Статья Конфиденциальность в FireFox'е

FireFox - мой любимый браузер, скорее всего многие со мной будут согласны, но не все знают от такой приблуде, как about:config

Если кратко - это утилита, распологающая в себе правила, отвечающие за работу firefox'а(доступ сайтов к геоданным, телеметрии и многое другое), сегодня я поделюсь своими аддонами и попробуем настроить firefox для безопастного серфинга в сети, начнем:
(Всё проделано в firefox quantum версии 61.0.1 (64))

Вводим в адресную строку:
Код:
about:config

Поскольку правил тут действительно много - будем пользоваться поиском:

Для начала уберем отправку отчетов:
Код:
breakpad.reportURL - сотрите значение
browser.tabs.crashReporting.email - сотрите значение
browser.tabs.crashReporting.emailMe - значение: false
browser.tabs.crashReporting.sendReport - false
datareporting.healthreport.infoURL - сотрите значение
datareporting.healthreport.uploadEnabled - false
datareporting.policy.dataSubmissionEnabled - false
extensions.getAddons.cache.enabled - false
security.ssl.errorReporting.automatic - false

Теперь местоположение:
Код:
browser.geolocation.warning.infoURL - сотрите значение
browser.search.countryCode - поставьте любую страну (дефолт: RU, у меня US)
browser.search.geoip.url - сотрите значение
browser.search.geoip.timeout - значение: 0
browser.search.geoSpecificDefaults.url - сотрите значение
browser.search.geoSpecificDefaults - false
browser.search.region - поставьте любую страну (дефолт: RU, у меня US)
browser.search.suggest.enabled - false
geo.enabled - false
geo.wifi.uri - сотрите значение

Убираем доступ к аппаратным устройствам(камеры, микрофоны и т.д.):
Код:
dom.gamepad.enabled - false
dom.gamepad.non_standard_events.enable - false
dom.imagecapture.enabled - false
dom.presentation.discoverable - false
dom.presentation.discovery.enabled - false
dom.presentation.enabled - false
dom.presentation.tcp_server.debug - false
media.getusermedia.aec_enabled - false
media.getusermedia.agc_enabled - false
media.getusermedia.audiocapture.enabled - false
media.getusermedia.browser.enable - false
media.getusermedia.noise_enabled - false
media.getusermedia.screensharing.enabled - false
media.navigator.enabled - false
media.navigator.permission.disabled - false
media.navigator.video.enabled - false
media.video_stats.enabled - false
media.webspeech.recognition.enable - false
dom.netinfo.enabled - false
media.webspeech.recognition.enable - false
media.webspeech.synth.enabled - false

Отправка данных на сервера mozilla и google(must have):
Код:
browser.safebrowsing.downloads.enabled - false
services.sync.prefs.sync.browser.safebrowsing.downloads.enabled - false
browser.safebrowsing.downloads.remote.block_dangerous_host - false
browser.safebrowsing.downloads.remote.block_dangerous - false
browser.safebrowsing.downloads.remote.block_potentially_unwanted - false
browser.safebrowsing.downloads.remote.block_uncommon - false
browser.safebrowsing.downloads.remote.enabled - false
browser.safebrowsing.downloads.remote.url - оставьте пустым
browser.safebrowsing.malware.enabled - false
services.sync.prefs.sync.browser.safebrowsing.malware.enabled - false
browser.safebrowsing.provider.google.gethashURL - false
browser.safebrowsing.provider.google.lists - false
browser.safebrowsing.provider.google.reportURL - сотрите значение
browser.safebrowsing.provider.google.updateURL - сотрите
browser.safebrowsing.provider.google.updateURL - сотрите
browser.safebrowsing.provider.mozilla.lists - сотрите
browser.safebrowsing.provider.mozilla.updateURL - сотрите
browser.safebrowsing.reportPhishURL - сотрите
services.sync.prefs.sync.browser.safebrowsing.malware.enable - false

Синхронизация и другая хурма:
Код:
identity.fxaccounts.auth.uri - сотрите
services.sync.engine.addons - false
services.sync.engine.bookmarks - false
services.sync.engine.history - false
services.sync.engine.passwors - false
services.sync.engine.prefs - false
services.sync.engine.tabs - false
services.sync.fxa.privacyURL - сотрите
services.sync.fxa.termsURL - сотрите

Телеметрия:
Код:
dom.ipc.plugins.flash.subprocess.crashreporter.enabled - false
dom.ipc.plugins.reportCrashURL - false
network.allow-experiments - false
security.ssl.errorReporting.enabled - false
toolkit.crashreporter.infoURL - сотрите значение
toolkit.telemetry.archive.enable - false
toolkit.telemetry.cachedClientID - сотрите
toolkit.telemetry.rejected - true
toolkit.telemetry.server - сотрите
toolkit.telemetry.unified - false

Отключаем WebRTC:
Код:
media.peerconnection.enabled - false
media.peerconnection.ice.default_address_only - false
media.peerconnection.ice.relay_only - true
media.peerconnection.identity.enabled - false
media.peerconnection.identity.timeout - 1
media.peerconnection.turn.disable - true
media.peerconnection.use_document_iceservers - false
media.peerconnection.video.enabled - false

С about:config на этом все, дальше обсудим расширения, которые я считаю обязательными для установки(если покажется попсовым - прошу прощения, вдруг кто-то не знает)

1) HTTPS Everywhere - утилита блокирует http запросы для предотвращения утечки данных через незащищенный протокол.
2) User-Agent Switcher - подменяет user agent на выбранный пользователем, доступны все самый популярный платформы(даже мобильные)
3) uBlock Origin - просто адблок с фильтрами, блэк джеком и ... ну вы поняли
4) FoxyProxy Standart - в firefox есть функция добавления прокси, но мне кажется эта штукенция удобнее
5) Privacy Badger & Disconnect - отслеживают и блокируют всякую нечесть на сайтах
6) Web Developer - редактор куки, отключение css, и другие утилиты для web разработчика
7) NoScript - хардкорное расширение, название символизирует

На этом всё. Рад, если был полезен, сохраняйте анонимность, удачи.

P.S. Разумеется оффайте всякую шнягу в настройках (отправление отчетов, сообщения о падениях и т.п.), ставьте мастер пароль, да прибудет с вами анонимность
 
Л

Литиум

Как по мне - это уже стандарт для специалистов. Но оформление статьи понравилось , надеюсь не последняя статья.
 
  • Нравится
Реакции: ghost и Langolier
L

Langolier

Статья, несмотря на кажущийся "баян" - очень хорошая.
Во-первых автор очень хорошо всё систематизировал, разложил по-полочкам.

Я сначала скептически отнёсся к ней, думаю как и многие на форуме.
Но почему-то захотелось пересмотреть все свои настройки
about:config
и вопреки моей самоуверенности я обнаружил, что у меня многие настройки браузера были нетронуты, то есть я о них ничего не знал.

Все свои настройки я записываю в текстовый файл.
Поэтому, сравнил настройки автора статьи со своими.
С радостью дополню статью своими настройками, которых не обнаружил в статье.

Код:
browser.cache.disk.capacity = 0
browser.cache.disk.enable = false
browser.cache.disk.smart_size.enabled = false
browser.cache.disk_cache_ssl = false
browser.cache.memory.enable = false
browser.cache.offline.capacity = 0
browser.cache.offline.enable = false
dom.indexedDB.enabled = false
media.cache_size = 0
Опция отключения возможности хранения сайтами некоторых настроек
Код:
dom.storage.enabled = false
Опции отключения автоматического обновления браузера
Код:
app.update.auto = false
app.update.enabled = false
app.update.mode = 0
Опция отключения автоматического обновления поисковых плагигов
Код:
browser.search.update = false
Опции отключения отправки данных о производительности Firefox
Код:
datareporting.healthreport.service.enabled = false
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false
Отключает статистику использования
Код:
toolkit.telemetry.enabled=false
Опция отключения возможности подключения Firefox к сторонним серверам (Telefonica) без разрешения.
Код:
loop.enabled=false
Опция отключения Стороннего сервиса для управления списком статей, отложенных для прочтения.
Код:
browser.pocket.enabled=false
В отличие от всех перечисленных выше, эту опцию, наоборот, следует включить. Это нужно для активной блокировки сайтов, которые известны своим некорректным поведением в отношении слежки за пользователями. Не путать с DNT, которая только «просит» сайты не отслеживать вас. Здесь же осуществляется принудительная блокировка.
Код:
browser.search.suggest.enabled=tru
Отключение отслеживания действий на сайте
Код:
browser.send_pings - false

Отключение прямого ДНС запроса
По умолчанию стоит false то есть отключено. Если вы пользуетесь TORом или прокси,
то в этом случае браузер будет делать запрос к ДНС не напрямую, а через прокси
Код:
network.proxy.socks_remote_dns - true
Отключить WebGL.
Код:
webgl.disabled в true.
dom.enable_performance = false
dom.battery.enabled = false
network.dns.disablePrefetch = true
network.http.accept.default = text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Отключить кэширование в Firefox
Код:
network.http.use-cache= false
browser.cache.offline.enable= false
browser.cache.disk.enable= false
browser.cache.disk_cache_ssl= false
browser.cache.memory.enable= false
network.http.keep-alive.timeout = 600
network.http.max-persistent-connections-per-proxy = 16
network.cookie.lifetimePolicy = 2
network.http.sendRefererHeader = 0
network.http.sendSecureXSiteReferrer = false
network.protocol-handler.external = false [Включаем все подпарамеры в значении false]
network.protocol-handler.warn-external = true [Включаем все подпарамеры в значении true]
network.http.pipelining = true
network.http.pipelining.maxrequests = 8
network.http.proxy.keep-alive = true
network.http.proxy.pipelining = true
network.prefetch-next = false
browser.cache.disk.enable = false
browser.cache.offline.enable = false
browser.sessionstore.privacy_level = 2
browser.sessionhistory.max_entries = 2
browser.display.use_document_fonts = 0
dom.battery.enabled = false
intl.charsetmenu.browser.cache = ISO-8859-9, windows-1252, windows-1251, ISO-8859-1, UTF-8
extensions.blocklist.enabled = false
network.proxy.no_proxies_on = (пусто)
по умолчанию localhost, 127.0.0.1

Cookie или Куки - если вы хотите быть невидимым для статистики, не хотите быть опознанным сайтом,
то вам придется отключить куки в браузере. Отключать полностью не стоит, так как на подавляющем большинстве сайтов вы будете себя чувствовать
неуютно и некоторые функции просто не будут работать.
Но если вам надо посетить некий ресурс "без следов" то в Firefox есть прекрасный инструмент - это Приватный просмотр.
Подключить его можно в любой момент. Инструменты - Начать приватный просмотр

**************************************************************************************************8

И ещё на мой взгляд, очень важное дополнение.
Согласитесь, все эти настройки вносить каждый раз не очень удобно - это занимает много времени.
Но все эти настройки хранятся в файле prefs.js, который находится в папке профиля пользователя.
Папка профиля имеет примерно такой адрес:
C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\tbvjuen7.default\
Последняя папка - индивидуальна, поэтому у каждого из нас она будет иметь различное название.
Кроме того, адрес профиля также можно сменить, в примере выше - адрес по-умолчанию.

Поэтому, можно скопировать файл prefs.js и каждый раз при установке или переустановке браузера Mozilla Firefox, а также при смене пользователя, подменять его.
 

Rise_S

Green Team
28.07.2018
188
62
BIT
0
)) Поздравляю, при заходе через браузер с такими настройками, где отключено все на свете, в первую очередь вэбэртиси , вы априори антифродом ресурса относитесь к потенциальным мошенникам. Не говоря уже о том, что вы получаете уникальность. Параметры нужно максимально подменять, а не отключать, это элементарные основы
 
  • Нравится
Реакции: recrut и TROOPY
R

rain.seller

По поводу антифрода, самые часто встречаемые детекты в браузере, можно посмотреть .
+ На сайте еще есть куча других детектов.
 
L

Langolier

Не говоря уже о том, что вы получаете уникальность. Параметры нужно максимально подменять, а не отключать, это элементарные основы
Очередной умник, ну как-же без этого ))

Ты имеешь ввиду подмену WebRTC ?
Мы знакомы с этими основами.
Но к "about:config" это не относится.

Вот ответь мне, если ты такой умный: а разве до изменения настроек браузер не был уникальным ?
Каким образом по-твоему изменение настроек влияет на уникальность браузера ?
Каким образом предотвращение отстука на сервера Гугла делает браузер менее уникальным или каким-то не вписывающимся в твои представления конфиденциальности ?

Ну и если уж начал говорить об "элементарных основах", раз уж обвинил кого-то из нас в непонимании этих основ, то договаривай. А то как-то не очень красиво ты смотришься: типо умное выражение лица и ничего более))

Данная тема никак не связана с антифродом.
Здесь вроде об конфиденциальности идёт речь.
 
  • Нравится
Реакции: Timofejj и NewUSERSO

Rise_S

Green Team
28.07.2018
188
62
BIT
0
Стесняюсь спросить, а вы о себе в третьем лице изволите говорить?)) Ладно. До изменения всех настроек уникальность браузера была приемлемого уровня с точки зрения антифрода - со своими идентификаторами Canvas, WebGl, Audio и пр., а главное читался xRTC, да, и, кстати, Канвас и Аудио в описанном выше мануале никаким образом не отключено и не подменено, только Вэбждиэль выключили зачем то, хотя можно было прописать какие угодно настройки, отсюда вопрос - как антифрод будет воспринимать попытки сокрытия xRTC, геолокации и пр. Могу сказать, что опытным путем проверено, что там, где тупо отключался вэбэртиси, антифрод одной из крупных компаний сразу реагировал. Каким образом реагировал? - у пользователя появлялись проблемы с использованием этих ресурсов, банились аккаунты в 3 случаях из пяти, у тех же, кто зашумлял - в 1 случае из пяти, и то из-за косяка пользователя. Антифрод, скорее всего, воспринимал данную подмену, как попытку сокрытия личности (неуклюжую), что еще раз подтверждает данные о том, что существуют определенные критерии по которым происходит оценка пользователя антифродом, и, рядовой пользователь не станет ковыряться в настройках и отключать кучу идентификаторов. Кукис файлы лучше убирать в оперативку с помощью плагинов, а не отказываться от приема, или свой писать, или ставить, кстати, есть ведь неплохие для лисы, и, вроде бы, по мнению заокеанских друзей, отказ браузера в приеме кукисов также приводит к срабатыванию мер антифрода.. Если уже задается цель обеспечения анонимности, то нужно подменять, или зашумлять WebrtC, но не отключать, аналогично и вэбджиэль, и кукисы принимать в оперативку, да и, кстати А вообще, Вэбэртиси и канвас это уже не актуально - D3D8/9 , AhoyRTC, oRTC, Аудио, ну и v6 более актуально. Вообщем, тотальное отключение, а не подмена идентификаторов приводит к реагированию антифрода, да, и, вообще, есть же олд скул по настройке Лисы, ваш объем это процентов 50 от того, что там можно отключить для анонимности, если уже отключать, вот только ничего хорошего из этого не выйдет... Процент браузеров с отключенными идентификаторами очень низкий от общего числа. Есть куча ресурсов для проверки настроек браузера. Тут кто то постил на форуме - amiuniqe по-моему, можете проверить свой браузер до ваших настроек и после на уникальность. ИМХО, в плане анонимности с точки зрения антифрода, описанные выше процедуры с Лисой дают защиту от утечки айпи адреса, но, при этом привлекают повышенное внимание. Вообщем, вы тут пока развлекайтесь с анонимностями браузеров, а у меня более приземленные проблемы)), мне нужно придумать, как конвертировать bat файлы в sh, точнее, найти он-лайн конвертор годный, чтоб не перебирать все руками. Всем мир
 
  • Нравится
Реакции: oh wait и nikos

Rise_S

Green Team
28.07.2018
188
62
BIT
0
Статья, несмотря на кажущийся "баян" - очень хорошая.
Во-первых автор очень хорошо всё систематизировал, разложил по-полочкам.

Я сначала скептически отнёсся к ней, думаю как и многие на форуме.
Но почему-то захотелось пересмотреть все свои настройки
about:config
и вопреки моей самоуверенности я обнаружил, что у меня многие настройки браузера были нетронуты, то есть я о них ничего не знал.

Все свои настройки я записываю в текстовый файл.
Поэтому, сравнил настройки автора статьи со своими.
С радостью дополню статью своими настройками, которых не обнаружил в статье.
Как вы занимаетесь пентестингом с ненастроенным браузером? Очень интересно
 
  • Нравится
Реакции: evell

mescalito

Green Team
04.04.2017
12
18
BIT
0
Настройки about:config

The-OP/Fox

Поддерживаемые на данный момент версии Firefox: 52 - 57.

Приведенные здесь настройки условно разделены на следующие категории:

  1. Настройки относительно безопасные - меняя их, ничего нужного не отвалится, и кое-что улучшится.
  2. Настройки, ломающие не особо нужную функциональность.
  3. Настройки, ломающие нужную некоторым функциональность.
  4. Настройки, еще больше ломающие функциональность. Их отключают либо для повышения безопасности, либо для повышения анонимности. А также все, что не подошло в первые три категории.
  5. Настройки для энтузиастов. Ничего особо не ломают, но рассчитаны на тех, кто использует браузер нетривиальными способами.
 
B

bycat

Да с такими аддонами каждый шаг пауза
 
S

Sphinx

Настройки для всеми нами любимого Tor-браузера:

Настройки -> Встроенные объекты.

Ставим галочки около:

- Запретить <AUDIO> / <VIDEO>
- Запретить <IFRAME>
- Запретить <FRAME>
- Запретить @font-face


1.png


Далее, abount:addons
Ищем дополнение RequestPolicy и устанавливаем. Данное дополнение защищает от подделки межсайтовых запросов (XSS).

2.png

Возможно, Вы теперь в безопасности (но, не факт).
 
F

f8888k

Интересная статья, но ведь ты с такими настройками не будешь светиться на телевизорах? Как тот, что один из 200000 человек использует защищенное подключение? Либо ты вообще пропадешь из списков юзеров браузера?
 

ActionNum

Well-known member
27.11.2016
80
93
BIT
0
Спасибо за статью, возникла некоторая проблема, после настройки браузера в Debian 9 не нашел prefs.js, для переноса на другие хосты. Кто сталкивался, не подскжите, где в Debian хранятся настройки about:config?
 
P

prostoyparen

Где надписи "сотрите", нужно писать about:blank (пустой бланк), а когда просто стираешь, он может работать просто по умолчанию, тоесть не будет разницы стерли или нет.
 

alexej

Green Team
15.10.2018
55
18
BIT
0
Путь к конфигу можно найти так: "три точки" - "Хэлп" - "Траблшутинг информейшн" - "профиль фолдер" - префс.json
 

Triton

Green Team
01.10.2016
189
99
BIT
89
)) Поздравляю, при заходе через браузер с такими настройками, где отключено все на свете, в первую очередь вэбэртиси , вы априори антифродом ресурса относитесь к потенциальным мошенникам. Не говоря уже о том, что вы получаете уникальность. Параметры нужно максимально подменять, а не отключать, это элементарные основы
Поддерживаю. В потоке данных это будет выделятся. Но это имеет место быть. И как всегда это надо применять к месту.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!