Настройка Firefox

[Carding]

В последнее время браузер Firefox претерпевал достаточно значительные изменения, хорошие и не очень: это и переход на движок Quantum, это и отказ от расширений типа XUL/XPCOM, и переход на WebExtensions, и еще масса других изменений. Что никак не изменилось — это возможность сделать из него прекрасный хакерский браузер, если немного покрутить конфиги. Как и что крутить, мы обсудим все это.

Замечу, что эта статья написана только для образовательных целей. Мы никого ни к чему не призываем, только в целях ознакомления!

Создание «портативных» настроек

Все интересные настройки Firefox делаются на служебной странице по адресу about:config. Зайти сюда и поменять пару параметров — легко и удобно. Но если говорить о тонкой настройке, то тут менять значения по одному становится слегка утомительно.

Как автоматизировать процесс, не прибегая к сторонним утилитам? Очень просто: создавай файл user.js и прописывай все настройки туда. Далее помещаем этот файл в каталог пользовательского профиля Firefox, который в Windows находится по пути C:\Users\[username]\AppData\Roaming\Mozilla\Firefox\Profiles\[random].default. Формат записей в этом файле прост: например, чтобы включить поддержку WebP, необходимо задать параметру image.webp.enabled значение true. В файле настроек это будет выглядеть вот так:

user_pref("image.webp.enabled", true);

Другими словами, в шаблоне user_pref("...", …); идет параметр и его значение. Итак, с файлом настроек разобрались, теперь приступим к препарированию браузера. Все настройки применялись к последней на момент написания статьи версии браузера.

Учитывай, что безопасность и приватность — это всегда компромисс с удобством. Некоторые настройки могут значительно ограничить функциональность сайтов, но сильно увеличить безопасность и приватность при серфинге. А что важнее — выбирать тебе.

Отключаем все лишнее

WebRTC и Pocket
Mozilla внедрила сервисы WebRTC и Pocket в Firefox и включила их по умолчанию. Многим это не понравилось, и не просто так: в Pocket нашли уязвимости, а WebRTC может допускать утечку IP-адреса при определенных обстоятельствах.

Давай отключим и то, и другое:

// Отключаем Pocket
user_pref("extensions.pocket.api", "");
user_pref("extensions.pocket.enabled", false);
user_pref("extensions.pocket.site", "");
user_pref("extensions.pocket.oAuthConsumerKey", "");

// Отключаем WebRTC
user_pref("media.peerconnection.enabled", false);
user_pref("media.peerconnection.ice.default_address_only", true);
user_pref("media.peerconnection.ice.no_host", true);
user_pref("media.peerconnection.ice.relay_only", true);
user_pref("media.peerconnection.ice.tcp", false);
user_pref("media.peerconnection.identity.enabled", false);
user_pref("media.peerconnection.turn.disable", true);
user_pref("media.peerconnection.use_document_iceservers", false);
user_pref("media.peerconnection.video.enabled", false);
user_pref("media.peerconnection.default_iceservers", "[]");

Геолокация

Отключаем доступ к геолокации:
user_pref("geo.enabled", false);
user_pref("geo.provider.ms-windows-location", false);
user_pref("geo.wifi.uri", "");

Статистика использования браузера и различные метрики

Перекрываем сбор различных данных:

// Отключаем асинхронные запросы, используемые для аналитики
user_pref("beacon.enabled", false);
user_pref("browser.send_pings", false);
user_pref("browser.send_pings.require_same_host", false);

// Отключаем метрики производительности
user_pref("dom.enable_performance", false);
user_pref("dom.enable_performance_observer", false);
user_pref("dom.enable_performance_navigation_timing", false);
user_pref("browser.slowStartup.notificationDisabled", false);

user_pref("network.predictor.enabled", false);
user_pref("network.predictor.enable-hover-on-ssl", false);
user_pref("network.prefetch-next", false);
user_pref("network.http.speculative-parallel-limit", 0);

// Информация об установленных дополнениях
user_pref("extensions.getAddons.cache.enabled", false);

Отключаем доступ к датчикам

Если в наличии обычный ПК, а не планшет (к примеру), то выключаем доступ к датчикам:

user_pref("device.sensors.enabled", false);
user_pref("device.sensors.orientation.enabled", false);
user_pref("device.sensors.motion.enabled", false);

user_pref("device.sensors.proximity.enabled", false);
user_pref("device.sensors.ambientLight.enabled", false);

Останавливаем фингерпринтинг

Эти настройки говорят браузеру сопротивляться идентификации:

user_pref("dom.webaudio.enabled", false);
user_pref("privacy.resistFingerprinting", true);

Перекрываем информацию о сетевом соединении:
[CODE]user_pref("dom.netinfo.enabled", false);
user_pref("dom.network.enabled", false);

[/CODE]

Отключаем использование устройств и передачу медиа

Отключаем использование через браузер камер, микрофонов, геймпадов, очков виртуальной реальности и вместе с устройствами — передачу различного медиаконтента, типа скриншотов и прочего.

Так же выключаем распознавание речи:

user_pref("dom.gamepad.enabled", false);
user_pref("dom.gamepad.non_standard_events.enabled", false);
user_pref("dom.imagecapture.enabled", false);
user_pref("dom.presentation.discoverable", false);
user_pref("dom.presentation.discovery.enabled", false);
user_pref("dom.presentation.enabled", false);
user_pref("dom.presentation.tcp_server.debug", false);
user_pref("media.getusermedia.aec_enabled", false);
user_pref("media.getusermedia.audiocapture.enabled", false);
user_pref("media.getusermedia.browser.enabled", false);
user_pref("media.getusermedia.noise_enabled", false);
user_pref("media.getusermedia.screensharing.enabled", false);
user_pref("media.navigator.enabled", false);
user_pref("media.navigator.video.enabled", false);
user_pref("media.navigator.permission.disabled", true);
user_pref("media.video_stats.enabled", false);
user_pref("dom.battery.enabled", false);
user_pref("dom.vibrator.enabled", false);
user_pref("dom.vr.require-gesture", false);
user_pref("dom.vr.poseprediction.enabled", false);
user_pref("dom.vr.openvr.enabled", false);
user_pref("dom.vr.oculus.enabled", false);
user_pref("dom.vr.oculus.invisible.enabled", false);
user_pref("dom.vr.enabled", false);
user_pref("dom.vr.test.enabled", false);
user_pref("dom.vr.puppet.enabled", false);
user_pref("dom.vr.osvr.enabled", false);
user_pref("dom.vr.external.enabled", false);
user_pref("dom.vr.autoactivate.enabled", false);
user_pref("media.webspeech.synth.enabled", false);
user_pref("media.webspeech.test.enable", false);
user_pref("media.webspeech.synth.force_global_queue", false);
user_pref("media.webspeech.recognition.force_enable", false);
user_pref("media.webspeech.recognition.enable", false);

Отключаем телеметрию и отправку отчетов

Браузер собирает телеметрические данные и сигнализирует разработчикам о падениях компонентов.

Для повышения анонимности это можно отключить:

user_pref("toolkit.telemetry.archive.enabled", false);
user_pref("toolkit.telemetry.bhrPing.enabled", false);
user_pref("toolkit.telemetry.cachedClientID", "");
user_pref("toolkit.telemetry.firstShutdownPing.enabled", false);
user_pref("toolkit.telemetry.hybridContent.enabled", false);
user_pref("toolkit.telemetry.newProfilePing.enabled", false);
user_pref("toolkit.telemetry.previousBuildID", "");
user_pref("toolkit.telemetry.reportingpolicy.firstRun", false);
user_pref("toolkit.telemetry.server", "");
user_pref("toolkit.telemetry.server_owner", "");
user_pref("toolkit.telemetry.shutdownPingSender.enabled", false);
user_pref("toolkit.telemetry.unified", false);
user_pref("toolkit.telemetry.updatePing.enabled", false);
user_pref("datareporting.healthreport.infoURL", "");
user_pref("datareporting.healthreport.uploadEnabled", false);
user_pref("datareporting.policy.dataSubmissionEnabled", false);
user_pref("datareporting.policy.firstRunURL", "");
user_pref("browser.tabs.crashReporting.sendReport", false);
user_pref("browser.tabs.crashReporting.email", false);
user_pref("browser.tabs.crashReporting.emailMe", false);
user_pref("breakpad.reportURL", "");
user_pref("security.ssl.errorReporting.automatic", false);
user_pref("toolkit.crashreporter.infoURL", "");
user_pref("network.allow-experiments", false);
user_pref("dom.ipc.plugins.reportCrashUR", false);
user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false);

Настраиваем информацию для поиска

Приводим поиск браузера в «стандартное» состояние — без поправок на наше местоположени:

user_pref("browser.search.geoSpecificDefaults", false);
user_pref("browser.search.geoSpecificDefaults.url", "");
user_pref("browser.search.geoip.url", "");
user_pref("browser.search.region", "US");
user_pref("browser.search.suggest.enabled", false);
user_pref("browser.search.update", false);

Разбираемся с пуш-уведомлениями

Пуш-уведомления могут работать даже тогда, когда ты закрыл страницу:

user_pref("dom.push.enabled", false);
user_pref("dom.push.connection.enabled", false);
user_pref("dom.push.serverURL", "");
Но не теперь)

Убираем утечки DNS

Здесь убираем возможную утечку DNS по IPv6, отключаем упреждающую отправку DNS и настраиваем DoH — DNS over HTTPS:

user_pref("network.dns.disablePrefetch", true);
user_pref("network.dns.disableIPv6", true);
user_pref("network.security.esni.enabled", true);
user_pref("network.trr.mode", 2);
user_pref("network.trr.uri", "https://cloudflare-dns.com/dns-query");
Отключаем перенаправления
user_pref("network.captive-portal-service.enabled", false);
user_pref("network.captive-portal-service.maxInterval", 0);
user_pref("captivedetect.canonicalURL", "");

Пресекаем слив данных на серверы Google

С настройками по умолчанию Google должен защищать тебя от вирусов и фишинга.

Это зачастую полезная функция, но если ты знаешь, что ты делаешь, и не хочешь, чтобы Google за этим наблюдал, то можешь и избавиться от этого пристального внимания так:

user_pref("browser.safebrowsing.allowOverride", false);
user_pref("browser.safebrowsing.blockedURIs.enabled", false);
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false);
user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false);
user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false);
user_pref("browser.safebrowsing.downloads.remote.enabled", false);
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.phishing.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.url", "");
user_pref("browser.safebrowsing.provider.google.advisoryName", "");
user_pref("browser.safebrowsing.provider.google.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google.gethashURL", "");
user_pref("browser.safebrowsing.provider.google.reportMalwareMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportPhishMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportURL", "");
user_pref("browser.safebrowsing.provider.google.updateURL", "");
user_pref("browser.safebrowsing.provider.google4.advisoryName", "");
user_pref("browser.safebrowsing.provider.google4.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google4.dataSharingURL", "");
user_pref("browser.safebrowsing.provider.google4.gethashURL", "");
user_pref("browser.safebrowsing.provider.google4.reportMalwareMistakeURL", "");

Отключаем DRM
…просто потому, что можем!

user_pref("browser.eme.ui.enabled", false);
user_pref("media.eme.enabled", false);

Итак, мы рассмотрели некоторые базовые настройки браузера Firefox, которые помогут тебе не делиться ни с кем своими данными. Как видишь, без этих настроек браузер фактически следит за каждым шагом, собирает кучу метрик и отправляет их туда и сюда. Раз все это можно отключить, почему бы не сделать этого?

Конечно, этот гайд нельзя назвать абсолютно полным — я уверен, что в сотнях настроек браузера можно найти что-то еще, что можно оптимизировать и улучшить, но основную массу собираемых данных мы все-таки перекрыли. Еще надо помнить, что от версии к версии названия настроек могут меняться, какие-то могут уходить, а другие — приходить, поэтому файл нужно будет время от времени обновлять.

10 полезных плагинов для Firefox

Как бы мы ни настраивали браузер, кое-каких вещей можно добиться только плагинами. Они тоже могут неплохо помочь с укреплением нашей безопасности при серфинге в интернете. Вот некоторые из тех, что я использую и считаю необходимыми.

1. Privacy Possum — блокирует различные методы слежения: рефереры, заголовки ETag, сторонние куки, портит данные фингерпринта.
https://addons.mozilla.org/ru/firefox/addon/privacy-possum/

2. uBlock Origin — отличный блокировщик рекламы и не только. Содержит обширные списки блокировки, единственный нюанс — львиную долю списков блокировки нужно будет активировать самостоятельно в настройках, потому что они отключены по умолчанию.
https://addons.mozilla.org/ru/android/addon/ublock-origin/

3. uMatrix — расширение, разработанное автором uBlock Origin. Представляет собой мощный блокировщик запросов браузера, а в связке с uBlock становится мощным средством против рекламы и прочей мишуры. Однако требует настройки практически под каждый сайт.
https://addons.mozilla.org/ru/android/addon/umatrix/

4. Nano Defender —хорошее дополнение к блокировщику рекламы — плагин противодействует антиадблокерам.
https://addons.mozilla.org/ru/firefox/addon/nano-defender-firefox/

5. Decentraleyes — полезный плагин, который препятствует отслеживанию через CDN (Content Delivery Network).
https://addons.mozilla.org/ru/firefox/addon/decentraleyes/

6. Facebook Container — плагин, разработанный в Mozilla. Пытается остановить слежку со стороны Facebook.
https://addons.mozilla.org/ru/firefox/addon/facebook-container/

7. Google search link fix — расширение, которое чистит поисковую выдачу Yandex и Google, не позволяя поисковику собирать статистику кликов по ссылкам в выдаче.
https://addons.mozilla.org/ru/firefox/addon/google-search-link-fix/

8. NoScript — популярное расширение, которое блокирует скрипты на сайтах. Очень полезно, потому что как раз скрипты часто нарушают анонимность.
https://addons.mozilla.org/ru/firefox/addon/noscript/

9. HTTPS Everywhere — автоматически переключает соединение на HTTPS, даже когда это явно не было указано в адресной строке.
https://addons.mozilla.org/ru/firefox/addon/https-everywhere/

10. Privacy Badger — еще одно расширение от Фонда электронных рубежей, которое препятствует слежке со стороны сайтов.
https://addons.mozilla.org/ru/firefox/addon/privacy-badger17/

 

[Carding 4 Carders]

Firefox настройка [анонимность]​

FireFox - один из лучших браузеров для работы в кардинге, скорее всего многие со мной будут согласны, но не все знают о такой приблуде, как about:config

Если кратко - это утилита, располагающая в себе правила, отвечающие за работу firefox'а (доступ сайтов к геоданным, телеметрии и многое другое), сегодня я поделюсь своими аддонами и попробуем настроить firefox для безлопастного серфинга в сети, начнем:

(Всё проделано в firefox quantum версии 61.0.1 (64))

Вводим в адресную строку:

about:config

Поскольку правил тут действительно много - будем пользоваться поиском:

Для начала уберем отправку отчетов:

breakpad.reportURL - сотрите значение
browser.tabs.crashReporting.email - сотрите значение
browser.tabs.crashReporting.emailMe - значение: false
browser.tabs.crashReporting.sendReport - false
datareporting.healthreport.infoURL - сотрите значение
datareporting.healthreport.uploadEnabled - false
datareporting.policy.dataSubmissionEnabled - false
extensions.getAddons.cache.enabled - false
security.ssl.errorReporting.automatic - false

Теперь местоположение:

browser.geolocation.warning.infoURL - сотрите значение
browser.search.countryCode - поставьте любую страну (дефолт: RU, у меня US)
browser.search.geoip.url - сотрите значение
browser.search.geoip.timeout - значение: 0
browser.search.geoSpecificDefaults.url - сотрите значение
browser.search.geoSpecificDefaults - false
browser.search.region - поставьте любую страну (дефолт: RU, у меня US)
browser.search.suggest.enabled - false
geo.enabled - false
geo.wifi.uri - сотрите значение

Убираем доступ к аппаратным устройствам(камеры, микрофоны и т.д.):

dom.gamepad.enabled - false
dom.gamepad.non_standard_events.enable - false
dom.imagecapture.enabled - false
dom.presentation.discoverable - false
dom.presentation.discovery.enabled - false
dom.presentation.enabled - false
dom.presentation.tcp_server.debug - false
media.getusermedia.aec_enabled - false
media.getusermedia.agc_enabled - false
media.getusermedia.audiocapture.enabled - false
media.getusermedia.browser.enable - false
media.getusermedia.noise_enabled - false
media.getusermedia.screensharing.enabled - false
media.navigator.enabled - false
media.navigator.permission.disabled - false
media.navigator.video.enabled - false
media.video_stats.enabled - false
media.webspeech.recognition.enable - false
dom.netinfo.enabled - false
media.webspeech.recognition.enable - false
media.webspeech.synth.enabled - false

Отправка данных на сервера mozilla и google (must have):

browser.safebrowsing.downloads.enabled - false
services.sync.prefs.sync.browser.safebrowsing.downloads.enabled - false
browser.safebrowsing.downloads.remote.block_dangerous_host - false
browser.safebrowsing.downloads.remote.block_dangerous - false
browser.safebrowsing.downloads.remote.block_potentially_unwanted - false
browser.safebrowsing.downloads.remote.block_uncommon - false
browser.safebrowsing.downloads.remote.enabled - false
browser.safebrowsing.downloads.remote.url - оставьте пустым
browser.safebrowsing.malware.enabled - false
services.sync.prefs.sync.browser.safebrowsing.malware.enabled - false
browser.safebrowsing.provider.google.gethashURL - false
browser.safebrowsing.provider.google.lists - false
browser.safebrowsing.provider.google.reportURL - сотрите значение
browser.safebrowsing.provider.google.updateURL - сотрите
browser.safebrowsing.provider.google.updateURL - сотрите
browser.safebrowsing.provider.mozilla.lists - сотрите
browser.safebrowsing.provider.mozilla.updateURL - сотрите
browser.safebrowsing.reportPhishURL - сотрите
services.sync.prefs.sync.browser.safebrowsing.malware.enable - false

Синхронизация и другая хурма:

identity.fxaccounts.auth.uri - сотрите
services.sync.engine.addons - false
services.sync.engine.bookmarks - false
services.sync.engine.history - false
services.sync.engine.passwors - false
services.sync.engine.prefs - false
services.sync.engine.tabs - false
services.sync.fxa.privacyURL - сотрите
services.sync.fxa.termsURL - сотрите

Телеметрия:

dom.ipc.plugins.flash.subprocess.crashreporter.enabled - false
dom.ipc.plugins.reportCrashURL - false
network.allow-experiments - false
security.ssl.errorReporting.enabled - false
toolkit.crashreporter.infoURL - сотрите значение
toolkit.telemetry.archive.enable - false
toolkit.telemetry.cachedClientID - сотрите
toolkit.telemetry.rejected - true
toolkit.telemetry.server - сотрите
toolkit.telemetry.unified - false

Отключаем WebRTC:

media.peerconnection.enabled - false
media.peerconnection.ice.default_address_only - false
media.peerconnection.ice.relay_only - true
media.peerconnection.identity.enabled - false
media.peerconnection.identity.timeout - 1
media.peerconnection.turn.disable - true
media.peerconnection.use_document_iceservers - false
media.peerconnection.video.enabled - false

Опции отключения автоматического обновления браузера

app.update.auto = false
app.update.enabled = false
app.update.mode = 0

Опция отключения автоматического обновления поисковых плагинов

browser.search.update = false

Опции отключения отправки данных о производительности Firefox

datareporting.healthreport.service.enabled = false
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false

Отключает статистику использования

toolkit.telemetry.enabled=false

Опция отключения возможности подключения Firefox к сторонним серверам (Telefonica) без разрешения.

loop.enabled=false

Опция отключения cтороннего сервиса для управления списком статей, отложенных для прочтения.

browser.pocket.enabled=false

В отличие от всех перечисленных выше, эту опцию, наоборот, следует включить. Это нужно для активной блокировки сайтов, которые известны своим некорректным поведением в отношении слежки за пользователями. Не путать с DNT, которая только «просит» сайты не отслеживать вас. Здесь же осуществляется принудительная блокировка.

browser.search.suggest.enabled=tru

Отключение отслеживания действий на сайте

browser.send_pings - false

Отключение прямого ДНС запроса

По умолчанию стоит false то есть отключено. Если вы пользуетесь TORом или прокси, то в этом случае браузер будет делать запрос к ДНС не напрямую, а через прокси

network.proxy.socks_remote_dns - true

Отключить WebGL.

webgl.disabled в true.
dom.enable_performance = false
dom.battery.enabled = false
network.dns.disablePrefetch = true
network.http.accept.default = text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Отключить кэширование в Firefox

network.http.use-cache= false
browser.cache.offline.enable= false
browser.cache.disk.enable= false
browser.cache.disk_cache_ssl= false
browser.cache.memory.enable= false
network.http.keep-alive.timeout = 600
network.http.max-persistent-connections-per-proxy = 16
network.cookie.lifetimePolicy = 2
network.http.sendRefererHeader = 0
network.http.sendSecureXSiteReferrer = false
network.protocol-handler.external = false [Включаем все подпарамеры в значении false]
network.protocol-handler.warn-external = true [Включаем все подпарамеры в значении true]
network.http.pipelining = true
network.http.pipelining.maxrequests = 8
network.http.proxy.keep-alive = true
network.http.proxy.pipelining = true
network.prefetch-next = false
browser.cache.disk.enable = false
browser.cache.offline.enable = false
browser.sessionstore.privacy_level = 2
browser.sessionhistory.max_entries = 2
browser.display.use_document_fonts = 0
dom.battery.enabled = false
intl.charsetmenu.browser.cache = ISO-8859-9, windows-1252, windows-1251, ISO-8859-1, UTF-8
extensions.blocklist.enabled = false
network.proxy.no_proxies_on = (пусто)
по умолчанию localhost, 127.0.0.1

Cookie или Куки - если вы хотите быть невидимым для статистики, не хотите быть опознанным сайтом, то вам придется отключить куки в браузере. Отключать полностью не стоит, так как на подавляющем большинстве сайтов вы будете себя чувствовать не уютно и некоторые функции просто не будут работать. Но если вам надо посетить некий ресурс "без следов" то в Firefox есть прекрасный инструмент - это Приватный просмотр. Подключить его можно в любой момент. Инструменты - Начать приватный просмотр.

С about:config на этом все, дальше обсудим расширения, которые я считаю обязательными для установки(если покажется попсовым - прошу прощения, вдруг кто-то не знает)

1) HTTPS Everywhere - утилита блокирует http запросы для предотвращения утечки данных через незащищенный протокол.

2) User-Agent Switcher - подменяет user agent на выбранный пользователем, доступны все самый популярный платформы (даже мобильные). Хорошо подходит для вбива разных площадок (Раньше с ним били брут Ebay).

3) uBlock Origin - просто адблок с фильтрами, блэк джеком и ... ну вы поняли

4) FoxyProxy Standart - в firefox есть функция добавления прокси, но мне кажется эта штукенция удобнее

5) Privacy Badger & Disconnect - отслеживают и блокируют всякую нечесть на сайтах

6) Web Developer - редактор куки, отключение css, и другие утилиты для web разработчика

7) NoScript - хардкорное расширение, название символизирует.