https://addons.mozilla.org/en-us/firefox/addon/umatrix/
uMatrix развивается разработчиком популярного блокировщика рекламы uBlock и дополняет его средствами блокировки запроса внешних ресурсов, похожими на возможности межсетевого экрана. По своему назначению uMatrix напоминает NoScript, но предоставляет более гибкие средства выборочной блокировки.
Правила блокировки задаются в виде матрицы из трёх осей: открытый в браузере исходный сайт, внешние хосты, с которых загружается дополнительный контент (например, серверы рекламных сетей), и типы запросов (картинки, Cookie, CSS, JavaScript, iframe и т.п.). Интерфейс блокировки показывает для текущего сайта к каким другим хостам выполняются обращения и какого они типа, позволяя быстро блокировать излишние внешние запросы. uMatrix также предоставляет общие механизмы повышения приватности, такие как блокирование внешних обращений к сайтам по HTTP со страниц, открытых при помощи HTTPS, или подмена User Agent и Referrer при запросе внешних ресурсов.
Источник: http://www.opennet.ru/opennews/art.shtml?num=42203
Отредактировано Крошка Ру (08-06-2016 12:27:01)
Отсутствует
Если
хотите, чтобы элементы HTML(куки,скрипты,флеш,фреймы,стили и прочая)
загружались только с того же сайта(например http://site.ru), на который
вы зашли и его поддоменов (http://*.site.ru), то нужно зайти в
настройки uMatrix на вкладку "Мои правила" и там в разделе временных
правил нажать "редактировать" . Выделите все правила после запрещающего
всё и вся правила:
* * * block
и нажмите del
затем после правила "* * * block" добавьте
* 1st-party * allow
Это правило разрешит загружать любые элементы с этого сайта и его
поддоменов.
Затем нужно сохранить временные правила, а потом экспортировать их в
постоянные(закоммитить)
Правила похоже обрабатываются с конца, поэтому разрешающее(добавленное)
срабатывает, а все остальные коннекты к сторонним сайтам блокируются
вторым с конца правилом. Чтобы ещё и dns запросы к этим сторонним сайтам
браузер не успел послать к dns серверу, то нужно ещё в about:config
выставить
network.dns.disablePrefetch=true
network.dns.disablePrefetchFromHTTPS=true
и выставить запрет предварительной загрузки страниц, которые Firefox
может посчитать логически следующей
network.prefetch-next=false
В противном случае dns запросы к этим сторонним сайтам всё равно уйдут с
вашего комьютера или firefox загрузит те страницы, которые вы ещё не
посещали(со сторонних сайтов) и вся работа uMatrix пойдёт на смарку!
Ещё вы можете мимо ссылок на эти сторонние сайты провести мышкой и
Firefox будет пытаться предугать ваши действия и связаться с этими
сторонними сайтами, послав пакеты (якобы для увеличения
быстродействия). Чтобы он этого не делал, нужно выставить.
network.predictor.enabled=false
network.predictor.enable-hover-on-ssl=false
Всё это каcается не только Firefox, но и других браузеров на его основе
(IceCat тот же)
При таких настройках uMatrix Интернет становится намного чище и
безопаснее(и тем более приватнее) даже без использования фильтров
рекламы типа Adblock или ublock origin !
Вдруг кому пригодится, так как документация не очень оказалась понятной.
После таких настроек на картинке вверху у верху у вас будут зелёными
только первые две строки (huffingtonpost.com и www.huffingtonpost.com) ,
а всё остальное ниже красным!
В принципе такое поведение должно быть встроенно в любой браузер(хотя
бы как опция) -я захожу на этот сайт и мне незачем грузить с каких
сторонних сайтов картинки, скрипты, куки и прочая! Надеюсь широкое
распространение uMatrix с такими настройками (грузить элементы только с
этого домена и его поддоменов) немного изменит современное лицо
Интернета, которые стало слишком загаженным рекламой и слежкой за
пользователем со стороны компаний типа Google, серверов Mail.ru Group,
Facebook, Microsoft и Яндекс. Эти рекламные компании конечно
адаптируюся и владельцы сайтов с контентом будут им делегировать
какие-то свои поддомены, но тогда тут в бой вступит какой-нибудь Adblock
Покой им и нам только снился
Если хотите, чтобы с этого сайта(и его поддоменов ) java скрипты
блокировать(это тоже зло злющее javascript), то правила должны быть
* * * block
* 1st-party * allow
* 1st-party script block
И самое главное, что с такими настройками uMatrix можно пользователям
ставить, всё наглядно и просто и если у них на каком-то сайте что-то не
заработает, то они смогут сами, что нужно повключать, всё делается
щелчками мыши.
XHR в uMatrix это похоже XmlHTTPRequest - динамически подгружаемый сайт, когда данные странички меняются без перезагрузки страницы, а адрес остаётся прежним. То есть можно запретить XHR, но разрешить исполнение каких-то других java скриптов. В css входит и загрузка шрифтов (например с того же fonts.google.com)
Использование uMatrix в браузерах на базе Chromium наверное не даст столь ощутимого эффекта, скорей всего там есть схожие технологии типа dns.prefetch, network.predictor и prefetch-next. Но они там неотключаемые... А значит соединения к этим сторонним сайтам всё равно установятся от браузера... Да и последних версиях Chrome появился встроенный в браузер dns клиент, который похоже обращается к dns серверам Гугла(типа 8.8.8.8. который). То есть последние версии Chrome скорей всего не используют dns сервер, который прописан в сетевых настройках Windows. Это видно в брандмауэре Windows, там появляется правило "dns chrome" после установки оного.
Отредактировано dimatambov (05-05-2016 18:27:19)
Отсутствует
Никак. Эти расширения имеют совсем разные задачи. До некоторой степени uMatrix может служить заменой NS, но не более того.
Добавлено 30-05-2016 18:30:22
Кстати, раз уж зашел, пользователям обоих следует обратить внимание на пока непофикшенный и весьма неприятный конфликт.
Отредактировано turbot (30-05-2016 18:30:22)
Отсутствует
Эти расширения имеют совсем разные задачи. До некоторой степени uMatrix может служить заменой NS, но не более того
Скажите, можете уточнить ваш ответ. В каких именно областях хорош uMatrix и в каких NS ? Можно ли обойтись одним uMatrix ?
Отсутствует
soll
Может ли uMatrix служить полноценной заменой NS? Нет. На базовом уровне, если целью стоит просто заблокировать выполнение сторонних/first-party/inline скриптов - да, может.
uMatrix предназначен, в первую очередь, для выборочной фильтрации контента, по типу, загружаемых со сторонних сайтов. Я утомлюсь перечислять все секьюрити фичи NS (помимо основной функции - блокировки скриптов), которые отсутствуют в uMatrix. Многие из них и вовсе не имеют ui для настройки, никак не документированы, и доступны только через about:config (можете кое-что глянуть здесь (спасибо negodnik'у за составление и перевод всего этого)). Но главное, на мой взгляд, это создание суррогатов (и наличие предустановленных). Т.е., возможность перехватывать и подменять скрипты сайтов на свои.
Главный же плюс uMatrix - удобство и гибкость в созданнии правил и то что оно гораздо более легкое расширение и сказывается гораздо меньше на производительности.
В свою очередь, NS может полностью заменить uMatrix, но создание выборочных правил (разрешать загрузку того-то, того-то, с того сайта, но только на определенном) в нем реализовано через "одно место", называемое ABE (пример). Что не в пример удобнее делается в uMatrix.
Лично я пользуюсь обоими.
Отсутствует
turbot, большое спасибо. Сделал вывод - uMatrix для меня, а NS слишком заморочен. Пробовал неоднократно ставить NS постоянно сталкивался с проблемами с разрешениями, поставил uMatrix - отлично, понятно. Возможно, просто пока не дорос до составления правил, но пока uMatrix хватает !
Отсутствует
можете кое-что глянуть здесь (спасибо negodnik'у за составление и перевод всего этого
Хороший перевод, хорошая статья, спасибо негоднику.
Уважаемые форумчане, никто не встречал перевод документации uMatrix вот этой ссылки - https://github.com/gorhill/uMatrix/wiki?
Или другой любой подробный обзор этого дополнения?
Отсутствует
turbot пишетЭти расширения имеют совсем разные задачи. До некоторой степени uMatrix может служить заменой NS, но не более того
Скажите, можете уточнить ваш ответ. В каких именно областях хорош uMatrix и в каких NS ? Можно ли обойтись одним uMatrix ?
До uMatrix я понимал, что заходя на те адреса, которые вижу в адресной строке мой браузер ещё создаёт кучу соединений к третьим сайтам о которых я и понятия не имею. Это всякие рекламные сети,трекеры, дружественные сайты и прочая чепуха, это может быть контент с поддоменов самого сайта(например картинки лежат на сайте images.site.ru). Я хотел иметь контроль над теми сайтами,которые я посещаю и хотел уверенности, что мой браузер не создаёт кучу коннектов к сайтам о которых я не знаю, хотел уверенности, в том чтобы ходить по тем сайтам, адреса которых знаю. Всяким третьим/сторонним сайтам никакого основания доверять у меня нет! Кроме того, бывают исключения и хотелось бы иметь возможность быстро разрешать добавить временно или постоянно какие-то исключения.Например, на Википедии картинки к Вики страницам загружаются с третьего сайта upload.wikimedia.org, а не с wikipedia.org). Матрица разрешений в uMatrix быстро доступна, понятна даже самым начинающим пользователям и в ней легко поменять разрешения для нужных сайтов и контента. Это одновременно мощное и лёгкое средство, в иноязычной терминологии это дополнение иногда называют файрволом для браузера. Причём там нет миллионов кем-то созданных правил как в Adblock или NoScript или uBlock. Хотя считаю, что adblock и uBlock работают эффективно, но эти миллионы правил всё равно не охватывают всего интернета, и не решают проблему в корне. Абсолютное большинство сайтов с рекламой держат свою рекламу именно на третьих сайтах. Что в uMatrix легко решается(см. моё сообщение выше). Миллионы правил в других дополнениях я тоже не могу физически проконтролировать, в uMatrix всё ясно и понятно.Я наверно полгода искал дополнение позволяющее контролировать соединения моего браузера, я хотел, чтобы мой браузер не ходил по неизвестным мне сайтам. Нашёл uMatrix, но коннекты на другие сайты всё равно шли от браузера, я проверял анализатором трафика Wireshark на шлюзе . Оказалось нужно было в браузере отключить всякое преугадывающее поведение -браузер пытался угадать куда я дальше пойду с этой страницы и делал предварительные dns запросы и загружал контент с тех страниц, которые я ещё не посещал(типа сделали это для того,чтобы быстрее страницы грузились, во времена модемных скоростей это может и имело смысл..., сейчас это инструмент слежки за пользователем). Браузер даже наблюдает мимо каких элементов страницы я мышкой провожу и пытается эти ссылки предзагрузить. После того как убрал всякую предзагрузку в браузере через about:config и чуть перенастроил uMatrix запретив javascript для всех сайтов и запретив всякую закачку контента с третьих сайтов я получил то что хотел -полный контроль над браузером и его коннектами. Все остальные плагины я удалил из браузера, ни Adblock, ни uBlock у меня нет. Но и рекламы фактически нет!
Отсутствует
После того как убрал всякую предзагрузку в браузере через about:config и чуть перенастроил uMatrix запретив javascript для всех сайтов и запретив всякую закачку контента с третьих сайтов я получил то что хотел -полный контроль над браузером и его коннектами. Все остальные плагины я удалил из браузера, ни Adblock, ни uBlock у меня нет. Но и рекламы фактически нет!
Насчёт запрета javascript для всех сайтов - малость перегибаешь палку. uMatrix очень мощный инструмент, но он, к сожалению, не позволяет точечно блокировать контент (например, один ненужный js или css или image). Так что я рекомендовал бы uBlock всё-таки оставить.
Отсутствует
dimatambov пишетПосле того как убрал всякую предзагрузку в браузере через about:config и чуть перенастроил uMatrix запретив javascript для всех сайтов и запретив всякую закачку контента с третьих сайтов я получил то что хотел -полный контроль над браузером и его коннектами. Все остальные плагины я удалил из браузера, ни Adblock, ни uBlock у меня нет. Но и рекламы фактически нет!
Насчёт запрета javascript для всех сайтов - малость перегибаешь палку. uMatrix очень мощный инструмент, но он, к сожалению, не позволяет точечно блокировать контент (например, один ненужный js или css или image). Так что я рекомендовал бы uBlock всё-таки оставить.
С точки зрения приватности javascript зло, список информации, которая через него может утечь составляет не одну страницу.
Красота страниц и их динамичность мне не нужна! А если уже приспичит, всегда можно сделать исключение в uMatrix временное или постоянное для нужного сайта!
Вот хороший тест на приватность ваших браузеров https://panopticlick.eff.org/
Поддержку суперкуки он не проверяет, но даже на нём обычный браузер без перенастроек не набирает ни одной галочки из четырёх! То есть, все современные браузеры заточены из коробки на слежку за пользователем! И Firefox к сожалению не исключение и уже давно.
Отсутствует
dimatambov
Сам держу uMatrix, правда, до тотального отключения js пока не дошёл, сайты без яваскрипт выглядят уныло.
Но это ладно, дело вкуса.
А вот такой, казалось бы, простенький вопрос, как контроль Матрикса за куками, в настройках приложения этот пункт присутствует (удалять куки через энное время после последнего использования). Вы думаете, он их все всегда и со всех сайтов удаляет? Я Вас разочарую, это не так. Некоторые удаляет. А некоторые дурачат его, а оно, в смысле расширение, ведётся на это.
Ну, вот, допустим, сайт "Эхо Москвы". После авторизации там можно закрыть вкладку на много часов, а потом, зайдя туда, обнаружить, что авторизация сохранилась. При этом в uMatrix установлено удалять куки через 15 минут после последнего использования. Смекаете, как создаётся видимость защиты, а на деле можно влипнуть в историю? Речь не об "Эхе", это я как пример привёл. Просто после установки Матрикса я провёл беглую проверку основных его функций: подмена UA, блокировка реферера, удаление cookie. Последний пункт экзамен провалил.
Гарантированное удаление cookie происходит только при закрытии браузера, у меня Хром, использую режим инкогнито.
Хотя есть сайты, где Матрикс удаляет куки согласно настройкам. Но не везде. А это значит, что надеяться на это нельзя вообще нигде, ни на одном сайте, пока не проверишь. А поскольку каждый сайт проверять замучаешься, приходится исходить из того, что расширение это не способно выполнять эту задачу.
Было бы хорошо, если б в Матриксе появилась возможность немедленного удаления ВСЕХ сохранённых в браузере cookie, независимо от того, когда они последний раз использовались, временные они или постоянные. Пока же, будьте настороже.
Отсутствует
А вот такой, казалось бы, простенький вопрос, как контроль Матрикса за куками, в настройках приложения этот пункт присутствует (удалять куки через энное время после последнего использования). Вы думаете, он их все всегда и со всех сайтов удаляет? Я Вас разочарую, это не так. Некоторые удаляет. А некоторые дурачат его, а оно, в смысле расширение, ведётся на это.
Ну, вот, допустим, сайт "Эхо Москвы". После авторизации там можно закрыть вкладку на много часов, а потом, зайдя туда, обнаружить, что авторизация сохранилась. При этом в uMatrix установлено удалять куки через 15 минут после последнего использования.
Свою всякую-разную информацию (в том числе и об авторизации) сайты могут сохранять не только в cookies, но и в некоторых других местах, о существовании которых пользователь узнаёт потом - с большим удивлением, а иногда и с большим опозданием.
Отредактировано yup (17-06-2017 15:59:23)
Отсутствует
yup
А в каких именно местах? Если перезапустить браузер, то авторизация слетает. Но ведь браузер при закрытии удаляет куки, кэш и историю; по-моему, всё. Кэш там тоже проверял, установив те же 15 мин. Не помогло.
Поэтому я предположил, что дело в куках. Кроме того, проверял в обычном режиме, там можно увидеть все куки, в инкогнито такой возможности нет (если не лазить в системные папки). И в обычном режиме при той проверке куки оставались всё то время, что я ждал, что Матрикс их уберёт, то есть, несколько часов.
Всё-таки подозреваю, что куки там непростые, а долгоиграющие, перед которыми Матрикс капитулирует. Вот и банальное отслеживание. И это только то, что я обнаружил. А сколько всего невидимого, даже при наличии средств борьбы с этим, например, подписок в блокировщике рекламы, заточенных на блокирование разных жучков.
Отсутствует
А в каких именно местах?
Есть в профиле каталог storage, в подкаталогах которого сайты могут что угодно хранить (у каждого сайта свой подкаталог). Есть файл webappsstore.sqlite, в котором можно хранить информацию, сходную с cookie.
Но ведь браузер при закрытии удаляет куки, кэш и историю; по-моему, всё.
В настройках Seamonkey в разделе "Личные данные" целых 9 галочек - что удалять при завершении программы или при нажатии на кнопку "Удалить сейчас".
Одна из этих галочек - "Сессии аутентификации". Эта информация никуда не записывается, а держится в памяти. Причём для доступа к сайтам используется именно она. Куки (и прочие хранилища) нужны только для того, чтобы информация об аутентификации могла сохраняться между запусками программы. Поэтому прибитие куки не имеет никакого значения, если авторизация в текущем сеансе работы уже произошла.
Отсутствует
Есть в профиле каталог storage, в подкаталогах которого сайты могут что угодно хранить
Да, очевидно, где-то что-то и куда-то проникает. Моих познаний, чтобы понять, куда и что там влезает, а главное - как с этим бороться - не хватает.
Но даже моих скромных знаний достаточно, чтобы понять, насколько это небезопасно. Странно, что разработчики браузеров позволяют такое. Ладно сами они следят и стучат, но зачем сторонним сайтам это позволять?
Когда-то сам юзал Seamonkey, притом довольно долго, вон даже аватара с тех пор осталась.
Не помню уже все настройки Семанки, но чтобы утверждать, что такая гибкость в них, в контексте обсуждаемого нами вопроса, что-то решает, нужно сперва это перепроверить. Когда я её юзал, я понятия не имел про слежку, мне было достаточно блокировки рекламы и я был доволен, как слон.
Я когда первый раз запустил проверку по кукам, открыл несколько сайтов, где авторизовался, и стал ждать.
Так вот, скажем, в почте яндекса, если при авторизации поставить "Чужой компьютер", то Матрикс убирает куки через установленное время и из авторизации выкидывает, даже вкладку с сайтом можно не закрывать. И это несмотря на то, что яндекс каждые несколько минут самостоятельно перепроверяет почту; ну, то есть, идёт обращение и к кукам тоже.
Если ту галку не поставить, авторизация сохраняется до перезапуска браузера. Но это ладно.
Получается, что на том же "Эхе", где при авторизации нет возможности выбора, чужой комп или свой, он всегда воспринимается своим и поэтому куки не прибиваются Матриксом. Хотя Матрикс должен определять, что обращения к тем кукам давно нет, сайт вообще закрыт, надо куки удалять. Но почему-то не удаляет.
Отсутствует
Так вот, скажем, в почте яндекса, если при авторизации поставить "Чужой компьютер", то Матрикс убирает куки через установленное время и из авторизации выкидывает, даже вкладку с сайтом можно не закрывать.
По идее, если заходить в режиме "чужой компьютер", то это сам сайт не пишет в куки ничего, связанного с авторизацией, и сессию автоматически завершает через какое-то время неактивности пользователя. Так что заслуги uMatrix тут нет.
Получается, что на том же "Эхе", где при авторизации нет возможности выбора, чужой комп или свой, он всегда воспринимается своим и поэтому куки не прибиваются Матриксом.
Напоминаю: после того, как на сайт зашли, авторизовавшись с помощью куки, эти куки в текущем сеансе работы уже не нужны, и их удаление не приведёт к "выбиванию" с сайта. А с другой стороны, при первом же после удаления куки запросе к сайту сайт обнаружит отсутствие своих куки и запросто может записать их заново.
Отсутствует
По идее, если заходить в режиме "чужой компьютер", то это сам сайт не пишет в куки ничего, связанного с авторизацией, и сессию автоматически завершает через какое-то время неактивности пользователя.
Вполне допускаю. Я в обычном, не приватном режиме посмотрел, что куки янедкса прописались, а какие там для чего, мне не понять.
А с другой стороны, при первом же после удаления куки запросе к сайту сайт обнаружит отсутствие своих куки и запросто может записать их заново.
Т.н. супер-куки? Похоже на то, я читал про них, Хром уже давно убивает и их после закрытия браузера в режиме инкогнито.
Жаль, что Матрикс не может их прибить, вроде бы и не его вина, но с другой стороны пользователи надеются, что, установив в его настройках удаление кук, он это выполнит. А он даже не уведомляет, что такие-то куки удалить невозможно, чтобы пользователи не расслаблялись.
Отсутствует
Т.н. супер-куки?
Зачем же? Самые обычные. Просто поведение сайта таково, что удалять их надо после того, как будет закрыта последняя страничка сайта, поскольку иначе любая открытая страничка обнаружит факт отсутствия куки и создаст их заново.
пользователи надеются, что, установив в его настройках удаление кук, он это выполнит. А он даже не уведомляет, что такие-то куки удалить невозможно
В описываемом мной сценарии куки очень даже удаляются. Просто после этого быстренько создаются заново.
(Вирусы вручную никогда не удаляли? Там тоже сплошь и рядом: при работающем вирусе удаляешь запись о нём в реестре из ветки автозапуска, а через секунду она опять там торчит - вирус засёк удаление и пересоздал.)
Отредактировано yup (17-06-2017 19:48:16)
Отсутствует
Просто поведение сайта таково, что удалять их надо после того, как будет закрыта последняя страничка сайта
Так ведь пробовал закрывать вкладку, ждал три часа, потом открывал и видел, что я авторизован.
Хорошо, вот есть uMatrix, позволяющий держать весь контент сайта под контролем (или не весь?). Что можно там заблокировать, чтобы укоротить память сайта в течение одной сессии? Какого типа эти элементы? Один кук я прибил, пока ни на что не влияет. Есть ещё группа куков, но если её блокировать, тогда авторизоваться вообще не получится.
Но там есть другие элементы: скрипты, CSS, XHR.
Я понимаю, что даже если Матрикс удаляет все куки с какого-то сайта, после чего там слетает авторизация, это не значит, что тот сайт ничего не сохранил у меня.
Но когда даже авторизация не слетает, то ощущение не из приятных, следят и даже не прячутся.
Отсутствует
Так ведь пробовал закрывать вкладку, ждал три часа, потом открывал и видел, что я авторизован.
И что из этого следует? Я же говорю - после авторизации на сайте браузер держит у себя в памяти нужную информацию до бесконечности (точнее - до завершения своей работы). И если сам сайт по истечении определённого времени неактивности пользователя эту авторизацию не аннулирует, то пустит к себе хоть через неделю, главное - не закрывать браузер. И никакие куки к этому вообще непричастны.
Что можно там заблокировать, чтобы укоротить память сайта в течение одной сессии? Какого типа эти элементы?
То, о чём мы говорим, не является элементом странички, это внутренняя информация самой программы. Но раз у Seamonkey есть удаляющая эту информацию кнопка, то с большой вероятностью и для него, и для Firefox можно сделать кнопку Custom Buttons, которая проделает то же самое, причём выборочно, а не для всех сайтов оптом.
Но когда даже авторизация не слетает, то ощущение не из приятных, следят и даже не прячутся.
Естественно, следят. Они же (сайты) живут с этого.
Отредактировано yup (17-06-2017 22:33:45)
Отсутствует
Я же говорю - после авторизации на сайте браузер держит у себя в памяти нужную информацию до бесконечности (точнее - до завершения своей работы).
Дело в том, что Хром предлагает только выбрать политику куков. У меня куки разрешены, кроме сторонних, при закрытии браузера всё должно удаляться. Про режим инкогнито тем более понятно.
И тут вдруг браузер, вопреки всему, хранит то, о чём его не просят? Пусть не куки, а что-то другое, но то, что наносит вред конфиденциальности юзера больше, чем сохранённые куки.
Естественно, следят. Они же (сайты) живут с этого.
Когда они не только следят, но и демонстрируют это тем, за кем следят, это сильно напрягает.
В общем, вопрос, как отрубать историю пользования сайтом после его закрытия, не перезапуская браузер, остаётся открытым.
Отсутствует
1. Мы о чём говорим - о тех данных, которые сайты записывают на диск пользователя, или об авторизации, которую браузер хранит в своей памяти в течение сеанса работы?
2. Мы с какой программой разбираемся - с Firefox или Chrome?
Отсутствует