Настройки Firefox для безопасности в сети

megaDED

Сержант
Модератор
Сообщения
34
Реакции
5
Внимание! Некоторые переменные about:config могут быть устаревшими в новых версиях Firefox, но большинство параметров до сих пор доступно и их следует поменять для вашей безопасности.

Рекомендуемые настройки
Если вы видите, что какая-то опция стоит в нужном вам значении, помните: поставить ее могло и дополнение. Даже, если она стоит по умолчанию, в очередной версии Firefox вполне могут поменяться опции по умолчанию.
Открыть страницу настроек Firefox можно набрав в адресной строке: about:config Далее в фильтре нужно набирать название опций и менять их значение. Если опции не существует, то нужно создать опцию с таким же, как в описании названием и типом значения: строка, целое, булевское (кликнуть правой клавишей мыши и выбрать нужный пункт контекстного меню).

Помните! Блокировка некоторых опций позволяет выделить вас из массы пользователей путем отслеживания реакций браузера. Поэтому изменять их при использовании TorBrowser или другой подобной сборки нужно обдуманно и с пониманием.

Если нужно отредактировать большое количество настроек и использовать их на других компьютерах, то удобнее использовать файл user.js
• После ввода about:config в адресной строке браузера нас встретит страшное предупреждение. Одумайтесь грешники пока не поздно, но мы не одумываемся и примем риски.
1609151805524.png

• Перед нами предстает окно, в котором мы и будем изменять настройки.

1609151823412.png

● Обновление списков неблагонадежных сайтов
Если эта защита не нужна, ее можно отключить через "Настройки" -> "Защита" ->
"Информировать, не подозревается ли посещаемый веб-сайт в имитации другого веб-сайта" и
"Информировать, не подозревается ли посещаемый веб-сайт в атаках на компьютеры".
Так же это можно сделать через страницу настроек:

browser.safebrowsing.enabled выставляем значение false
browser.safebrowsing.malware.enabled выставляем значение false

● Отключение встроенной проверки обновлений

Firefox также периодически проверяет наличие обновлений для самого себя, установленных дополнений и поисковых плагинов. Проверку обновлений можно отключить через
"Настройки" -> "Дополнительно" -> "Обновления".

Дополнительный канал потребления/генерации трафика - это окно поиска дополнений. Убрать пункт "Получить дополнения" можно с помощью стилей.
Стиль:
/* Скрывает пункт "Получить дополнения" в меню дополнений (расширений) */
/* Применять стиль к интерфейсу браузера */
@namespace url(http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul);
/* Скрыть пункт "Получить дополнения" в меню дополнений (расширений)*/
#category-discover {
display:none!important;
}

● Отключение авто подстановки поисковых запросов в окне поиска

browser.search.suggest.enabled установить значение в false

● Показывать/не показывать пароль при использовании альтернативного URL
То есть при введении адреса:

показывать (значение true) -
http://user:p[email protected](prefix)website(suffix)
или (значение false) - http://[email protected](prefix)website(suffix)
browser.fixup.hide_user_pass
установить значение в false или true, на ваше усмотрение.

● Отключение авто завершения нестандартных адресов (авто подстановки суффиксов/префиксов)

Предотвращение случайного набора неправильного адреса:

browser.fixup.alternate.enabled установить значение в false

● Отключение проверки закачиваемых файлов антивирусом

browser.download.manager.scanWhenDone установить значение в false

● Предотвращение случайного набора неправильного адреса:

browser.fixup.alternate.enabled установить значение в false

● Отключение поиска из строки адреса

keyword.enabled установить значение в false

● Принудительное транслирование dns-запросов через прокси

Полезно, например, при работе с TOR для обхода обращения к DNS провайдера:

network.proxy.socks_remote_dns установить значение в true

● Отключение геолокации
Найдите при помощи опции «Фильтр», а затем отредактируйте следующую строку:

geo.enabled установить значение в false
[нажмите на строке правой кнопкой и выберите «переключить»]

● Отключение пинг-трэкинга
Пинг-трэкинг позволяет серверу легко отслеживать действия пользователя. В спецификации HTML5 введен новый атрибут тега, ping. Атрибут может содержать один
(или больше) адрес для пинга (отправки POST запроса) после клика по ссылке. Атрибут может использоваться для отслеживания действий посетителей. Подробнее: # http://kb.mozillazine.org/Browser.send_pings Отправлять POST запросы или игнорировать атрибут ping (значения true и false соответственно):

browser.send_pings установить значение в false

● Отключение предзагрузки ресурсов
Если включена эта опция, ресурсы, помеченные rel="prefetch", браузер автоматически предзагружает и кэширует после окончания загрузки текущей страницы.
Можно также отправить заголовок Link: <http://example.com>; rel=prefetch или сделать то же самое через meta-тег: <meta http-equiv="Link" content="<http://example.com>;
rel=prefetch"> Рекомендуется отключить для предотвращения утечки трафика, также, возможно, имеется угроза атаки. Значение false - отключение пред загрузки:

network.prefetch-next установить значение в false

Также полезно отключить пред загрузку при использовании строки поиска:

network.http.speculative-parallel-limit установить значение в 0

● Обновление списка заблокированных дополнений
Внимание! Эту опцию не рекомендуется отключать. Эта опция описана в целях ознакомления, чтобы исключить вопросы по утечки трафика. В Firefox и некоторые другие
продукты Mozilla встроен черный список для вредоносных и неисправных дополнений. Обновляется он автоматически, с серверов Mozilla.
Существует два варианта уменьшить потребление трафика:
1. Выключить функцию (отрицательно для безопасности): поменять значение ключа

extensions.blocklist.enabled установить значение в false

2. Увеличить интервал обновления: установить большее значение ключа

extensions.blocklist.interval

● Отключение упреждающего чтения DNS
Эта опция позволяет Firefox запрашивать DNS для каждой ссылки на странице (на всякий случай, если вы решите ее нажать):

network.dns.disablePrefetch установить значение в true

Существует опция network.dns.disablePrefetchFromHTTPS, по умолчанию она отключена (установлена в true).
● Загрузка шрифтов
css правило @font-face позволяет определить настройки шрифтов, а также загрузить специфичный шрифт на компьютер пользователя. Существует вероятность отличить
пользователя по загрузке/не загрузке шрифтов. За загрузку шрифтов отвечают опции:

browser.display.use_document_fonts gfx.downloadable_fonts.enabled
gfx.downloadable_fonts.fallback_delay
gfx.downloadable_fonts.sanitize

Внимание: Отключение/включение gfx.downloadable_fonts.enabled не имеет особого значения, так как и по отключению, и по включению можно получить некоторые
данные о пользователе. Установите их на свое усмотрение и по ситуации. Примечание: Удобный контроль возможен с помощью дополнения NoScript.

● Блокировка загрузки незащищённого содержимого на HTTPS-страницах
Осторожно! Может нарушиться функционал страницы. Появилась в Firefox 18 и выше. Отключённая по умолчанию. Для её включения установите
параметры:

security.mixed_content.block_active_content установить значение true
security.mixed_content.block_display_content установить значение true

API (application programming interfaces) - набор функций браузера которые можно вызывать кодом страницы.
● Отключение Network API
Позволяет определить параметры соединение пользователя с сетью.

dom.network.enabled установить значение в false

● Отключение Battery API
Позволяет отслеживать состояние батареи и тем самым получать информацию.

dom.battery.enabled установить значение в false

● Отключение Vibration API
Позволяет использовать вибрацию, если на устройстве установлен вибромотор. Звук или вибрация от него может привлечь внимание.

dom.vibrator.enabled установить значение в false

● Отключение Social API
API для интеграции социальных сетей с Firefox.

social.enabled установить значение в false

● JavaScript
Кроме описанного ниже, дополнительные настройки есть в меню "Инструменты" (или "Правка" для linux) -> "Настройка" -> "Содержимое" -> "Дополнительно".
Описаны только опции, которые могут повлиять на безопасность. Значения соответствуют: true - да. false - нет. Если параметра нет, то создать (для true / false тип создаваемого значения - логический (boolean)). Значение true / false, если не указано дополнительно.

● Разрешать ли скриптам закрывать окна?

dom.allow_scripts_to_close_windows установить значение в true

● Запрещать ли скриптам сворачивать/разворачивать окна?

dom.disable_window_flip установить значение в true

● Запрещать ли скриптам изменять размер окон или перемещать их? (предположительно название в новых версиях Firefox изменилось c 1. на 2.)

dom.disable_move_resize установить значение в true
dom.disable_window_move_resize установить значение в true

● Запрещать ли скриптам отключать кнопку close (закрыть) у окон?

dom.disable_window_open_feature.close установить значение в true

● Запрещать ли скриптам отключать строку адреса?

dom.disable_window_open_feature.location установить значение в true

● Запрещать ли скриптам скрывать панель меню?

dom.disable_window_open_feature.menubar установить значение в true

● Запрещать ли скриптам отключать кнопку minimize (свернуть) у окон?

dom.disable_window_open_feature.minimizable установить значение в true

● Запрещать ли скриптам скрывать персональные панели инструментов окна? (иначе, например, дополнения могут самовольно использовать это)

dom.disable_window_open_feature.personalbar установить значение в true

● Запрещать ли скриптам отключать возможность изменения размера окна?

dom.disable_window_open_feature.resizable установить значение в true

● Запрещать ли скриптам скрывать панель состояния?

dom.disable_window_open_feature.status установить значение в true

● Запрещать ли скриптам скрывать заголовок окна?

dom.disable_window_open_feature.titlebar установить значение в true

● Запрещать ли скриптам скрывать панель инструментов?

dom.disable_window_open_feature.toolbar установить значение в true

● Разрешать ли скриптам доступ к событию контекстного меню? (отключение может нарушить функционал online редакторов, например)

dom.event.contextmenu.enabled установить значение в true

● Разрешать ли скриптам доступ к буферу обмена? (изменять скопированный текст, блокировать копирование)

dom.event.clipboardevents.enabled установить значение в true

● Запрещать ли изменять скриптам имя хоста в строке адреса? (сейчас многие flash-сайты используют эту функцию, для навигации по сайту )

dom.disable_location.hostname.set установить значение в true

● Отключить изменение стиля посещенных ссылок Наблюдатель может увидеть изменения ссылок, кроме того возможно существование скрипта или других возможностей "прочитать стиль CSS" и понять куда входил пользователь.

layout.css.visited_links_enabled поставить в false

Ранее существовал баг, теперь закрыт. Но возможно отключение этой опции будет актуально для других атак.
● Отключение WebRTC
Краткая информация:
WebRTC (Web Real-Time Communication) - технология с открытым исходным кодом, позволяющая передавать потоковые данные между браузерами по технологии "точка-точка" (p2p). WebRTC позволяет просмотреть внутренний IP за NAT или VPN. Подробнее: # https://wiki.mozilla.org/Media/WebRTC Как проверить?
• WebRTC встроен по умолчанию в последних версиях Firefox, Chrome/Chromium, Opera и позволяет производить соединение между двумя и более браузерами для видео/аудио-звонков и не только.
Почему не безопасно?
• Дело в том, что для соединения по принципу p2p необходимо знать реальный IP-адрес и WebRTC эту информацию бесстыдно сливает. Даже если вы сидите под TOR/VPN то не составит особого труда узнать ваш локальный IP-адрес в сети и на стороне, например, VPN - сервера. А с использованием уязвимостей можно определить ваш реальный IP, за которым вы скрываетесь. Для проверки локального IP используйте страницу: • # https://diafygi.github.io/webrtc-ips/
JavaScript-код и описание доступны на странице:
• # https://github.com/diafygi/webrtc-ips
Проверить включенность камеры, звука, захвата экрана и т.д. в браузере можно по ссылке:
• # https://www.browserleaks.com/webrtc
● Как отключить?
Вызываем скрытые настройки по about:config в адресной строке, ищем параметр

media.peerconnection.enabled выставляем его в false

● Отключение предупреждений о закрытии нескольких вкладок
Предупреждение может замедлить экстренный выход из Firefox.

browser.tabs.warnOnClose предупреждение при закрытии вкладок false
browser.warnOnQuit предупреждение при закрытии окна false

● Отключение SPDY. SPDY может хранить идентификатор и держит экстремально долгое открытое соединение.

network.http.spdy.enabled выставляем в false

Полезные дополнения для браузера Firefox

Каждый выбирает дополнения по своему вкусу. Я, например, использую такие:

uBlock Origin - блокировщик рекламы. Легко найти в меню поиска дополнений и установить. Много различных гибких и настраиваемых фильтров.

HTTPS Everywhere - дополнение от команды Electronic Frontier Foundation, автоматически включающий безопасный протокол HTTPS там, где это возможно. Устанавливается не из в меню поиска дополнений, а с официального сайта разработчиков.

RefControl - Позволяет контролировать передачу заголовка HTTP referer (информации о том, откуда пользователь пришел на текущий сайт). Для наибольшей анонимности следует указать в качестве варианта по умолчанию «Подделать - посылать корень сайта» с включённой опцией «только запросы 3-й стороны».
1609153768473.png

1609153776890.png
Это имитирует заход на сайт путём ввода его адреса вручную, а не перехода по ссылке с другого сайта (при этом дальнейшая навигация по сайту осуществляется с передачей реферера, иначе ручной набор адреса каждой страницы выглядел бы неправдоподобно).

FoxyProxy Standart - аддон для работы с прокси. Он по своему функционалу полностью заменяет стандартную фичу с настройками проксей в браузерах Firefox/Tor Browser.
Легко найти в меню поиска дополнений и установить. Рабочие бесплатные прокси можно добыть с помощью утилиты fetch-some-proxies.

fetch-some-proxies - Это простенький скрипт, написанный на python, который добывает прокси ежедневно. Он выбирает список общедоступных прокси-серверов и автоматически быстро находит те, которые можно использовать.
Установка и запуск (предварительно должен быть установлен git):
Bash:
# git clone https://github.com/stamparm/fetch-some-proxies.git
# cd fetch-some-proxies
# python fetch.py -h
 
Последнее редактирование: