Вход в клуб
Регистрация
Запрещены для регистрации: @mail.ru, @inbox.ru, @bk.ru, @list.ru, @ukr.net, @rambler.ru

MOZILLA FIREFOX - ОСНОВНЫЕ УГРОЗЫ

Rotmistr 06.09.2017 09:48
--- Автор темы считает что этот пост не относится к обсуждению ---

[Ссылка (видна только членам клуба)]

анализ...

MOZILLA FIREFOX - ОСНОВНЫЕ УГРОЗЫ

- JavaScript, DOM-JavaScript

 
Опасность: Очень высокая. Критичная

Угрозы: Полная деанонимизация. Возможное вирусное заражение компьютера. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к любым пользовательским данным, включая похищение и использование логинов/паролей, перевод денежных средств, завладение/блокирование аккаунтов. Передача информации об ОС, браузере, дополнительных параметрах и настройках.

- Cookie

Очень высокая

Угрозы: Частичная/полная деанонимизация. В случае проведения успешной атаки - потеря приватности; несанкционированный доступ к авторизационным данным (логинам и пароля); завладение аккаунтами.

- Plugins, MarketPlace

Опасность: Высокая

Угрозы: Любые угрозы, связанные с множественными уязвимостями в сторонних плагинах; особенно это касается Java и Flash-плагинов.

- EME/DRM, Hello, Marketplace, Pocket, WebRTC, Social, Share, Capture/Cast

Опасность: Высокая

Угрозы: Любые угрозы, связанные с уязвимостями в сторонних службах и протоколах, особенно в проприетарных.

- Telemetry, Snippets, Crash-reporting, HeartBeat, Safebrowsing

Опасность: Выше средней

Угрозы: Определение настроек браузера, операционной системы. Массовая и неконтролируемая передача пользовательских метаданных, их последующее накапливание, обработка и анализ. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений пользователя.

- GEO: Geo-search, Geo-IP, Wi-Fi

Опасность: Выше средней

Угрозы: Определение местонахождения пользователя. Массовая и неконтролируемая передача пользовательских геоданных и метаданных, их последующее накапливание, обработка и анализ. Сопоставление геоданных с предпочтениями и действиями пользователя. Анализ активности пользователя. Гипотетическое распространение нежелательной рекламы исходя из предпочтений и места пребывания пользователя.

- Workers

Опасность: Выше средней

Угрозы: Обеспечение механизма длительной фоновой обработки JavaScript (даже при закрытии приложения). Приложения, загружаемые с того или иного веб-ресурса, гипотетически могут привести к краху браузера или иной вредоносной активности. Неясна процедура получения прямого пользовательского согласия на выполнение подобных операций.

- SYNC

Опасность: Выше средней

Угрозы: Любые пользовательские данные, особенно закладки, логины-пароли, авторизационные cookie и т.п. должны храниться только на компьютере пользователя! Возможен несанкционированный доступ к критичным данным при передаче или хранении их на сторонних серверах; дальнейшая потеря любой информации, завладение аккаунтами, деанонимизация.

- E-Tag, HSTS

Опасность: Средняя

Угрозы: Частичная деанонимизация. Отслеживание пользовательской активности; накапливание, сопоставление и анализ метаданных.

- UA, Locale

Опасность: Средняя

Угрозы: Определение типа браузера, операционной системы и языковых предпочтений. Частичная деанонимизация. Гипотетическое распространение нежелательной рекламы исходя из языка пользователя.

- DNS-prefetching, Beacon, Predictor

Опасность: Средняя

Угрозы: Анализ активности пользователя и его предпочтений.

- Updates

Опасность: Средняя

Угрозы: Любые обновления могут скрытым образом внести в конфигурацию браузера новые (потенционально опасные или нежелательные) сервисы и службы; кроме того - обнулить или видоизменить предыдущие пользовательские настройки. Неконтролируемая отсылка телеметрии и метаданных к производителю.

- Personas/Canvas

Опасность: Средняя

Угрозы: Частичная деанонимизация; повторное опознание пользователя.

- Sessions, History, Cache, DOM-Cache

Опасность: Средняя

Угрозы: Данные, хранящиеся локально (офлайн), могут быть использованы повторно для опознания пользователя и его частичной деанонимизации. Данные истории, сессий, закладок (в случае завладения ими) могут предоставить атакующей стороне полную картину пользовательских интересов и веб-активности.

- Referers

Опасность: Ниже средней

Угрозы: Передача данных о предыдущей посещенной странице/ресурсе.

предложения по изменениям в about:config, выражающиеся в примерах.

 


[Внимание! Предлагаемые изменения в репозитории]

1. Описание: Анализ скрытых настроек, содержащих ссылки на сторонние ресурсы, сервисы и службы, работа с плагинами и т.п. Устранение подключений к сторонним ресурсам.

2. Существующая проблема с безопасностью и приватностью. Любая уязвимость, обнаруженная в стороннем плагине или протоколе, становится уязвимостью самого браузера

3. Меры по ее исправлению. См. ниже

4. Предлагаемая строка настройки с изменением. См. ниже

ПОДРОБНОСТИ (ПО РАЗДЕЛАМ РУКОВОДСТВА):

- INTERFACE

Благодарим за гостеприимство и безжалостно удаляем адрес "приветственной страницы":

startup.homepage_welcome_url=

- HELLO

Строка

loop.CSP=

содержит массу интересных сторонних ссылок на сайты, обеспечивающие сервис. В частности:

loop.CSP;default-src 'self' about: file: chrome:; img-src 'self' data: [Ссылка (видна только членам клуба)] about: file: chrome:; font-src 'none'; connect-src wss://.tokbox.com https://.opentok.com [Ссылка (видна только членам клуба)] wss://.mozilla.com https://.mozilla.org wss://*.mozaws.net; media-src blob:

Анализ содержимого:

[Ссылка (видна только членам клуба)] [Цитата]: "Граватар - это картинка, которая следует за вами от сайта к сайту, появляясь при отправке комментария или записи в блог".

[Ссылка (видна только членам клуба)] [Перевод]: Платформа WebRTC, которая позволяет встраивать "живое" видео и аудио на веб-страницы, в приложения для Android iOS. Это платный сервис (30-day trial).

[Для разъяснения]: wss:// - обращение по протоколу WebSocket.

Приводим строку к состоянию:

loop.CSP=

- PLUGINS

Удаляем ссылку на Marketplace (место, откуда нам предлагают абсолютно посторонние приложения):

dom.mozApps.signed_apps_installable_from=

Удаляем ссылку для обновления плагинов (речь идет именно о плагинах, а НЕ о дополнениях):

plugins.update.url=

Удаляем ссылку для поиска плагинов (plugin finder service):

pfs.datasource.url=

Две настройки активции плагинов, характерные только для Android:

media.plugins.enabled=false   (Android)
plugin.disable=true  (Android)

Две дополнительные настройки в DOM, связанные с плагинами или веб-компонентами:

dom.webcomponents.enabled=false
dom.ipc.plugins.enabled=false - UPD: виноват, с этим я уже разобрался ранее

- PROTOCOLS (HANDLERS)

Отключение обработчиков протоколов: необходимо очистить значения нижеприведеных строк. Это необязательный, т.е. опциональный пункт.

IRC

gecko.handlerService.schemes.irc.0.uriTemplate=[Ссылка (видна только членам клуба)]
gecko.handlerService.schemes.ircs.0.uriTemplate=[Ссылка (видна только членам клуба)]

[Перевод]: Mibbit.com - базирующийся на веб-технологиях клиент, который встраивается в современные браузеры и поддерживает Internet Relay Chat, Yahoo Messenger, Twitter. Использует ajax; GUI сделан на JavaScript.

RSS, MAILTO, WebCAL

Mail.ru

browser.contentHandlers.types.1.uri=[Ссылка (видна только членам клуба)]
gecko.handlerService.schemes.mailto.1.uriTemplate=[Ссылка (видна только членам клуба)]

Gmail

gecko.handlerService.schemes.mailto.2.uriTemplate=[Ссылка (видна только членам клуба)]

Yandex

browser.contentHandlers.types.0.uri=[Ссылка (видна только членам клуба)]
gecko.handlerService.schemes.mailto.0.uriTemplate=[Ссылка (видна только членам клуба)]
gecko.handlerService.schemes.webcal.0.uriTemplate=[Ссылка (видна только членам клуба)]

Yahoo

browser.contentHandlers.types.2.uri=[Ссылка (видна только членам клуба)]

- SNIPPETS

Удаление очередной порции шпионящих snippets-"обрывков" в мобильной версии браузера:

browser.snippets.enabled=false  (Android)
browser.snippets.syncPromo.enabled=false  (Android)
browser.snippets.geoUrl=  (Android)
browser.snippets.statsUrl=  (Android)
browser.snippets.updateUrl=  (Android)

- LOCALE

"Интеллектуальная" попытка определения необходимого набора локализованных шрифтов

Значение по умолчанию:

intl.charset.detector=ruprob

intl.charset.detector=chrome://global.locale/intl.properties  (Android)

Значения для различных языков:

[Ссылка (видна только членам клуба)] … ardet.html

Уточнения и предупреждения:

[Ссылка (видна только членам клуба)] … _encodings

Specifying the heuristic detection mode

The heuristic detection mode is specified by the preference intl.charset.detector in intl.properties. The setting must be left blank for all locales other than Russian, Ukrainian and Japanese. Do not under any circumstances specify the "universal" detector. It is not actually universal despite its name!

Exception for minority languages. If the localization is for minority language and the users are typically literate in the majority language of the region and read Web content written in the majority language very often, it is appropriate to specify the fallback encoding and the heuristic detection mode to be the same as for the localization for the majority language of the region. For example, for a localization for minority language in Russia, it is appropriate to copy the settings from the Russian localization.

В десктопной версии Firefox рекомендуется оставить поле пустым! Никогда не ставьте там значение "Universial"!

intl.charset.detector=

В мобильной версии Firefox не изменяйте это значение!

 
- HARDWARE

device.camera.enabled=false  (Android)

Карма 
Фото   

Ваш профиль не имеет достаточных прав, чтобы отвечать в теме