Фотошоп весьма посредственного качества!
Во-во, каждый норовит обидеть старого больного еврея... Типа "... да фотошоп у него не той системы".
Интересное дело. У меня там только blockautorefresh срабатывает. Пробовал redirection-limit 0 и 100, никак не влияет.
Трудно сказать. Для чистого эксперимента нужны профили, создававшиеся с нуля, без дополнений и с одинаковыми настройками. Тем более, если это не блеф, я по UA вижу, что у вас SeaMonkey. Кто знает, что у нее в мозгах сложилось.
Но это не важно. Главное, что «мы пришли к соглашению» (прямо как Энты): redirection-limit=1 — это хорошо.
Взаимопонимание и взаимопомощь - однозначно хорошо. Спасибо.
Отредактировано Rosenfeld (07-03-2016 13:18:06)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
но при появлении сообщений, например того же accessibility.blockautorefresh (.notificationbox-stack) или при появлении панели поиска (findbar), viewport всё-равно уменьшается
Да, действительно, не подумал. Просто у меня самого все эти панели давно уже fixed.
Отсутствует
Любознательный и въедливый пользователь форума с "говорящим" никнеймом negodnik прислал мне аж три(!) новых письма с дополнениями, уточнениями и поправками в руководство (за что я ему крайне признателен). При этом он обратил внимание на одну ОЧЕНЬ интересную неточность в разделе CACHE, которая относится как к самому механизму кэширования, так и к проблеме отслеживания по E-Tags:
1. Запрет кэширования файлов на диск (в том числе - поступающих по защищенным соединениям):
network.http.use-cache=false
Комментарий от negodnik
"...in memory OR(!) on disk"
Тут интересный вопрос. Я прямо аж задумался над той конфигурацией, которая предлагалась ДО сегодняшнего дня в руководстве. Получается, что если мы имеем:
network.http.use-cache=false
- то кэш у нас отключен глобально! Он не пишется ни на HDD, ни в RAM.
Поэтому ВСЕ(!) остальные настройки, которые рассматриваются в разделе CACHE ниже, уже(!) не имеют особого значения. В частности - настройка, которая разрешает использовать кэш в RAM!
Вот я и думаю: может быть (для увеличения скорости работы) все же перевести глобальный параметр network.http.use-cache в положение TRUE?
А вот затем - последовательно запретить дисковый кэш, SSL-дисковый кэш, офлайн-дисковый кэш и(!) РАЗРЕШИТЬ создание кэша в RAM?
То есть это будет выглядеть примерно так:
network.http.use-cache=true
browser.cache.disk.enable=false
browser.cache.disk_cache_ssl=false
browser.cache.offline.enable=false
browser.cache.disk.smart_size.enabled=false
browser.cache.disk.capacity=0
browser.cache.offline.capacity=0И
browser.cache.memory.enable=true
browser.cache.memory.capacity=-1
... Однако при этом следует обязательно предупредить, что в этом случае возникнет проблема с отслеживанием по E-Tags (они-то в любом случае будут кэшироваться в RAM - хотя бы на время сеанса).
Либо прописать в руководстве, что имеются два варианты работы:
1) глобальный запрет кэширования - как это рекомендовано сейчас (E-Tags блокируются);
2) разрешение кэширования в RAM с гипотетическим отслеживанием пользователя по E-Tag. И дальше привести рекомендации по блокированию такого отслеживания, о которых я писал в теме на форуме:
1. Запретите кэширование промежуточных файлов на HDD.
2. Перенаправьте кэширование в RAM.
3. Если вы используете tmpfs, не стремитесь заполнить свою RAM полностью, например - открыв пятьдесят вкладок в Firefox: это приведет к частичной выгрузке данных в swap-раздел.
4. Чаще перезагружайте свой браузер в процессе работы. Не держите его постоянно запущенным.
P.S. Чувствую, что по E-Tags надо создать в руководстве маленький отдельный раздел с разъяснениями, раз эта тема периодически возникает...
Отредактировано Rosenfeld (15-03-2016 16:59:30)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
1 предложение:
Рекомендовать в about:config keyword.enabled выставить в false, в противном случае если ошибка при наборе адреса, перейдёт к поисковой системе. Неприватная по умолчанию настройка
Дошёл наконец-то своей мечты - не только доверять, но проверять Использую два экспериметов компьютера: на одном windows 7 64бита (в брандмауэре стоит режим расширенной безопасности - все исходящие с компьютера подключения по умолчанию отключены, а затем настроены правила, по которым выпустил в сеть нужные приложения, на втором компьютере тоже "семёрка", но CentOS Linux с двумя сетевыми картами. Обе "семёрки" стоят рядом, с мониторами. Windows 7 выходит в Интернет через CentOS 7, на котором запущен анализатор трафика Wireshark. То есть, я как вижу все пакеты, которые выходят с Windows 7, в частности вижу и dns запросы. Причём в CentOS отключаю Интернет перед запуском Firefox на Винде , то есть никаких обратных пакетов и любых ответов до Firefox точно не долетит!
Скачал версию Firefox ESR Portable 38.7.0(из проекта PortableApp) , распаковал её, но пока ещё не добавлял правило для выпуска этой версии Firefox в Интернет. То есть. единственное, что он может делать в сети -это делать dns запросы.
настроил его по инструкции проекта RosenFox,(кроме как загрузку картинки с самого сайта не отключил, только со сторонних). В Wireshark включил запись пакетов и запустил Firefox и походил по менюшкам, заходил в настройки, но никакие ссылки внешние не нажимал,в адресной строке и поисковой писал разные символы, но нажимал Enter.
Выявил три dns запроса. Один адрес я нашёл в about:config - aus4.mozilla.org.
Он прописан в трёх местах :
media.gmp-manager.url;https://aus4.mozilla.org/update/3/GMP/%VERSION%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE%/%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%DISTRIBUTION_VERSION%/update.xml
media.gmp-manager.certs.1.commonName;aus4.mozilla.org
media.gmp-manager.certs.2.commonName;aus4.mozilla.org
В инструкции есть две позиции связанные с media.gmp-manager, одной у меня нет, а вторую media.gmp-gmpopenh264.provider.enabled я выставил в false.
Точно не разбирался с этими параметрами, но раз пользователь не командовал никуда лезть, а программа уже лезет, значит это зло. Удалил в общем этот url адрес из about:config
Два других адреса я не нашёл в about:config, но Ip адрес у них один 63.245.213.56.
fxfeeds.mozilla.com
static-non-ssl.external.zlb.scl3.mozilla.com
Похоже скрытые настройки внутри Firefox, который он не показывает в about:config.
Можно было бы поискать к исходниках, но пока просто внёс эти два адреса в hosts:
0.0.0.0 static-non-ssl.external.zlb.scl3.mozilla.com
0.0.0.0 fxfeeds.mozilla.com
То есть, если не найдутся настройки, которые заставляют лезть Firefox по этим двум адресам (опять же без желания пользователя), то в инструкции прописать блокирование скрытых настроек Firefox через файл hosts.
Ну и третье предложение удалить из настроек aus4.mozilla.com
Отсутствует
fxfeeds.mozilla.com
Вы б хотя бы чуток проявили дальнейшую любознательность и посмотрели - что это за зверь... А то увидели "живые закладки", встроенные в ФФ, и сразу кинулись в панику!
static-non-ssl.external.zlb.scl3.mozilla.com
aus4.mozilla.org
Я вас и дальше попугаю: существует еще и зловещий сайт aus5.mozilla.org! И даже aus3.mozilla.org!
https://www.robtex.net/?dns=fxfeeds.mozilla.com
https://wiki.mozilla.org/AUS
https://wiki.mozilla.org/AUS:Manual
https://blog.mozilla.org/it/2011/11/14/project-scl3/
... Кстати, а слово "certs" вам ни о чем не говорит? ... А термин "openh264"?
https://support.mozilla.org/en-US/questions/1028546
***
Одним словом - хватит нагнетать на пустом месте.
А то может ненароком выйти так, что единственным человеком, которого запугаете, окажетесь вы сами.
Отредактировано Rosenfeld (15-03-2016 19:14:23)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Я вас и дальше попугаю: существует еще и зловещий сайт aus5.mozilla.org! И даже aus3.mozilla.org!
Если пользователь отключил WebRTC и плагин этот (потом доустанавливающися) отключил, то зачем ему этот кодек от циско?
Если я отключил всякие обновления, то зачем мне соединения на сервера aus*(Application Update Service)?
Про живые закладки первый раз слышу, но именно когда мимо проходил в менюшках эти закладки , так сразу и запросы dns посыпались в wireshark.
Моё мнение, что firefox (как и любой другой браузер) не должен никому и ничего сообщать ни тогда когда я его запускаю, ни тогда когда я брожу по Интернету! В прочем как и Windows,Linux или Android. В противном случае мы не владельцы этим устройтвам, а так, арендаторы без всяких прав. Сертификатам вера всё равно не особая, кто там их сделал и кому выдал, свечку я не держал, поэтому и обновлять сертификаты каждые запуск фарефокса вообсе не обязательно. В крайнем случае мне сообщится, что нет доверия к этому сертификату. Так что буду банить через about:config или hosts эти непонятные(мне) соединения Firefox. Раз неинтересно, что там всплывает, значит выложу в другом месте результаты опытов,если будет что ещё интересного для меня.
Отсутствует
Про живые закладки первый раз слышу
Как в том анекдоте: "А они там ЕСТЬ".
Моё мнение, что firefox (как и любой другой браузер) не должен никому и ничего сообщать ни тогда когда я его запускаю, ни тогда когда я брожу по Интернету!
Это и есть глубочайшее и, к сожалению, ОЧЕНЬ распространенное заблуждение.
А на самом-то деле, т.е. в реалиях, БРАУЗЕР попросту вам НИЧЕГО НЕ ДОЛЖЕН (и его многочисленные разработчики - тоже). В том числе - и не обязан подстраиваться под ваши "хотелки" и личные представления о том, как он "должен" себя вести.
Так что у вас четыре выбора.
Первый. Мягко говоря, "есть то, что дают и чем кормят". И (немаловажно!) - еще и быть хотя бы благодарным людям, которые сделали за вас всю работу. Ну а если не нравится еда, сказать "спасибо" и распрощаться. Такой поступок будет и красивым, и правильным. Мужским.
Второй. Заработать много зеленых купюр и нанять контору талантливых программистов, которые напишут вам новый персональный браузер - в полном соответствии с вашими грамотными и внятными спецификациями и техзаданиями.
Третий. Перейти с браузера, непрерывно шпионящего за пользователями, на что-либо более безопасное. Например - тот же elinks, в котором 10-15(!) строчками в конфиге я настраиваю тот же уровень безопасности, который в моем руководстве описан аж 340 параметрами.
Четвертый. Завязать нафиг с этим опасным и гадким интернетом, вырвать шнур из компа и начать жить спокойно и независимо.
P.S. В любом случае, сразу предупреждаю, что поддерживать далее дискуссию о том, КТО и ЧТО кому должен, я не собираюсь. Тема посвящена текущим (существующим) настройкам Firefox, а не персональным желаниям отдельных пользователей.
Я работаю с тем, что уже(!) имеется, а не с чужими мечтами.
Хотите, чтобы лично ваши желания были удовлетворены - не жалуйтесь на форуме, который к разработчикам этого браузера ВООБЩЕ НЕ ИМЕЕТ НИКАКОГО отношения, а поступите по-взрослому: регистрируйтесь на их Багзилле, заводите новый баг, ищите единомышленников и требуйте его закрытия... Я думаю, такое поведение будет наиболее разумным.
Отредактировано Rosenfeld (15-03-2016 21:58:08)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Я работаю с тем, что уже(!) имеется, а не с чужими мечтами.
Что же вы тогда понимаете под приватностью и безопасностью? Дайте пожалуйста определение! А то сначала заявляете, что цель проекта RosenFox получить приватный и безопасный браузер, а сейчас выясняется, что существуют какие-то своеобразные понятия приватности. Странная логика, -найти и расписать 340 параметров, чтобы фарефокс ничего и никуда не отсылал и не запрашивал, а когда обнаруживается и 341й параметр,которые чего-то отсылает в фонд мозиллы, то говорите, что вам достаточно и 340 параметров. Зачем было тогда эту тему открывать...
Отсутствует
Что же вы тогда понимаете под приватностью и безопасностью? Дайте пожалуйста определение!
Я не отвечаю на риторические вопросы. Равно как у меня нет обязанности реагировать на них.
А то сначала заявляете, что цель проекта RosenFox получить приватный и безопасный браузер
Помнится, чуть раньше вы писали несколько другую абсурдную вещь - https://forum.mozilla-russia.org/viewto … 22#p708122 - так и НЕ удосужившись конкретизировать впоследствии, что(?) именно подразумевалось:
Пока проект RosenFox нацелен на борьбу с одним сайтом
И я на подобные глупости, кстати, отвечал, как минимум, ДВАЖДЫ - https://forum.mozilla-russia.org/viewto … 37#p708137:
проект RosenFox настроен (в первейшую очередь) исключительно на одну задачу - борьбу с пользовательской неграмотностью! Ну и с пользовательской глупостью. Точка.
Поэтому не стоит додумывать за меня: на что именно направлен проект. В том числе - и чтобы не было такой бессмысленной и хаотической паники, которую поднимаете вы сейчас, например:
Выявил три dns запроса. (...)
Точно не разбирался с этими параметрами (...)
то в инструкции прописать блокирование скрытых настроек Firefox через файл hosts (...)
А что же вы кричите так на весь свет, если даже "точно не разобрались"?
Подумаешь, ужасы какие - встроенная по умолчанию в ФФ "живая закладка" на абсолютно законных основания - ПОТОМУ ЧТО ВЫ ЕЕ ПРЕДВАРИТЕЛЬНО НЕ УДАЛИЛИ - захотела обновить свою новостную ленту. Или (опять на легальных основаниях) браузер решил проверить соответствия сертификатов... На кой черт вопить при этом: "Спасите! Насилуют-убивают!" на весь мир?
И я что - должен сразу кидаться вносить исправления в руководство? Только потому что так захотела ваша левая нога под влиянием вашей же перепуганности? ... Вряд ли я пойду на такой опрометчивый шаг.
Поэтому моя единственная рекомендация, которая, возможно, прекратит этот бессмысленный поток типа: "блокировать скрытые настройки через hosts":
1. Идите ВОТ СЮДА: https://forum.mozilla-russia.org/viewto … 20#p706420
2. Внимательно читайте ВСЕ пять пунктов.
3. Постарайтесь максимально ОСМЫСЛИТЬ их содержание.
4. И лишь потом расписывайте проблему. И не как обычно - "простыню" на полстраницы, а кратко и по всем пунктам: 1) проблема; 2) ... 5).
Потому что пока вырисовывается такая картина. Вы научились пользоваться сниффером. Это само по себе похвально. Но потом кто-то в десяти метрах от вас, образно говоря, тихо испустил газы, а вы испугались так, будто над ухом выстрелили из пушки. И начали громко кричать об опасности. А ведь всего-то увидели три DNS-запроса...
Свойство любого браузера - отсылать DNS-запросы и получать ответы на них. И если вы пребываете в такой панике, НЕ заходя в сеть, то что станет с вами, когда вы пойдете просматривать сайты, и такие запросы будут сыпаться тоннами! Обмочитесь от страха? ... А когда туда-сюда, не приведи Б-же, будут пролетать десятки мегабайт - наложите на себя руки?
Поэтому ПОСЛЕДНИЙ РАЗ пишу одно и то же: я НЕ буду читать ваши тонны текста. Я не буду читать о ваших "хотелках": "браузер ДОЛЖЕН мне то-то, должен мне то-то"...
Идите на Багзиллу, заводите конкретный баг и добивайтесь его закрытия. Точка.
Ну а в этой форумной теме: берёте за основу пять пунктов, затем описываете вашу проблему, существующую угрозу и т.п. А уж потом я подумаю и приму решение.
Только в этом случае разговор состоится. Потому что я не намерен тратить на ваши мнимые страхи по полдня. У меня и так есть, чем заняться.
Отредактировано Rosenfeld (16-03-2016 01:26:00)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Ещё один сервис в список сервисов для тестирования https://torrentfreak.com/is-your-vpn-pr … ss-160320/
Отсутствует
Спасибо. Со временем потестирую - добавлю... Тут мне negodnik задач и замечаний накидал - за год не расхлебаешь!
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
[Внимание! Важные изменения в репозитории]
За прошедшее время накопилось множество поправок, уточнений, добавлений и исправлений. Поэтому я решил присвоить очередной версии Rosenfox номер 0.2. По предложению одного из участников форума (и в связи с наступившей весною) версия получила собственное имя - "Aviv".
Большое спасибо всем, кто участвовал и помогал. Negodnik'у выносится отдельная благодарность за генерирование новых идей и изощреннейшую способность проверять каждую букву и даже знаки препинания! Dimatambov - достается почётная грамота за настойчивость!
***
ИЗМЕНЕНИЯ В ФАЙЛЕ ПРИМЕРА user.js
1) корректно завершена строка:
user_pref("general.smoothScroll", false);
2) исправлена строка:
user_pref("network.security.ports.banned", "9050,9051,9150,9151,8118,4444");
3) удалена дублирующаяся запись:
user_pref("geo.wifi.uri", "");
В user.js закомментированы следующие строки примера перенаправления на локальный прокси-сервер Polipo:
// user_pref("network.proxy.ftp_port", 8118);
// user_pref("network.proxy.ftp", "localhost");// user_pref("network.proxy.http_port", 8118);
// user_pref("network.proxy.http", "localhost");// user_pref("network.proxy.socks_port", 9050);
// user_pref("network.proxy.socks", "localhost");// user_pref("network.proxy.ssl_port", 8118);
// user_pref("network.proxy.ssl", "localhost");// user_pref("network.security.ports.banned", "9050,9051,9150,9151,8118,4444");
Изменено значение (старое значение "1" приводило к перенаправлению на прокси-сервер и блокировало доступ к интернету):
user_pref("network.proxy.type", 0);
ДОПОЛНИТЕЛЬНОЕ ПРЕДУПРЕЖДЕНИЕ В ФАЙЛЕ ПРИМЕРА user.js
// This is ABC-sorted lists of preferences
//
// ATTENTION! Don't copy this EXAMPLE file to the new Firefox profile!
// Please insert preferred strings in about:config manually, one-by-one!
УТОЧНЕНИЯ В ОПИСАНИЯХ ДЕЙСТВИЯ ОТДЕЛЬНЫХ ФУНКЦИЙ:
- DOM (Document Object Model) STORAGE
Запрет на закрытие окна скрипту, при помощи которого оно было открыто:
dom.allow_scripts_to_close_windows=false
Запрет скриптам менять фокус окон (перемещать одно под другое):
dom.disable_window_flip=true
Запрет скриптам скрывать пользовательскую панель закладок:
dom.disable_window_open_feature.personalbar=true
Запрет скриптам скрывать панель навигации:
dom.disable_window_open_feature.toolbar=true
УТОЧНЕНИЯ В ОПИСАНИЯХ. ДОБАВЛЕНИЕ ПАРАМЕТРОВ:
- MULTIMEDIA
Выключение WebGL с целью блокирования определения CPU и скорости видеокарты по "цифровым отпечаткам". Также рекомендовано при торможениях, сбоях и проблемах с видеокартой:
webgl.disable-extensions=true
webgl.disabled=true
webgl.force-enabled=false
webgl.min_capability_mode=trueВнимание: Следующие параметры отличаются друг от друга в разных версиях Firefox (и могут отсутствовать в ранних версиях браузера):
webgl.disable-debug-renderer-info=true (устаревшая строка)
ИЛИ
webgl.enable-debug-renderer-info=false (FF 42 и выше)
Отключение медиакодеков:
(...)
media.fragmented-mp4.gmp.enabled=falseПредотвращения закачки, автообновления и использования кодека H.264 (а также проверки его сертификатов):
media.gmp-gmpopenh264.enabled=false
media.gmp-manager.url=
media.gmp-manager.log=falsemedia.gmp-gmpopenh264.autoupdate=false
[UPD] media.gmp-provider.enabled=false (возможно, отключает также Adobe Primetime)
media.gmp-gmpopenh264.provider.enabled=false
media.gmp-manager.certs.1.commonName=
media.gmp-manager.certs.1.issuerName=
media.gmp-manager.certs.2.commonName=
media.gmp-manager.certs.2.issuerName=https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections#w_openh264-codec
ЧАСТИЧНАЯ ПЕРЕРАБОТКА И УТОЧНЕНИЕ РАЗДЕЛА:
- CACHE
Внимание: если вы настраиваете Firefox для Android или iOS, не изменяйте настройки, описываемые в данном разделе, особенно если на вашем устройстве нет достаточного (> 1 Гб) количества оперативной памяти (RAM)!
ГЛОБАЛЬНЫЙ ЗАПРЕТ КЭШИРОВАНИЯ:
Глобальный запрет кэширования файлов - на HDD и в RAM (в том числе - поступающих по защищенным соединениям):
network.http.use-cache=false (начиная с FF 45, эта общая настройка может отсутствовать или устареть)
http://kb.mozillazine.org/Network.http.use-cache
ЗАПРЕТ КЭШИРОВАНИЯ НА HDD:
Запрет использования дискового кэша:
browser.cache.disk.enable=false
http://kb.mozillazine.org/Browser.cache.disk.enable
Запрет использования дискового кэша, если используется шифрованное SSL-соединение (и обрабатываются приватные пользовательские данные):
browser.cache.disk_cache_ssl=false
http://kb.mozillazine.org/Browser.cache.disk_cache_ssl
Запрет создания кэша для просмотра страниц в офлайне:
browser.cache.offline.enable=false
http://kb.mozillazine.org/Browser.cache.offline.enable
Запрет автоматического управления дисковым кэшем (если он включен):
browser.cache.disk.smart_size.enabled=false
https://developer.mozilla.org/en-US/docs/Mozilla/Preferences/Mozilla_networking_preferences#Cache
Обнуление (запрет) объема дискового кэша, хранящегося на винчестере (в том числе - и офлайн-кэша):
browser.cache.disk.capacity=0
browser.cache.offline.capacity=0http://kb.mozillazine.org/Browser.cache.disk.capacity
Примечание: включать в совокупности с browser.cache.disk.smart_size.enabled=false
КЭШИРОВАНИЕ В RAM:
Внимание: Разрешение кэширования в оперативную память может привести к отслеживанию браузера по "цифровым отпечаткам", создаваемым при помощи E-Tag!
Разрешение хранения кэша в оперативной памяти (в том числе и данных, полученных по шифрованным SSL-соединениям):
browser.cache.memory.enable=true
http://kb.mozillazine.org/Browser.cache.memory.enable
Внимание: Кэширование данных в RAM (browser.cache.memory.enable=true) не будет работать, если кэширование запрещено глобально (network.http.use-cache=false)
Определение количества оперативной памяти, выделяемой под кэш (в зависимости от общего объема RAM):
browser.cache.memory.capacity=-1 (автоматическое определение; рекомендуется)
Допустимые значения:
0 - оперативная память не используется (не рекомендуется; см. примечание ниже);
n (целое цифровое значение) - количество килобайт, выделенных на кэш.
Примечание: Требует browser.cache.memory.enable=true
http://kb.mozillazine.org/Browser.cache.memory.capacity
НОВЫЙ РАЗДЕЛ:
- CSS FINGERPRINTING
Блокирование опознания "цифровых отпечатков" (c помощью технологий CSS) - внешних размеров (высоты и ширины) активного окна браузера.
Внимание: К самостоятельному внесению данной строки ("Создать" - "Логическое") в ранних версиях браузера необходимо относиться осторожно: ее действие изучено не до конца; возможно, эта настройка не будет работать):
privacy.resistFingerprinting=true
НОВЫЙ РАЗДЕЛ:
- E-TAGS FINGERPRINTING
E-Tag - часть HTTP-заголовка: "непрозрачный" идентификатор, обеспечивающий проверку устаревания веб-кэша браузера. Если содержимое страницы изменилось за время обращения к веб-ресурсу, E-Tag меняется на новый. Этот механизм может применяться также для распознавания "электронных отпечатков" браузера и схож с использованием cookie. Для предотвращения распознавания полностью запретите кэширование интернет-данных на HDD и(!) в RAM.
Если вы все же используете кэширование файлов в RAM:
а) не стремитесь заполнить оперативную память полностью (например - открыв множество вкладок в Firefox): это приведет к частичной выгрузке данных в swap-раздел;
б) чаще перезагружайте свой браузер в процессе работы.
УТОЧНЕНИЕ РАЗДЕЛА:
- NETWORK: PIPELINING, DNS, PREFETCH, PING, SSl
Отправка DNS-запросов на удаленный сервер для предотвращения их утечки или спуфинга веб-адреса:
network.proxy.socks_remote_dns=true
Внимание: Данная настройка действует только(!) если вы работаете через удаленный сервер; например, при использовании "луковичной" маршрутизации:
true - браузер осуществляет поиск DNS на удаленном сервере;
false - происходит поиск DNS на localhost (как правило, осуществляется прямое получение DNS от интернет-провайдера).Если удаленный сервер не используется, то применяются адреса DNS-серверов, указанные в свойствах текущего сетевого подключения компьютера, т.е. настройка не имеет значения.
http://kb.mozillazine.org/Network.proxy.socks_remote_dns
Отключение DNS-запросов посредством IPv6:
network.dns.disableIPv6=true
http://kb.mozillazine.org/Network.dns.disableIPv6
ДОБАВЛЕНИЕ ПАРАМЕТРОВ В РАЗДЕЛ:
- PLUGINS (FLASH, JAVA), etc
Отключение сканирования Plugin ID (PLID) в каталогах, определенных в реестре Windows:
plugin.scan.plid.all=false
http://kb.mozillazine.org/Plugin_scanning
ДОБАВЛЕНИЕ ПАРАМЕТРОВ В РАЗДЕЛ:
- FONTS
Отключение отображения шрифтов, примененных на просматриваемой странице:
browser.display.use_document_fonts=0
http://kb.mozillazine.org/About:config_entries
ДОПОЛНИТЕЛЬНОЕ ПРЕДУПРЕЖДЕНИЕ:
- PORTS
Внимание: Данный раздел приведен исключительно в качестве ПРИМЕРА использования прокси- и прочих сторонних серверов! Не изменяйте настройки, описываемые в данном разделе, если вы НЕ понимаете, что делаете!
Браузер гипотетически может быть сконфигурирован для использования с промежуточным сервером, например - локальным прокси-сервером Polipo (этот пример рассматривается ниже).
Примечание: Некоторые настройки локальных и внешних промежуточных серверов также могут усилить степень безопасности пользователя. Однако рассмотрение принципов их работы не входит в задачи данного руководства.
УДАЛЕНИЕ ПОДРАЗДЕЛА
Из раздела скриптов удален подраздел, описывающий создание разрешающих политик для выполнения скриптов на отдельных сайтах, внесенных в "белый список". Похоже, этот механизм сломан самими разработчиками из MoFo.
Отредактировано Rosenfeld (25-03-2016 01:57:13)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Ещё не дочитал, но уже осуждаю. Возможно я своим потоком сознания запутал Вас.
> media.gmp-gmpopenh264.provider.enabled=false (возможно, отключает также Adobe Primetime)
Это media.gmp-provider.enabled отключает сразу OpenH264 и Primetime.
media.gmp-gmpopenh264.enabled отключает OpenH264.
А media.gmp-gmpopenh264.provider.enabled вообще ничего не отключил.
> Запрет на закрытие окна скрипту, при помощи которого оно было открыто:
dom.allow_scripts_to_close_windows=false
Я умудрился удалить сообщения в личке, но помню что ссылался на http://kb.mozillazine.org/About:config_entries#DOM.
true: любой скрипт может закрыть любое окно.
false: только окно, открытое скриптом, может быть закрыто с помощью метода window.close().
Может наши местные скриптописатели смогут грамотно и доходчиво сформулировать.
Tо, что написано в Списке настроек... — «закрывать скриптам окна», тоже не совсем правильно.
Отсутствует
Отсутствует
Большое спасибо всем за быстрые отклики. То-то я вижу, что счетчик посещений темы за несколько часов вырос, как на дрожжах.
Ещё не дочитал, но уже осуждаю. Возможно я своим потоком сознания запутал Вас.
Нет. Скорее это я курсор не в ту строчку поместил. Сейчас вот просматривал свое сообщение с телефона и понял, что что-то тут не так... Короче говоря, исправляем на следующее:
media.gmp-provider.enabled=false (возможно, отключает также Adobe Primetime)
Кстати, нет ли у присутствующих в хозяйстве конкретной ссылки на какой-нибудь ресурс MoFo, где напрямую бы связывался данный параметр и отключение Adobe Primetime? Я потому и пишу "возможно отключает", так как не могу ничего стоящего найти...
Может наши местные скриптописатели смогут грамотно и доходчиво сформулировать.
Вот-вот! Я, честно говоря, плохо понимаю этот пассаж, особенно если читать на английском, потом переводить на идиш, а уж затем только - на русский. Цитирую:
dom. allow_scripts_to_close_windows
Determines which close() operations are legal.
True: Any script may close any window
False (default): Only windows opened via script may be closed via close().
***
Не только для цсс. Еще и ...
Сможете грамотно и корректно сформулировать самостоятельно? Буду признателен!
Rosenfeld пишет:
возможно, эта настройка не будет работать)См. выше
Я подразумевал, что сомневаюсь: будет ли настройка privacy.resistFingerprinting, созданная вручную, работать в старых версиях ФФ. А как я могу в этом убедиться, изучая ваш скриншот?
Отредактировано Rosenfeld (25-03-2016 02:01:27)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Сможете грамотно и корректно сформулировать самостоятельно? Буду признателен!
У меня самого проблемы с терминологией и правильными формулировками. Потому и скриншот.
Но попробую:
При включении настройки, скрипты, исполняемые в контексте страницы, через объект window.screen и CSS медиа-запросы, всегда будут получать только размер видимой области страницы, без учета размеров chrome-элементов окна браузера.
Но, повторюсь, сварщик я ненастоящий. Может и чушью быть.
Я подразумевал, что сомневаюсь: будет ли настройка privacy.resistFingerprinting, созданная вручную, работать в старых версиях ФФ
А, виноват. Неправильно понял. С 41-ой будет работать, если верить багзилле.
Отредактировано turbot (25-03-2016 02:28:45)
Отсутствует
[Внимание! Некоторые уточнения в репозитории]
1. Для особо одаренных пользователей в файл README внесено дополнительное ВАЖНОЕ предупреждение:
Примечание 0: В данном репозитории находится файл user.js, в котором сведены воедино все настройки, рассматриваемые в руководстве. Пожалуйста, НИКОГДА НЕ КОПИРУЙТЕ его в каталог, содержащий активный профиль Firefox! Этот файл приведен здесь лишь в качестве примера. ВСЕГДА вносите отдельные изменения в настройки браузера исключительно посредством about:config и "вручную", т.е. шаг за шагом.
2. Очередная попытка переформулировать данный пункт:
Метод close() будет срабатывать только в случае, если данное окно было открыто ранее при помощи скрипта:
dom.allow_scripts_to_close_windows=false
3. Уточнен раздел о цифровых отпечатках при помощи CSS и т.п.:
- CSS FINGERPRINTING
Блокирование опознания "цифровых отпечатков" браузера - внешних размеров (высоты и ширины) активного окна браузера.
Как правило, большинство пользователей разворачивает активное окно браузера на весь экран. При помощи специально подготовленной веб-страницы гипотетическая атакующая сторона (посредством использования объекта window.screen и CSS медиа-запросов) может опознать в этом случае физические размеры монитора (в пикселях), даже если в браузере глобально запрещены скрипты. Активация настройки "privacy.resistFingerprinting" приведет к тому, что третьей стороне будет доступна малозначительная информация о размере видимой области просматриваемой веб-страницы - т.е. без учета размеров chrome-элементов окна браузера:
privacy.resistFingerprinting=true
Внимание: К самостоятельному внесению данной строки ("Создать" - "Логическое") в ранних версиях браузера (до FF 41) необходимо относиться осторожно: ее действие изучено не до конца; возможно, эта настройка не будет работать!
4. В файл Test_your_settings.md внесена ссылка на сайт "Do I leak?" - https://www.doileak.com/
5 Примечание о гипотетическом(?) отключении Adobe Primetime перенесено в нужное место:
media.gmp-provider.enabled=false (возможно, отключает также Adobe Primetime)
P.S. Эти (и предшествующие) изменения внесены в сокращенном виде в аналогичное англоязычное руководство, v. 0.2.
P.P.S. PDF-файл с руководством будет переделан в соответствии с текущими изменениями и вновь размещен на gopherspace немного позже.
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
[Внимание! Добавление в репозитории]
... Немного запоздало, но все же...
Судя по упоминаниям о множественных узвимостях в библиотеке шрифтов Graphite и возможностью атаки, было бы лучше отключить ее использование - даже(!) после устранения уязвимостей. Во-всяком случае, именно так поступили разработчики из MoFo в отдельно выпущенной (специально по этому случаю) новой версии Thunderbird.
gfx.font_rendering.graphite.enabled=false
По теме см.: http://blog.talosintel.com/2016/02/vuln … phite.html
Graphite is a package that can be used to create “smart fonts” capable of displaying writing systems with various complex behaviors. Basically Graphite’s smart fonts are just TrueType Fonts (TTF) with added extensions. The issues that Talos identified include the following:
- An exploitable denial of service vulnerability exists in the font handling of Libgraphite. A specially crafted font can cause an out-of-bounds read potentially resulting in an information leak or denial of service.
- A specially crafted font can cause a buffer overflow resulting in potential code execution.
- An exploitable NULL pointer dereference exists in the bidirectional font handling functionality of Libgraphite. A specially crafted font can cause a NULL pointer dereference resulting in a crash.
In each of the situations an attacker can provide a malicious font to trigger the specified vulnerability.
Уязвимости исправлены в Firefox ESR 38.6.1. Firefox 43 и 44 применяют библиотеку Libgraphite 2 1.3, в которой данные проблемы (вроде бы как!) не существуют.
***
Аналогичные изменения, рекомендованнные для about:config, внесены в англоязычную версию руководства.
Отредактировано Rosenfeld (09-04-2016 22:57:47)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
А что уважаемый автор думает об использовании Pale Moon вместо FF?
Его создатель тоже обеспокоился нашествием ненужных и небезопасных фишек, которыми Mozilla щедро снабжает свой FF, и пошел путем поддержки и оптимизации еще нормальной старой версии, попутнов выкину из нее излишества всякие вредные
Может, если вам взять Pale Moon за основу, вам будет меньше столь необходимой и полезной нам работы?
Отредактировано Abdula (15-04-2016 01:09:41)
Отсутствует
А что уважаемый автор думает об использовании Pale Moon вместо FF?
Я, как и rms, - человек идеологически упертый и нетерпимый. Поэтому в первую очередь - внимательно проверяю лицензию на конечное программное обеспечение. А она у Moonchild Productions - просто отвратительная. И никаким "свободным программным обеспечением" там и не пахнет:
https://www.palemoon.org/redist.shtml
https://www.palemoon.org/freeware-license.shtml
Более того, такое непотребство возможно исключительно(!) "благодаря" (ставлю кавычки) мозилловской MPL (под которой пролицензированы исходные коды Firefox), и о проблемах и скрытых подводных камнях применения которой я неоднократно писал ранее.
Может, если вам взять Pale Moon за основу, вам будет меньше столь необходимой и полезной нам работы?
Вы немножко неправильно понимаете, что именно у меня "взято за основу" - не сам Firefox (как конечный продукт), а всего лишь настройки "ванильной" программы. А они характерны для множества браузеров этого семейства, начиная с Firefox и заканчивая IceCat, Pale Moon и т.п. (разве что отличаются некоторыми наложенными патчами и удаленными при сборке отдельными сервисами/службами).
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Вот хороший и неединичный пример, каким образом сто лет не нужные в браузере сторонние технологии (протоколы, плагины) приводят к серьезнейшим проблемам и утечкам:
24 Апреля 2016
Ошибка в WebRTC раскрывает реальный IP-адрес пользователей Opera даже при активированном VPNhttps://www.securitylab.ru/news/481480.php
Встроенный в новую версию Opera для разработчиков VPN не скрывает реальный IP-адрес.
На этой неделе Opera выпустила новую сборку своего браузера для разработчиков, получившую бесплатный встроенный VPN. Расширение позволяет скрывать IP-адрес и посещать сайты, заблокированные на территории страны, где проживает пользователь. Однако, как оказалось, функция сокрытия IP-адреса не работает. Это связано с тем, что браузер Opera создан на базе исходного кода Chromium, где из-за ошибки в WebRTC реальный адрес становится видимым.
При активированном VPN проверка утечки IP-адреса покажет следующее:
При обычной проверке будет отображаться только IP-адрес VPN.
При проверке утечки через WebRTC будет отображаться как удаленный, так и локальный IP-адрес.Данная проблема затрагивает не только Opera, но и другие браузеры с поддержкой WebRTC. В отличие от Opera, в Mozilla Firefox предусмотрена возможность отключения WebRTC. Для того чтобы отключить WebRTC в Mozilla Firefox, нужно ввести в адресную строку about:config прокрутить до media.peerconnection.enabled и деактивировать двойным нажатием мыши. Пользователи Chrome могут решить проблему, установив официальное расширение WebRTC Network Limiter.
Пользователи Opera могут установить расширение WebRTC Leak Prevent, однако оно скроет лишь локальный IP-адрес, тогда как публичный все равно останется видимым.
Общий смысл: убивать в зародыше и тотально запрещать в браузере действительно нужно ВСЁ, даже малейшие гипотетические(!) источники угроз, тем более, исходящие от сторонних встраиваемых "улучшательств"! Потому что дыры и утечки регулярно обнаруживаются там, где их, казалось бы, не ждешь.
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Проекту исполнилось три месяца. Я мельком взглянул на показатели - весьма неплохие.
За 90 дней существования:
- примерно 10 700 просмотров темы на форуме;
- 20 "звезд", присвоенных проекту пользователями GitHub;
- 2 форка (буду рад, если они станут развиваться отдельно и независимо).
Проект достаточно прочно и самостоятельно(!) проиндексировался в поисковых системах (полагаю, помогло то, что ему было присвоено "старое" название, пришедшее еще со времен RosenfoxPortable).
Из приколов:
Отредактировано Rosenfeld (11-05-2016 06:02:15)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
В связи с недавно обнаруженной уязвимостью в обработке текстовых данных, скопированных (через буфер обмена) со специально подготовленных веб-страниц:
https://github.com/dxa4481/Pastejacking
я настоятельно рекомендую всем, кто еще не удосужился, перепроверить (и отключить, т.е. перевести в состояние "false") в ФФ следующий параметр:
dom.event.clipboardevents.enabled=false
Как и следовало предполагать, "дыра" относится к применению Java-script; в частности - посредством б-гомерзкого поделия, называемого DOM.
Ниже приведена тестовая страница уязвимости:
https://security.love/Pastejacking/
Примечание: лично у меня уязвимость срабатывает ТОЛЬКО при соблюдении следующих условий:
0) с полностью включенными на странице скриптами и активированном параметре dom.event.clipboardevents.enabled=true
1) при использовании клавиатурных сокращений ^C и ^V
или
2) при копировании с помощью вызываемого по ПКМ контекстного меню: "Копировать" - "Вставить".
В традиционном для UNIX-LINUX-way'ного копирования/вставки с помощью мыша ("Выделить текст, проведя по нему ЛКМ" -> "Вставить нажатием СКМ") данная уязвимость НЕ работает (даже со включенными скриптами).
В руководстве Project Rosenfox данный параметр уже присутствует (и отключен).
P.S. Насколько я помню, эта уязвимость всплывала уже несколько лет назад...
Отредактировано Rosenfeld (29-05-2016 21:23:52)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует