно мала по умолчанию! И об этом необходимо постоянно помнить.


UPD: 27/02/16 - Продолжение см. чуть ниже!

Отредактировано Rosenfeld (27-02-2016 13:37:16)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№2715-02-2016 11:55:54

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Набросал обещанный анализ...

MOZILLA FIREFOX - ОСНОВНЫЕ УГРОЗЫ

- JavaScript, DOM-JavaScript

Опасность: Очень высокая. Критичная

Угрозы: Полная деанонимизация. Возможное вирусное заражение компьютера. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к любым пользовательским данным, включая похищение и использование логинов/паролей, перевод денежных средств, завладение/блокирование аккаунтов. Передача информации об ОС, браузере, дополнительных параметрах и настройках.

- Cookie

Очень высокая

Угрозы: Частичная/полная деанонимизация. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к авторизационным данным (логинам и пароля); завладение аккаунтами.

- Plugins, MarketPlace

Опасность: Высокая

Угрозы: Любые угрозы, связанные с множественными уязвимостями в сторонних плагинах; особенно это касается Java и Flash-плагинов.

- EME/DRM, Hello, Marketplace, Pocket, WebRTC, Social, Share, Capture/Cast

Опасность: Высокая

Угрозы: Любые угрозы, связанные с уязвимостями в сторонних службах и протоколах, особенно в проприетарных.

- Telemetry, Snippets, Crash-reporting, HeartBeat, Safebrowsing

Опасность: Выше средней

Угрозы: Определение настроек браузера, операционной системы. Массовая и неконтролируемая передача пользовательских метаданных, их последующее накапливание, обработка и анализ. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений пользователя.

- GEO: Geo-search, Geo-IP, Wi-Fi

Опасность: Выше средней

Угрозы: Определение местонахождения пользователя. Массовая и неконтролируемая передача пользовательских геоданных и метаданных, их последующее накапливание, обработка и анализ. Сопоставление геоданных с предпочтениями и действиями пользователя. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений и места пребывания пользователя.

- Workers

Опасность: Выше средней

Угрозы: Обеспечение механизма длительной фоновой обработки JavaScript (даже при закрытии приложения). Приложения, загружаемые с того или иного веб-ресурса, гипотетически могут привести к краху браузера или иной вредоносной активности. Неясна процедура получения прямого пользовательского согласия на выполнение подобных операций.

- SYNC

Опасность: Выше средней

Угрозы: Любые пользовательские данные, особенно закладки, логины-пароли, авторизационные cookie и т.п. должны храниться только на компьютере пользователя! Возможен несанкционированный доступ к критичным данным при передаче или хранении их на сторонних серверах; дальнейшая потеря любой информации, завладение аккаунтами, деанонимизация.

- E-Tag, HSTS

Опасность: Средняя

Угрозы: Частичная деанонимизация. Отслеживание пользовательской активности; накапливание, сопоставление и анализ метаданных.

- UA, Locale

Опасность: Средняя

Угрозы: Определение типа браузера, операционной системы и языковых предпочтений. Частичная деанонимизация. Гипотетическое распространение нежелательной рекламы исходя из языка пользователя.

- DNS-prefetching, Beacon, Predictor

Опасность: Средняя

Угрозы: Анализ активности пользователя и его предпочтений.

- Updates

Опасность: Средняя

Угрозы: Любые обновления могут скрытым образом внести в конфигурацию браузера новые (потенционально опасные или нежелательные) сервисы и службы; кроме того - обнулить или видоизменить предыдущие пользовательские настройки. Неконтролируемая отсылка телеметрии и метаданных к производителю.

- Personas/Canvas

Опасность: Средняя

Угрозы: Частичная деанонимизация; повторное опознание пользователя.

- Sessions, History, Cache, DOM-Cache

Опасность: Средняя

Угрозы: Данные, хранящиеся локально (офлайн), могут быть использованы повторно для опознания пользователя и его частичной деанонимизации. Данные истории, сессий, закладок (в случае завладения ими) могут предоставить атакующей стороне полную картину пользовательских интересов и веб-активности.

- Referers

Опасность: Ниже средней

Угрозы: Передача данных о предыдущей посещенной странице/ресурсе.


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№2815-02-2016 21:12:38

dimatambov
Участник
 
Группа: Members
Зарегистрирован: 18-03-2011
Сообщений: 126
UA: Firefox 43.0

Re: Разработка руководства по безопасности и приватности (предложения)

Согласен,что настройки about:config надёжнее, чем  дополнительные плагины непонятно кем написанные.
Для Firefox в качестве программы облегчающие копание в about:config  есть подрученые инструменты  это вышеуказанный Privacy Setting(опять плагин) и ConfigFox(внешняя программа, эту я ещё не смотрел). Когда компьютер один свой собственный, то можно сесть на версию ESR и раз в пару лет копаться при выходе новой версии.  Когда нужно устанавливать на большее количество компьютеров, хотелось бы иметь возможность автоматизировать как-то этот процесс, чтобы не пропустить важную настройку.
Только боюсь,что компания Мозилла, после того как их Гугл резко сократил их спонсорскую поддержку заразилась коррупцией и боюсь, что в about:config  может много через перенастраиваться по прежнему , но будет не работать или может уже не работает.   А мы тут ещё по прежнему думаем, что что-то под себя подстраиваем :)

Отсутствует

 

№2915-02-2016 21:22:08

FMRUser
Участник
 
Группа: Members
Зарегистрирован: 01-03-2014
Сообщений: 817
UA: Firefox 44.0
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

dimatambov пишет

и боюсь, что в about:config  может много через перенастраиваться по прежнему , но будет не работать или может уже не работает.   А мы тут ещё по прежнему думаем, что что-то под себя подстраиваем

С настройками да, какие то непонятки, в двух последних версиях начал замечать дубликаты настроек в greprefs.js и firefox.js, например:
dom.push.enabled
dom.serviceWorkers.enabled
dom.serviceWorkers.interception.enabled
network.manage-offline-status
..зачем? :rolleyes:

Отредактировано FMRUser (15-02-2016 21:22:34)

Отсутствует

 

№3015-02-2016 23:05:00

amin01
^_^
 
Группа: Members
Зарегистрирован: 26-10-2010
Сообщений: 932
UA: Firefox 37.0

Re: Разработка руководства по безопасности и приватности (предложения)

dimatambov пишет

Для Firefox в качестве программы облегчающие копание в about:config  есть подрученые инструменты  это вышеуказанный Privacy Setting(опять плагин) и ConfigFox(внешняя программа, эту я ещё не смотрел).

ConfigFox, согласен, удобная вещь. Не надо по вкладкам скакать как в: Configuration Mania Но её автор не часто делает обновления, общался с ним по этому поводу, говорит никто донат не кидает, не хочу делать ничего!(хотя может и сделаю если будет настроение) Так что поторопись :)

Отредактировано amin01 (15-02-2016 23:11:24)

Отсутствует

 

№3116-02-2016 00:06:37

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

dimatambov
FMRUser
amin01

У меня к вам огромная просьба. Пользователи, которые будут просматривать данную тему, придут сюда в надежде найти конкретные предложения по изменениям в about:config, выражающиеся в примерах.

Обсуждение же того, в чем лично ВАМ УДОБНЕЕ править about:config, выходит за рамки обозначенного диалога. Тем более, если речь идет о виндовой программе. Поэтому если у вас есть конкретные предложения по улучшению или изменению руководства, я всегда рад и благодарен их выслушать. А для обсуждения сторонних программ разумнее было бы завести новую тему.

***

[Внимание! Предлагаемые изменения в репозитории]

1. Описание: Анализ скрытых настроек, содержащих ссылки на сторонние ресурсы, сервисы и службы, работа с плагинами и т.п. Устранение подключений к сторонним ресурсам.

2. Существующая проблема с безопасностью и приватностью. Любая уязвимость, обнаруженная в стороннем плагине или протоколе, становится уязвимостью самого браузера

3. Меры по ее исправлению. См. ниже

4. Предлагаемая строка настройки с изменением. См. ниже

ПОДРОБНОСТИ (ПО РАЗДЕЛАМ РУКОВОДСТВА):

- INTERFACE

Благодарим за гостеприимство и безжалостно удаляем адрес "приветственной страницы":

startup.homepage_welcome_url=

- HELLO

Строка

loop.CSP=

содержит массу интересных сторонних ссылок на сайты, обеспечивающие сервис. В частности:

loop.CSP;default-src 'self' about: file: chrome:; img-src 'self' data: http://www.gravatar.com/ about: file: chrome:; font-src 'none'; connect-src wss://*.tokbox.com https://*.opentok.com https://*.tokbox.com wss://*.mozilla.com https://*.mozilla.org wss://*.mozaws.net; media-src blob:

Анализ содержимого:

http://www.gravatar.com/ [Цитата]: "Граватар - это картинка, которая следует за вами от сайта к сайту, появляясь при отправке комментария или записи в блог".

http://tokbox.com/ [Перевод]: Платформа WebRTC, которая позволяет встраивать "живое" видео и аудио на веб-страницы, в приложения для Android iOS. Это платный сервис (30-day trial).

[Для разъяснения]: wss:// - обращение по протоколу WebSocket.

Приводим строку к состоянию:

loop.CSP=

- PLUGINS

Удаляем ссылку на Marketplace (место, откуда нам предлагают абсолютно посторонние приложения):

dom.mozApps.signed_apps_installable_from=

Удаляем ссылку для обновления плагинов (речь идет именно о плагинах, а НЕ о дополнениях):

plugins.update.url=

Удаляем ссылку для поиска плагинов (plugin finder service):

pfs.datasource.url=

Две настройки активции плагинов, характерные только для Android:

media.plugins.enabled=false   (Android)
plugin.disable=true  (Android)

Две дополнительные настройки в DOM, связанные с плагинами или веб-компонентами:

dom.webcomponents.enabled=false
dom.ipc.plugins.enabled=false - UPD: виноват, с этим я уже разобрался ранее

- PROTOCOLS (HANDLERS)

Отключение обработчиков протоколов: необходимо очистить значения нижеприведеных строк. Это необязательный, т.е. опциональный пункт.

IRC

gecko.handlerService.schemes.irc.0.uriTemplate=https://www.mibbit.com/?url=%s
gecko.handlerService.schemes.ircs.0.uriTemplate=https://www.mibbit.com/?url=%s

[Перевод]: Mibbit.com - базирующийся на веб-технологиях клиент, который встраивается в современные браузеры и поддерживает Internet Relay Chat, Yahoo Messenger, Twitter. Использует ajax; GUI сделан на JavaScript.

RSS, MAILTO, WebCAL

Mail.ru

browser.contentHandlers.types.1.uri=http://www.rss2email.ru/?rss=%s
gecko.handlerService.schemes.mailto.1.uriTemplate=http://win.mail.ru/cgi-bin/sentmsg?mailto=%s

Gmail

gecko.handlerService.schemes.mailto.2.uriTemplate=https://mail.google.com/mail/?extsrc=mailto&url=%s

Yandex

browser.contentHandlers.types.0.uri=http://mail.yandex.ru/lenta/add?feed_url=%s
gecko.handlerService.schemes.mailto.0.uriTemplate=https://mail.yandex.ru/compose?mailto=%s
gecko.handlerService.schemes.webcal.0.uriTemplate=https://calendar.yandex.ru/importics.xml?ics=%s

Yahoo

browser.contentHandlers.types.2.uri=https://add.my.yahoo.com/rss?url=%s

- SNIPPETS

Удаление очередной порции шпионящих snippets-"обрывков" в мобильной версии браузера:

browser.snippets.enabled=false  (Android)
browser.snippets.syncPromo.enabled=false  (Android)
browser.snippets.geoUrl=  (Android)
browser.snippets.statsUrl=  (Android)
browser.snippets.updateUrl=  (Android)

- LOCALE

"Интеллектуальная" попытка определения необходимого набора локализованных шрифтов

Значение по умолчанию:

intl.charset.detector=ruprob

intl.charset.detector=chrome://global.locale/intl.properties  (Android)

Значения для различных языков:

http://www-archive.mozilla.org/projects … ardet.html

Уточнения и предупреждения:

https://developer.mozilla.org/en-US/doc … _encodings

Specifying the heuristic detection mode

The heuristic detection mode is specified by the preference intl.charset.detector in intl.properties. The setting must be left blank for all locales other than Russian, Ukrainian and Japanese. Do not under any circumstances specify the "universal" detector. It is not actually universal despite its name!

Exception for minority languages. If the localization is for minority language and the users are typically literate in the majority language of the region and read Web content written in the majority language very often, it is appropriate to specify the fallback encoding and the heuristic detection mode to be the same as for the localization for the majority language of the region. For example, for a localization for minority language in Russia, it is appropriate to copy the settings from the Russian localization.

В десктопной версии Firefox рекомендуется оставить поле пустым! Никогда не ставьте там значение "Universial"!

intl.charset.detector=

В мобильной версии Firefox не изменяйте это значение!


- HARDWARE

device.camera.enabled=false  (Android)

Отредактировано Rosenfeld (19-02-2016 05:55:41)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№3217-02-2016 09:08:30

dimatambov
Участник
 
Группа: Members
Зарегистрирован: 18-03-2011
Сообщений: 126
UA: Firefox 38.0

Re: Разработка руководства по безопасности и приватности (предложения)

1)Я так понимаю, что только часть возможных  настроек доступна в  about:config. Ещё некоторая часть там не отображается, хотя Firefox их использует в значениях по умолчанию и эти значения где-то внутри себя хранит. Эти значения по умолчанию могут сменится от версии к версии. Отсюда рождается несколько вопросов:
а)Как узнать все параметры, которые может изменить пользователь?
б) Может эти параметры лучше напрямую прописать в js файлах с настройками, чтобы Firefox (например, после обновления не мог поменять внутри себя поведение какой-либо дефолтной настройки).  Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он выполнится весь или выполнится, только до параметра javascript.enabled=false ? :)
в)Имеет ли смысл защищать средствами файловой системы файлы js с настройками? Неважно в Linux или Window. Защитить их от записи.

Ещё вопрос: с некоторых пор и Firefox и другие браузеры стали прописывать себя в исключениях брандмауэра. Следует ли их эти исключения оттуда убирать? Я так понимаю в первую очередь из-за WebRTC это было сделано, но раз WebRTC запрещать, то может и за правил файрвола следует убрать это исключение? Возможно в Линуксе это не критично и по умолчанию не прописано, но в Виндовс Фарефокс прописывает себя даже не спрашивая пользователя...

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Дошёл наконец-то сегодня  до построения собственного RosenFox браузера пройдя по руководству. Картинки с текущего сайта правда вернул permissions.default.image=3, уж слишком жестоко без картинок, как будто в далёкий 1994 год попал со всякими gopher и фтп:)
Плагины по поиску все не удаляются, обязательно одно остаётся, его можно удалить потом добавив из проекта другие поисковые сервисы.
Тест panopticlick  браузер всё равно не прошёл, (с включёным или включенным  javascript ), только первые две галочки. Причём даже установив Privacy Badger третья галочка не появилась. Хотя если в свежем Firefox  включить не отслеживать и поставить Privacy badger, то он проходит  три галочки. Цифровой отпечаток  я пока не одолел. tor эту галку сразу  проходит. Но только одну её.
В каталогах профиля  healtreport и кажется datareporting нашёл два файла, которые могут использоваться как уникальные идентификаторы браузера, в одном прописана дата установки с точностью до секунды, а в другом содержится некий уникальный идентификатор. Наверно после установки или пересоздания профиля лучше удалять эти файлы на всякий случай.
Ещё обнаружил в about:config несколько  оставшихся адресов вида *.mozilla.org и google.com, не стал долго разбираться за что они отвечают,  по параметрам , видно , что это опять какие-то сервисы для отсылки или получения каких-то данных и пользователю не сдались...

Ставил версию 38 ESR. Думал настроить и чтобы долго можно было пользоваться. Увеличения скорости из-за того, что перестал использоваться диск для кеширования страниц не обнаружил или он не заметен. В любом случае диск будет меньше изнашиваться . Кстати Worker уже есть в 38 версии ESR(в инструкции же пишется, что он появился  только в 44й версии).

При прохождении теста  EFF заметил следующую вещь.  По инструкции  блокируются автообновления страниц и редиректы. И при отключенном Javacript для прохождения теста нужно несколько раз нажимать Allow, чтобы тест дошёл до конца хотя бы и все редиректы эмулирующие переходы по нескольким сайтам разрешать. Но вот когда Javascript включён, то не приходится нажимать Allow, так как таких разрешений и не возникает - Javascript плюёт на эти запреты автообновления страниц и редиректы! Боюсь что включённый javascript  много на чего ещё плюёт, опасная очень технология!

Отредактировано dimatambov (18-02-2016 00:23:28)

Отсутствует

 

№3318-02-2016 09:23:14

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

хотя Firefox их использует в значениях по умолчанию и эти значения где-то внутри себя хранит

Откуда у вас создалось такое впечатление? Я не готов подтвердить такую информацию.

Может эти параметры лучше напрямую прописать в js файлах с настройками, чтобы Firefox (например, после обновления не мог поменять внутри себя поведение какой-либо дефолтной настройки).

1) В каких именно файлах "прописать"? 2) Какие именно "эти" параметры? О чем идет речь? Более того, ФФ может замечательнейшим образом перезаписать любые файлы при обновлении; именно поэтому в руководстве указано, что мы его (обновление) отключаем - раз и навсегда!

Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он выполнится весь или выполнится, только до параметра javascript.enabled=false

Вообще не понял вопрос. Совсем не понял.

Имеет ли смысл защищать средствами файловой системы файлы js с настройками? Неважно в Linux или Window. Защитить их от записи.

Зря вы написали слово "неважно". Как раз-таки разница между двумя операционными системами очень важна! Потому что в Linux в этом нет смысла (так как в правильно настроенной ОС опасность стороннего изменения настроек практически полностью отсутствует),  а вот в Windows - бессмысленно. Ибо в первом случае вы имеете систему, а во втором - система имеет вас. И защищать что-то от записи - абсолютно бесполезно.

уж слишком жестоко без картинок, как будто в далёкий 1994 год попал со всякими gopher

Напрасно вы так. :) Лично меня такая картина радует. А если б вы знали - сколько трафика экономится (особенно это критично для владельцев смартфонов с лимитированным интернетом). Да и Gopher - это отнюдь не "далекий 1994 год" - я, к примеру, до сих пор его использую.

Кстати, Gopher - это изумительная технология, предназначенная именно для работы - т.е. для хранения, поиска и чтения полезной информации (а не для разглядывания жесткого порно): четкая, прозрачная, структурированная. В отличие от HTML, CSS  и прочих непотребств - создавать странички для Gopher - одно удовольствие! А вот модные :) разработчики ФФ так не считают - и давным-давно вырезали его поддержку из браузера.

Но имеется одно хитрое расширение, которое вновь подключает этот замечательный протокол! А для Android - отдельное приложение:

https://addons.mozilla.org/en-US/firefo … verbiteff/
http://gopher.floodgap.com/overbite/d?android

Либо lynx - он специально под Gopher и сделан:

https://ru.wikipedia.org/wiki/Lynx

Ещё вопрос: с некоторых пор и Firefox и другие браузеры стали прописывать себя в исключениях брандмауэра.

Хотя этот вопрос абсолютно не по теме, но я все же отвечу.

А "с каких это пор" фаэрволлы вообще разрешают прикладным программа самостоятельно(!) - т.е. без участия пользователя - в своих настройках что-то прописывать? Если это так, то это - огромная дыра в безопасности, а не фаэрволл, и от него надо срочно отказываться!

Возможно, что вы немножко путаете: скорее всего, виндовый фаэрволл (кстати какой, их же много?) уже имеет какие-то предустановленные политики под общим названием "стандартные правила браузера". Вот это скорее ближе к истине.

Возможно в Линуксе это не критично и по умолчанию не прописано, но в Виндовс Фарефокс прописывает себя даже не спрашивая пользователя

В Linux вообще не могут быть такие вещи "прописаны по умолчанию". Ну а если в Windows такое происходит именно "не спрашивая пользователя"; то либо создатели фаэрволла окончательно обезумели и разрешают подобные опасные действия, либо на машине творится (без вашего ведома) какая-то нехорошая и нездоровая активность. Гадать не буду, разбирайтесь сами. Заодно бы, кстати, поинтересовались - а что именно написано в правиле(-ах), которые создал под себя ФФ: порты, направления, протоколы. Вы же любознательный :) - вот и взгляните.

Тест panopticlick  браузер всё равно не прошёл

Я уже ответил на эту тему немного выше.

Плагины по поиску все не удаляются, обязательно одно остаётся, его можно удалить потом добавив из проекта другие поисковые сервисы.

Я знаю. Так, похоже, было всегда.

healtreport и кажется datareporting

Я посмотрел профиль ФФ 38.х, настроенный под Windows в соответствии с моими рекомендациями. Там такая картина:

healtreport - пуст;
datareporting - каталог отсутствует;
crash reports - пуст.

В В Linux (RedHat) три каталога присутствуют, но они девственно пустые.

При прохождении теста  EFF заметил следующую вещь.  По инструкции  блокируются автообновления страниц и редиректы. И при отключенном Javacript для прохождения теста нужно несколько раз нажимать Allow, чтобы тест дошёл до конца хотя бы и все редиректы эмулирующие переходы по нескольким сайтам разрешать. Но вот когда Javascript включён, то не приходится нажимать Allow, так как таких разрешений и не возникает - Javascript плюёт на эти запреты автообновления страниц и редиректы! Боюсь что включённый javascript  много на чего ещё плюёт, опасная очень технология!

Я уже писал об этом ранее, когда упоминал о "прохождении теста" (дался вам этот тест! больше я вопросы о нем обсуждать не буду). В этом и есть весь смысл запретительных настроек, рекомендованных в моем руководстве: не дать злонамеренному сайту куда-то вас (без личного разрешения) перекинуть. Ну а поскольку вы сами жмете (причем несколько раз подряд!) на "разрешить", "разрешить" и так далее - то грех обижаться на кого-то еще. :)

Отредактировано Rosenfeld (18-02-2016 09:52:55)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№3419-02-2016 05:52:56

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Прошу прощения, забыл ответить. Так давно все выпущено; лежит на Gopher... Кстати, возвращаясь к нему: вот как там всё пристойно, упорядоченно и кошерно выглядит (см. под спойлером). И напрасно вы считаете, что Gopher - это что-то кондовое и без графики: неприличные картинки в нем, кстати, можно запросто смотреть:

скрытый текст
https://diasp.org/uploads/images/scaled … 5ed8db.png

https://diasp.org/uploads/images/scaled … 066cb0.png

https://diasp.org/uploads/images/scaled … 322ee6.png (если кто не узнал - это известный хулиган и отъявленный матерщинник Линус Торвальдс - во время произнесения своей краткой, но экспрессивной речи о некоторых качествах и особенностях Nvidia) :)


Вот почему (возвращаемся к настройкам Firefox) в моем представлении сетевой мир ДОЛЖЕН вглядеть именно ТАК! :) Без рекламы, без скриптов, кукиз, без шпионской дряни. Без б-гомерзкого flash!  Технология лицензирована под свободной GNU GPL... Просмотр графики в Gopher доступен; размещение любого типа контента - от HTML, PDF, звука и до бинарных файлов - тоже. Имеется поисковая машина с ласковым названием "Вероника".

И вы даже не можете себе представить, насколько, используя "суслика", т.е. Gopher,  конечный пользователь выигрывает в безопасности. Ровно на СТО ПРОЦЕНТОВ... И при этом вам не нужно изучать и применять ни HTML, ни CSS... Это ж вам не World Wide Web :)

Отредактировано Rosenfeld (19-02-2016 07:02:38)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№3519-02-2016 13:45:17

dimatambov
Участник
 
Группа: Members
Зарегистрирован: 18-03-2011
Сообщений: 126
UA: IE 8.0

Re: Разработка руководства по безопасности и приватности (предложения)

Убираю первый раз в жизни под спойлер своё  большое  сообщение, чтобы не загромаждать тему. Надеюсь всё же, что его кто-то раскроет и прочтёт :)

скрытый текст
В данном тесте panoptclick(опять к нему вернёмся, чуть ниже я надеюсь разъясню почему  он мне кажется важным, но больше я о нём вспоминать не буду, раз это не в тему)переходы между сайтами просто эмуляция брожения пользователя по Интернету.   То,  есть для браузера это обычная  работа, а некакой-то исcкуственный тест. То есть, редиректы там только для того, чтобы за пользователя нажать какие-то ссылки на сайте, а не объяснять ему куда надо нажимать и куда нет в длинных инструкциях. Куки разрешать не обязательно было, тест всё равно бы завершился(на сами галочки они  не влияют), только в подробностях в таком случае было написано, что обычные куки выключены. Включение -отключени кук мало влияет на уникальность отпечатка браузера.  По тесту https://amiunique.org у 20 %  браузеров отключены куки.
Тест Panopticlick немного о другом, он мне кажется не проверяет включена ли вообще в  вашем  браузере галочка "не  отслеживать" или нет, так как в EFF понимают, что рекламным компаниям на эту галочку наплевать . Тест как раз проверяет есть  ли в вашем браузере настройки или средства, которые в не зависомомсти от этой галочки DoNotTrack не дадут  рекламным  компаниям отследить  вас в Интернете и им не обязательно показывать вам рекламу, даже если вы отключили картинки им будет  достаточно, что они могут собирать о вас информацию через тот же уникальный "отпечаток браузера+ip+время выхода в сеть+ и тп" . То есть, если такие средства есть, то галочка будет зелёная, а если нет, то ораньжевая. Но наличие этой галочки просто влияет на поведение других программ и настроек.
Для изучения пользователей Интернет у рекламных компаний расставленны тысяч или даже миллионы ловушек (через договора с  владельцами сайтов о показе на них рекламы). Тест как бы и показывает много ли будут знать о ваших предпочтениях и поведении  в сети эти третьи компании после анализа данных полученных с этих миллионов ловушек. Пока проект RosenFox нацелен на борьбу с  одним сайтом на котором сидит ( и отсылкой телеметрии на сайты Google и Mozilla), браузер всё равно остаётся уникальным, так  как прочитав инструкцию сегодня и настроив браузер я буду уникальным  своих настроек и с учётом IP. А проект меняется и тот  кто перенастроит завтра  по обновлённой инструкции свой браузер тоже останется опять уникальным, так как инструкция  изменится. Браузер остаётся уникальным,  даже если предполагать  что сайты по которым ходит пользователь сами не отсылают свою  статистику на сайты этих рекламных компаний, что в целом будет неверно. Многие эти рекламные компаний имеют хостинги,  оказывают спонсорскую поддержку(например как Яндекс этому сайту mozilla-russia.org).  То есть, Яндекс знает с какого Ip вы  сидите на форуме, что и где о чём пишете, а с учётом того, что сайты ЯНдекса не заканчиваются на этом сайте сбор информации о вас всё  равно будет происходить...Есть куча сайтов типа народ.ру, которые немало статистики собирают о предпочтениях  пользвоателей своим разным контентом... То есть, если отсказаться от некоторого количества преположений приватности я всё равно не достигаю в случае даже если всё сделаю по инструкции проекта RosenFox. И тем более не  достигаю, если ещё одно преположение убрать из своей головы, что мой провайдер Интернет не просто  продал Интернет по паспорту  на  месяц , а он для того и паспорт спросил, чтобы потом однозначно сопоставить данные, которые он накапливает о  пользователях  с конкретным лицом.  Поэтому и госдума убирает все лазейки, чтобы кроме как по паспорту выйти в ИНтернет было запрещено, типа чтобы даже на домашнем wi-fi стоял обязательно пароль. Хорошо,что они пока не запрещают сделать пароль совпадающий в названием (SSID) сети. Если вспомнить о провайдере, то от приватности вообще ничего не останется, а у провайдера  останутся dns запросы пользователя и незашифрованный трафик пользователя и ip куда он ходил шифруя трафик. Да, с настройками  по RosenFox проекту браузер Firefox становится более безопасным и более приватным (я с этим не спорю, и был рад увидеть такое количество  нужных настроек,да и ещё с разъяснениями и постоянным обновлением в одном постоянном месте!), но цель пока не достигается, даже без  оглядок на провайдеров и владельцев сайтов.Так как, если я прошёлся по 5 сайтам где расставлены ловушки Яндекса, и Яндекс  видит, я таким то уникальным браузером по ним прошёлся то он немного меня изучил, то в следующий раз как только будет  возможность  показать мне что-либо, он покажет или выдаст результы поиска, те, которые мне больше всего подойдут. Можно  пустить через прокси запросы браузера или VPN, но уникальность цифрового отпечатка браузера при этом останется. Сделать свой  браузер менее уникальным можно либо через выпуск релизов такого браузера, либо через утилиту, которая сделает из любого  свежеустановленного Firefoxа Rosenfox. И тогда будет более безопасным, если опять же забыть про ДНС провайдера и СОРМ  установленный у этого провайдера. Победить dns провайдера  открытый трафик можно только через использование ТОР сети или Тор  Браузера. А лучше,чтобы провайдер и вообще не знал,что я подключен к сети, выходил в неё  или что у меня вообще есть  устройство для выхода в сеть :) Так что тест хороший мне кажется, потому что позволяет увидеть куда двигаться таким проектам  как RosenFox, Tor, IceCat. 
Теперь вернёмся к проекту RosenFox
Когда я говорил про параметры отсутствующий в about:config я вот что имел ввиду. Например строка general.useragent.override  отсутсвует по умолчанию в about:config, то этот параметр внутри Мозиллы существует и используется для отсылки каждому  посешённому сайту. А что этот парамерт один такой, который не показывается в About:config, но внутри Мозиллы он есть и  используется? Вот я и спршиваю как узнать обо всех параметрах Firefox, которые могут быть добавлены в about:config? Таких  параметров может тысячи, или сотни. Не лучше ли эти параметры прописать напрямую в файлы prefs.js ? Потому что не факт , что  по какому-то дуновению ветра из Интернет поведение этих скрытых параметров может изменится, если они явно не прописаны. Боюсь  , что при такой политике фонда Мозиллы(нацеленной на неприватность и безопасность пользователя) , даже те параметры, которые  прописывает пользователь во всяких стартовых файлах JS могут периодически менятся.
Утилита по усилению приватности браузеров на компьютере должна быть более широкой -затрагивать и ОС и  другие приложения.  надеюсь в ближайшее время появится такой опенсурсный проект.   Выставить некие параметры безопасности мало, нужно их ещё и  проверять тем же анализатором трафика(лучше под Линукс), который будет видеть весь трафик исходящий от компьютера или  планшета и блочить ненужный трафик! Только в таком случае компьютеры или планшеты быстро опухнут от хранящихся на них данных  и переполнятся :).
Что касается "Кстати  ещё один попутный вопрос, если я ставлю в файл с расширением js выключить выполнение javascript, то он  выполнится весь или выполнится, только до параметра javascript.enabled=false"
Firefox при старте читает настройки из файла с расширением js(prefs.js, users.js), то есть стандартного расширения для  javascript файлов. Преположим, что он всё выполняет из этого файла,а  построчно. Вот когда Фарефокс дойдёт до строчки  javascript.enabled=false, должен ли он будет дальше исполнять этот файл js, если поступила команда из файла настроек,  отключить JavaScript?Я к чему это пошутил, что боюсь, что блок ответсвенный за исполнение Javascript в самом браузере не  выключается!  Интересно поддержку Javascript  можно выдрать полностью при сборке мозиллы из исходников? Я несколько лет назад  пробовал её(на относительно слабом сервере) собирать, после 3 часов сборки остановил процесс сборки...

ПОнятно, что в идеале браузер должен запросить страничку HTML и отобразить только картинки с этого же сайта(ну или вовсе без  картинок, никаких скриптов следящих за действиями пользователя или собирающим информацию об ОС,плагинах wifi и тем более  картинок с других сайтов  в принципе не допускается. А HTML не должен содержать  всяких фреймов ведущих на другие сайты.  RosenFox кстати тестировался на старые добрые фреймы? А анализатор я поставлю, в стелс режиме. Вообще такие  стелс  анализаторы-фареволлы со встроенным  wifi должны быть у всех кто думает о своей безопасности. Стелс это те, которые с тремя  езернет портами, первые два используятся для установки этого анализатора в разрыв витой пары, но на этих двух портах нет у  анализатора IP, и он в режиме бриджа пакетов  перекидывает пакеты на другой интерфейс, если только они удовлетворяют правилам  брандмауэра . Это и есть стелс режим - можно ставить в любое место сети такой брандмауэр -атаковать его невозможно, так как  нет IP.  А вот третий порт эзернет служит как раз для настройки этого стелс-брандмауэра и мониторинга пакетов.
Подходит какой-нибудь опенсурсе роутер для этого в 5 портами или микрокомпьютер  двумя езернет портами и с возможностью  подключения монитора и клавиатуры  с мышью.

Насчёт "Зря вы написали слово "неважно". Как раз-таки разница между двумя операционными системами очень важна! Потому что в  Linux в этом нет смысла (так как в правильно настроенной ОС опасность стороннего изменения настроек практически полностью  отсутствует),  а вот в Windows - бессмысленно."
Построение доверительной среды внутри компьютера на сегодняшней день проблематично и не важно Линукс, это или Виндовс.
Откуда Вы знаете, что скачанный образ Iso для установки скачан именно с того сайта?
Откуда знаете, что этот образ диска именно тот, который  сделали разработчики? Откуда знаете, что разработчики собрали именно  тот образ, который собирались выпустить ?
Откуда знаете, что записали на диск именно тот образ, который скачали ?
Откуда знаете, что установили ОС на компьютер , а не на одну из его виртуальных машин?
Откуда знаете, что можно доверять Биосу вашей материнской платы?
Откуда знаете, что утилита для проверки hashсуммы iso образа не подделана?
Откуда знаете, что DNS вашего провайдера прислал вам нужный ip-шник?
А если вы используете для dns проверку dnssec, то откуда знаете,  что в ваши доверенные центры сертификации не попал случаной  какой-либо левый УЦ? Или так ли уж можно доверять тем  сертификатам, которые выданы всеми теми УЦ, которые находятся в   доверенных на вашем компе. Например тем, которые хранятся в хранилище сертификатов того же Firefox в Линуксе? Про Виндовс тут  вообще уже молчок...
Проблема  построения доверительной среды даже  на отдельном компьютере это проблема :)
Нельзя также гарантировать, что взяв бинарник даже открытой программы, и изменив что-то в его настройках получить гарантии  безопасной программы. Ко многим открытым программам инструкции как собрать на Виндовс очень плохо  и расплывчато написаны,  возможно потому что бинарники на виндовс содержат закладки. Тем более при сборке официальных файлов используется  закрытые  ключи фонда Мозиллы, которых у вас нет. То есть получить такой же "экзешник" с той же хешсуммой, что выложен на сайте  mozilla.org я в принципе не могу после сборки из исходников...Асолютно те же самые проблемы и в Линукс и других ОС.
Мне также хотелось бы увидеть в этой инструкции как перенастроить Firefox на ту же  TOR сеть , так как это защищает и от прослушки  провайдером  незашифрованного трафика  и отслеживания ДНС запросов опять же этим же провайдером. Ну или хотя бы уведомление, что настроенный таким образом Фарефокс  при таких -то преположениях(СОРМ, днс) всё равно не станет приватным.

Отсутствует

 

№3619-02-2016 14:20:37

dimatambov
Участник
 
Группа: Members
Зарегистрирован: 18-03-2011
Сообщений: 126
UA: IE 8.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

Ещё я вот не нашёл в репозитории документ в виде PDF(написано, что 50 страниц в формате PDF руководство занимает). Есть ли такой в природе? Можете  такой  PDF выпустить?

Прошу прощения, забыл ответить. Так давно все выпущено; лежит на Gopher... Кстати, возвращаясь к нему: вот как там всё пристойно, упорядоченно и кошерно выглядит (см. под спойлером). И напрасно вы считаете, что Gopher - это что-то кондовое и без графики: неприличные картинки в нем, кстати, можно запросто смотреть:

скрытый текст
https://diasp.org/uploads/images/scaled … 5ed8db.png

https://diasp.org/uploads/images/scaled … 066cb0.png

https://diasp.org/uploads/images/scaled … 322ee6.png (если кто не узнал - это известный хулиган и отъявленный матерщинник Линус Торвальдс - во время произнесения своей краткой, но экспрессивной речи о некоторых качествах и особенностях Nvidia) :)


Вот почему (возвращаемся к настройкам Firefox) в моем представлении сетевой мир ДОЛЖЕН вглядеть именно ТАК! :) Без рекламы, без скриптов, кукиз, без шпионской дряни. Без б-гомерзкого flash!  Технология лицензирована под свободной GNU GPL... Просмотр графики в Gopher доступен; размещение любого типа контента - от HTML, PDF, звука и до бинарных файлов - тоже. Имеется поисковая машина с ласковым названием "Вероника".

И вы даже не можете себе представить, насколько, используя "суслика", т.е. Gopher,  конечный пользователь выигрывает в безопасности. Ровно на СТО ПРОЦЕНТОВ... И при этом вам не нужно изучать и применять ни HTML, ни CSS... Это ж вам не World Wide Web :)

Я думал, что под гуфер нет давно сайтов. А какой интересно сервер используется для этого протокола?  Есть он по Линукс?
Плагин OverbiteFF установил, руководство нашёл, 32 страницы всего в PDF версии, а не 50 :) Жаль, что Вероника не знает ничего про RosenFox .Пришлось делать другие запросы, чтобы найти документ.
Никто не думал, при зарождении Wеbа то что он превратится в техновакханалию, а то никогда не бросили gopher. С другой стороны TCP никуда не делся за эти двадцать лет и RFC  на него тоже, может что-то просто нужно поправить, чтобы работало.
Интересно  обычные  поисковые системы индексируют gopher сервера? Вижу начали русскоязычный документ по selinux. Тоже нужная вещь!

Можно ли выложить куда-нибудь(gopher или веб) файлы с настройками  Фарефокс под Линукс или виндовс которые прохноодят тест eff?Только скажите какая это версия браузера и его разрядность.  Или как вариант целиком всю папку Firefox.   Возможно поведение  одной и той же версий под Линукс и Виндовс  отличается в плане приватности, или в версии под Виндовс больше закладок :)

Нашёл сервер для gopher под названием  motsognir(он до сих пор обновляется), скомпилировал его и он даже запустился "This directory is empty."
Надо будет попробовать что-нибудь положить туда :)

Отредактировано dimatambov (19-02-2016 14:44:52)

Отсутствует

 

№3719-02-2016 15:46:25

dimatambov
Участник
 
Группа: Members
Зарегистрирован: 18-03-2011
Сообщений: 126
UA: IE 8.0

Re: Разработка руководства по безопасности и приватности (предложения)

Ещё  важный довод   бы в защиту отключения обновлений и отсылки  всяких данных на сайты Мозиллы.
Большая проблема в том, что Мозилла не просто выпускает периодически новые версии браузера,  и потом обновляет его, но и после установки собирает данные о производительности вашего  конкретного браузера и потом присылает лично вам изменения, которые  изменят, перенастроят  поведение именно этого конкретного браузера!
Вот прям на сайте Мозиллы об этом написано:
https://www.mozilla.org/ru/privacy/firefox/
"Отчет о работоспособности Firefox (FHR) позволяет получить представление о стабильности и производительности браузера, а также воспользоваться рекомендациями службы поддержки, если у вас возникают такие проблемы, как частые падения браузераили замедление запуска. Mozilla собирает ваши данные, группирует их с данными других пользователей Firefox и отправляет данные обратно в ваш браузер. В результате этого вы сможете увидеть, как производительность вашего браузера Firefox меняется с течением времени. Эти данные включают, в частности: информацию об аппаратной части устройства, операционной системе, версии Firefox, дополнениях (числе и типе), времени наступления событий браузера, рендеринге, восстановлении сессий, продолжительности сессий, возрасте профиля, числе падений и числе страниц. В отчете о работоспособности Firefox корпорации Mozilla не сообщаются веб-адреса, которые вы посещаете."

Так что и автоматическое обновление браузера ЗЛО(лучше сидеть на  корпоративной версии  Firefox ESR https://www.mozilla.org/firefox/organizations/) и не отключение отсылки всяких рапортов  о здравии, производительности и прочей телеметрии не меньшее ЗЛО.
Вы сидите настраиваете  новый Фарефокс как вам надо полчаса, а завтра МОзила Фундешен пришлёт вам новые настройки вы о них ничего не узнате... будете думать что работаете с вашими настройками

Ещё инструкцию  по RosenFox можно было бы сделать короче: " убрать все ссылки на любые url", которые есть в about:config  и файлах js( и не только мозиллы и гугл) . Нечего им там делать! Заодно это убавило количество ошибок при добавлении настроек вручную или вдруг что инструкция пропустила!

Отредактировано dimatambov (19-02-2016 16:24:34)

Отсутствует

 

№3819-02-2016 16:03:06

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Хм. Это, конечно, замечательно, что вы так интересуетесь вопросами обеспечения собственной безопасности. Но я, когда открывал основную тему в FAQ'е форума, сразу предупредил, что не собираюсь вступать в длительное обсуждение нужности/ненужности тех или иных подходов; поэтому здесь изначально предполагалась дискуссия о включении тех или иных настроек в общее руководство. И не более  того.

Ну а с глобальными подходами, типа как у вас, лучше обращаться на узкоспециализированные форумы по ИБ. К тому же, пожалейте мои глаза, мое время и рассудок. :)

Поэтому буду максимально краток.

Пока проект RosenFox нацелен на борьбу с  одним сайтом

1. Я не понимаю, о чем идет речь. Ибо проект RosenFox настроен (в первейшую очередь) исключительно на одну задачу - борьбу с пользовательской неграмотностью! Ну и с их глупостью. :) Точка.

Для изучения пользователей Интернет у рекламных компаний расставленны тысяч или даже миллионы ловушек

2. Я не понимаю, о каких "миллионах ловушек" вы упоминаете. Да, они несомненно существуют, эксплуатируются, но упираются в одни и те же стандартные технологии - кукиз, скрипты, определение UA, IP и т.д. Ну а правильно(!) настроенная операционная система с правильно(!) настроенным браузером просто не попадает в такие ловушки. Почему? Да потому что этим сайтам попросту не отдается никакая информация. Подчеркиваю: ни-ка-ка-я!

Ну а то, что какой-то там левый сторонний рекламный сайт вдруг запомнит мой уникальный цифровой отпечаток (не такой он уж, кстати, "уникальный") и когда-то там попытается продемонстрировать мне рекламу, меня абсолютно не волнует: эта реклама попросту до меня не дойдет, т.е. я ее не увижу.

Яндекс знает с какого Ip вы  сидите на форуме, что и где о чём пишете, а с учётом того, что сайты ЯНдекса не заканчиваются на этом сайте сбор информации о вас всё  равно будет происходить. (...) если я прошёлся по 5 сайтам где расставлены ловушки Яндекса, то в следующий раз как только будет  возможность  показать мне что-либо, он покажет или выдаст результы поиска, те, которые мне больше всего подойдут.

3. А КГБ знает? А ЦРУ? ... Я не понимаю, о чем вы сейчас. В моем конкретном случае все вышеперечисленное не выполняется; см. п.2.

UPD: Тем более, я практически не пользуюсь ни Яндексом, ни Гуглом. Для меня они не проблема. Равно как и реклама.

если опять же забыть про ДНС провайдера и СОРМ  установленный у этого провайдера. Победить dns провайдера  открытый трафик можно только через использование ТОР сети или Тор  Браузера.

4. Нет, вы не правы. И определение "только" здесь не подходит. При стечении некоторых обстоятельств провайдер не видит не только конкретные DNS-запросы, но и сам факт обращения к DNS-серверам - БЕЗ какого-либо применения "луковичных" технологий.

А что этот парамерт один такой, который не показывается в About:config, но внутри Мозиллы он есть и  используется? Вот я и спршиваю как узнать обо всех параметрах Firefox, которые могут быть добавлены в about:config?

5. Лучше всего - напишите разработчикам в MoFo и попросите поделиться списком. Или спросите у администраторов форума. Больше вариантов ответа у меня нет.

Построение доверительной среды внутри компьютера на сегодняшней день проблематично и не важно Линукс, это или Виндовс.

6. Несомненно! Только важно не только об этом заявлять, но и что-то делать. :) Для начала - хотя бы перейдите с Windows на Linux. А иначе вы сейчас уподобляетесь человеку, у которого нашли СПИД вместе с сифилисом и триппером, а он тщательно полирует зубы и залечивает мельчайшие прыщики на лице, попутно глобально разглагольствуя о необходимости полового воздержания и личной гигиены. :) Ничего личного, не обижайтесь; это просто такой пример.

Откуда Вы знаете, что скачанный образ Iso для установки скачан именно с того сайта?
Откуда знаете, что этот образ диска именно тот, который  сделали разработчики? Откуда знаете, что разработчики собрали именно  тот образ, который собирались выпустить ?
Откуда знаете, что записали на диск именно тот образ, который скачали ?
Откуда знаете, что установили ОС на компьютер , а не на одну из его виртуальных машин?

7. Я продолжу предлагаемый логический ряд (с вашего позволения):

Откуда вы знаете, что вы человек, а не инопланетянин? ... Чем докажете?
Откуда вы знаете, что живете на геоиде, а не на плоскости, покоящейся на трех китах и черепахе?
Откуда вы знаете, что ваша мама - ваша родная мама? И что она - вообще мама, а не чужой и похотливый дядя?
Откуда вы знаете, что ваша любимая бабушка - бабушка, а не серый волк? ... Опять же: чем докажете?
Откуда вы знаете, что все вокруг происходит на самом деле, а не является иллюзией? А что если на самом-то деле вы живете в "матрице", а злые нехорошие роботы высасывают из вас питательные соки и прочий мозг?

... Лично мне кажется, что подобный подход развивает не критическое мышление ума, а личную паранойю... Не находите? :)

Если вспомнить о провайдере, то от приватности вообще ничего не останется, а у провайдера  останутся dns запросы пользователя и незашифрованный трафик пользователя и ip куда он ходил шифруя трафик.

8. Какое-то недопонимание у вас сложилось, прошу меня извинить за констатацию. При соблюдении определенных условий :) у провайдера не остается: а) DNS-запросов; б) "незашифрованного трафика"; в) IP, "куда он ходил"

... Вы сейчас самого себя запугиваете или посетителей форума? :)

А если вы используете для dns проверку dnssec, то откуда знаете,  что в ваши доверенные центры сертификации не попал случаной  какой-либо левый УЦ?

9. Я использую другие механизмы для работы с DNS, поэтому данный пример меня интересует крайне мало.

Мне также хотелось бы увидеть в этой инструкции как перенастроить Firefox на ту же  TOR сеть , так как это защищает и от прослушки  провайдером  незашифрованного трафика  и отслеживания ДНС запросов опять же этим же провайдером.

10. Это весьма похвально, что у вас есть такое желание. Однако, как говорилось в одном старом советском фильме, "не всегда ваши желания совпадают с вашими возможностями". :)

Откуда вы вообще почерпнули такую идею, что я - в заявленных ранее рамках обсуждения внутренних настроек Firefox - попутно обязался читать еще и общедоступные лекции по "перенастройке" браузера на ту или иную сеть? Или - обязан выкладывать здесь другие свои руководства?

Тем более, что: а) такой документацией (в том числе - и официальной) заполнен весь интернет; б) в моем руководстве ИМЕЮТСЯ вполне конкретные указания на то, как обеспечить работу браузера с промежуточными серверами... Не увидели? Ну тогда это уже не мои проблемы.

В мире Linux, если честно, не очень любят людей, которые сидят с открытым ртом и ждут, когда в него положат очередную ложку вкусной каши, а потом еще и вытрут салфеткой; а обычно отправляют либо читать официальные man'ы, либо прямиком - в Google. Даже целая аббревиатура такая есть: RTFM. Слыхали? :)

Утилита по усилению приватности браузеров на компьютере должна быть более широкой -затрагивать и ОС и  другие приложения.

11. Насколько я помню, я уже упоминал ранее про любителей "большой зеленой кнопки" под названием "СДЕЛАЙТЕ МНЕ ФСЁ ЗАШИБИСЬ!"... Но вот только я, к моему глубочайшему сожалению, не вхожу в число ее разработчиков, потому что отдаю себе здравый отчет: проблема не в кнопке, а в "прослойке, находящейся между клавиатурой и креслом".

32 страницы всего в PDF версии, а не 50

12. Не знаю, что именно вы нашли. В файле - 56 страниц формата А4. И лежит он на самом видном месте. И ссылка на файл видна на первой же иллюстрации (см. выше).

Ещё  важный довод   бы в защиту отключения обновлений и отсылки  всяких данных на сайты Мозиллы.  (...) Вы сидите настраиваете  новый Фарефокс как вам надо полчаса, а завтра МОзила Фундешен пришлёт вам новые настройки вы о них ничего не узнате... будете думать что работаете с вашими настройками

Большая проблема в том, что Мозилла не просто выпускает периодически новые версии браузера,  и потом обновляет его, но и после установки собирает данные о производительности вашего  конкретного браузера и потом присылает лично вам изменения, которые  изменят, перенастроят  поведение именно этого конкретного браузера!

13. Вы мне прямо целый мир открыли этим своим откровением! :)

Скажите, вы в состоянии читать информацию и понимать прочитанное? Вы случайно не обращали внимания на сразу НЕСКОЛЬКО больших подразделов в руководстве, целиком посвященных ОТКЛЮЧЕНИЮ любых ОБНОВЛЕНИЙ и ЗАПРЕТУ ОТСЫЛКИ ТЕЛЕМЕТРИИ?

UPDATES: BROWSER, PERSONAS, SEARCH PLUGINS
UPDATES: ADDONS
TELEMETRY
TELEMETRY: EXPERIMENTS
HEALTH REPORT

Нет?

P.S. Помимо прочего, лично мне СОВСЕМ НЕТ нужды запрещать обновление браузера средствами самого браузера. Это не винда - здесь осуществляется глобальный запрет на обновление того или иного пакета системными средствами yum.

Отредактировано Rosenfeld (19-02-2016 16:57:30)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№3927-02-2016 14:03:54

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

IceCat для Android

Я тут совсем недавно допустил ошибку, когда писал вот этот краткий обзор: https://forum.mozilla-russia.org/viewto … 74#p707674

Дело в том, что практически год назад как-то абсолютно тихонько и незаметно был выпущен IceCat для Android!  А это, на самом-то деле, очень и очень большое событие. Меня в любом случае радует деятельность FSF, которая стала последовательно вычищать все ESR-сборки Firefox от ненужного  и небезопасного кода; а теперь сделан и еще один шаг вперед - этот проект распространился на мобильные системы.

Если честно, сам я его прозевал (вот что значит надеяться только на RSS-новости и "вручную" не ходить по FTP!) :)
Первое сообщение, оказывается, было еще о версии 31.5:

https://savannah.gnu.org/forum/forum.php?forum_id=8233

Вот краткое описание процесса сборки:

https://gitlab.com/chatch/fdroiddata/bl … icecat.txt

Несколько дней назад на хостинге свободных программ F-Droid была открыта соответствующая ветка, но вскоре она была удалена. Как я понял из обсуждения на форуме - https://f-droid.org/forums/topic/gnuzilla-and-icecat/, модератор ответил так:

We don’t upload packages, we build them from source.

- т.е. для размещения и для их "гарантии":

This version is built and signed by F-Droid, and guaranteed to correspond to the source tarball below.

требуется сборка их собственными средствами, а не просто ссылка на чужой бинарник).

Готовые установочные файлы для архитектуры ARM  находятся на FTP фициального сайта GNU:

https://ftp.gnu.org/gnu/gnuzilla/

P.S. Лично я буду ставить себе версию 31.8, а не последующие: слишком уж много неведомой фигни напихали в бедный браузер модные разработчики из MoFo с того времени! Ну и хорошенько пройдусь по настройкам.

Отредактировано Rosenfeld (27-02-2016 15:33:29)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№4027-02-2016 16:49:52

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

UPD: Попутно сделан анализ на лицензионную чистоту дополнений для Fennec (Android), которые предлагались мною ранее в данной теме.

CleanQuit
GNU General Public License, version 2.0

Cookie Whitelist for Fennec
GNU General Public License, version 2.0

HTTPS-Everywhere
GNU General Public License, version 3.0

Toggle JavaSript Enabled
BSD License

Phony
Mozilla Public License Version 1.1

Mobile Image Blocker
Mozilla Public License, version 2.0

HTML5 video Everywhere
Mozilla Public License, version 2.0

Privacy settings
Mozilla Public License, version 2.0

Save/load Prefs
GNU General Public License, version 2.0

PrохуМоb
Лицензия не определена. Разработчик (известная организация, занимающаяся выпуском свободного программного обеспечения в области безопасности коммуникаций) - Guardian Project - отказался от поддержки Firefox по следующим причинам:

We no longer promote the user of Firefox with add-ons, as the solution can be insecure still and easily misconfigured.

Smart Referer
WTFPL - это, похоже, моя самая любимая свободная (правда - не GPL-совместимая) лицензия, :) ее полный текст см. под спойлером:

скрытый текст
DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE
                    Version 2, December 2004

Everyone is permitted to copy and distribute verbatim or modified
copies of this license document, and changing it is allowed as long
as the name is changed.

            DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE
   TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

  0. You just DO WHAT THE FUCK YOU WANT TO.

Отредактировано Rosenfeld (27-02-2016 16:51:53)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№4103-03-2016 10:27:06

sufakan
Участник
 
Группа: Members
Зарегистрирован: 25-12-2015
Сообщений: 74
UA: Chrome 48.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld
Поясните пожалуйста. Может я ошибаюсь, но Fennec уже долгое время не поддерживается и не обновляется (по вашей же ссылке на F-Droid - пусто). А значит на него действуют эксплоиты.
И перед пользователем стоит выбор. Либо использовать браузер не подверженный сборам статистики, либо браузер защищенный от вирусов + сбор статистики этими вирусами.
И я думаю выбор тут только один.

Ещё огромная проблема при установке Fennec на множество смартфонов без root - необходимость вручную устанавливать настройки, так как доступа к профилю нет. Это очень заморочно. Хотя существуют дополнения для удобной настройки приватности, но они не охватывают все настройки.

Добавлено 03-03-2016 10:34:19

Rosenfeld пишет

модератор ответил так:

Rosenfeld пишет

требуется сборка их собственными средствами, а не просто ссылка на чужой бинарник).

Хочу заметить, что лично я больше доверяю разработчикам IceCat чем F-Droid. Приложения в F-Droid очень сильно запаздывают, на форуме разработчика GhostCommander вообще выяснилось, что его плагины для WebDav они просто не осилили собрать сами и не добавили в репозиторий потому что:

"мы собрали, но оно у нас как-то глючит"

а на предложение автора помочь в сборке - просто не ответили

Я тут накидал списочек для настройки Firefox под Android на удобство https://gist.github.com/anonymous/03686fa61848855b3832

Отредактировано sufakan (03-03-2016 10:48:31)

Отсутствует

 

№4203-03-2016 12:20:34

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Поясните пожалуйста. Может я ошибаюсь, но Fennec уже долгое время не поддерживается и не обновляется (по вашей же ссылке на F-Droid - пусто). А значит на него действуют эксплоиты.
И перед пользователем стоит выбор. Либо использовать браузер не подверженный сборам статистики, либо браузер защищенный от вирусов + сбор статистики этими вирусами.
И я думаю выбор тут только один.

М-м-м... я даже и не знаю, что вам ответить. Видите ли в чем дело - меня за последние годы так сильно "разбаловал" Linux, в смысле отсутствия вирусов, антивирусов и прочего барахла, что я совсем позабыл: Java-среда Android - это опаснейшая штуковина, которая способствует всяким непотребствам!

И конкретного ответа не будет. В любом случае - советую проявлять разумную осторожность. Потому что если вы, к примеру, за день посещаете десять новых порносайтов (вместо одного - старого, любимого и проверенного!), :) то вас никакие свежие апдейты для браузера попросту не спасут.

Ещё огромная проблема при установке Fennec на множество смартфонов без root - необходимость вручную устанавливать настройки, так как доступа к профилю нет. Это очень заморочно.

Я именно так и поступаю... Что поделаешь, иногда можно и даже нужно постараться! А когда заканчиваю, то обязательно экспортирую все настройки в отдельный файл, который храню за пределами устройства. При необходимости (переустановке, поломке профиля) его можно легко импортировать обратно.

Я тут накидал списочек для настройки Firefox под Android на удобство

Спасибо за ссылку. Правда, справедливости ради, вам нужно было написать там немножко по другому: "Подборка минимально необходимых лично мне настроек и дополнений для Firefox под Android". :) Но в любом случае, я рад, что эта тема вас заинтересовала.

Только учтите, что предлагаемый вами метод "прямого" открытия jar - небезопасный. И в моем руководстве он заблокирован.

Отредактировано Rosenfeld (03-03-2016 12:27:37)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№4303-03-2016 12:27:21

sufakan
Участник
 
Группа: Members
Зарегистрирован: 25-12-2015
Сообщений: 74
UA: Chrome 48.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

Java-среда Android

Дело не в среде Java. А в плохой проверке кода в Google Play. Java тут вообще не при чем. =) Там же Firefox по сути на C++ и js, а Java просто как обертка работает, через неё подключаются динамические библиотеки на C++ и может ещё частично GUI рисует.
Да и в новом Android обещают ручное управление правами доступа приложений.

Добавлено 03-03-2016 12:28:09

sufakan пишет

Подборка минимально необходимых лично мне настроек

Так это само собой.

Отредактировано sufakan (03-03-2016 12:28:09)

Отсутствует

 

№4406-03-2016 18:19:57

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

[Внимание! Изменения в репозитории]

1. Описание: Уточнение механизма действия настроек, связанных с автообновлениями / автоперенаправлениям. Уточнение информационных ссылок.

2. Существующая проблема с безопасностью и приватностью: Нет

3. Меры по ее исправлению. Нет

4. Предлагаемая строка настройки с изменением. См. ниже

Благодаря активной помощи :) участника форума под никнеймом negodnik (за что ему отдельное спасибо!), сделаны некоторые уточнения и изменены информационные ссылки сразу в двух разделах:

- REDIRECTIONS

Веб-серверы могут отсылать т.н. "редиректы" (перенаправления) - инструкции, заставляющие браузер получать контент с другой страницы (перенаправляющие его на другой ресурс).

Определение лимита автоматических перенаправлений для получения содержимого другой страницы:

    network.http.redirection-limit=1

Предупреждение пользователя о достижении лимита таких попыток:

    network.http.prompt-temp-redirect=true

http://kb.mozillazine.org/Network.http.redirection-limit


- AUTOREFRESH

Запрет автообновления страницы и автоперенаправления на другую страницу:

    accessibility.blockautorefresh=true

http://kb.mozillazine.org/Accessibility.blockautorefresh

Аналогичные изменения внесены в англоязычное руководство.


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№4506-03-2016 18:56:16

negodnik
 
 
Группа: Members
Зарегистрирован: 14-03-2013
Сообщений: 611
UA: Seamonkey 2.21
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

network.http.redirection-limit=1 Мало, мне кажется. Я же и писал, что на panopticlick.eff.org 2 мало, а на ip-check.info 7 мало.
Стоит ли вообще ограничивать, если в результате происходит возврат на исходную страницу?

accessibility.blockautorefresh — другое дело. Может быть просто обновление, как на данном форуме (вход, выход из учётной записи),
а может быть и перенаправление (иногда нужное, например portableapps.com -> sourceforge.net).

<off-topic>Для желающих есть кнопка</off-topic>

Отсутствует

 

№4606-03-2016 19:52:34

turbot
Участник
 
Группа: Members
Зарегистрирован: 09-10-2011
Сообщений: 2529
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

sufakan пишет

От себя предлагаю сделать стилем панели float и таким образом исключить изменения размера видимой области окна при открытии/закрытии панелей.

privacy.resistFingerprinting;true - скрытый параметр, логическое. Возвращать, вроде, всегда будет только доступную видимую область, без учета chrome (это распространяется и на @media screen см. 418986 – window.screen and CSS media queries provide a large amount of identifiable information).

amin01 пишет

И  вот что делать с  dom.indexedDB.enabled= false Уж очень многие сайты ломает.

Заведите кнопку для быстрого вкл/откл.

скрытый текст

Выделить код

Код:

custombutton://%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22UTF-8%22%3F%3E%0D%0A%3Ccustombutton%20xmlns%3Acb%3D%22http%3A//xsms.nm.ru/custombuttons/%22%3E%0A%20%20%3Cname%3EIndexedDB%20on/off%3C/name%3E%0A%20%20%3Cimage%3E%3C%21%5BCDATA%5Bdata%3Aimage/svg+xml%3Bbase64%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%3D%3D%5D%5D%3E%3C/image%3E%0A%20%20%3Cmode%3E0%3C/mode%3E%0A%20%20%3Cinitcode%3E%3C%21%5BCDATA%5Bvar%20s%20%3D%20%27dom.indexedDB.enabled%27%3B%0Athis._handleClick%20%3D%28%29%3D%3E%20cbu.setPrefs%28s%2C%20%21cbu.getPrefs%28s%29%29%3B%0A%0Afunction%20toggleImage%28%29%20%7B%0A%20%20%20var%20val%20%3D%20cbu.getPrefs%28s%29%3B%20%20%20%0A%20%20%20self.style.filter%20%3D%20val%20%3F%20%27%27%20%3A%20%27opacity%2850%25%29%27%3B%20%20%20%0A%20%20%20self.checked%20%3D%20val%3B%0A%7D%3B%0AtoggleImage%28%29%3B%0AgPrefService.addObserver%28s%2C%20toggleImage%2C%20false%29%3B%0AaddDestructor%28%28%29%3D%3E%20gPrefService.removeObserver%28s%2C%20toggleImage%29%20%29%3B%5D%5D%3E%3C/initcode%3E%0A%20%20%3Ccode%3E%3C%21%5BCDATA%5B/*CODE*/%5D%5D%3E%3C/code%3E%0A%20%20%3Caccelkey%3E%3C%21%5BCDATA%5B%5D%5D%3E%3C/accelkey%3E%0A%20%20%3Chelp%3E%3C%21%5BCDATA%5B%5D%5D%3E%3C/help%3E%0A%20%20%3Cattributes/%3E%0A%3C/custombutton%3E


Так и живем.

в режиме read-only (то есть только с целью чтения какой-то информации) - установка dom.indexedDB в on/off никак не влияет.

Не скажите. Например, на rutracker'е не почитаешь под спойлером (началось где-то с 43-ей ночнушки. Писал (где-то там), но у них нынче других забот хватает). На dropbox'е даже залитую туда картинку не посмотришь. И т.д..

Дальше по теме пока не ушел. :)

Добавлено 06-03-2016 20:02:12

Ещё некоторая часть там не отображается, хотя Firefox их использует в значениях по умолчанию

Некоторые скрытые (вроде privacy.resistFingerprinting) настройки беру отсюда: https://gitweb.torproject.org/tor-brows … 0esr-6.0-1 + мониторю багзиллу.

Отредактировано turbot (06-03-2016 20:02:12)

Отсутствует

 

№4706-03-2016 20:23:46

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Мало, мне кажется.

(с) "Маловато будет!" :)  ... М-м-м, дружище, мне кажется, что вполне достаточно. А вообще, мой основной принцип: пользователь сам должен решать, какой параметр ему выбрать или установить.

Я же и писал, что на panopticlick.eff.org 2 мало, а на ip-check.info 7 мало

Это - особые и весьма специфичные случаи. Они предназначены, чтобы "протащить" вас по всем тестам. Я думаю, что даже в этих случаях пусть уж пользователь сам последовательно подтвердит перенаправления; особого труда ему это не составит.

А вот теперь взгляните ситуацию по другому.

Будем считать, что panopticlick.eff.org и ip-check.info - безопасные тестирующие сайты. А что произойдет, если при обычном серфинге (с уровнем перенаправлений, к примеру, равным 2-3-4) пользователь нажмет на абсолютно безобидную ссылку, а его последовательно (и незаметно для него) "проволочёт" по трем специально зараженным страницам? Или хотя бы для того, чтобы он специально подцепил там рекламные кукиз или суперкуки... Или еще с какими-нибудь целями.

Вы допускаете такую ситуацию? Лично я - да; кстати, очень много ловушек сделаны примерно по тому же принципу.

Поэтому уж лучше сам браузер остановит меня на первом же переходе и спросит: "Слышишь, парень, а ты точно уверен, что хочешь сюда перейти?"; после чего я внимательно посмотрю на предлагаемую ссылку и трижды подумаю - двигаться далее или нет.

У меня, к примеру, лимит перенаправлений равен именно единице, и даже здесь, на форуме, чтобы отправить сообщение и т.п., однозначно приходится нажимать на подтверждение перенаправления. Я так привык, и особого труда мне это не составляет... Ибо я никуда не тороплюсь. :)

P.S. Если уж говорить на более глобальном уровне, то я хотел бы подчеркнуть одну очень важную вещь, о которой я не устаю говорить.

Мое руководство  априорно НЕ ПРЕДНАЗНАЧЕНО для совершения каких-ибо нелегальных, незаконных действий. И я никогда не отвечаю на вопросы типа: "Как мне обойти своего провайдера, чтобы скачать порнушку?", "Как мне преодолеть цензурные запреты и выйти на сайт, заблокированный на официальном уровне?" (т.е. на уровне судебного постановления, вступившего в законную силу); или "Как мне подделать то-то, чтобы получилось так-то?"...

ЕДИНСТВЕННАЯ цель моего руководства - информирование пользователей о существующих угрозах в интернете и методах повышения безопасности браузера, следовательно - операционной системы в совокупности. Ну и повышение уровня их подготовленности, кругозора и осведомленности по принципу: "Предупрежден - значит вооружен!"

То есть основная цель руководства - защита, а не атака или какие-то там "ксакепские" методы. :)

Ну и даже в этом случае лично я никому ничего НЕ навязываю и НЕ побуждаю: "Делай только так, как я сказал". Я просто показываю: "Есть такая-то проблема. Если сделать так - то получится вот так-то. Хочешь - попробуй!"...

Ибо я - за свободу выбора. :)

Отредактировано Rosenfeld (07-03-2016 13:14:16)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№4806-03-2016 21:32:36

negodnik
 
 
Группа: Members
Зарегистрирован: 14-03-2013
Сообщений: 611
UA: Seamonkey 2.21
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

> ...пусть уж пользователь сам последовательно подтвердит перенаправления;
> ...браузер остановит меня на первом же переходе и спросит...
Не спросит. И подтвердить не получится.

> ...и даже здесь, на форуме, чтобы отправить сообщение и т.п., однозначно приходится нажимать на подтверждение перенаправления.
Это относится только к accessibility.blockautorefresh, который и срабатывает здесь, на форуме.
У network.http.redirection-limit нет кнопки «Разрешить», только уведомление.

Впрочем я согласен, для вящей безопасности пускай будет 1.

UPD:
turbot
privacy.resistFingerprinting — это очень хорошо, но при появлении сообщений, например того же accessibility.blockautorefresh (.notificationbox-stack) или при появлении панели поиска (findbar),  viewport всё-равно уменьшается. С float у меня не получилось, а position:fixed помогает.

Отредактировано negodnik (06-03-2016 22:11:43)

Отсутствует

 

№4906-03-2016 22:02:05

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

У network.http.redirection-limit нет кнопки «Разрешить», только уведомление.

Я вам покажу, что нужно делать в подобном случае на вашем же примере - portableapps.com -> sourceforge.net.

Смотрите:

https://diasp.org/posts/5381848


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№5006-03-2016 22:45:56

negodnik
 
 
Группа: Members
Зарегистрирован: 14-03-2013
Сообщений: 611
UA: Seamonkey 2.21
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

> Смотрите: https://diasp.org/posts/5381848
Фотошоп весьма посредственного качества!  Да, на ip-check «Попробовать снова» сработало, спасибо.

> Тестировалось на редиректе с сайта portableapps.com на sourceforge.net.
Интересное дело. У меня там только blockautorefresh срабатывает. Пробовал redirection-limit 0 и 100, никак не влияет.
Но это не важно. Главное, что «мы пришли к соглашению» (прямо как Энты): redirection-limit=1 — это хорошо.

Отсутствует

 
  • Форумы
  •  » Разработка
  •  » Разработка руководства по безопасности и приватности (предложения)

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]