Mozilla предупредила о наличии критической уязвимости в Firefox

В современном Интернете мы всё чаще сталкиваемся с различными опасностями, исходящими с Web-страниц. Уязвимые плагины, XSS на сайтах, эксплуатирование уязвимостей с помощью JavaScript, Clickjacking — и это далеко не полный список радостей жизни, которые могут встретиться на сайтах. Даже если у Вас Linux или Mac OS X, нельзя быть полностью спокойными — в таком случае гадость просто не выйдет за пределы браузера, а вот cookies или LocalStorage извлечь вредоносный код вполне в состоянии. Также мощности компьютера могут быть использованы в совершенно неожиданных целях, вплоть до майнинга биткойнов на компьютере жертвы. Так что защищать браузер необходимо не только снаружи, но и изнутри. Для этого нужно посмотреть на соответствующие расширения, чему и посвящён этот пост. Также здесь будут рассмотрены некоторые вопросы приватности (но не анонимности!), чтобы вы могли защититься от следящих компаний.

Полезные расширения

NoScript

Мне кажется, начать нужно именно с этого расширения, потому что оно, как мне кажется, необходимо сегодня каждому пользователю браузера — после Adblock Plus, разумеется. Если посмотреть на название, становится понятно, что основная задача данного расширения — блокировка JavaScript. И оно выполняет свою задачу прекрасно, причём намного удобнее, чем просто кнопка в настройках «Отключить JavaScript» (особенно, учитывая что в последних версиях лисы этой кнопки уже нет). Есть возможность разрешения посайтово, ведения белого и чёрного списков, а также наличествует поддержка временного разрешения для того или иного сайта. Однако на этом возможности его не заканчиваются — ещё он отлично умеет блокировать плагины (любые), форсировать HTTPS на страничках, защищает от XSS-атак и ClickJacking (с помощью технологии ClearClick, позволяющей при обнаружении опасности посмотреть реальный вид элемента). Также имеется реализация интересной технологии ABE — своего рода firewall для Web, позволяющего ограничить доступ одних сайтов к другим.Сайт NoScript

Adblock Plus

Наверное, самое известное расширение для браузера. И правда, те, кто его установили уже не могут пользоваться браузером без блокировщика рекламы — таким чистым и светлым становится Интернет. Однако не слишком очевидно, как он может помочь с безопасностью. Ответ — в его подписках. Они могут быть совершенно различными — собственно антирекламные (а вместе с ней вырезается и много если не вредоносного, то просто хламового контента), защита от слежки со стороны различных сайтов статистики (тут скорее приватность, чем безопасность), блокирование доменов, замеченных в распространении malware и многое другое. Из подписок я рекомендую использовать — EasyList, RuAdlist, EasyPrivacy, Fanboy Enchanced Trackers и Malware Domains. Это также поможет сделать браузер безопаснее.Сайт AdBlock Plus

RequestPolicy

Очередной аддон, созданный для посайтового управления разрешения. RequestPolicy даёт вам возможность управлять межсайтовыми запросами. Пример — сайт habrahabr.ru запрашивает картинки с habrastorage.org и скрипт с mc.yandex.ru. Habrastorage можно разрешить, а Яндекс.Метрику — оставить блокированной. Таким образом этот аддон поможет защититься от следящих сайтов, собирающих статистику по пользователю. Ещё он точно защитит от XSS и всякой ерунды, которая Вам не понравится — вроде кнопок социальных сетей и части рекламы. Таким образом, данное расширение действительно даёт весьма хорошую защиту, но имеет один важный минус — необходимость активного взаимодействия с ним и ручного выбора разрешений — блокироваться будет действительно много и значительная его часть может оказаться необходимой для просмотра сайта. Так что решать Вам. Кстати, в версии 1.0 (имеет статус разрабатываемой) были добавлены подписки и возможность использования в режиме чёрного списка.Сайт RequestPolicy

Cookie Monster

Одни из тех расширений, функции которого, в общем, покрывает браузер, но с которым несравненно удобнее, чем без него. Cookie Monster позволяет управлять вашими Cookies, разрешая их только для тех сайтов, для которых вы это явно прописали. Также имеется возможность разрешать хранить Cookies только до закрытия браузера или запрещать только сторонние печеньки. Очень удобное расширение, практически не требует взаимодействия, так как сайтов, на которых действительно нужны Cookies на деле очень мало — в основном это сайты, на которых вы зарегистрированы. Крайне рекомендуется всем.Страничка расширения на Addons.Mozilla.Org

HTTPS Everywhere

Расширение от небезызвестного Фонда Электронных Рубежей, предназначенное для форсированного использования HTTPS на сайтах, которые его поддерживают, но не ставят основным. Отлично помогает защитить ваш браузер от MITM-атак, которые могут привести к таким нехорошим последствиям, как кража вашего пароля в недоверенной сети или встраивание рекламы в страницы провайдером. Расширение очень полезно, особенно в тех случаях, когда приходится подключаться к Wi-Fi-сети где-нибудь в кафе или на вокзале, потому что позволяет вам не ошибиться в наборе именно https адреса или при переходе по ссылке. Также, он при возможности переписывает небезопасные запросы со странички на безопасные.Страничка расширения на сайте EFF

WOT — Web Of Trust

Расширение, показывающее возле ссылок уровень доверия сайтов, устанавливаемый сообществам. Предназначен для «друга айтишника» — то есть мне оно может и не очень нужно, но всем знакомым я его ставлю, предварительно объяснив, что на ссылки с «красным кружочком» кликать не надо. Поможет защититься от фишинга, частично от сайтов с малварью. На деле имеет много ложных срабатываний и совершенно не воспринимает поддомены бесплатных хостингов. Но иногда лучше перестараться, чем недостараться. Также имеет негативное влияние на приватность — URL на проверку он направляет себе на сервер.Сайт WOT

RefControl и UaControl

Аддоны, предназначенные для контроля за HTTP-заголовками Referer (адрес странички, с которой плльзователь попал на сайт) и User Agent (неуникальный идентификатор браузера). Позволяют притворяться другими браузерами, или даже поисковыми роботами, не отсылать сайту информацию, как Вы на него попали или даже вписать в эти поля то, что вам хочется. Я вот одно время ходил по Интернету с User Agent’ом, сформированным как браузер IE 10 под Linux. Интересно, вебмастеры читают подобные логи? В принципе, RefControl позволяет запретить сайтам узнавать, по какому поисковому запросу вы пришли, особенно учитывая сколько всего в это поле впихивает Google. Ну а UAControl — притвориться популярным браузером и «скрыться в толпе» с целью избежать всё того же сбора статистики. Кстати, тут ниже посоветовали менять User Agent на Linux’овый (если у вас и так не Linux), так как благодаря этому некоторая малварь к вам просто не будет посылаться. Странный, конечно, способ, но есть такое мнение.Страничка RefControl на AMOСтраничка UaControl на AMO

Заключение

Надеюсь вы всё-таки прочитали этот пост, а там уж ваше дело — ставить данные расширения или нет, тем более, что я всё достаточно подробно расписал. Теперь наш браузер безопаснее изнутри, ну а как защитить его снаружи с помощью AppArmor я, может быть, напишу позже. P.S.: Прошу прощения за стиль изложения. Это мой первый пост на Хабре, так что прошу конструктивной критики.

Перевод статьи «Firefox Privacy: Tips and Tricks for Better Browsing»

Веб-сайты стараются заполучить любой возможный кусочек информации о вас, потому что от того, насколько хорошо они вас знают, напрямую зависит их доход. Защититься от такого навязчивого внимания — непростая задача, потому что необходимо учитывать сразу множество факторов. Разбираемся, какие угрозы поджидают вас в Сети и что можно сделать, чтобы сохранить свои данные в секрете, используя инструменты браузера Firefox.

Имейте в виду, что когда вы посещаете веб-страницу, ваш браузер отправляет ей информацию о своей конфигурации (доступные шрифты, тип браузера и плагины) — это называется цифровой отпечаток браузера. Если эта информация уникальна, есть вероятность, что вас можно будет идентифицировать и отслеживать и без более распространённых инструментов вроде файлов cookies. Плагины браузера делают его цифровой отпечаток более уникальным и упрощают отслеживание. Поэтому не нужно использовать все настройки, рекомендованные в этой статье. Подумайте о своей ситуации и выберете только то, что вам нужно.

Приватность и защита Firefox

Начнём с самого простого. У Firefox есть ряд встроенных настроек конфиденциальности, которые не требуют никаких дополнений. Откройте страницу Настройки, мы рассмотрим их по порядку.

DNS через HTTPS

DNS — это протокол, который браузер использует для преобразования доменных имён, таких как privacytools.io, в IP-адреса, например 145.239.169.56. Компьютеры могут подключаться только к IP-адресам, поэтому DNS используется каждый раз, когда вы посещаете новый домен. Но DNS-запросы по умолчанию не зашифрованы — практически каждый в вашей сети, включая интернет-провайдера, может просматривать, какие домены вы ищете, а в некоторых ситуациях даже изменять их IP-адреса, перенаправляя вас на свои сайты. Шифрование DNS-трафика защитит ваши запросы.

Шифрование DNS-запросов реализуется разными способами: DNS через HTTPS (DoH), DNS через TLS, DNSCrypt и т. д., но все они делают одно и то же. Они хранят DNS-запросы в секрете от интернет-провайдера и следят, чтобы никто не вмешивался в передачу запроса вашему DNS-провайдеру.

Firefox недавно добавил в браузер встроенную поддержку DoH. На странице «Основные» в настройках откройте «Параметры сети». В нижней части окна вы сможете выбрать «Включить DNS через HTTPS» и указать провайдера этой услуги:

Настройки > Основные > Параметры сети > Включить DNS через HTTPS

Помните, что используя DoH вы отправляете все свои запросы одному провайдеру, например Cloudflare. Убедитесь, что поставщику DoH можно доверять.

Важно, что даже с DoH ваш интернет-провайдер будет по-прежнему видеть, к какому домену вы подключаетесь, благодаря технологии SNI (индикация имени сервера). Пока SNI зашифрован, обойти его невозможно. В Firefox зашифрованный SNI (eSNI) находится в разработке, поэтому его использование ограничено небольшим количеством серверов в основном управляемых Cloudflare. Хотя DoH предоставляет некоторые дополнительные средства защиты конфиденциальности и целостности, он не может выступать полноценной защитой без дополнительных инструментов, таких как eSNI и DNSSEC.

Смените поисковую систему по умолчанию

Это легко. На вкладке «Поиск» измените поисковую систему по умолчанию на что-то кроме Google. Из встроенных поисковиков самый конфиденциальный, вероятно, DuckDuckGo.

Параметры / Настройки > Поиск > Поисковая система по умолчанию

Улучшенная защита от отслеживания

Теперь мы рассмотрим самый большой набор опций во вкладке «Приватность и защита». Прежде всего это улучшенная защита от отслеживания. Этот набор фильтров по умолчанию установлен на «стандартный», но его можно изменить на «строгий» для более надёжной защиты.

Настройки конфиденциальности Firefox позволяют включить строгую защиту просмотра, защищая вас от многих трекеров, cookies и криптомайнеров

Иногда строгая защита браузера может привести к некорректной работе некоторых веб-сайтов. Но не нужно беспокоиться: если вы подозреваете, что строгая защита нарушает работу сайта, вы можете отключить её отдельно для этого сайта с помощью значка щита в адресной строке.

Отключение расширенной защиты от отслеживания снизит вашу конфиденциальность на этом сайте, поэтому подумайте, хотите ли вы пойти на такой компромисс.

Ещё одно преимущество улучшенной защиты от отслеживания Firefox — она может ускорить загрузку веб-страниц. Рекламные баннеры и виджеты социальных сетей часто перегружают браузер. Их блокировка может ускорить сёрфинг.

Отключение телеметрии

Когда вы используете Firefox, Mozilla собирает информацию о том, что именно вы делаете, какие расширения у вас установлены и о других аспектах вашего браузера. Хотя они утверждают, что делают это с соблюдением приватности, всегда лучше отправлять как можно меньше данных. Поэтому в целях безопасности лучше снять все флажки в разделе «Сбор и использование данных Firefox».

Параметры / Настройки > Приватность и защита > Сбор и использование данных Firefox

Очистка cookies и данных сайта

Эта опция для более опытных пользователей, поэтому если вы не понимаете, что это даст, лучше пропустите этот раздел. Firefox предоставляет возможность удалять все ваши куки и данные сайта каждый раз, когда браузер закрывается. Куки и данные сайта — это небольшие фрагменты информации, которые хранятся в вашем браузере и имеют множество применений. Они используются для сохранения сессии и настроек сайта, но также могут использоваться для отслеживания вас на разных сайтах. Регулярно удаляя куки вы сохраните браузер «чистым» для веб-сайтов и им будет сложнее вас отслеживать.

Минус такой настройки — вас будет постоянно разлогинивать с сайтов, поэтому подумайте, готовы ли вы с этим мириться.

Firefox-дополнения для защиты данных

Конечно, одни только настройки браузера не помогут защитить вашу конфиденциальность. Mozilla пошла на множество компромиссов, чтобы обеспечить более функциональные возможности просмотра для обычного пользователя, что вполне понятно. Но можно пойти ещё дальше и установить расширения для браузера, которые предотвратят отслеживание и сделают вашу работу более приватной и безопасной.

uBlock Origin

uBlock Origin — эффективный блокировщик рекламы и трекеров, которому не требуется много памяти, но при этом он может загружать и применять больше фильтров, чем конкурирующие блокировщики. А ещё у него открытый исходный код. Кроме того, в отличие от конкурентов, у него нет стратегии монетизации: здесь нет рекламной программы «Приемлемо» или подобного белого списка, как у многих других расширений для блокировки рекламы.

HTTPS Everywhere

HTTPS Everywhere перенаправляет HTTP-трафик на HTTPS там, где это возможно. Оно работает в фоновом режиме, и вы, вероятно, этого даже не заметите. HTTPS Everywhere имеет открытый исходный код и разработан Electronic Frontier Foundation, некоммерческой организацией, специализирующейся на приватных и безопасных технологиях.

Правда, плагин работает только с сайтами, которые поддерживают HTTPS на стороне сервера, поэтому вам всё равно нужно следить за адресной строкой, чтобы убедиться, что ваше подключение надёжно. Но, к счастью, большинство сайтов уже внедрили HTTPS благодаря появлению бесплатных сертификатов от организаций вроде Let’s Encrypt.

Decentraleyes

Когда вы подключаетесь к веб-сайтам, ваш браузер скорее всего подключается к множеству «сетей доставки контента» (CDN), таких как Google Fonts, Akamai и Cloudflare, для загрузки шрифтов и кода JavaScript, который обеспечивает работу сайта. Таким образом веб-сайты лучше выглядят и работают, но из-за того, что вы постоянно подключаетесь к этим серверам, они могут составить достаточно точный профиль для отслеживания.

Decentraleyes выдаёт себя за эти CDN локально в вашем браузере. Когда веб-сайт хочет загрузить скрипт, вместо подключения к удалённому CDN Decentraleyes будет подгружать файл из собственного кэша. Вам не нужно будет устанавливать удалённые CDN-соединения для файлов, которые поддерживает Decentraleyes, поэтому удалённые CDN не смогут отслеживать ваш браузер. Кроме того, веб-страницы будут загружаться быстрее, поскольку данные хранятся локально, а не на удалённом сервере.

Privacy Badger

Privacy Badger — плагин для защиты от отслеживания в Firefox, разработанный Electronic Frontier Foundation (авторами HTTPS Everywhere). Он обеспечивает безопасность пользователя в интернете, блокируя различные трекеры.

Canvas Defender

Цифровой отпечаток является результатом функции трансформации данных, выполненной компьютером. Веб-сайт посылает в браузер набор инструкций по отрисовке изображения. Браузер превращает инструкции в картинку. Из-за различий в методике обработки инструкций разным железом и приложениями, изображение, полученное на разных машинах, содержит небольшие отличия. Сайты могут запоминать эти отличия и сравнивать друг с другом как отпечатки.

Canvas Defender добавляет устойчивый «шум» к итоговой картинке, таким образом изменяя ваш оригинальный цифровой отпечаток. Само по себе это не препятствует отслеживанию вашего компьютера, но позволяет сбросить слежку в нужный момент.

Bloody Vikings

Упрощает использование временных адресов электронной почты, чтобы защитить ваш реальный адрес от спама.

Mailvelope

Mailvelope — это бесплатное программное обеспечение для сквозного шифрования почтового трафика внутри веб-браузера, которое интегрируется в существующие приложения веб-почты.

Gmail, Hotmail и Outlook предоставляют свои почтовые услуги по всему миру, и в них используется менее безопасное шифрование, встроенное в JavaScript. Такое шифрование может быть взломано, и тогда информация перестанет быть конфиденциальной.

Плагин шифрует информацию, содержащуюся в электронных письмах, с помощью PGP (Pretty Good Privacy).

NoScript

Плагин NoScript блокирует различные вредоносные скрипты (например криптомайнеры), экономя ресурсы компьютера и защищая конфиденциальность пользователя.

Больше функций защиты данных

У Firefox есть и другие инструменты для повышения конфиденциальности, но у них есть недостатки, из-за которых они не попали в основной список.

Firefox VPN

Это новое расширение, разработанное Mozilla, которое служит виртуальной частной сетью (VPN), защищая вас в общественных сетях Wi-Fi и в других ситуациях, когда вы доверяете Mozilla больше, чем провайдеру или администратору сети. Расширение бесплатно в бета-версии, но, вероятно, в какой-то момент придётся оформить подписку.

Однако учитывайте, что частная сеть Firefox — это просто VPN, и у неё есть ряд недостатков, например VPN-провайдер может видеть незашифрованный веб-трафик.

Кроме того, в отличие от традиционной VPN, защищены только данные, идущие через браузер Firefox, а не все приложения, использующие сеть на вашем компьютере. Это означает, что не будет адекватной защиты от многих угроз, например от утечки IP-адресов.

Многоаккаунтные контейнеры

У Mozilla есть расширение под названием «Многоаккаутные контейнеры», которое позволяет изолировать веб-сайты друг от друга. Например вы можете изолировать Facebook в контейнер, отделив от других открытых страниц. В этой ситуации Facebook сможет читать куки с вашим профилем только на сайтах в контейнере, сохраняя остальные вкладки защищёнными.

Firefox выбор контейнера

Настройка контейнеров может быть хорошей альтернативой регулярному удалению файлов cookies, но требует ручного вмешательства для настройки и поддержания работоспособности. Это стоит попробовать, если вы хотите полностью контролировать то, что веб-сайты делают в вашем браузере.

Не смешно? А здесь смешно: @ithumor

Learn how to keep your information safe and secure with Firefox’s private browsing, password features and other security settings.

• Passwords, forms, search, and history — control what Firefox suggests
• Enhanced Tracking Protection in Firefox for desktop Enhanced Tracking Protection in Firefox automatically protects your privacy while you browse.
• Content blocking «Content blocking» is a collection of privacy features in Firefox 69 and below. This became «Enhanced Tracking Protection» in Firefox 70.
• Does Firefox share my location with websites? Learn what information Firefox sends to web sites about your location and how to use and manage location-aware features of your browser.
• Site Information panel The Site Information panel in Firefox tells you about connection security, identity and any special website permissions. Learn more.
• What is the Accessibility Service Indicator? This article describes the implications of allowing or restricting access to accessibility services and its effect on performance.
• Allow or block media autoplay in Firefox Firefox prevents media from playing automatically on websites you visit, unless you grant permission. Learn more about this feature.
• What if I’m locked out of Two-Step Authentication? Disable two-step authentication or use a recovery code to regain access, if you have been locked out of your two-step authentication login.
• Autofill logins on Firefox Firefox lets you control whether or not to autofill your logins and passwords.
• How Firefox securely saves passwords Learn how Firefox securely saves your passwords.
• How is Facebook Container different from Multi-account Containers? The difference between Facebook Container and Multi-Account Containers
• «Certificate cannot be trusted» warning in Kazakhstan Firefox is blocking the use of Kazakhstan root CA certificate to protect your privacy. Learn more about how to stay safe.
• Firefox Lockwise — Alerts for breached websites Starting in Firefox 70, Firefox Lockwise will show alerts about potentially vulnerable passwords that were exposed in data breaches.
• My privacy settings were changed from Custom to Standard If your Custom settings match the settings in Standard, you will be switched back to Standard. This will not affect your settings.
• How Firefox Sync keeps your data safe even if TLS fails Firefox Sync encrypts your data before it ever leaves your device, and ensures that the password to unlock this encryption is never transmitted to the server.
• Telemetry Collection & Deletion Firefox collects telemetry data by default. We collect this to help improve the performance and stability of Firefox. Learn more.

Используемые источники:

• https://habr.com/post/195052/
• https://tproger.ru/translations/firefox-privacy-an-introduction-to-safe/
• https://support.mozilla.org/products/firefox/privacy-and-security