Опубликованы подробности ведения борьбы со слежкой за пользователями в Firefox

Новый Firefox блокирует слежку за пользователями

Mozilla выпустила пятую версию популярного среди пользователей всего мира веб-браузера Firefox. Новая версия доступна для загрузки с официального сайта разработчиков для платформ Windows, Mac, Linux и Android, в том числе на русском языке.

Основным нововведением в Firefox 5 является возможность сделать так, чтобы сайты не могли следить за пользователем — не записывали его историю посещений веб-страниц и другие данные. Соответствующая опция находится в настройках приватности.

Разработчики Firefox добавили эту возможность не первыми — ранее аналогичная опция появилась в Internet Explorer 9 и Google Chrome. Кроме того, она добавлена в версию веб-браузера Apple Safari, которая будет присутствовать в обновленной операционной системе Mac OS X Lion. Тем не менее, в Mozilla утверждают, что в кое-чем им первенство все же принадлежит — данная опция появилась во всех платформах, включая мобильную Android.

В новой версии было устранено 10 уязвимостей, включая 7 критических и 2 среднего уровня опасности. Одна из уязвимостей среднего уровня опасности была устранена в открытом стандарте WebGL, предназначенном для работы с 3D-графикой. Данный стандарт также используется в Google Chrome. А вот Microsoft с его внедрением не спешит, считая его небезопасным в корне. По мнению наблюдателей, на самом такая позиция корпорации обусловлена тем, что у нее есть собственный стандарт Direct3D.


Новая версия Firefox вышла всего лишь спустя 3 месяца после «четверки»

Также была улучшена работа с современными веб-технологиями, включая HTML5. Появилась поддержка стандарта CSS Animations, расширяющего возможности разработчиков сайтов. В целом, утверждают в Mozilla, пятая версия содержит более тысячи изменений, но в большинстве своем это исправления мелких недочетов. Не изменился и интерфейс — он остался таким же, как в Firefox 4.

Новая версия вышла всего через 3 месяца после выхода «четверки». Дело в том, что Mozilla перешла на новый режим работы, подразумевающий более частый выпуск новых версий. Разработчики планируют выпускать новую версию программы каждые 16 недель, поэтому до конца текущего года, по всей видимости, свет увидит еще и шестая версия. Такой подход — когда пользователям не нужно ждать многие месяцы ради существенных нововведений — уже доказал свою эффективность на примере Google Chrome.

Также немаловажно, что новая версия вышла в полном соответствии с планом разработчиков, которые уже получили репутацию вечно опаздывающих со сроками. Например, Firefox 4 изначально планировалось выпустить в конце 2010 г., однако фактический запуск состоялся лишь в марте этого года. Шестая версия ожидается в сентябре.

Как отключить слежку в браузере Firefox?

Как правильно настроить Firefox, чтобы остановить утечку данных и отключить слежку?

Ни для кого не секрет, что нет ничего бесплатного в этом мире и что за все приходится платить. Бесплатные браузеры и другой бесплатный софт в данном случае тоже не исключение.

Слежка в браузере Firefox

  • Предислови
  • На чем зарабатывают браузеры
  • Слежка в браузере Firefox
  • Как отключить слежку в браузере Firefox

На чем зарабатывают браузеры?

В этой главе я буду немного философствовать. Но вы всегда можете перейти на следующую главу в которой будет рассказываться о самих настройках браузера.

Что в этом мире ценится больше всего? Правильно — деньги и информация. С деньгами все просто, с ними никто не хочет расставаться просто так. Поэтому есть миллионы людей, которые ведутся на слово бесплатно. А вот с информацией все по-другому. Делясь своей личной информацией мы не чувствуем, что мы платим. Информация это что-то, что нельзя держать в руке и носить в кармане. Соответственно с этим легко расстаться.

Так на чем зарабатывают браузеры?

А зарабатывают они на том, что используют вашу информацию. Это в первую очередь поисковые запросы и поведение пользователя на сайтах. На сколько нам известно вся эта информация используется исключительно в коммерческих целях. Но не кто не может гарантировать, что данная информация не попадет в руки спецслужб.

Я ни в коем случае не призываю закапываться головой в песок и становится параноиком, а просто пытаюсь показать, что в сети интернет все не так как вы думаете. И если вам важна анонимность и приватность, следуйте советам, которые я дам в этой статье.

Слежка в браузере Firefox

Разработчик Firefox — Mozilla Foundation активно использует облачные веб-сервисы Amazon. Это видно по множеству соединений с серверами compute.amazonaws.com, которые появляются сразу при старте браузера.

Автоматические соединения браузера Firefox

Они возникают всякий раз при запуске Firefox 51.0, даже если он только что установлен. Помимо Amazon, трафик идет в подсети Akamai, Cloudflare, EdgeCast и Google. Это нужно, чтобы сбалансировать нагрузку при скачивании обновлений самого браузера и его дополнений, а также обеспечить возможность быстро отправлять поисковые запросы. Кроме того, по умолчанию на новой вкладке браузера демонстрируются ссылки на другие проекты сообщества Mozilla, картинки для которых также загружаются из Сети.

Основная статистика о работе Firefox отправляется по адресу telemetry.mozilla.org. Выглядит она скудно и довольно безобидно.

Физическое местоположение устройства с запущенным браузером Firefox определяется через открытую систему Mozilla Location Service, но только если пользователь разрешил это в настройках: «Меню → Инструменты → Информация о странице → Разрешения → Знать ваше местоположение».

Как отключить слежку в браузере Firefox?

Существует много способов защиты от слежки в браузере Firefox. Мы когда-то делали обзор лучших расширений для защиты от слежки браузера Mozilla Firefox. Данный обзор вы можете прочитать по адресу «Плагины для защиты от слежки»

Но в данной статье я не буду рассказывать про дополнения, а покажу скрытые настройки самого Firefox, которые вы можете изменить, тем самым ограничив информацию которую сливает и оставляет на посещенных сайтах ваш браузер.

Для доступа к скрытым настройкам Firefix наберем в адресной строке команду about:config . После этого вы увидите окно предупреждения.

Браузер настойчиво отговаривает нас не изменять данные настройки. И ясно почему. Пока надо скрыть от пользователя, а потом напугать его, работает эта техника замечательно. Но, Мозилла я тебя все равно люблю ;)!

Короче обещаем что не будем сильно хулиганить и нажимаем на большую синюю кнопку. Перед нами откроется окно скрытых настроек браузера. Здесь вам и придется изменять опции, про которые я расскажу в следующей главе.

Меняем настройки таким образом: На необходимой функции (строке) нажимаем правой кнопкой и в появившемся меню выбираем Переключить Скрытые настройки Firefox

Google Safe Browsing

Включенная опция Google Safe Browsing отправляет историю вашего серфинга в компанию Google. Следует учесть, что отключение функции «Safe Browsing» увеличивает риск заразиться вирусами в результате посещения какого-нибудь вредоносного сайта со свежими эксплоитами.

Более подробную информацию вы можете узнать в статье «Как отключить Safe Browsing».

Отключение Google Safe Browsing

browser.safebrowsing.enabled
browser.safebrowsing.downloads.enabled
browser.safebrowsing.malware.enabled

Статистика Firefox

Данная функция отправляет отчеты о производительности и стабильности в компанию Mozilla, разработчикам браузера Firefox. Очень рекомендую ее отключить. Пользы вам самим от нее никакой.

Отключаем отчеты о производительности и стабильности

Отключение сбора статистики Firefox

Утечка вашего настоящего IP-адреса при использовании VPN/TOR. Здесь можете узнать поподробнее об отключении WebRTC во всех популярных браузерах.

Отключение WebRTC

Encrypted Media Extensions (DRM)

DRM — бинарное расширение с неизвестным исходным кодом, которое начиная с версии 38 поставляется вместе с Firefox. Плагин позволяет воспроизводить зашифрованный медиаконтент и использовать Netflix и др. без Microsoft Silverlight. Если вы хотите полностью удалить DRM, вам потребуется установить версию EME-free браузера Firefox.

Подробнее о Encrypted Media Extensions читайте здесь.

Отключение DRM

Интеграция с Pocket

Это сторонний сервис — он управляет списком статей, отложенных для будущего прочтения.

Отключаем интеграцию с Pocket

Геолокация

Отключение функции определения местоположения пользователя.

Поисковые подсказки

Все, что вы набираете в строке поиска сливается поисковой системе. После отключения данной функции подсказки будут работать, но только основываясь на локальной истории поиска.

Отключение отправки поисковых запросов (подсказок)

Защита от слежки со стороны сайтов

Все выше перечисленные функции надо было отключать, но эту фичу, наоборот, следует активировать. Это необходимо для активной блокировки сайтов, которые имеют плохой траст (доверие в сети) и известны своим не совсем корректным поведением в отношении слежки за пользователями. Только не путайте эту опцию с функцией DNT, которая только «просит» сайты не отслеживать вас. В данном же случае производится принудительная блокировка.

Включаем блокировку подозрительных сайтов

На этом все друзья! Надеюсь вы смогли отключить слежку в браузере и с помощью предложенных в этой статье рекомендаций сделали ваше пребывание в сети более защищенным и анонимным. Конечно полностью браузер без слежки вы сделать не сможете, но минимизировать утечку ваших личных данных вполне реально.

Технические подробности недавнего отключения дополнений в Firefox

Прим. переводчика: для удобства читателей даты приведены по московскому времени

Недавно мы пропустили момент истечения срока действия одного из сертификатов, используемых для подписи дополнений. Это привело к отключению дополнений у пользователей. Теперь, когда по большей части проблема исправлена, я хотел бы рассказать о подробностях произошедшего и о проделанной работе.

Подоплёка: дополнения и подписи

Хотя многие используют браузер «из коробки», Firefox поддерживает расширения, называемые «дополнениями». С их помощью пользователи добавляют в браузер различные возможности. Существует свыше 15 тысяч дополнений: от блокировки рекламы до управления сотнями вкладок.

Установленные дополнения должны иметь цифровую подпись, которая защищает пользователей от вредоносных дополнений, и требует минимальной проверки дополнений сотрудниками Mozilla. Мы ввели это требование в 2015 году, поскольку испытывали серьёзные проблемы с вредоносными дополнениями.

Как это работает: каждая копия Firefox содержит «корневой сертификат». Ключ от этого «корня» хранится в модуле аппаратной защиты (HSM), не имеющем доступа к сети. Каждые несколько лет этим ключом подписывается новый «промежуточный сертификат», который используется при подписании дополнений. Когда разработчик присылает дополнение, мы создаём временный «конечный сертификат» и подписываем его, используя промежуточный сертификат. Затем конечным сертификатом подписывается само дополнение. Схематично это выглядит так.

Обратите внимание: у каждого сертификата есть «субъект» (кому выдан сертификат) и «издатель» (кто выдал сертификат). В случае корневого сертификата «субъект» = «издатель», но для других сертификатов издателем сертификата является субъект вышестоящего сертификата, которым тот подписан.

Важный момент: каждое дополнение подписано уникальным конечным сертификатом, но почти всегда эти конечные сертификаты подписаны одним и тем же промежуточным сертификатом.

Примечание автора: исключение — очень старые дополнения. В то время использовались различные промежуточные сертификаты.

Этот промежуточный сертификат вызвал проблемы: каждый сертификат действителен в течение определённого периода. До или после этого периода сертификат недействителен, и браузер не будет использовать дополнения, подписанные этим сертификатом. К сожалению, срок действия промежуточного сертификата истёк 4 мая в 4 часа утра.

Последствия проявились не сразу. Firefox проверяет подписи установленных дополнений не постоянно, а примерно раз в 24 часа, причём время проверки индивидуально для каждого пользователя. В результате, у некоторых людей проблемы возникли сразу же, у некоторых гораздо позже. Мы впервые узнали о проблеме примерно в тот момент, когда истёк срок действия сертификата, и сразу начали искать решение.

Как только мы поняли, что случилось, то попытались не допустить ухудшения ситуации.

Во-первых, прекратили принимать и подписывать новые дополнения. Нет смысла использовать для этого просроченный сертификат. Оглядываясь назад, я бы сказал, что можно было бы оставить всё как есть. Сейчас приём дополнений возобновлён.

Во-вторых, немедленно разослали исправление, которое предотвратило ежесуточную проверку подписей. Таким образом, мы спасли тех пользователей, у которых браузер за последние сутки ещё не успел проверить дополнения. Сейчас это исправление отозвано, необходимости в нём больше нет.

Теоретически, решение проблемы выглядит просто: создаём новый действительный промежуточный сертификат и переподписываем каждое дополнение. К сожалению, это не сработает:

  • мы не можем быстро переподписать 15 тысяч дополнений разом, система не рассчитана на такую нагрузку
  • после того, как подпишем дополнения, обновлённые версии нужно доставить пользователям. Большинство дополнений устанавливается с серверов Mozilla, поэтому в ближайшие сутки Firefox найдёт обновления, но некоторые разработчики распространяют подписанные дополнения по сторонним каналам, поэтому пользователям пришлось бы обновлять такие дополнения вручную

Вместо этого мы попытались разработать такое исправление, которое достигло бы всех пользователей, при этом не требуя (или почти не требуя) действий с их стороны.

Довольно быстро мы пришли к двум основным стратегиям, которые и использовали параллельно:

  • Обновить Firefox, чтобы изменить период действия сертификата. Это заставит существующие дополнения волшебным образом работать снова, но потребует выпуска и доставки новой сборки Firefox
  • Создать действительный сертификат и каким-то образом убедить Firefox принять его вместо существующего, срок действия которого истёк

Мы решили сначала использовать первый вариант, который выглядел вполне рабочим. В конце дня выпустили и второе исправление (новый сертификат), о котором поговорим далее.

Как я упомянул выше, требовалось:

  • создать новый действительный сертификат
  • удалённо установить его в Firefox

Чтобы понять, почему это сработает, рассмотрим подробнее процесс проверки дополнения. Само дополнение поставляется в виде набора файлов, включая цепочку сертификатов, используемых для подписи. В результате, дополнение может быть проверено, если браузеру известен корневой сертификат, который встраивается в Firefox во время сборки. Однако, как мы уже знаем, промежуточный сертификат просрочен, поэтому проверить дополнение невозможно.

Когда Firefox пытается проверить дополнение, он не ограничивается использованием сертификатов, содержащихся внутри самого дополнения. Вместо этого браузер пытается создать действительную цепочку сертификатов, начиная с конечного сертификата и продолжает, пока не доберётся до корня. На первом уровне начинаем с конечного сертификата, а затем находим сертификат, субъект которого является издателем конечного сертификата (то есть, промежуточный сертификат). Обычно этот промежуточный сертификат поставляется вместе с дополнением, но в этой роли также может выступать любой сертификат из хранилища браузера. Если мы сможем удалённо добавить в хранилище сертификатов новый действительный сертификат, Firefox попытается его использовать. Ситуация до и после установки нового сертификата.

После установки нового сертификата у Firefox будет два варианта при проверке цепочки сертификатов: использовать старый недействительный сертификат (который не будет работать), либо новый действительный (который будет работать). Важно, что новый сертификат содержит те же имя субъекта и открытый ключ, что и старый сертификат, поэтому его подпись на конечном сертификате будет действительна. Firefox достаточно умён, чтобы попробовать оба варианта, пока не найдёт работающий, поэтому дополнения снова станут проверенными. Обратите внимание, это та же логика, которую мы используем для проверки сертификатов TLS.

Примечание автора: читатели, знакомые с WebPKI, заметят, что точно так же работают перекрёстные сертификаты.

Самое замечательное в этом исправлении то, что оно не требует переподписывать существующие дополнения. Как только браузер получит новый сертификат, все дополнения вновь заработают. Остаётся сложность с тем, чтобы доставить новый сертификат пользователям (автоматически и удалённо), а также заставить Firefox перепроверить отключённые дополнения.

Normandy и система исследований

По иронии судьбы, эту проблему решает специальное дополнение, называемое «системным». Чтобы проводить исследования, мы разработали систему под названием Normandy, которая доставляет исследования пользователям. Эти исследования автоматически выполняются в браузере, и имеют расширенный доступ к внутренним API-интерфейсам Firefox. Исследования могут добавлять новые сертификаты в хранилище сертификатов.

Примечание автора: мы не добавляем сертификат с какими-то особыми привилегиями; он подписан корневым сертификатом, поэтому Firefox ему доверяет. Мы просто добавляем его в пул сертификатов, которые могут быть использованы браузером.

Таким образом, решение состоит в том, чтобы создать исследование:

  • устанавливающее пользователям созданный нами новый сертификат
  • заставляющее браузер перепроверить отключённые дополнения, чтобы они снова заработали

«Но подожди», — скажете вы, «дополнения же не работают, как запустить системное дополнение?». Подпишем его новым сертификатом!

Собираем всё вместе… почему так долго?

Итак, план: выпустить новый сертификат для замены старого, создать системное дополнение и установить его пользователям через Normandy. Проблемы, как я говорил, начались 4 мая в 4:00, а уже в 12:44 того же дня, менее чем через 9 часов, мы отправили исправление в Normandy. Потребовалось ещё 6-12 часов, чтобы оно добралось до всех пользователей. Уже неплохо, но пользователи в Twitter спрашивают, почему мы не могли действовать быстрее.

Во-первых, требовалось время, чтобы выпустить новый промежуточный сертификат. Как я уже упоминал выше, ключ от корневого сертификата хранится автономно в аппаратном модуле безопасности. Это хорошо с точки зрения безопасности, поскольку корень используется очень редко и должен быть надёжно защищён, но это слегка неудобно, когда нужно экстренно подписать новый сертификат. Одному из наших инженеров пришлось ехать в хранилище HSM. Затем были неудачные попытки выдать правильный сертификат, а каждая попытка стоила одного-двух часов, затраченных на тестирование.

Во-вторых, некоторое время заняла разработка системного дополнения. Концептуально это очень просто, но даже простые программы требуют внимательности. Мы хотели убедиться, что не сделаем ситуацию ещё хуже. Исследование нужно протестировать перед отправкой пользователям. К тому же, дополнение должно быть подписано, но наша система подписывания дополнений была отключена, пришлось искать обходной путь.

Наконец, после того, как мы подготовили исследования к отправке, на развёртывание требовалось время. Браузер проверяет наличие обновлений Normandy каждые 6 часов. Не все компьютеры постоянно включены и подключены к интернету, поэтому нужно время, чтобы исправление распространилось среди пользователей.

Исследование должно исправить проблему у большинства пользователей, но доступно не всем. К некоторым пользователям требуется особый подход:

  • пользователи, которые отключили исследования или телеметрию
  • пользователи Android-версии (Fennec), где исследования не поддерживаются вовсе
  • пользователи кастомных сборок Firefox ESR на предприятиях, где невозможно включить телеметрию
  • пользователи, сидящие за MitM-прокси, поскольку наша система установки дополнений использует привязывание ключей (key pinning), которое не работает с такими прокси
  • пользователи устаревших версий Firefox, не поддерживающих исследования

Мы ничего не можем поделать с последней категорией пользователей — им всё равно следует обновиться до новой версии Firefox, потому что устаревшие имеют серьёзные незакрытые уязвимости. Мы знаем, что некоторые люди остаются на старых версиях Firefox, потому что хотят запускать старые дополнения, но многие из старых дополнений уже портированы под новые версии браузера. Для прочих пользователей мы разработали патч, который установит новый сертификат. Он был выпущен как багфикс-релиз (примечание переводчика: Firefox 66.0.5), поэтому люди получат его — скорее всего, уже получили — через обычный канал обновления. Если вы используете кастомную сборку Firefox ESR, обратитесь к своему мейнтейнеру.

Мы понимаем, что всё это не идеально. В некоторых случаях пользователи теряли данные дополнений (например, данные дополнения Multi-Account Containers).

Этого побочного эффекта не удалось избежать, но мы считаем, что в краткосрочной перспективе выбрали лучшее для большинства пользователей решение. В долгосрочной перспективе мы поищем иные, более совершенные архитектурные подходы.

Во-первых, наша команда проделала потрясающую работу, создав и отправив исправление менее чем за 12 часов после обнаружения проблемы. Как человек, который присутствовал на совещаниях, могу сказать, что в этой сложной ситуации люди работали очень усердно и впустую было потрачено совсем немного времени.

Очевидно, что всего этого вообще не должно было произойти. Явно стоит скорректировать наши процессы, чтобы снизить вероятность подобных инцидентов и облегчить исправление последствий.

На следующей неделе мы опубликуем официальный post-mortem и список изменений, которые намереваемся внести. Пока что поделюсь своими мыслями. Во-первых, должен быть лучший способ отслеживать состояние того, что является потенциальной бомбой замедленного действия. Нужно быть уверенными, что мы не окажемся в ситуации, когда одна из них внезапно сработает. Мы ещё прорабатываем детали, но, как минимум, требуется провести учёт всех подобных вещей.

Во-вторых, нужен механизм быстрой доставки обновлений пользователям, даже тогда, когда — особенно когда — всё остальное не работает. Было здорово, что мы смогли использовать систему «исследований», но это несовершенный инструмент и он обладает некоторыми нежелательными побочными эффектами. В частности, мы знаем, что у многих пользователей включено автоматическое обновление, но они предпочли бы не участвовать в исследованиях (признаюсь, у меня они тоже отключены!). В то же время нам требуется способ прислать обновления пользователям, но, какой бы ни была внутренняя техническая реализация, пользователи должны иметь возможность подписаться на обновления (включая оперативные исправления), но отказаться от всего остального. Кроме того, канал обновления должен быть более отзывчивым, чем сейчас. Даже 6 мая ещё были пользователи, которые не воспользовались ни исправлением, ни новой версией. Над этой проблемой уже работали, но случившееся показало, насколько она важна.

Наконец, мы присмотримся к архитектуре безопасности дополнений, чтобы убедиться, что она обеспечивает должный уровень безопасности с минимальным риском что-то сломать.

Отключаем слежку (настройка приватности) в Firefox

Начиная с версии 42.0, в популярном обозревателе Mozilla Firefox режим приватного просмотра был расширен опцией «Защита от отслеживания«. Однако кто защитит пользователя от слежки со стороны самого «Огнелиса»? Ведь не секрет, что разработчики браузеров не только обрабатывают и хранят информацию о наших поисковых запросах, поведении на сайтах и скачанных файлах, но и делятся ею с поисковыми сервисами.

В свете сказанного, Google даже выпустил парочку программ для веб-серфинга, Chrome и Chromium, дабы сделать работу «поисковика №1» более эффективной. Сегодня я расскажу о простом способе повысить личную приватность в интернете через изменение скрытых настроек Firefox из списка about:config.

Прежде всего, очень рекомендую ознакомиться со статьей «Тонкая настройка Firefox: оптимизация и ускорение«, где описаны известные мероприятия по увеличению безопасности и скорости ваших перемещений в Сети.

Чтобы приступить к работе с параметрами, недоступными через панель меню, наберите в адресной строке about:config и нажмите «Enter» → далее, не пугаясь «грозной» надписи, щелкните по кнопке «Я обещаю, что буду осторожен!» → скопируйте в окно поиска нужный параметр и двойным кликом поменяйте его значение с «true» на «false«.

Отключаем отправку отчетов о производительности (телеметрии )

Разумеется, эти следящие сервисы можно и нужно безболезненно отключить через настройки:

datareporting.healthreport.uploadEnabled

toolkit.telemetry.enabled.

Отключаем сервис «Safe Browsing» от Google

Сей функционал, появившийся в 32-ой стабильной сборке «Огнелиса», призван улучшить приватность пользователя, но фактически отправляет историю вашего серфинга и информацию о скачиваемых файлах на сервера Google. Поэтому благоразумно будет отключить отправку конфиденциальных данных, правда, и предупреждения о посещении неблагонадежных сайтов тоже навсегда исчезнут. Как я говорил, нижеперечисленные настройки должны иметь значение «false«:

browser.safebrowsing.enabled

services.sync.prefs.sync.browser.safebrowsing.enabled

browser.safebrowsing.downloads.enabled

browser.safebrowsing.malware.enabled

services.sync.prefs.sync.browser.safebrowsing.malware.enabled.

Отключаем геолокацию

Во-первых, отключите настройку geo.enabled.

Во-вторых, найдя настройку geo.wifi.uri, дважды щелкните по ней мышью, открыв окошко «Введите значение (строка)» (по умолчанию используется адрес https://www.googleapis.com/geolocation/v1/geolocate?key=%GOOGLE_API_KEY%), удалите строку и нажмите «ОК«.

Отключаем WebRTC

После удаления из базового опциона Firefox клиента Hello в about:config остался «атавизм» в виде скрытой настройки media.peerconnection.enabled, благодаря которой при использовании технологии WebRTC (англ. real-time communications – «коммуникации в реальном времени») просматривается ваш реальный IP-адрес даже через VPN. Посему также меняем ее значение с «true» на «false«.

Отключаем интеграцию с Pocket

Pocket – малопопулярный сторонний сервис, позволяющий отложить интересные ссылки, чтобы вернуться к ним позже, в т.ч. с других устройств. Для его деактивации смените значение extensions.pocket.enabled на «false«.

Отключаем отсылку статистики, связанной с технологией Snippets

Домашняя страница обозревателя, кою периодически посещает каждый «огнелисовец», содержит встроенный механизм показа рекламной информации и слежения за пользовательскими предпочтениями. Аналогично с третьим пунктом обзора (отключение геолокации), двойным кликом по настройке browser.aboutHomeSnippets.updateUrl откройте окно «Введите значение» и оставьте пустой строку → «ОК«.

Включаем блокировку шпионских сайтов

Если все вышеназванные функции надо отключить, то эту можно активировать. Оказывается, браузер скачивает с сервера Mozilla список следящих сайтов и, сверяясь с ним, принудительно блокирует ресурсы, имеющие плохой траст (репутацию). Дабы сие произошло, поменяйте значение privacy.trackingprotection.enabled на «true«.

Дмитрий dmitry_spb Евдокимов

Разработчики Mozilla рассказали, с какой именно слежкой будет бороться Firefox

Xakep #246. Учиться, учиться, учиться!

Инженеры Mozilla опубликовали подробности о грядущих нововведениях в сфере борьбе со слежкой за пользователями. Антитрекинговым механизмам, которые появились в браузере Firefox осенью текущего года (начиная с версии 63, благодаря переработке Enhanced Tracking Protection), а теперь начнут работать «в полную силу» с релизом Firefox 65, посвятили специальную wiki-страницу.

Разработчики рассказывают, что в первую Firefox будет полагаться на списки трекеров, составленные специалистами Disconnect.me, сторонней компании, которая разрабатывает решения для борьбы со слежкой. Однако это не новость для пользователей Firefox, и инженеры Mozilla поясняют, что новыми здесь являются правила, на основании которых браузер будет вносить и выносить домены из таких списков.

Так, будет считаться, что сайт следит за пользователями, если он: загружается как сторонний скрипт на других сайтах; злоупотребляет механизмами хранения данных на клиентской стороне бразуера (куки, DOM и так далее), чтобы сохранять информацию о пользователе с целью слежения за ним.

Так как еще в октябре прошлого года Firefox оснастили функциональностью, которая не позволяет сторонним скриптам злоупотреблять куки или механизмами хранения данных, теперь домены могут попасть под блокировку на уровне браузера, даже в том случае, если они не входят в списки Disconnect.me.

Кроме того, сообщается, что в будущем Enhanced Tracking Protection будут продолжать дорабатывать. К примеру, появится функциональность, мешающая сайтам хранить и передавать данные о пользователях в параметрах URL. Пока такая блокировка в браузере не реализована. Также разработчики намерены бороться со слежкой через злоупотребление легитимными функциями. Речь идет об использовании supercookies и других методах фингерпринтинга, например, использовании системных шрифтов, определении разрешения экрана, анализе особенностей работы с мышью и клавиатурой, и многом другом.

Инженеры Mozilla подчеркивают, что представленные правила могут подлежать изменениям, а также из них могут быть сделаны исключения, особенно если речь идет о безопасности пользователей. Ведь аутентификационные системы, login-провайдеры и сервисы по обработке электронных платежей могут следить за пользователями именно для улучшения безопасности, используя для этого те же техники, что и рекламные компании.

Firefox будет лучше бороться со слежкой

Компания Mozilla намерена усилить борьбу со слежкой. Уже в грядущих обновлениях появятся новые функции, которые лучше будут бороться с отслеживающими трекерами. Некоторые нововведения уже были реализованы ранее, а сейчас разработчики их продолжают дорабатывать и улучшать.

Осенью прошлого года в Firefox уже были добавлены мощные антитрекенговые механизмы. Но тогда они работали не в полную силу. Полноценно их запустили только в версии Firefox 65. В последней версии «огненный лис» для борьбы со слежкой будет использовать специальные списки трекеров. Их составляли специалисты сторонней компании Disconnect.me, выступающей ярой противницей слежки в Интернете. Пользователи Firefox уже могли слышать о подобных списках, поэтому для них это не новость. Но специалисты позаботились о том, чтобы внести в механизм работы новой функции некие изменения. В частности, сильно поменяются правила, которыми будет руководствоваться браузерs для определения сайтов с отслеживающими трекерами. Например, в списки для блокировки будут попадать ресурсы, которые загружаются в качестве сторонних скриптов на других сайтах, а также те, которые злоупотребляют сбором и хранением данных о пользователях. Чаще всего такие действия осуществляются с целью организации скрытой слежки за пользователями.

Кстати, даже если сайты не входят в списки Disconnect.me, но злоупотребляют сбором и хранением куки или любых других данных, они все равно могут быть заблокированы браузером.

Разработчики обещают, что в будущем они намерены продолжить работу над новой функцией. В планах Mozilla, например, запретить передавать данные пользователей в параметрах URL. Такой функции в браузере еще нет, но в скором будущем она может появиться. Кроме этого, в будущем Firefox сможет определять и блокировать сайты, которые осуществляют слежку через злоупотребления легитимными функциями. К ним относится использование системных шрифтов, определение разрешения экрана, анализ работы с мышкой и пр.

В компании утверждают, что составленные нынче правила могут подвергаться изменениям. Например, в ходе тестирования новых функций могут появиться исключения.

Firefox будет по умолчанию блокировать слежку за пользователями

Не все ясно представляют, как их отслеживают в интернете. Кто-то знает про куки и прозрачные пиксели, но забывает о фингерпринтинге через теги HTML5 и других методах. Маркетинговые фирмы изобретают новые способы отслеживать пользователей, а мы и сами зачастую помогаем в этом, заходя в свои аккаунты Google и Facebook. После такого отслеживание на других сайтах становится тривиальной задачей через кнопки Like и скрипты партнёрских рекламных сетей.

К сожалению, блокировщики рекламы и скриптов установлены не на каждом компьютере, а эти скрипты не только угрожают безопасности, но ещё и замедляют загрузку страниц. Учитывая эти факторы, разработчики Firefox объявили о серьёзном решении: в ближайшее время Firefox начнёт блокировать по умолчанию онлайновые трекеры со сторонних сайтов.

Судя по всему, внедрение этих функций является частью продолжающегося слияния браузеров Firefox и Tor.

В ближайшие несколько месяцев на основном канале Firefox выйдет ряд инструментов, которые реализуют новую стратегию Mozilla. Сейчас многие из этих функций реализованы в экспериментальной версии Firefox Nightly. Все технологии соответствуют одной из трёх задач:

Ускорение загрузки страниц

Проблема в том, что трекеры существенно замедляют загрузку страниц. Как показало исследование Ghostery, на них приходится 55,4% общего времени загрузки, а на медленных соединениях эффект проявляется ещё сильнее. Поэтому Firefox будет автоматически блокировать медленные сторонние трекеры, которые тормозят загрузку страниц.

Тестирование блокировки сторонних трекеров Firefox Nightly пройдёт в сентябре. Если тесты окажутся успешными, то функцию включат по умолчанию в основной версии Firefox 63, которая выйдет 23 октября 2018 года.

Если у вас браузер Firefox Nightly и вы хотите принять участие в исследовании, то активируйте соответствующую опцию в настройках.

Блокировка межсайтового слежения

«В реальном мире пользователи не ожидают, что сотни вендоров будут отслеживать их перемещение из магазина в магазин и шпионят за тем, на какие товары они смотрят и что покупают, — пишет Mozilla. — Такие же ожидания у людей в онлайне, но в действительности вендоры отслеживают каждый их шаг. Большинство браузеров не обеспечивают того уровня приватности, который ожидают и заслуживают пользователи».

Для предотвращения межсайтового слежения Firefox будет по умолчанию удалять куки и блокировать доступ к локальному хранилищу сторонних трекеров. Данная функция тоже реализована в Firefox Nightly и будет протестирована в сентябре, но внедрение в основной релиз ожидается с версии Firefox 65 (29 января 2019 года).

Защита от сомнительных практик

Конкретные технологии пока не анонсированы, но Mozilla обещает, что будущие версии Firefox будут по умолчанию защищать от ряда сомнительных практик, таких как фингерпринтинг и криптомайнинг.

Mozilla напоминает, что первой начала по умолчанию блокировать всплывающие окна в 2004 году. Это был правильный шаг — в то время всплывающие окна считались самым назойливым рекламным форматом. Многие современные пользователи даже не представляют, как часто встречались всплывающие окна с рекламой в начале 2000-х, а сейчас этот формат почти полностью исчез — в том числе благодаря Mozilla.

Есть надежда, что блокировка межсайтового слежения и большинства рекламных трекеров в 2018 году произведёт такой же положительный эффект, как блокировка всплывающих окон в 2004 году.

Вышеупомянутые функции можно вручную активировать в браузере Firefox Nightly из Control Center — панели, которая открывается нажатием по значку i слева от адресной строки. В последней версии там появился раздел Content Blocking.

В том же разделе можно настроить исключения, то есть отключить блокировку сторонних трекеров для избранных сайтов.

Таким образом, браузер Firefox по умолчанию будет работать примерно так же, как специальные блокировщики рекламы. На самом деле сейчас Firefox заимствует список правил блокировки у расширения Disconnect.

Новая защита Firefox действует более агрессивно, чем блокировка сторонних трекеров в Safari, не говоря уже об избирательной блокировке «неподобающей рекламы» в Chrome. Недавно и Microsoft начала внедрять Adblock Plus в мобильную версию Edge, но она не включена по умолчанию. Однако тенденция налицо. В течение многих лет браузеры просто отображали контент страницы практически без изменений и запускали весь код. Но теперь стало понятно, что такой подход вреден, он ведёт к ухудшению качества веба: мы получили видеоролики с автовоспроизведением, баннеры с отслеживанием пользователей и веб-страницы размером в десятки мегабайт. Поэтому браузеры берут на себя более активную роль по фильтрации вредоносного контента. Например, Mozilla недавно выпустила мобильный браузер Firefox Focus для Android, который полностью блокирует любую рекламу и сторонние скрипты в интернете.

Firefox — единственный из популярных браузеров, который не принадлежит крупной корпорации (Apple, Google или Microsoft).

Firefox откажется от «слежки» за пользователями?

Сообщество Mozilla вновь сообщает о своем видении анонимности пользователей в Сети. Вполне возможно, что в начале 2011 года Firefox получит кнопку «не отслеживать».

Во всяком случае, так утверждает Гари Ковакс, исполнительный директор Mozilla Corporation. Он утверждает также, что абсолютно согласен с заявленной многими пользователями необходимостью держать «следы пребывания» в Сети под контролем.

В настоящее время сообщество Mozilla обеспокоено также методами онлайновых рекламных агентств и сетей, которые правдами и неправдами пытаются получить любую информацию о пользователе, с тем, чтобы предоставить максимально соответствующую интересам большинства пользователей рекламу. Понятно, в результате подобных действий компании получают больше клиентов, но вообще говоря, такие методы уже находятся на грани, еще немного и все это можно будет назвать воровством информации.

Хуже всего то, что пользователь не может самостоятельно контролировать свои «следы» в Интернете — понятие «анонимность в Интернете» становится все более эфемерным.

Интересно, что корпорация Microsoft уже добавила функцию анонимности в новую версию своего браузера, так что теперь, при желании, можно скрыть свои действия в Сети от чрезмерно любопытных скриптов, установленных на различных сайтах рекламщиками.

Корпорация Google вообще считает, что прежде, чем создавать нечто вроде кнопки «не отслеживать», необходимо определить список разрешенных действий, которые может выполнять скрипт, отслеживающий действия пользователя в Сети.

Ковакс считает, что подобные выяснения могут затянуться на долгое время, поэтому проще предоставить функцию анонимности тем пользователям, которые в ней нуждаются. В принципе, Google можно понять — ведь эта компания является владельцем крупнейшей сети контекстной рекламы, которая тоже умеет «следить» за пользователями, с тем, чтобы предоставить максимально релевантную информацию в рекламных блоках.

Руководитель Mozilla Corp. все же считает, что предоставление какой бы там ни было информации пользователю, тем более, если речь идет о рекламе, не должно быть следствием отслеживания действий пользователя в Сети.

Кстати, Ковакс сделал интересное заявление. Дело в том, что команда Mozilla не считает Chrome полностью открытым браузером. «Вряд ли Google будет работать в ущерб своим интересам и, к примеру, вовсе перестанет отслеживать действия пользователей в сети. Chrome в первую очередь создан для достижения определенных бизнес-целей», — утверждает Гари Ковакс.

Разработчики Mozilla рассказали, с какой именно слежкой будет бороться Firefox

Внимание. Вся Информация на канале «Dark Job» для ознакомления, не несёт в себе призыва к чему-либо, автор не несёт никакой ответственности.

Инженеры Mozilla опубликовали подробности о грядущих нововведениях в сфере борьбе со слежкой за пользователями. Антитрекинговым механизмам, которые появились в браузере Firefox осенью текущего года (начиная с версии 63, благодаря переработке Enhanced Tracking Protection), а теперь начнут работать «в полную силу» с релизом Firefox 65, посвятили специальную wiki-страницу.

Разработчики рассказывают, что в первую Firefox будет полагаться на списки трекеров, составленные специалистами Disconnect.me, сторонней компании, которая разрабатывает решения для борьбы со слежкой. Однако это не новость для пользователей Firefox, и инженеры Mozilla поясняют, что новыми здесь являются правила, на основании которых браузер будет вносить и выносить домены из таких списков.

Так, будет считаться, что сайт следит за пользователями, если он: загружается как сторонний скрипт на других сайтах; злоупотребляет механизмами хранения данных на клиентской стороне бразуера (куки, DOM и так далее), чтобы сохранять информацию о пользователе с целью слежения за ним.

Так как еще в октябре прошлого года Firefox оснастили функциональностью, которая не позволяет сторонним скриптам злоупотреблять куки или механизмами хранения данных, теперь домены могут попасть под блокировку на уровне браузера, даже в том случае, если они не входят в списки Disconnect.me.

Кроме того, сообщается, что в будущем Enhanced Tracking Protection будут продолжать дорабатывать. К примеру, появится функциональность, мешающая сайтам хранить и передавать данные о пользователях в параметрах URL. Пока такая блокировка в браузере не реализована. Также разработчики намерены бороться со слежкой через злоупотребление легитимными функциями. Речь идет об использовании supercookies и других методах фингерпринтинга, например, использовании системных шрифтов, определении разрешения экрана, анализе особенностей работы с мышью и клавиатурой, и многом другом.

Инженеры Mozilla подчеркивают, что представленные правила могут подлежать изменениям, а также из них могут быть сделаны исключения, особенно если речь идет о безопасности пользователей. Ведь аутентификационные системы, login-провайдеры и сервисы по обработке электронных платежей могут следить за пользователями именно для улучшения безопасности, используя для этого те же техники, что и рекламные компании.

Ваша безопасность для нас важнее всего. Мы поможем не только заработать большие деньги но и советами по безопасности.

Как отключить слежку в Mozilla Firefox

Браузер Firefox на 2019 год является вторым по популярности в мире на персональных компьютерах, занимая около 10% рынка и уступая только Google Chrome и Apple Safari. Своему успеху детище Mozilla обязано выдающейся кастомизацией — в приложении можно настроить буквально всё.

Firefox, как и практически все популярные браузеры, собирает информацию по работе пользователя в интернете и использует её в личных целях. Удостовериться в этом можно, запустив любой файервол и проверив список соединений при запуске «лисы».

Помимо данных об использовании и поломках Firefox, передаётся и физическое расположение устройства, которое может быть использовано для показа рекламы. Но слежки можно избежать, отключив её в настройках.

Отключение слежки в браузере Mozilla Firefox

Самым простым способом станет переход на его более защищённую версию — Tor Browser. Созданный на основе Firefox, Тор Браузер не передаёт никакую информацию ни в Mozilla, ни самим сайтам, а также ставит между пользователем и ресурсом барьер в три промежуточных компьютера. К сожалению, этот способ подойдет не всем — использование браузера предполагает минимальную техническую грамотность, а скорость работы на порядок ниже привычной.

Тем, кому нужно избавиться лишь от самых крупных утечек информации без значительной потери производительности, нужно сделать следующее:

  1. Перейдите в расширенные настройки Firefox, набрав в адресной строке about:config. После открытия появится предупреждение. Соглашайтесь с ним и двигайтесь дальше.
  2. Далее вы попадёте в меню настроек.
  3. В настройках отключаем (ставим параметр false вместо true) следующие пункты:
    • browser.safebrowsing.enabled; browser.safebrowsing.downloads.enabled; browser.safebrowsing.malware.enabled — функция Google Safe Browsing, передающая статистику по посещаемым сайтам в компанию Гугл и «защищающую» от вредоносных ресурсов;
    • datareporting.healthreport.service.enabled; datareporting.healthreport.uploadEnabled — отчёты о производительности, пересылаемые в Mozilla;
    • toolkit.telemetry.enabled — общий сбор статистики или телеметрия;
    • media.peerconnection.enabled — передача настоящего IP-адреса, даже при применении VPN или Tor;
    • media.eme.enabled; media.gmp-eme-adobe.enabled — отключение электронной подписи медиаконтента;
    • browser.pocket.enabled — сохранения списка «отложенных» статей на удалённом сервере;
    • geo.enabled — геолокация;
    • browser.search.suggest.enabled — поисковые подсказки в основных системах.
  4. Включите (true вместо false) блокировку трекинга от внешних сайтов, строка privacy.trackingprotection.enabled. Перезапустите браузер.

Как проверить, передаёт ли браузер ваши действия

По сравнению с Chrome и Safari, Firefox практически не интересуется личными данными пользователя: техническая информация, геолокация, IP-адрес — обычный джентльменский набор. Отключение не займёт больше пяти минут, и в отличие от Хрома, настройки не собьются с очередным крупным обновлением.

Узнать о том, как много ваша система оставляет следов в интернете, можно на внешних ресурсах, проверяющих отпечаток браузера. Самый простой в использовании — https://ipper.ru/. На этом же сайте можно увидеть не только передаваемые данные, но и свой IP-адрес с установленными и включенными плагинами.

При необходимости среднего или высокого уровня приватности использование стандартной «лисы» не рекомендуется. Установите Tor Browser или Waterfox для повышенной безопасности.

Ссылка на основную публикацию