Полезная информация

Mozilla Россия — свежие версии программ Mozilla, а также масса полезной информации по каждому продукту.
  • Форумы
  •  » Разработка
  •  » Разработка руководства по безопасности и приватности (предложения)

№10110-06-2016 23:20:10

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 46.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

media.gmp-widevinecdm.enabled

Что это за настройка? Из 47-ой уже?

Отсутствует

 

№10210-06-2016 23:22:08

nexterr
Участник
 
Группа: Members
Зарегистрирован: 22-03-2010
Сообщений: 323
UA: Firefox 48.0

Re: Разработка руководства по безопасности и приватности (предложения)

Zerdsa
Update, June 7, 2016: Support for Widevine is now available in the general Firefox release.

Отредактировано nexterr (10-06-2016 23:22:53)

Отсутствует

 

№10311-06-2016 02:33:23

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 46.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld
Это Ваш самый последний и актуальный user.js?

Отсутствует

 

№10411-06-2016 07:15:26

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Это Ваш самый последний и актуальный user.js?

Имеются какие-то другие варианты? :)

А издеваться над ещё живым человеком куда как приятнее.

О, как я Вас понимаю и поддерживаю!

P.S.

скрытый текст
Да, совсем забыл сообщить, что пятнадцать тысяч просмотров данной темы, накрутившиеся на счетчике форума с начала февраля 2016 г., вчера были отмечены небольшим фуршетом и большими возлияниями. Представители МоФо и местной администрации туда приглашены не были. :) Зато добрым словом неоднократно помянуты все форумные помощники в разработке.

Отредактировано Rosenfeld (11-06-2016 10:51:52)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№10511-06-2016 13:23:20

mechnikoff
Участник
 
Группа: Members
Зарегистрирован: 28-03-2016
Сообщений: 39
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

Лучше вот о чем пусть мне присутствующие скажут. Это просьба. В версии ФФ 47 появилась (ура-а-а-а!) новая эманация "цифровых наручников" (EME/DRM): проприетарного CDM Widevine. Вернее - возможность его загрузки.

Где бы вот потестить Widevine на предмет проигрывания и паранойи?
Перебрал несколько мест: 1, 2, 3, 4
Ниче не понятно, через него идут некоторые ролики или нет? :/

В папке \gmp-widevinecdm\1.4.8.866\ - лежат 2 файла: widevinecdm.dll, manifest.json
в манифесте стоит update на  "https://clients2.google.com/service/update2/crx"
Получается обновление модуля прописано не через about:config, а через манифест :/ Или это только для Хромого?
Закомментировать строчку на всякий случай...?

Rosenfeld пишет

При этом NPAPI-плагин Primetime от Adobe (призванный выполнять схожие функции), похоже, пошел лесом...

адобовский Primetime - ест только AVC:
APIs: decode-video[com.adobe.primetime:h264], decode-audio[com.adobe.primetime:aac], eme-decrypt-v7[com.adobe.primetime]
Libraries: dxva2.dll

гугловский же Widevine - более продвинутый (берет и свой родной VP9):  "x-cdm-codecs": "vp8,vp9.0,vorbis,avc1"
Вот на него и сделали ставку.

Отредактировано mechnikoff (11-06-2016 13:34:02)

Отсутствует

 

№10611-06-2016 15:14:48

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 46.0

Re: Разработка руководства по безопасности и приватности (предложения)

Уважаемый Rosenfeld!
Не могу зайти на форум с Вашим user.js.
Ввожу регистрационные данные. Вылетает сообщение: "FireFox заблокировал автоматическое перенаправление на другую страницу."
Жму "Разрешить".
И попадаю на главную форума не зарегистрировавшись.:|

Отсутствует

 

№10711-06-2016 21:30:42

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Не могу зайти на форум с Вашим user.js.
Ввожу регистрационные данные. Вылетает сообщение: "FireFox заблокировал автоматическое перенаправление на другую страницу.
И попадаю на главную форума не зарегистрировавшись.:|

Это же замечательно! :) И свидетельствует сразу о нескольких вещах.

Первое. Предложенный user.js действительно РАБОТАЕТ - и именно так, как и было задумано.

Второе. Вы тотально НЕ ЧИТАЛИ НИ ОДНО из предупреждений, размещенных в самых разных местах. В частности, настоятельно рекомендую вызубрить наизусть следующую информацию с GitHub:

1) Примечание 0 - файл readme;

2) Примечание 2 - файл readme - О-БЯ-ЗА-ТЕЛЬ-НО!

3) Примечание 6 - файл readme - особенно последний абзац.

4) Третью и четвертую строки файла user.js:

// ATTENTION! Don't copy this EXAMPLE file to the new Firefox profile!
// Please insert preferred strings in about:config manually, one-by-one!

А вот когда хорошенько освоите и заучите эти предупреждения, вот тогда, я надеюсь, сами себе сможете дать ответ: что же такое запрещено в конфиге, что вас выкидывает с авторизации на форуме.

Успехов :)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№10811-06-2016 21:35:22

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 46.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld, спасибо - я обязательно прочту.

Rosenfeld пишет

А вот когда хорошенько освоите и заучите эти предупреждения, вот тогда, я надеюсь, сами себе сможете дать ответ: что же такое запрещено в конфиге, что вас выкидывает с авторизации на форуме.

Что создаёт проблему я знаю. Видимо, от того что не читал предупреждения, решил что о проблеме стоит поставить в известность Вас.

Отсутствует

 

№10911-06-2016 21:39:57

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

О какой именно "проблеме"?

скрытый текст
(с) "Операция "Ы" и другие приключения Шурика":

- А старушка засвистела?

- Нет.

- Так чего ж вы прибежали?

Отредактировано Rosenfeld (12-06-2016 09:55:05)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№11013-06-2016 23:30:20

z_7
Участник
 
Группа: Members
Зарегистрирован: 18-05-2015
Сообщений: 7
UA: Firefox 26.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

[. Я же не зря совсем недавно приводил результаты прохождения Rosenfox'ом теста panopticlick - https://diasp.org/posts/5684577... Как видно из иллюстрации, улучшения ситуации все же есть. И большие.

Да есть, но я бы не зацикливался на https://panopticlick.eff.org/
имхо, https://www.browserleaks.com/ по-интереснее будет.

Добавлено 13-06-2016 23:36:04

Rosenfeld пишет

Полностью согласен. Поскольку (я это заметил), Вы излагаете свои мысли в похожем на меня стиле (ну или наоборот) - был бы признателен, если Вы сформулируете этот дисклэймер; я его чуток подработаю и опубликую... Идет? :)

Идёт, вуаля:
1.Полное руководство по безопасности и приватности БРАУЗЕРА Mozilla Firefox (через about:config)
2.Примечание 7:
Данное руководство не является исчерпывающим средством достижения анонимности браузера Mozilla Firefox. Для обеспечения контроля над заголовками рекомендуется совместное использование с кэширующим вэб-прокси (например: Pryvoxy, Polipo и т.д.).

Добавлено 13-06-2016 23:40:08

Rosenfeld пишет

... Теперь вернемся к обеспечению безопасности в различных ОС и степени "доверия" к их разработчикам. Многим это будет неинтересно, поэтому прячу под спойлер:

скрытый текст

А вот то, что разработчик из АНБ, имхо, не плюс, а минус, т.к. бывших разведчиков не бывает ;)

Обычно я отвечаю на подобные заявления так: "Всё в этом мире относительно"... Для кого-то это минус, а для кого-то - большой плюс. :)

Поэтому главное - самостоятельно определиться, откуда у Вас исходит вектор угрозы: от ЦРУ, Моссада, НКВД, МИ-6 или румынской "дефензивы" :) И затем уж, отталкиваясь от первоначальных данных, необходимо выбрать методы работы и безопасный инструментарий.

К тому же, смотрите какая интересная штуковина получается...

1. "Луковица" (которой Вы наверняка пользуетесь, а значит - доверяете ей) - создана в лаборатории Военно-морского флота США.

2. Сертифицированная по высшим классам защиты так называемая "Мобильная система Вооружённых Сил РФ": https://ru.wikipedia.org/wiki/Мобильная … жённых_Сил - ПОЛНОСТЬЮ (за исключением "нескучных обоев" и переименованных названий программ) :) основана на американском  дистрибутиве Red Hat (над которым, кстати, трудился и трудится пресловутый Дан Уолш). Это уже, как Вы сами понимаете, долбаный стыд; ну так НИИ им. Соломатина еще и превратил его в проприетарный продукт, что является грубейшим нарушением исходной свободной лицензии.

3. Разработчик "Булавы" и "Ярсов" однозначно закупает и использует для проектирования американское ПО. И не только они: ЦМКБ "Алмаз" (военные суда), "Ильюшин", "Сухой", космическое НИИ им. Хруничева, Воронежский авиазавод... Для Вас это разве новость? Взгляните вот сюда: https://rns.online/military/Razrabotchi … 016-06-01/

4. Б-гомерзкий язык "Ада" успешно "позаимствован" :) у проклятых американцев, в частности - у Министерства обороны США и использовался при разработке ракет, а также (заметьте!) - при разработке станции документальной связи(!) МО РФ. При этом ее основной задачей является обеспечение обмена документальной информацией в сетях передачи данных Министерства Обороны Российской Федерации: https://ru.wikipedia.org/wiki/Ада_(язык … мирования)

5. Когда Военно-морские силы РФ напрочь лишились оперативной связи с собственными боевыми кораблями и подлодками, то даже они не побоялись воспользоваться услугами ... английской спутниковой компании Inmarsat... Исторический факт! См.: http://izvestia.ru/news/539037

6. А интернетом Вы пользуетесь? :) А зря! Потому что по абсолютно официальным заявлениям, исходящим с самого высокого уровня - http://www.vesti.ru/doc.html?id=1512663, - этот сатанинский проект, цитирую дословно:

"... возник как спецпроект ЦРУ США, так и развивается"

6. Ну и последнее: сильно подозреваю, что сообщения выше Вы писали отнюдь не с девайса, произведенного где-нибудь в Зеленограде. :) Я прав?

А я не питаю иллюзий на счёт Tor, если я не ошибаюсь, то военное ведомство США до сих пор частично финансирует данный проект. Сложно представить, чтобы Пентагон вкладывал миллиарды в системы, которые «спалил» Сноуден, а затем сам же финансировало их обход. Поэтому с Вашими выводами по ограничению на использование Tor я согласен. Что касается операционок, то показательной будет опубликованная переписка между Тео де Раадтом и его коллегой по разработке OpenBSD, предусмотрительно завербованным ФБР.
http://www.cybersecurity.ru/news/111419.html
И хотя бэкдоры не найдены, осадочек, как в известном анекдоте, остался. Теперь найдите долю рынка, которую контролирует OpenBSD, что уж говорить про более популярные ОСи?! Выводы делайте сами :)

Отредактировано z_7 (13-06-2016 23:44:40)

Отсутствует

 

№11114-06-2016 10:14:54

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Да есть, но я бы не зацикливался на https://panopticlick.eff.org/

А я никогда и не зацикливался. Если Вы пролистаете всю тему вверху, то обязательно увидите, как я отбивался от попыток "полного прохождения теста". :) Это поучительно.

Примечание 7:
Данное руководство не является исчерпывающим средством достижения анонимности браузера Mozilla Firefox. Для обеспечения контроля над заголовками рекомендуется совместное использование с кэширующим вэб-прокси (например: Pryvoxy, Polipo и т.д.).

Вот. Спасибо! Общая идея ясна. Но мы сделаем немножко по-другому. Понимаете, в чем дело: во "вводной части", т.е. в файле readme, идут общие положения и предупреждения. Поэтому выносить туда мелкую частность - советы об иных методах работы с заголовками - было бы некорректно. Поэтому я сделаю что-то типа такого:

Примечание 7. Предлагаемые изменения внутренних настроек Mozilla Firefox посредством about:config в любом случае не являются достаточным средством для обеспечения тотальной (системной) пользовательской безопасности и анонимности. Этот процесс обязан быть непрерывным, комплексным и, помимо правильных настроек браузера, включать в себя как адекватную оценку степени гипотетических угроз и их вектора, так и расширенные методы и способы достижения поставленных целей. Однако рассмотрение комплексной защиты операционных систем выходит за пределы данного руководства.

А вот в описании настроек мы дадим следующее:

E-TAGS FINGERPRINTING (... сча меня negodnik убьет за дефис в E-tags!) :)

(...)

(добавляем последний абзац):

Для обеспечения улучшенного контроля HTTP-заголовков рекомендуется совместное использование браузера с локальным прокси-сервером: Privoxy, Polipo и т.д.

Примечание: Privoxy все же лучше писать через "i" (privacy + proxy), as a "privacy enhancing proxy". :) И еще нюансик - он НЕ является кэширующим прокси. Я сам часто ошибаюсь в этом, когда что-то начинаю объяснять.

UPDATED: ... Ну а теперь вернемся к нашим баранам - к склочному и вздорному мужику по имени Тео: :)

скрытый текст

Что касается операционок, то показательной будет опубликованная переписка между Тео де Раадтом и его коллегой по разработке OpenBSD, предусмотрительно завербованным ФБР. http://www.cybersecurity.ru/news/111419.html И хотя бэкдоры не найдены, осадочек, как в известном анекдоте, остался. Теперь найдите долю рынка, которую контролирует OpenBSD, что уж говорить про более популярные ОСи?! Выводы делайте сами :)

Ох-ох... Я не способен на скоропалительные выводы. И хотя за данной ситуацией я с интересом следил, похоже она закончилась ничем, то есть "пшиком".

Вот смотрите сами:

1. Было это в далеком 2000-м году, когда самой OpenBSD едва-едва исполнилось... три-четыре годика. Первый вопрос - нафига внедряться в сырую и непопулярную ОС?

2. Искомая фраза:

"Я хотел, чтобы все узнали, что ФБР развернуло несколько лазеек и обходных механизмов в OCF, чтобы иметь возможность отслеживать некоторые сайты и механизмы шифрования данных в VPN-сетях... - пишет Перри.

... выглядит ОЧЕНЬ сомнительно. "Если ЗНАЕШЬ - так ПОКАЖИ!" А иначе зачем воздух-то сотрясать? :)

Все присутствующие, наверное, слышали о компании Dr.Web? Ну так вот - с завидной периодичностью они публикуют "ужасающие разоблачения" (особенно этим славится ОпенНет):

ДЛЯ ЛИНУКС ОПЯТЬ(!) ОБНАРУЖЕН СТРАШНЫЙ ТРОЯН, КОТОРЫЙ ВЫНОСИТ-ВЕСЬ-МОЗГ-И-ВЕЩИ-ИЗ-КВАРТИРЫ!!! ОЙ-СПАСИТЕ-ПОМОГИТЕ! ЭТО МЫ, МЫ ЕГО ОБНАРУЖИЛИ!!!111 И РАЗРАБОТАЛИ НАДЕЖНОЕ СРЕДСТВО ДЛЯ БОРЬБЫ С ЭТИМ ЗЛОВРЕДОМ!1111"

Ага! :) Начинаешь разбираться. И получается полный качественный bullshit! :) Потом что "злобный супертроян" - опять из серии "скрипт, который пользователю надо запустить руками" (вначале, естественно, заполучив при этом права администратора).

Зато цель(!) такой "новости" однозначно достигнута - во всех СМИ появляется очередное упоминание компании, плюс - информация о том, какие они молодцы и как доблестно справились с заразою. Полагаю, это сильно увеличивает количество продаж ПО под винду :) (ибо там пользователи шибко пугливые).

Поэтому кто знает: может это часть рекламной кампании компании Netsec: "Вон мы какие крутые программеры и "ксакепы", к нам даже ФБР обращалась за помощью!" Ведь доказать или опровергнуть их голословное утверждение все равно невозможно. :)

3. Никто никого не вербовал. Грегори Перри (якобы!) просто дал подписку о неразглашении (содержимого беседы; письменного обращения; определенных следственных действий и т.п.). Это стандартная процедура существует в законодательстве практически всех цивилизованных стран и НЕ ПРЕВРАЩАЕТ человека в какого-то там "агента". Допустим, Вы тоже сможете попасть в схожую ситуацию и поставить подпись "о не разглашении". И что же - мне Вам после этого не подавать руки и считать "стукачком ментовским"? :)

4. Часть фразы: "чтобы иметь возможность отслеживать некоторые сайты" тоже звучит сомнительно. Если "некоторые сайты" (то есть конкретно попавшие в оперативную разработку), то попросту не стоит овчинка выделки... Нанимание целой конторы сторонних (зачем?!) программистов, обеспечение режима секретности, внедрение "дыр", "взлом ОС" и прочее - и все ради каких-то там паршивых пары-тройки сайтов? :) (с) "Это несерьезно!"

5. Похоже, самым трезвым :) оказался сотрудник ФБР, констатировавший:

"Развертывание бэкдоров внутри программного обеспечения с открытым кодом - это полный идиотизм. Программные коды полностью открыты и доступны всем. Если ФБР создавало бэкдоры в OpenBSD, то сейчас бы вся система была поражена закладками и хакерскими системами. Код системы создан таким образом, что кто угодно может получить к нему доступ", - говорит Эдвард Хилберт, следователь ФБР из подразделения компьютерных преступлений.

6. Ну и последнее. Закончилась эта история полным нулем:

On 11 December 2010, a former government contractor named Gregory Perry sent an email to OpenBSD project leader Theo de Raadt alleging that the FBI had paid some OpenBSD ex-developers 10 years previously to compromise the security of the system, inserting "a number of backdoors and side channel key leaking mechanisms into the OCF." Theo de Raadt made the email public on 14 December by forwarding it to the openbsd-tech mailing list and suggested an audit of the IPsec codebase. De Raadt's response was skeptical of the report and he invited all developers to independently review the relevant code. In the weeks that followed, bugs were fixed but no evidence of backdoors was found.

А посему, вся ситуация сильно напоминает мне "разоблачителя"-Сноудена. Вы не обращали внимания на достаточно частые (и счастливые!) совпадения: как только на определенной части суши затевается очередная неведомая фигня, так Сноуден вновь и вновь появляется на сцене и камуфлирует ее своими "разоблачительными" выступлениями по типу: "А зато в Америке негров на улицах убивают"...? :)

Ну или (для разнообразия): "США опять(!) хочет анально поработить весь мир, похитить с вашего айфончика все картинки прыщавой одноклассницы из "ФКонтахтика", удалить все home video, а потом и отключить у вас интернет!" https://forum.mozilla-russia.org/viewtopic.php?id=69349

Так что это - типичный "агент влияния", а все его "разоблачительные" выступления (которые длятся, если я не ошибаюсь, уже годика два-три) - всего лишь дымовая завеса... "Слышь, парень, если что-то знаешь, так скажи. Всё и сразу! А нечего тянуть кота за гениталии". Но Сноуден, как хорошая и годная :) кхм... Шахерезада, выдает свои истории порционно. Иначе к нему пропадет интерес!

Отредактировано Rosenfeld (14-06-2016 12:59:14)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№11215-06-2016 02:02:31

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

О какой именно "проблеме"?

скрытый текст
(с) "Операция "Ы" и другие приключения Шурика":

Это из раздела

Rosenfeld пишет

А издеваться над ещё живым человеком куда как приятнее.

?;)

Почему в вашем варианте настроек в about:preferences#security Общие -> Исключения -> Разрешённые сайты-Установка дополнений не удаляются
addons.mozilla.org и marketplace.firefox.com? Их наличие в исключениях никак не сказывается на безопасности?

Заметил ещё такой интересный момент (не знаю только отнести его к достоинствам или недостаткам Вашего конфига).
При включении в Вашем конфиге Защит от отслеживания (с Базовой не проверял - только со Строгой) на всех сайтах на которых я тестировал (rambler.ru и т.д.) срабатывала защита и её отключение. А на https://wiki.mozilla.org/Security/Tracking_protection она даже не включилась. При этом она нормально включается и работает на этом сайте без Вашего конфига.

Отсутствует

 

№11315-06-2016 06:43:23

foka
Участник
 
Группа: Members
Зарегистрирован: 21-09-2012
Сообщений: 32
UA: Palemoon 24.0

Re: Разработка руководства по безопасности и приватности (предложения)

Может я чего ни так, но если по теме форума, то зачем изобретать велосипед, когда всё уже наработано _https://www.privacytools.io/#addons Настройки там же есть. Чтобы не париться, можно использовать дополнение с автоматическими настройками для разного уровня приватности включая максимальный https://addons.mozilla.org/en-US/firefox/addon/privacy-settings/

Тестировать Random Agent Spoofer лучше тут _https://whoer.net/#extended Настройки приватности тут _http://ip-check.info/?lang=en

Если я чего не понял, то прошу пардона!

Отсутствует

 

№11415-06-2016 09:44:26

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Может я чего ни так, но если по теме форума, то зачем изобретать велосипед, когда всё уже наработано... Настройки там же есть. Чтобы не париться, можно использовать дополнение с автоматическими настройками для разного уровня приватности включая максимальный

Если я чего не понял, то прошу пардона!

... Ничего страшного. Просто невнимательно прочитали преамбулу, которой открывается проект:

Задачи повышения безопасности и приватности, а также достижения должной степени анонимности с целью предотвращения возможных атак и сбора данных третьей стороной решаются, как правило, установкой сторонних дополнений в Mozilla Firefox, что отрицательно сказывается на скорости загрузки и работы браузера. Кроме того, в сторонних дополнениях не гарантируется отсутствие утечек, уязвимостей и встроенных средств несанкционированного доступа.

Данное руководство обеспечивает максимум безопасности и повышает анонимность конечного пользователя исключительно за счет внутренних настроек браузера, вызываемых через about:config.

Основной принцип, использовавшийся при составлении данного руководства:

"ЗАПРЕЩЕНО ВСЁ, ЧТО ЯВНО НЕ РАЗРЕШЕНО ПОЛЬЗОВАТЕЛЕМ!"

https://github.com/RamiRosenfeld/Rosenfox

Понимаете, в чем дело... Лет двенадцать назад, "когда деревья были большими", а Ваш покорный слуга начинал со "стартовой" версии ФФ - то есть с vv. 0.8 - 0.9, я тоже пребывал в счастливой уверенности, что стоит понавставлять в браузер побольше дополнений и - вуаля! - задача обеспечения безопасности непременно будет решена! :)

Прошли годы, я чуток поумнел (надеюсь!) и осознал, что дело обстоит не так просто. Или, говоря замечательными словами американского писателя Уилльяма Берроуза:

A paranoid is a man who knows a little of what's going on.

Параноик - это человек, который кое-что понимает в происходящем. :)

Вот почему вместо усложнения задач (и "навороченности" софта, который их обслуживает) я пришел к их упрощению и минимизации; равно как и к выводу, что лучшего средства, чем консоль Linux (да-да, тот самый черный голый экранчик с мигающими на нем зелеными буковками) человечество пока ничего не выдумало. :)

Теперь по поводу процитированной Вами ссылки (я ее специально дублирую в своем сообщении): https://www.privacytools.io/

Во-первых, однозначно спасибо, что Вы ее привели. Как раз чуть выше мы с коллегами говорили о необходимости системного и комплексного подхода к обеспечению безопасности (и одним браузером здесь не обойдешься). Надеюсь, что данная ссылка (и материалы, размещенные на этом ресурсе), подвигнут некоторых пользователей форума пересмотреть свои подходы к обеспечению безопасности.

Во-вторых (увы!) - просмотрев информацию, собранную и систематизированную на предлагаемом Вами сайте, я понял несколько вещей:

1.  Человек (или люди), делавший эту подборку, сам НЕ является пользователем GNU/Linux; соответственно, большинство рекомендаций и ссылок также рассчитаны на поклонников Windows. А это, с точки зрения обеспечения безопасности, абсолютно несерьезно. Почему именно - см. дискуссию чуть выше (в текущей теме).

2. Исходя из п. 1, набор софта, подобранный там, не всегда свидетельствует о профессиональном подходе к его выбору. Например:

- в  разделе "File Encryption Software" в качестве средства для шифрования файлов предлагается ... архиватор PeaZip, что, как Вы понимаете, ни в какие ворота не лезет! Да и вообще, в целом: судя по всему, люди не знают, что для надежного и полнораздельного/либо_пофайлового шифрования используются совсем другие "классические" средства: LUKS, EncFS и т.п.

- в разделе "Secure File Sync Software" приведен набор достаточно экзотических и малораспространенных средств; в то же самое время не упомянуто, пожалуй, основное "классическое" средство синхронизации - rsync;

- в весьма деликатном разделе "Password Manager Software" приведена ссылка на "облачный" сервис хранения ВСЕЙ "чувствительной" пользовательской информации - Encryptr. Такая "рекомендация" является полным идиотизмом:

Encryptr (Cloud Based)
EncryptrEncryptr is simple and easy to use. It stores your sensitive data like passwords, credit card data, PINs, or access codes, in the cloud.

- в разделе "Privacy Email Tools" в качестве средства шифрования предлагается именно gpg4usb (то есть у людей в голове даже не существует предположения, что GnuPG может являться частью операционной системы! :) Ну и, как Вы, наверное, догадываетесь, хранить ключи шифрования на флэшке, мягко говоря, не самая хорошая идея. :) Вот почему я за версту чую "виндовую" психологию владельцев сайта;

- в разделе "Encrypted Instant Messenger" приведены исключительно "новомодные" и "навороченные" клиенты. В то же самое время, похоже, что люди и представления не имеют о существовании такого проверенного годами и надежного софт как mcabber, pidgin и т.п.

- в разделе "PC Operating Systems" приведен ОЧЕНЬ странный набор рекомендуемых операционных систем, относящихся к GNU/Linux: Debian, Trisquel и ... Qubes OS. И если третий (Qubes OS; разработка Иоанны Рутковской на базе гипервизора Xen) - действительно серьезная и безопасная ОС (предназначенная для специалистов), то с  Debian и Trisquel они чуток поторопились: первый дико консервативен в области своевременных апдейтов (и к тому же, как я побаиваюсь, вот-вот развалится из-за смерти главного разработчика и общего раздрая в команде), а второй... основан на "Убунточке" - что с точки зрения обеспечения безопасности - одно из самых ненадежных решений. Кроме того, предлагать для "безопасного" использования live-дистрибутивы типа Puppy Linux и Knoppix я бы точно не стал!

З. Набор изменений в about:config для Firefox краток и примитивен. Специально для Вас: https://github.com/RamiRosenfeld/Rosenf … er/user.js (можете сравнить)

***

Общий смысл: выглядит это все так, будто какому-то "продвинутому" офисному менеджеру дали срочное задание: "Ну-ка сядь и поищи в интернете средства для обеспечения безопасности, да побольше! Нам стартовую страничку сайта заполнить нужно!" :)

НО(!) - отдаю им свою толику уважения. Многие серьезные вещи они рекомендуют правильно и оправданно. Например:

- некоторые почтовые сервисы, такие как Tutanota;
- GnuPG;
- Claws Mail; K-9 Mail;
- KeePassX; Password Safe;
- клиенты для децентрализованных сетей;
- свободные социальные сети (diaspora*) и средства (GNU social) свободного микроблоггинга (сам пользуюсь и другим рекомендую!);
- DNSCrypt - средство получения DNS по защищенному каналу из любых источников.

Одним словом, моя надежда вот на что: попадет на данный сайт человек, мало знакомый со средствами обеспечения безопасности; попробует одно-другое-третье... Набьет себе побольше шишек, незаметно втянется в этот увлекательный процесс... и рано или поздно и вполне логично придет к Linux! :) ... Чего и вам всем искренне желаю!

UPD: И самое главное, что мне НЕ понравилось на этом сайте:

скрытый текст
... - это заунывные церковные песнопения Сноудена, приведенные в самом низу.

Мне порою делается смешно: люди на весь мир клянут сатанинское АНБ... и в то же время тут же(!), не отходя от кассы, рекомендуют пользоваться ее многочисленными разработками, которые входят во многие действительно качественные программные продукты.

Если мне не изменяет память, подобное заболевание называется "раздвоение личности" :) Как свидетельствует Википедия: "Причинами этого расстройства служат тяжёлые эмоциональные травмы в раннем детстве, повторяющееся экстремальное физическое, сексуальное или эмоциональное насилие".

Отредактировано Rosenfeld (15-06-2016 10:56:34)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№11515-06-2016 10:49:42

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

При этом она нормально включается и работает на этом сайте без Вашего конфига.

Не могу ничего сказать. Я ж не ясновидящий. :) Для этого нужно воспроизводить ситуацию - и уже не с моими настройками, а с Вашими. Я ж не в курсе, что Вы там "подкрутить" успели и насколько это серьезно. Впрочем, судя по некоторым вашим недавним сообщениям и темам - "подкрутили" Вы браузер достаточно лихо. :)

Почему в вашем варианте настроек в about:preferences#security Общие -> Исключения -> Разрешённые сайты-Установка дополнений не удаляются
addons.mozilla.org и marketplace.firefox.com?

Большая просьба: ВСЕГДА конкретизируйте свои высказывания, то есть вместо "У ВАС" смело вставляйте фразу "У МЕНЯ" или подобные. Например:

Почему в моем варианте настроек ... не удаляются?

... - по той весомой причине, что у меня - все замечательным образом удаляется. Только что проделал этот фокус:

https://diasp.org/posts/5727559 (обратите внимание на дату и время создания записи)

А то (я этого побаиваюсь) из-за таких вот Ваших замечаний у неподготовленных пользователей может сложится впечатление, что им предлагают не рабочий конфиг, а срань Г-дню! :) А я бы этого не хотел!

Отредактировано Rosenfeld (15-06-2016 10:58:27)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№11615-06-2016 11:36:41

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

Большая просьба: ВСЕГДА конкретизируйте свои высказывания, то есть вместо "У ВАС" смело вставляйте фразу "У МЕНЯ" или подобные.

Я обязательно это учту конечно же. Но в данном конкретном случае МОИ настройки - полная копия ВАШИХ без единого изменения на чистом конфиге.

Rosenfeld пишет

Почему в моем варианте настроек ... не удаляются?

... - по той весомой причине, что у меня - все замечательным образом удаляется.

Проверю ещё раз но чуть позже.

Отсутствует

 

№11715-06-2016 11:54:57

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

(с) А что тут пить проверять?"

Вот я еще раз осуществил данную операцию - на новом профиле с моими настройками, девственном, словно третьеклассница в гольфиках и с бантиком:

https://diasp.org/posts/5727753

За данные параметры отвечают строки:

xpinstall.whitelist.add.180;marketplace.firefox.com
xpinstall.whitelist.add;addons.mozilla.org

Отредактировано Rosenfeld (15-06-2016 11:55:17)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№11815-06-2016 13:26:22

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld, не вижу причины Вам не верить - я же использую Ваш кофиг!
Освобожусь - проверю ещё раз. Может где-то что-то просмотрел.

P.S. А Вы давно их добавили в Ваш конфиг (это вообще он :o)?

Отредактировано Zerdsa (15-06-2016 13:31:10)

Отсутствует

 

№11915-06-2016 16:25:45

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Кого "их"? Конкретизируйте, пожалуйста.

P.S. Я в конфиг ничего не добавляю, а, наоборот, удаляю оттуда всякую нечисть... :) Во-всяком случае, стараюсь так делать. Вот почему и не понял ваш вопрос.

Отредактировано Rosenfeld (15-06-2016 16:26:15)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№12015-06-2016 18:49:30

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld пишет

Кого "их"? Конкретизируйте, пожалуйста.

Rosenfeld пишет

строки:

    xpinstall.whitelist.add.180;marketplace.firefox.com
    xpinstall.whitelist.add;addons.mozilla.org

Отсутствует

 

№12115-06-2016 19:36:39

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

А Вы давно их добавили в Ваш конфиг (это вообще он :o)?

Эти строки я в СВОЕ руководство и в СВОЙ файл-примера user.js НЕ добавлял (и НЕ собирался пока в принципе это делать).

Оба вышеуказанных файла находятся на своем законном месте. И они существуют там в ЕДИНИЧНОМ количестве:

https://github.com/RamiRosenfeld/Rosenf … er/user.js
https://github.com/RamiRosenfeld/Rosenf … l_ru-RU.md

Других (старых, промежуточных и т.п.) вариантов ЛЮБЫХ файлов на GitHub у меня НЕТ и никогда НЕ БЫЛО.

Отредактировано Rosenfeld (15-06-2016 19:37:49)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№12215-06-2016 19:53:20

negodnik
 
 
Группа: Members
Зарегистрирован: 14-03-2013
Сообщений: 608
UA: Seamonkey 2.38
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Rosenfeld
> За данные параметры отвечают строки:
    xpinstall.whitelist.add.180;marketplace.firefox.com
    xpinstall.whitelist.add;addons.mozilla.org
> ...НЕ добавлял (и НЕ собирался пока в принципе это делать).

«Мы едем на спущенных шинах». Вы используете версию Fx древнее чем 24 (что видно по строчным en-us, несмотря на пустой UA).
Пока Вы не поставите хотя бы 45ESR толку не будет.

xpinstall.whitelist.add.180, xpinstall.whitelist.add.36, xpinstall.whitelist.add уже нет.
Добавление/удаление сайтов в Настройки -> Защита -> Общие -> Исключения -> Разрешённые сайты
никак не отражается в prefs.js

И не надо нам рассказывать, что идеологические соображения не позволяют Вам ставить новые версии.
Я тоже в мирной жизни Fx47  не использую, а токмо в научно-исследовательских целях.
Как писал Венедикт Ерофеев: «Что может быть благороднее, чем эксперементировать на себе?»

Вот это адресочки тоже, наверное, можно удалить:
extensions.getAddons.get.url
extensions.getAddons.recommended.url
extensions.getAddons.search.browseURL
extensions.getAddons.search.url
extensions.systemAddon.update.url
extensions.update.background.url

Отсутствует

 

№12315-06-2016 20:18:26

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

Вы используете версию Fx древнее чем 24

Врете-врете! :) Больше, гораздо больше у меня версия!

Я тоже в мирной жизни Fx47  не использую, а токмо в научно-исследовательских целях.

Не, у меня слишком обухоженные и обустроенные машины, чтобы туда затаскивать новые версии ФФ.

(с) "Дело было не в дрезине..."


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№12415-06-2016 22:31:39

Zerdsa
Участник
 
Группа: Members
Зарегистрирован: 31-05-2016
Сообщений: 189
UA: Firefox 47.0

Re: Разработка руководства по безопасности и приватности (предложения)

negodnik пишет

xpinstall.whitelist.add.180, xpinstall.whitelist.add.36, xpinstall.whitelist.add уже нет.
Добавление/удаление сайтов в Настройки -> Защита -> Общие -> Исключения -> Разрешённые сайты
никак не отражается в prefs.js

А как тогда список разрешённых сайтов очищается не через about:about:preferences#security (через about:config)?

Отсутствует

 

№12516-06-2016 21:53:15

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Разработка руководства по безопасности и приватности (предложения)

[Это временное сообщение и вскоре оно будет удалено]:

скрытый текст
Прошу прощения, я дней -надцать буду на природе и без интернета. Никому ответить, увы, не смогу]


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 
  • Форумы
  •  » Разработка
  •  » Разработка руководства по безопасности и приватности (предложения)

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]