Статья Конфиденциальность в FireFox'е

FireFox - мой любимый браузер, скорее всего многие со мной будут согласны, но не все знают от такой приблуде, как about:config

Если кратко - это утилита, распологающая в себе правила, отвечающие за работу firefox'а(доступ сайтов к геоданным, телеметрии и многое другое), сегодня я поделюсь своими аддонами и попробуем настроить firefox для безопастного серфинга в сети, начнем:
(Всё проделано в firefox quantum версии 61.0.1 (64))

Вводим в адресную строку:

about:config

Поскольку правил тут действительно много - будем пользоваться поиском:

Для начала уберем отправку отчетов:

breakpad.reportURL - сотрите значение
browser.tabs.crashReporting.email - сотрите значение
browser.tabs.crashReporting.emailMe - значение: false
browser.tabs.crashReporting.sendReport - false
datareporting.healthreport.infoURL - сотрите значение
datareporting.healthreport.uploadEnabled - false
datareporting.policy.dataSubmissionEnabled - false
extensions.getAddons.cache.enabled - false
security.ssl.errorReporting.automatic - false

Теперь местоположение:

browser.geolocation.warning.infoURL - сотрите значение
browser.search.countryCode - поставьте любую страну (дефолт: RU, у меня US)
browser.search.geoip.url - сотрите значение
browser.search.geoip.timeout - значение: 0
browser.search.geoSpecificDefaults.url - сотрите значение
browser.search.geoSpecificDefaults - false
browser.search.region - поставьте любую страну (дефолт: RU, у меня US)
browser.search.suggest.enabled - false
geo.enabled - false
geo.wifi.uri - сотрите значение

Убираем доступ к аппаратным устройствам(камеры, микрофоны и т.д.):

dom.gamepad.enabled - false
dom.gamepad.non_standard_events.enable - false
dom.imagecapture.enabled - false
dom.presentation.discoverable - false
dom.presentation.discovery.enabled - false
dom.presentation.enabled - false
dom.presentation.tcp_server.debug - false
media.getusermedia.aec_enabled - false
media.getusermedia.agc_enabled - false
media.getusermedia.audiocapture.enabled - false
media.getusermedia.browser.enable - false
media.getusermedia.noise_enabled - false
media.getusermedia.screensharing.enabled - false
media.navigator.enabled - false
media.navigator.permission.disabled - false
media.navigator.video.enabled - false
media.video_stats.enabled - false
media.webspeech.recognition.enable - false
dom.netinfo.enabled - false
media.webspeech.recognition.enable - false
media.webspeech.synth.enabled - false

Отправка данных на сервера mozilla и google(must have):

browser.safebrowsing.downloads.enabled - false
services.sync.prefs.sync.browser.safebrowsing.downloads.enabled - false
browser.safebrowsing.downloads.remote.block_dangerous_host - false
browser.safebrowsing.downloads.remote.block_dangerous - false
browser.safebrowsing.downloads.remote.block_potentially_unwanted - false
browser.safebrowsing.downloads.remote.block_uncommon - false
browser.safebrowsing.downloads.remote.enabled - false
browser.safebrowsing.downloads.remote.url - оставьте пустым
browser.safebrowsing.malware.enabled - false
services.sync.prefs.sync.browser.safebrowsing.malware.enabled - false
browser.safebrowsing.provider.google.gethashURL - false
browser.safebrowsing.provider.google.lists - false
browser.safebrowsing.provider.google.reportURL - сотрите значение
browser.safebrowsing.provider.google.updateURL - сотрите
browser.safebrowsing.provider.google.updateURL - сотрите
browser.safebrowsing.provider.mozilla.lists - сотрите
browser.safebrowsing.provider.mozilla.updateURL - сотрите
browser.safebrowsing.reportPhishURL - сотрите
services.sync.prefs.sync.browser.safebrowsing.malware.enable - false

Синхронизация и другая хурма:

identity.fxaccounts.auth.uri - сотрите
services.sync.engine.addons - false
services.sync.engine.bookmarks - false
services.sync.engine.history - false
services.sync.engine.passwors - false
services.sync.engine.prefs - false
services.sync.engine.tabs - false
services.sync.fxa.privacyURL - сотрите
services.sync.fxa.termsURL - сотрите

Телеметрия:

dom.ipc.plugins.flash.subprocess.crashreporter.enabled - false
dom.ipc.plugins.reportCrashURL - false
network.allow-experiments - false
security.ssl.errorReporting.enabled - false
toolkit.crashreporter.infoURL - сотрите значение
toolkit.telemetry.archive.enable - false
toolkit.telemetry.cachedClientID - сотрите
toolkit.telemetry.rejected - true
toolkit.telemetry.server - сотрите
toolkit.telemetry.unified - false

Отключаем WebRTC:

media.peerconnection.enabled - false
media.peerconnection.ice.default_address_only - false
media.peerconnection.ice.relay_only - true
media.peerconnection.identity.enabled - false
media.peerconnection.identity.timeout - 1
media.peerconnection.turn.disable - true
media.peerconnection.use_document_iceservers - false
media.peerconnection.video.enabled - false

С about:config на этом все, дальше обсудим расширения, которые я считаю обязательными для установки(если покажется попсовым - прошу прощения, вдруг кто-то не знает)

1) HTTPS Everywhere - утилита блокирует http запросы для предотвращения утечки данных через незащищенный протокол.
2) User-Agent Switcher - подменяет user agent на выбранный пользователем, доступны все самый популярный платформы(даже мобильные)
3) uBlock Origin - просто адблок с фильтрами, блэк джеком и ... ну вы поняли
4) FoxyProxy Standart - в firefox есть функция добавления прокси, но мне кажется эта штукенция удобнее
5) Privacy Badger & Disconnect - отслеживают и блокируют всякую нечесть на сайтах
6) Web Developer - редактор куки, отключение css, и другие утилиты для web разработчика
7) NoScript - хардкорное расширение, название символизирует

На этом всё. Рад, если был полезен, сохраняйте анонимность, удачи.

P.S. Разумеется оффайте всякую шнягу в настройках (отправление отчетов, сообщения о падениях и т.п.), ставьте мастер пароль, да прибудет с вами анонимность

 

[Литиум]

Как по мне - это уже стандарт для специалистов. Но оформление статьи понравилось , надеюсь не последняя статья.

 

[Langolier]

Статья, несмотря на кажущийся "баян" - очень хорошая.
Во-первых автор очень хорошо всё систематизировал, разложил по-полочкам.

Я сначала скептически отнёсся к ней, думаю как и многие на форуме.
Но почему-то захотелось пересмотреть все свои настройки
about:config
и вопреки моей самоуверенности я обнаружил, что у меня многие настройки браузера были нетронуты, то есть я о них ничего не знал.

Все свои настройки я записываю в текстовый файл.
Поэтому, сравнил настройки автора статьи со своими.
С радостью дополню статью своими настройками, которых не обнаружил в статье.

browser.cache.disk.capacity = 0
browser.cache.disk.enable = false
browser.cache.disk.smart_size.enabled = false
browser.cache.disk_cache_ssl = false
browser.cache.memory.enable = false
browser.cache.offline.capacity = 0
browser.cache.offline.enable = false
dom.indexedDB.enabled = false
media.cache_size = 0

Опция отключения возможности хранения сайтами некоторых настроек

dom.storage.enabled = false

Опции отключения автоматического обновления браузера

app.update.auto = false
app.update.enabled = false
app.update.mode = 0

Опция отключения автоматического обновления поисковых плагигов

browser.search.update = false

Опции отключения отправки данных о производительности Firefox

datareporting.healthreport.service.enabled = false
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false

Отключает статистику использования

toolkit.telemetry.enabled=false

Опция отключения возможности подключения Firefox к сторонним серверам (Telefonica) без разрешения.

loop.enabled=false

Опция отключения Стороннего сервиса для управления списком статей, отложенных для прочтения.

browser.pocket.enabled=false

В отличие от всех перечисленных выше, эту опцию, наоборот, следует включить. Это нужно для активной блокировки сайтов, которые известны своим некорректным поведением в отношении слежки за пользователями. Не путать с DNT, которая только «просит» сайты не отслеживать вас. Здесь же осуществляется принудительная блокировка.

browser.search.suggest.enabled=tru

Отключение отслеживания действий на сайте

browser.send_pings - false

Отключение прямого ДНС запроса
По умолчанию стоит false то есть отключено. Если вы пользуетесь TORом или прокси,
то в этом случае браузер будет делать запрос к ДНС не напрямую, а через прокси

network.proxy.socks_remote_dns - true

Отключить WebGL.

webgl.disabled в true.
dom.enable_performance = false
dom.battery.enabled = false
network.dns.disablePrefetch = true
network.http.accept.default = text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Отключить кэширование в Firefox

network.http.use-cache= false
browser.cache.offline.enable= false
browser.cache.disk.enable= false
browser.cache.disk_cache_ssl= false
browser.cache.memory.enable= false
network.http.keep-alive.timeout = 600
network.http.max-persistent-connections-per-proxy = 16
network.cookie.lifetimePolicy = 2
network.http.sendRefererHeader = 0
network.http.sendSecureXSiteReferrer = false
network.protocol-handler.external = false [Включаем все подпарамеры в значении false]
network.protocol-handler.warn-external = true [Включаем все подпарамеры в значении true]
network.http.pipelining = true
network.http.pipelining.maxrequests = 8
network.http.proxy.keep-alive = true
network.http.proxy.pipelining = true
network.prefetch-next = false
browser.cache.disk.enable = false
browser.cache.offline.enable = false
browser.sessionstore.privacy_level = 2
browser.sessionhistory.max_entries = 2
browser.display.use_document_fonts = 0
dom.battery.enabled = false
intl.charsetmenu.browser.cache = ISO-8859-9, windows-1252, windows-1251, ISO-8859-1, UTF-8
extensions.blocklist.enabled = false
network.proxy.no_proxies_on = (пусто)
по умолчанию localhost, 127.0.0.1

Cookie или Куки - если вы хотите быть невидимым для статистики, не хотите быть опознанным сайтом,
то вам придется отключить куки в браузере. Отключать полностью не стоит, так как на подавляющем большинстве сайтов вы будете себя чувствовать
неуютно и некоторые функции просто не будут работать.
Но если вам надо посетить некий ресурс "без следов" то в Firefox есть прекрасный инструмент - это Приватный просмотр.
Подключить его можно в любой момент. Инструменты - Начать приватный просмотр

**************************************************************************************************8

И ещё на мой взгляд, очень важное дополнение.
Согласитесь, все эти настройки вносить каждый раз не очень удобно - это занимает много времени.
Но все эти настройки хранятся в файле prefs.js, который находится в папке профиля пользователя.
Папка профиля имеет примерно такой адрес:
C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\tbvjuen7.default\
Последняя папка - индивидуальна, поэтому у каждого из нас она будет иметь различное название.
Кроме того, адрес профиля также можно сменить, в примере выше - адрес по-умолчанию.
Поэтому, можно скопировать файл prefs.js и каждый раз при установке или переустановке браузера Mozilla Firefox, а также при смене пользователя, подменять его.

 

[Rise_S]

)) Поздравляю, при заходе через браузер с такими настройками, где отключено все на свете, в первую очередь вэбэртиси , вы априори антифродом ресурса относитесь к потенциальным мошенникам. Не говоря уже о том, что вы получаете уникальность. Параметры нужно максимально подменять, а не отключать, это элементарные основы

 

[rain.seller]

По поводу антифрода, самые часто встречаемые детекты в браузере, можно посмотреть

Ссылка скрыта от гостей

.
+ На сайте еще есть куча других детектов.

 

[Langolier]

Не говоря уже о том, что вы получаете уникальность. Параметры нужно максимально подменять, а не отключать, это элементарные основы

Очередной умник, ну как-же без этого ))

Ты имеешь ввиду подмену WebRTC ?
Мы знакомы с этими основами.
Но к "about:config" это не относится.

Вот ответь мне, если ты такой умный: а разве до изменения настроек браузер не был уникальным ?
Каким образом по-твоему изменение настроек влияет на уникальность браузера ?
Каким образом предотвращение отстука на сервера Гугла делает браузер менее уникальным или каким-то не вписывающимся в твои представления конфиденциальности ?

Ну и если уж начал говорить об "элементарных основах", раз уж обвинил кого-то из нас в непонимании этих основ, то договаривай. А то как-то не очень красиво ты смотришься: типо умное выражение лица и ничего более))

Данная тема никак не связана с антифродом.
Здесь вроде об конфиденциальности идёт речь.

 

[Rise_S]

Стесняюсь спросить, а вы о себе в третьем лице изволите говорить?)) Ладно. До изменения всех настроек уникальность браузера была приемлемого уровня с точки зрения антифрода - со своими идентификаторами Canvas, WebGl, Audio и пр., а главное читался xRTC, да, и, кстати, Канвас и Аудио в описанном выше мануале никаким образом не отключено и не подменено, только Вэбждиэль выключили зачем то, хотя можно было прописать какие угодно настройки, отсюда вопрос - как антифрод будет воспринимать попытки сокрытия xRTC, геолокации и пр. Могу сказать, что опытным путем проверено, что там, где тупо отключался вэбэртиси, антифрод одной из крупных компаний сразу реагировал. Каким образом реагировал? - у пользователя появлялись проблемы с использованием этих ресурсов, банились аккаунты в 3 случаях из пяти, у тех же, кто зашумлял - в 1 случае из пяти, и то из-за косяка пользователя. Антифрод, скорее всего, воспринимал данную подмену, как попытку сокрытия личности (неуклюжую), что еще раз подтверждает данные о том, что существуют определенные критерии по которым происходит оценка пользователя антифродом, и, рядовой пользователь не станет ковыряться в настройках и отключать кучу идентификаторов. Кукис файлы лучше убирать в оперативку с помощью плагинов, а не отказываться от приема, или свой писать, или ставить, кстати, есть ведь неплохие для лисы, и, вроде бы, по мнению заокеанских друзей, отказ браузера в приеме кукисов также приводит к срабатыванию мер антифрода.. Если уже задается цель обеспечения анонимности, то нужно подменять, или зашумлять WebrtC, но не отключать, аналогично и вэбджиэль, и кукисы принимать в оперативку, да и, кстати А вообще, Вэбэртиси и канвас это уже не актуально - D3D8/9 , AhoyRTC, oRTC, Аудио, ну и v6 более актуально. Вообщем, тотальное отключение, а не подмена идентификаторов приводит к реагированию антифрода, да, и, вообще, есть же олд скул по настройке Лисы, ваш объем это процентов 50 от того, что там можно отключить для анонимности, если уже отключать, вот только ничего хорошего из этого не выйдет... Процент браузеров с отключенными идентификаторами очень низкий от общего числа. Есть куча ресурсов для проверки настроек браузера. Тут кто то постил на форуме - amiuniqe по-моему, можете проверить свой браузер до ваших настроек и после на уникальность. ИМХО, в плане анонимности с точки зрения антифрода, описанные выше процедуры с Лисой дают защиту от утечки айпи адреса, но, при этом привлекают повышенное внимание. Вообщем, вы тут пока развлекайтесь с анонимностями браузеров, а у меня более приземленные проблемы)), мне нужно придумать, как конвертировать bat файлы в sh, точнее, найти он-лайн конвертор годный, чтоб не перебирать все руками. Всем мир

 

[Rise_S]

Статья, несмотря на кажущийся "баян" - очень хорошая.
Во-первых автор очень хорошо всё систематизировал, разложил по-полочкам.

Я сначала скептически отнёсся к ней, думаю как и многие на форуме.
Но почему-то захотелось пересмотреть все свои настройки
about:config
и вопреки моей самоуверенности я обнаружил, что у меня многие настройки браузера были нетронуты, то есть я о них ничего не знал.

Все свои настройки я записываю в текстовый файл.
Поэтому, сравнил настройки автора статьи со своими.
С радостью дополню статью своими настройками, которых не обнаружил в статье.

Как вы занимаетесь пентестингом с ненастроенным браузером? Очень интересно

 

[mescalito]

Настройки about:config

The-OP/Fox

Поддерживаемые на данный момент версии Firefox: 52 - 57.

Приведенные здесь настройки условно разделены на следующие категории:

1. Настройки относительно безопасные - меняя их, ничего нужного не отвалится, и кое-что улучшится.
2. Настройки, ломающие не особо нужную функциональность.
3. Настройки, ломающие нужную некоторым функциональность.
4. Настройки, еще больше ломающие функциональность. Их отключают либо для повышения безопасности, либо для повышения анонимности. А также все, что не подошло в первые три категории.
5. Настройки для энтузиастов. Ничего особо не ломают, но рассчитаны на тех, кто использует браузер нетривиальными способами.

 

[bycat]

Да с такими аддонами каждый шаг пауза

 

[Sphinx]

Настройки для всеми нами любимого Tor-браузера:

Настройки -> Встроенные объекты.

Ставим галочки около:

- Запретить <AUDIO> / <VIDEO>
- Запретить <IFRAME>
- Запретить <FRAME>
- Запретить @font-face

Далее, abount:addons
Ищем дополнение RequestPolicy и устанавливаем. Данное дополнение защищает от подделки межсайтовых запросов (XSS).

Возможно, Вы теперь в безопасности (но, не факт).

 

[f8888k]

Интересная статья, но ведь ты с такими настройками не будешь светиться на телевизорах? Как тот, что один из 200000 человек использует защищенное подключение? Либо ты вообще пропадешь из списков юзеров браузера?

 

[ActionNum]

Спасибо за статью, возникла некоторая проблема, после настройки браузера в Debian 9 не нашел prefs.js, для переноса на другие хосты. Кто сталкивался, не подскжите, где в Debian хранятся настройки about:config?

 

[prostoyparen]

Где надписи "сотрите", нужно писать about:blank (пустой бланк), а когда просто стираешь, он может работать просто по умолчанию, тоесть не будет разницы стерли или нет.

 

[alexej]

Путь к конфигу можно найти так: "три точки" - "Хэлп" - "Траблшутинг информейшн" - "профиль фолдер" - префс.json

 

[Triton]

)) Поздравляю, при заходе через браузер с такими настройками, где отключено все на свете, в первую очередь вэбэртиси , вы априори антифродом ресурса относитесь к потенциальным мошенникам. Не говоря уже о том, что вы получаете уникальность. Параметры нужно максимально подменять, а не отключать, это элементарные основы

Поддерживаю. В потоке данных это будет выделятся. Но это имеет место быть. И как всегда это надо применять к месту.