Настройка Firefox для анонимной и безопасной работы и серфинга
Всех приветствую читатели Хабра
Сегодня я поведую о личном опыте настройки браузера Firefox (далее просто лиса, огнелис), причем настройки нацеленной на приватный и безопасный серфинг.
И как всегда просьба не переходить на личности в комментариях, если вы обнаружили ошибку недочет или неточность, просто без оскорблений напишите комментарий или напишите мне личным сообщением. Я просто делюсь своим опытом (а я пользуюсь лисой с 2019 года и имею небольшой опыт) и не более.
А побудило меня написать статью по данной тематике то, что в русскоязычном сегменте всемирной паутины либо очень мало информации по данной теме, либо она есть, но разрозненна, и информацию приходилось собирать по крупицам
В этой статье я не буду распыляться о том, плох он или хорош этот браузер. Лично мне он нравится своей простотой и гибкостью, я использую только Firefox и иногда Chromium. Здесь я пишу лишь о том как я его настраиваю. И да, все настройки актуальны только для десктопной версии браузера, но не для версий iOS и Android.
Приступим
Данную статью я условно разделю на четыре части:
Настройка через графический интерфейс браузера
Настройка через конфигурацию
Аддоны Firefox нацеленные на приватность и безопасность пользователя
Хакерские примочки лисы, которые могут пригодится например при анализе защищенности веб-приложений
I. Настройка через графический интерфейс браузера
Итак откроем браузер
Для того чтобы перейти в настройки необходимо либо нажать на шестеренку, либо открыть меню и выбрать непосредственно настройки (settings)
Первое что откроется в настройкахвкладка Основные. В них для удобства добавим русский язык. Language → Select. → Русский → Add.
После языка два параметра — Использовать настройки «English» и проверять орфографию. Если вы желаете больше приватности то рекомендую не включать их. Если для вас важен комфорт нежели приватность, то можно включить. Я нигода их не ставлю
Далее в основных файлы и приложения — загрузки. По умолчанию сохранение будет идти в папку Download. Этот параметр оставляем. А вот в приложениях по умолчанию будут стоять разныезначения. Во всех необходимо вбить одно — Всегда спрашивать
Далее производительность, просмотр сети, настройка сети. В них можно всеоставитьпо умолчанию. Единственное что, если вы решили использовать например прокси, то последняя вкладкаможет быть полезной.
Далее открываем вкладку Начало
В ней я обычно в двух первых полях ставлю «Домашняя страница Firefox (поумолчанию)» и убераю галочку с «Ярлыков».
После чего обязательно перезапускаем браузер и проверяем
Все успешно. Снова открываем настройки и теперь заходим в третью вкладку Поиск
Здесь необходимо поменять поисковую систему с google установленной по умолчанию на более приватную duckduckgo. Чуть ниже в столбике можно удалить лишние поисковые системы. Из этого списка я удалил только Bing
Далее самая важная вкладка Приватность и Защита
В Улучшенной защитеот отслеживания ставим максимальнуюзащиту — Строгую.
В настройках конфидинциальности веб сайта — необходимо ставить оба флажка, Сообщать веб-сайтам… и Отправлять веб-сайтам запрос «не отслеживать». Кроме того, стоит периодически чистить кэш и куки за все время.
Далее строка Пароли. Просить сохранять пароли — убираем галочку. Конечно в таком случае мы жертвуем удобством и комфортом, но значительно повышаем собственную защищенность. Атаки типа кражи сессий, или просто банально кражи логинов и паролей при физическом доступе к устройству никто еще не отменял. Показывать уведомления о паролях для взломанных сайтов — галочку обязательно оставить.
Далее история. Для большей приватности, да и безопасности (в ущерб удобству) необходимо выставить значение «не будет запоминать историю» после чего браузер должен перезагрузиться.
Далее снова заходим в настройки Приватность и Защита. Разрешения. Для наибольшей приватности и безопасности во всехпараметрах необходимо выставить «Блокировать …»
Также необходимо обязательно выставить две галочки — Блокировать всплывающие окна, Предупредить при попытке сайтов установить дополнения. Конечно все эти настройки не 100%-ная панацея. Так или иначе брешь есть в любой программе. Да и невозможно добиться 100%ой приватности как и безопасности. Но обязательно стоит приложить все возможныеусилия по защите. Сбор и использование данных можно оставить значения пустыми.
Следующая строка Защита
В ней необходимо выставить все галочки. Обязательно
Строка Режим «Только HTTPS». Эх, помню времена (примерно 2019–2020 гг) когда это былотдельный аддон под лису (об аддонах чуть ниже). Теперь этот аддон (он в те времена был рекомендованным) включен в сам браузер. В нем естественно выбираем Включить режим «Только HTTPS» во всех окнах.
DNS через HTTPS (DNS over HTTPS, или просто DoH) естественно включаемтакже, и на максимальную защиту.
На этом этапе с графической настройкой браузера закончено. Вкладка Синхронизация нужна только если есть аккаунт мозилы. Последняя вкладка посути рекламная.
II. Настройка через конфигурацию
Теперь настало время конфигурации. Вообще через конфигурацию можно слепить из данного браузера очень много чего. За счет того что в конфигурации тысячи настроек он и является одним из самых гибких браузеров. Не спроста Тор браузер основан именно на лисе. Да и кроме тора у firefox огромное множество форков, всех я и не назову.
Снова открываем браузер и в адресной строке вписываем магическую строку
about:config
После чего откроется окно подверждения, жмем «Принять риск и продолжить»
Далее в открывшейся поисковой строке вписываем такой запрос
media.peerconnection.enabled
Ставим значение false (двойным кликом мыши). Данная настройка защищает от утечки ip-адреса пользователя через WebRTC — технологии видеосвязи через браузер.
После чего в поисковой строке вбиваем
javascript.enabled
И вот тут оченьсложный выбор. Для большей безопасности стоит отключить его (false). Но в таком случае оченьмногие сайты либо будут работать с ошибками, либовообще могут не работать, так как очень многие веб страницы включают код данного языка. Думать и решать вам. Я его обычно не отключаю (значение true)
Далее я приведу еще несколько запросов которые возможно придется отредактировать и напротив них через знак = значение которое необходимо выставить
browser.safebrowsing.malware.enabled = true
geo.enabled = false
exstensions.pocket.enabled = false
privacy.trackingprotection.enabled = true
На этом настройка приватности и безопасности браузера через конфиг закончена.
III. Аддоны Firefox нацеленные на приватность и безопасность пользователя
Аддон — дополнительный модуль программы, дающий соответственно дополнительный функционал
Как их найти в браузере? Необходимо либо нажать на значек пазла в правом верхнем углу, либо вбивв алдреснойстроке
about:addons
Далее забить любой запрос в поле «Найти больше дополнений», либо забить в адресной строке addons.mozilla.org
Здесь также имеется удобная поисковая строка. Ей мы и будем пользоваться, черезнее искать необходимые аддоны.
Первые три аддона Privacy Badger, Ghostery, Privacy possum. Эти аддоны защищают от трекинга. Отслеживающие трекеры — это элементы кода веб-приложений (маркетингового кода), который собирает статистику о пользователях. Для большей приватности их стоит обходить (при помощи аддонов).
Нажимае Добавить в Firefox, ждем загрузки, после чего будет вопрос о разрешении работы в приватных окнах. Конечно же отвечам разрешить (и для всехследующих также).
Аддон будет работать без дополнительных настроек.
Ghostery
Также скачиваем, разрешаем в приватныхокнах. Но здесь простенькая настройка — просто нажать «Включить Ghostery».
Privacy possum
Все тожде самое, без доп. настроек
Foxy Proxy — очень крутой аддон, позволяет очень быстро настроить прокси прямо в браузере, для подмены ip, но для работы необходима настройка соответственно. Нолучше установить, пригодится может в любой момент
Disconnect
Работает «из коробки» без доп. настроек.
Decentraleyes — очень крутой аддон который запрещает отслеживание пользователей через CDN сервера — сревера доставки контента
Без доп. настроек
NoScript
Работает он конечно без доп. настроек. Но с ним очень многие сайты (даже большинство) по просту не будут работать, так как он запрещает все скрипты. Вообще все. Лично я устанавливаю его «на всякий», но отключаю сразу. Вообще даже ya.ru практическине работает с включенным NoScript. А лет пять назад веб-приложения портала Госуслуг и dnevnik.ru и ряда других сервисов не запускались (либо работали со сбоями) на стороне клиента с запущенными Privacy Badger, Ghostery, Privacy possum, хотя эти аддоны по сравнению с NoScript щадящие.
И здесь же важно отметить, что чем сильнее ты защищаешь браузер, тем выше риск того что что-то потом (я имею ввиду стороние сервисы веб приложения) не сможет работать. И тут уже каждый должен выбратьдля себя оптимальный вариант работоспособности, удобства, анонимности и безопасности, включая или отключая тот или иной слой защиты, аддон итд
AdGuard
Супер аддон. Своегорода файерволл на минималках, для браузера и внутри его.
Устанавливаем и настраиваем
Впервую очередь он загрузит свои сигнатуры (фильтры) и нас поприветствует викинг со щитом и секирой :)
Далее переходим к настройкам. Они интуитивно понятны, можно разобраться, пусть каждый сам решает что запрещать, что разрешать
Я обычно их все выкручиваюна максимум
User-Agent Switcher
Просто супер. Позволяет при помощи настроек подменить свои цифровые отпечатки — User Agent.
Устанавливаем, разрешаем и настраиваем
Во вкладке аддонов находим его, открываем и выбираем профиль User Agent
Я выбираю Chrome — Windows10
Далее жмем две зеленые кнопки Применить
Далее заходим на любой сайтпо определению юзер агента, подойдет browserscan.net
И сайт показывает что мой юзер агент Windows 10 и браузер chrome, хотя это не так — Linux и Firefox.
TrackMeNot
Устанавливаем, разрешаем, настраиваем под себя
Это были аддоны, нацеленные на повышение анонимности и безопасности пользователя. Конечно есть аддоны для других целей, но здесь эту темя я затрагиватьне буду. И да, есть и другие подобные аддоны которые я затронул здесь, вроде UBlock и прочих, но это уже дело вкуса.
IV.Хакерские примочки
Под ними я понимаю аддоны, которые например пригодятся при анализе защищенности веб-приложений, при осинт-разведке, при пентесте. Естественно, их использование должно быть в легитимных, законных рамках.
Flagfox
Превосходное приложение. Определяет ip адрес любого ресурса. Устанавливаем, разрешаем, работает без доп. настроки. Теперь в адресной строке при заходе на любой ресурс подсвечивается его ip страна расположения сервера и некоторые технологии. А если нажать на флажок, тогда откроется страничка, которое указываетместо расположения сервера
Shodan
В представлении не нуждается. Похожий функционал с предидущим аддоном, только еще показывает открытые порты, хостнейм и может также вывести дополнительную информацию
Email Extractor
При осинт-разведки необходимо иногда найти mail адреса компании, ее сотрудников. С этим хорошо справляется данный аддон. При заходе на страничку, «стянет» все адреса электронной почты на страничке. Устанавливаем, разрешаем, доп. настроек не требуется
Следующие четыре аддона специализируются на анализе защищенностей веб приложений, сканировании сайта на уязвимости, редактирование хэдеров, кроссайтовом скриптинге (например запуск своего кода на языке javascript внутри сайта). Все они легко устанавливаются и работают без доп. настроек. Вот их список:
retire.js
Modify Header Value
DotGit
KNOXSS
Но особенно я хочу выделить среди них retire.js. Данный аддон способен работать не только с библиотеками javascript, но и находить уязвимости CVE на сайте. Более того он находит, выводит в своем интерфейсе конкретную уязвимость CVE-ГОД-НОМЕР, да еще и напротив каждой обнаруженной уязвимости выводит ссылки на ресурсы, где можно ознакомится с уязвимостью и эксплоитом
В заключение хочу отметить еще и еще раз: невозможно полностью на 100% обезопасить себя от всех угроз в сети, стать на 100% анонимным. Такого не бывает. Но базовые меры предосторожности при настройке браузера, все же лучше соблюсти. И еще раз отмечу, что чем сильнее вы выкручиваете настройки, аддоны, итд на максимум, тем больше вероятность того что вы не сможете работать в браузере с каким либо ресурсом. Здесь важен баланс, гармония и верный выбор.
Ну, а на сегодня все, до новых встреч
