А АThursday 23 August 2018

Мега-сборка плагинов безопасности в Firefox.

Всем привет.

Скажу сразу что я чаще пользуюсь web-браузером Chrome. Он быстрее других, его управление меня устраивает, зачем искать что-то еще. Но с web-браузером Firefox у меня особая дружба. Кстати этот браузер до сих пор работает на XP в полном объеме. Тогда как Chrome там уже не поддерживается. В Firefox-e туча полезных плагинов (add-on), которые делают из этого браузера прямо таки комбайн на нивах интернета. Единственную печаль привносит тот факт что с новой версией браузера не все любимые плагины смогут работать, и надо искать либо обновления либо альтернативу.

Ниже следует мега-сборка информации по плагинам Firefox которые позволяют вам бороздить просторы интернета более безопасно и эффективнее

Источник и полная статья здесь:

Найти все описанные дополнения можно на сайте дополнений для Firefox:

TorButton

TorButton — Расширение добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное расширение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Управление прокси

MM3 ProxySwitch — В Браузере Firefox (и других программах Mozilla) Вы можете переключать установки только для одного Интернет-соединения. С MM3-ProxySwitch вы можете управлять различными конфигурациями и просто переключаться между ними.

FoxyProxy — По умолчанию, политика выбора прокси такова что через прокси сервер происходит обращение только к URL совпавшим с шаблоном.

Контроль JavaScript, Java, Flash и других нежелательных элементов страницы.

NoScript — С помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки расширения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

Flashblock — Это расширение блокирует загрузку всех флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.


Следы пребывания в интернете и локально.

CookieSafe — Это дополнение позволяет вам легко управлять разрешениями для Cookies и контролировать их. Простым нажатием на иконке в статус баре вы можете разрешать, блокировать или разрешать на сессию установку Cookies, осуществлять глобальные или частные разрешения/запреты при веб-сёрфинге. Есть возможность сохранения, импорта/экспорта, просмотра как Cookies, так и разрешений для них. Является расширенным и более удобным вариантом CS Lite.

CookieSafe (FF 4 compatible) — Полный аналог CookieSafe от другого автора совместимый с 4-ой версией Firefox, в отличии от оригинала. (на данный момент экспериментальный)

CookieSafe Lite — Позволяет вам легко управлять разрешениями для cookies, блокировать и контролировать их. Простым нажатием на иконке в статус баре вы можете разрешать, блокировать или разрешать на сессию установку cookies, осуществлять глобальные или частные разрешения / запреты при веб-сёрфинге. Есть возможность сохранения, импорта/экспорта, просмотра как cookies, так и разрешений для них.

CookieMan Context — Дополнительные пункты в контекстном меню куков: разрешить/запретить, разрешить на сессию, удалить.

Cookie Monster — Обеспечивает удобное проактивное управление расширенными настройками cookies для сайта или домена, в том числе сторонних. (аналог CookieSafe)

Click&Clean — Расширения добавляет кнопку вызывающую стандартную функцию очистки истории веб-серфинга, дополнительно удаляет Flash Cookies (LSO). Для более тщательной очистки системы с помощью этого дополнения, вы можете подключить любую внешнюю программу "чистильщик" (пример: BleachBit, Computer Janitor, CCleaner, WiseDiscCleaner, ...), которые могут удалять историю веб-серфинга более надежно с помощью специальных алгоритмов.

Eraser — Автоматически (при выходе из браузера) или вручную, нажатием всего одной кнопки, уничтожает всю историю вашего веб-сёрфинга (Flash Cookies и т.д.).

Внимание: Нет никакой гарантии полного удаление следов пребывания в интернете при помощи каких-либо программ или расширений. Поэтому для Windows предпочтительнее использовать портативную (Portable) версию браузера и хранить ее в зашифрованной области носителя.
Для других систем и не портативных версий можно ограничиться зашифрованной областью. Также будет необходимо периодически очищать каталог, содержащий куки, кэш и т.д. (профиль Firefox)

Privacy Plus — Дополнение повышает вашу приватность путем удаления cookies, основанных на технологии Flash LSO (веб видео- и аудио-графика).

BetterPrivacy — Это отличное дополнение, которое защищает вас от куки, используемых Flash приложениями, которые часто сохраняются навсегда и не очищаются при использовании стандартной функции очистки браузера Firefox "Удалить личные данные…".

Борьба с рекламой

Реклама часто несет опасность, связанную с переадресацией или банальным кликом "не туда".

AdBlock Plus — Надоела навязчивая реклама в интернете, которая часто загружается дольше всего остального на странице? Установите Adblock Plus и избавьтесь от нее навсегда!

Element Hiding Helper — Расширяет возможности Adblock Plus, упрощая создание правил для скрытия элементов.

Анализ трафика, контроль http заголовков (Http headers)

RefControl — Дополнение сохраняет вашу анонимность: запрещает рефереры – передачу сведений о последней просмотренной странице сервера, на который вы переходите, нажав на определенную ссылку.

User Agent Switcher — Позволяет менять user agent браузера, прикидываясь другим браузером (IE, Opera и т.д.) или ботом. Полезно для некоторых сайтов. Также возможно изменять некоторые другие заголовки, в основном, связанные с UserAgent.

UAControl — Это расширение позволяет контролировать строку User-Agent (название и версию браузера, используемую операционную систему и т.д.) передаваемую в HTTP заголовке, для отдельных сайтов (доменов).

Внимание: Дополнение может не контролировать родную строку User-Agent, если сайт использует JavaScript (например, navigator.userAgent). И некоторые сайты требуют допустимый (действительный, настоящий) User-Agent, в таких случаях настоятельно рекомендуется временно отключить это расширение.

LiveHTTPHeaders — Расширение для просмотра HTTP заголовков в режиме реального времени.

Modify Headers — Позволяет добавление, изменение и фильтр HTTP запросов заголовков отправляемых веб-серверу. Полезен для веб-разработки, HTTP тестирования и приватности.

Header Spy — Показывает заголовки HTTP в статусной строке браузера. После загрузки страницы, в статусной строке браузера появится наименование и версия операционной системы сервера, на котором установлен сайт. При наведении курсора, появится окошечко с информацией: User-agent, ответ сервера, дата, куки. Все это настраивается, можно добавлять, удалять, изменять размеры и прочее.

HttpFox — Расширение анализирует входящий и исходящий трафик HTTP между браузером и сервером (заголовки запроса и ответа, отправленные и полученные куки (cookies), параметры запрос, POST параметры). Монитор перехватывает информацию браузер-сервер в реальном времени. Это расширение для более подробного изучения сайта (сервера).

TamperData — Позволяет отслеживать и модифицировать http/https запросы. TamperData может помочь в тестировании, отладки web-приложений и не только. Так же, часто используется для «читерства» в сетевых играх.

Почта

MailCatch — Дополнение, позволяющее генерировать и использовать «одноразовые» анонимные почтовые ящики, предназначенные для регистрации на сомнительных веб-ресурсах или в целях «одноразовой» переписки.

TrashMail.net – Anti-Spam — Вы создаете новый почтовый ящик "@ trashmail.net", который живет столько времени, сколько вы сочтете нужным. В пределах от одного дня до шести месяцев. Настраиваете переадресацию на свой почтовый ящик. Указываете, сколько раз разрешаете перенаправлять к вам письма. После этого ящик самоуничтожится. Предназначен для регистрации на сомнительных веб-ресурсах или отсечения спама.

Шифрование и пароли

Keylogger Beater — Средство для борьбы с кейлоггерами (вредоносными программами, которые позволяют перехватывать информацию, вводимую пользователем с клавиатуры или при помощи мыши). Дополнение имеет два вида ввода, позволяющие обмануть кейлоггеры, посылая им ложные символы.

Master Password Timeout — С помощью мастер-пароля блокирует браузер через определенный промежуток времени, устанавливаемый пользователем, с целью предотвращения несанкционированного доступа к критичной информации: закладкам, пароля и т.п., хранящимся в профиле.

Link Password — Дополнение шифрует гиперссылки и их имена, хранящиеся в пользовательских закладках, при помощи пароля.

Password Exporter — Средство для импорта-экспорта сохраненных логинов и паролей, в том числе и в зашифрованном виде.

Pwgen — Генерирует криптостойкие произвольные пароли любой заданной длины, включающие в себе буквы в разном регистре, цифры и спецсимволы.

Lock The Text — Средство, позволяющее шифровать сообщения при помощи алгоритма AES. Возможно также шифрование текста пользовательских заметок, хранящихся во встроенном блокноте (см. описание дополнения FoxNotes).

FoxNotes — Функциональный и многостраничный блокнот для хранения заметок. Имеет функцию шифрование текста при помощи алгоритма AES (см. описание дополнения Lock The Text).

Secure Login — Средство для автоматического и безопасного введения связки «логин-пароль» на различных веб-ресурсах.

HTTPS Everywhere

По заявлению разработчиков, многие сайты предлагают посетителям по умолчанию доступ без шифрования, оставляя HTTPS как запасной вариант, или делают использование HTTPS затруднительным, например, из-за наличия ссылок из безопасной области на незашифрованные страницы сайта. Проект HTTPS Everywhere призван автоматизировать решение данных проблем путем перенаправления запросов на HTTPS-области во всех возможных случаях. Среди поддерживаемых известный сайтов, для которых дополнение может обеспечить полное шифрование передаваемых данных, называются: Google, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, Scroogle, New York Times, Washington Post и другие популярные сервисы.

При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления. Дополнительно разработчики расширения советуют пользователям Firefox быть бдительными и при посещении защищенных областей сайтов обращать внимание на значок с изображением замка в правом нижнем углу, если замок разомкнут, то несмотря на характерную для шифрованной сессии подсветку адресной строки, данные шифруются не полностью и транзитный злоумышленник при желании может организовать прослушивание трафика.

Внимание: Иногда при доступе через https сайт может не предоставлять некоторые функции или некорректно работает. Обращайте на это внимание также при самостоятельном формировании правил. На данный момент пример такого сайта – https://encrypted.google.com, который в отличии от google.ru не предоставляет поиск картинок. Тем не менее, т.к. правила можно выборочно отключать это расширение скорее полезно.

Cipherfox — Показывает расширенную информацию о текущем SSL-соединении в статус баре.

Saved Password Editor — Добавляет возможность создания и редактирования паролей в менеджере паролей. Это расширение полезно, главным образом, при работе с некоторыми сайтами на которых отключено сохранение пароля. Конечно, существуют такие вещи как закладурки (bookmarklets), которые пытаются обойти такой код, но они не всегда работают. Как последний довод (ultima ratio), вы можете использовать это расширение, чтобы ввести информацию вручную (или наполовину вручную). Для веб-форм предусмотрена кнопка, при этом нужные значения угадываются, если это не слишком тяжело, по отображаемой в настоящее время странице.

Разное

RequestPolicy — Предотвращает ошибочное делегирование прав доступа, основанное на кросс-сайтовых запросах, которое происходит, если какая-либо программа использует свои полномочия неправильно, будучи введённой в заблуждение третьей стороной. Посредническая атака через позволяет атакующему косвенно подключаться к TCP портам, к которым сам атакующий не имеет доступа. Для этого используется удалённый сервер, который и выступает в роли «обманутого представителя».

MafiaaFire Redirector — Антицензор. Позволяет пользователям Firefox посещать сайты, у которых по требованию американских властей были изъяты домены в зонах .com, .net, и .org. К таким сайтам относятся файлообменники, торрент-трекеры и прочие ресурсы.

Поисковые плагины

Выпадающий список серверов, с помощью которых вы можете осуществлять поиск — ни что иное, как список установленных в вашей системе поисковых плагинов.

Страничка на mozilla-russia.org относящаяся к поисковым плагинам, но не относящаяся к безопасности:
www 

Add to Search Bar — (это дополненение, а не поисковой плагин), позволяет добавить любой сайт в панель поиска просто кликнув по строке поиска и выбрав соответствующий пункт контекстного меню.
pgp.mit.edu

PGPkeySearch — Добавляет в список поисковых плагинов pgp.mit.edu. Ищет ключи на pgp.mit.edu не только по KeyID (идентификатору ключа), а ещё и по адресу электронной почты.

Google SSL Search — Поиск через google с использованием зашифрованного соединения.

Google SSL(Language: RU) — Поиск через google по русскоязычным сайтам с использованием зашифрованного соединения.

Scroogle (SSL) — Парсер выдачи Google, предназначенный для сокрытия персональных данных от корпорации. Google собирает информацию о посетителях и их запросах, проставляет им HTTP-Cookie до 2038 года и выдаёт рекламу на основе запросов пользователя — Google Adsense. (Внимание: далее найденное в интернете и, возможно, недостоверное описание.) Данный проект позволяет пользователю скрыть свой реальный IP-адрес от Google и не дает проставить cookie, а всю свою статистику очищает каждые 2 дня. То есть он работает по принципу анонимного прокси. Также поддерживает парсинг выдачи Yahoo. Есть поддержка русского. Scroogle поддерживается Public Information Research, Inc., некоммерческой организацией, возглавляемой Дэниелом Брендтом, который также руководит проектом Google Watch.

Рекомендации, нежелательные расширения

Нет никакой гарантии полного удаление следов пребывания в интернете при помощи каких-либо программ или расширений. Поэтому для Windows предпочтительнее использовать портативную (Portable) версию браузера и хранить ее в зашифрованной области носителя.
Для других систем и не портативных версий можно ограничиться зашифрованной областью. Также необходимо периодически удалять куки, кэш и т.п.

Также необходимо проверять настройки расширений на наличие автоматического обновления, ссылок на посещенные страницы, заблокированных или разрешенных элементов и т.д. ("история", "белые"/"черные" и др. списки)

Расширения связанные с передачей данных, не имеющие в описании или настройках необходимой информации о способе передачи, нужно проверять (например с помощью сниффера) на наличие подключений к неизвестным адресам.

Рекомендуемые опции настройки

Открыть страницу настроек Firefox можно набрав в адресной строке:
about:config

1. Обновление списков неблагонадежных сайтов.

Иногда вам может потребоваться зайти на такой сайт или вы не хотите, чтобы Firefox передавал/получал какие-то данные без вашего ведома. Если эта защита не нужна, её можно отключить через "Настройки" -> "Защита" -> "Информировать, не подозревается ли посещаемый веб-сайт в имитации другого веб-сайта" и "Информировать, не подозревается ли посещаемый веб-сайт в атаках на компьютеры".
Так же это можно сделать через страницу настроек:
browser.safebrowsing.enabled
и
browser.safebrowsing.malware.enabled
в about:config должны иметь значение false.

2. Отключение встроенной проверки обновлений

Firefox также периодически проверяет наличие обновлений для самого себя, установленных дополнений и поисковых плагинов.
Проверку обновлений можно отключить через "Настройки" -> "Дополнительно" -> "Обновления".

Дополнительный канал потребления трафика появился в Firefox — это новое окно поиска дополнений. Для отключения нужно найти параметр extensions.getAddons.showPane и выставить значение «false» [нажмите на строке правой кнопкой и выберите "переключить"].

3. Отключение автоподстановки поисковых запросов в окне поиска

Найдите при помощи опции «Фильтр», а затем отредактируйте следующую строку:
Browser.search.suggest.enabled -> false [нажмите на строке правой кнопкой и выберите «переключить»]

4. Отключение геолокации

Найдите при помощи опции «Фильтр», а затем отредактируйте следующую строку:
geo.enabled -> false [нажмите на строке правой кнопкой и выберите «переключить»]

5. Принудительное транслирование dns-запросов через прокси.

Полезно, например при работе с TOR, чтобы обойти обращения к DNS провайдера.

network.proxy.socks_remote_dns -> true

Рекомендации от участника Форума Разведчиков Vinni

1) Еще хороший сайт с инструментами по поиску DNS/WHOIS - DNSstuff.com

2) для безопасной работы в Firefox и автоматизации получения информации можно использовать следующие плагины

NoScript - разрешение Java, Javascript и других плагинов только для доверенных сайтов (в том числе защищает от XSS-атак)

Web Developer - просмотр технической информации о странице (включая сгенерированный код страницы)

JSView - просмотр Javascript

TamperData - контроль заголовков HTTP/HTTPS

View Dependencies - просмотр внешних Javascript-скриптов

User Agent Switcher - расширение, которое позволяет Mozilla Firefox представляться сайтам как другой браузер - например, как Internet Explorer или Opera.

RefControl - скрывает адрес, с которого вы перешли на сайт. может гибко настраиваться

Flashblock - блокировка Flash и в том числе Flash-куков

3) для защиты от теста на leader.ru достаточно отключить с помощью NoScript все скрипты для него

4) для создания цепочки прокси можно воспользоваться программой 3proxy или Sockschain. Кроме того, с помощью Sockschain можно получить возможно работающий список прокси.

Дополнительные плагины для Mozilla Firefox

Anonymization Toolbar - встроенный в браузер анонимайзер

PDF Download - позволяет читать PDF-файлы непосредственно в браузере

CookieKiller - избирательное удаление куков браузера. Совместимо с Firefox 3,5

BetterPrivacy - стирает coocies, которые не стираются штатными средствами (в т.ч. и flash cookies)

Ghostery - автоматически блокирует множество известных трекеров, следящих за действиями пользователя.

DownloadHelper - позволяет закачивать видеофайлы, в т.ч. с YouTube. А также аудиофайлы.

TubeStop - блокирует автоматическое воспроизведение видео в YouTtube

ShowIP - показ в строке состояния IP-адреса сайта

Whois - удобный вызов WHOIS для IP сайта

DownThemAll - ускоряет закачку файлов в пять раз и позволяет останавливать, а затем продолжать закачку.

Ultimate Language Tool - переводит страницу целиком или фрагмент текста почти с 1000 языков

Русский словарь проверки орфографии - проверяет орфографию на странице

Status-bar Calculator - просто калькулятор, который всегда под рукой

FireFoxMenuButtons - очень большое количество кнопок для дополнительной панели управления. в том числе - очистка личных данных одной кнопкой

Update Scanner - позволяет подсвечивать изменения на странице, примнрно так же, как это делает WebSite Watcher. Для того, чтобы страницу поставить на мониторинг, надо нажать стрелку-ярлык плагина в нижней части браузера и в открывшемся боковом окне нажать пиктограмму "New Entry". Чтобы увидеть изменения, произошедшие с момента последнего посещения страницы, достаточно в этом же окне нажать кнопку "Scan". 

CustomizeGoogle - расширение для Firefox позволяющее улучшить результаты поиска в Google путем внесения добавочной информации (ссылки на Yahoo, Ask.com, MSN и др.) и удаления нежелательной информации (реклама и спам). Все функции опциональны. 

IE Tab - расширение, позволяющее открывать во вкладке Mozilla Firefox окно браузера Internet Explorer

external IP - показывает в статус-баре браузера ваш внешний IP-адрес, с которым вы приходите на сайты

Temporary Inbox - временный одноразовый почтовый адрес. Полезен для разного рода регистраций на форумах и ненадежных сервисах, требующих ввода адреса. По нажатию кнопки, вы попадаете в папку "входящие" на сервере временной почты.

Panic - закрывает все открытые вкладки и делает видимой только ту страницу, которую вы готовы показать окружающим. От внезапно вошедшего в комнату начальника.

No-Referer - добавляет на правую кнопку мыш возможность перейти по ссылке, не показывая реферер

Active Whois plugin for Firefox - позволяет быстро увидеть, кто номинально владеет посещенным вами сайтом

Edit Cookies - позволяет избирательно удалять куки браузера (не совместим с Firefox 3 )

Add N Edit Cookies - редактирование и избирательное удаление куков браузера. Совместимо с Firefox 3 - но не с Firefox 3,5

ImagePref - показывает и прячет изображения с помощью чекбокса в статусной строке без перезагрузки страницы. Также добавляет в контекстное меню страницы пункт "Загрузить изображение/Load image", позволяющий загрузить только выбранный рисунок. По отзыву участника Форума Сообщества практиков конкурентной разведки (СПКР) Искендера: "Весьма полезная штука для полевой работы, когда скорость интернета оставляет желать лучшего и приходится отключать графику для ускорения загрузки страниц".

FireShot - это дополнение к обозревателю Mozilla Firefox, которое позволяет создавать скриншоты открываемых вами страниц. В отличие от других средств подобного рода, это дополнение предоставляет в распоряжение пользователя целый ряд инструментов для редактирования скриншота и добавления графических и текстовых аннотаций. Подобная функциональность будет полезна для веб-разработчиков, тестеров и редакторов. Скриншоты могут быть загружены на сервер изображений, сохранены на диске (в форматах PNG, GIF, JPEG, BMP), распечатаны, скопированы в буфер обмена, отправлены по электронной почте или экспортированы во внешний редактор для последующей обработки.

RDS - удобный инструмент для быстрого анализа SEO показателей сайта и страницы

Flagfox - Отображает флаг страны, в которой находится сервер

Speed Dial - Быстрый и удобный доступ к наиболее часто посещаемым сайтам. Полный аналог Экспресс-панели Opera.

Существует также портативная версия Mozilla Firefox®, Portable Edition, которая может работать с флеш-накопителя или другого съемного носителя. Не оставляет следов на компьютере и не конфликтует с уже установленной на нем версией. 

Уверен, что вы сможете для своих задач выбрать необходимое.
Удачи.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное