linuxdv-static/articles/2014/08/13/firefox_security_tuning/index.markdown

---
title: Firefox / Настройки приватности 
tags: security, privacy, firefox
---

Утянуто с ЛОРа, дополнено своими заметками. Что требуется подкрутить в настройках самого браузера, чтобы он не стучал, аки дятел, куда попало.

---

Запрещает поддержку протокола WebRTC, текущая реализация которого позволяет незаметно для пользователя получить список IP-адресов в его локальной сети (с помощью JavaScript), что повышает уникальность пользователя. [Пруф](http://habrahabr.ru/post/215071/)

    media.peerconnection.enabled = false

Отключает передачу информации о посещаемых веб-сайтах Гуглу, база которого используется для предупреждений о мошеннических сайтах

    browser.safebrowsing.enabled = false
    browser.safebrowsing.malware.enabled = false
    browser.safebrowsing.downloads.enabled = false # >= 34

Отключает передачу текста, набираемого в окне поиска, поисковой системе без явного подтверждения со стороны пользователя. Лишаемся предложений от поисковой системы по мере набора запроса, но зато, если вы вдруг начали набирать запрос и передумали - он не отправится до нажатия Enter

    browser.search.suggest.enabled = false

Отключает передачу браузером информации о времени начала и окончания загрузки страницы. Анализ этих данных позволяет определить факт использования прокси-сервера

    dom.enable_performance = false

Запрещает предварительное разрешение имён DNS для всех ссылок на веб-странице (пока пользователь сам не нажмёт на ссылку). Это может привести к утечке DNS-трафика при работе через анонимизирующий прокси-сервер

    network.dns.disablePrefetch = true

Отправлять DNS-запросы через прокси при использовании прокси. Иначе они пойдут напрямую и могут привести к раскрытию реального IP-адреса

    network.proxy.socks_remote_dns = true

Отключить Seer (см. первый комментарий в топике для подробностей)

    network.seer.enabled = false

Запрещает сайтам установку соединений на критически важные порты, занятые I2P и Tor

    network.security.ports.banned = 4444,9050,9051

Запрещает отслеживать состояние батареи и тем самым получать  информацию, по которой можно идентифицировать пользователя

    dom.battery.enabled = false

Запрещает определять параметры соединения с сетью (при этом передаётся тип соединения: LAN, Wifi, 3G и так далее)

    dom.network.enabled = false

Запрещает сайтам обращение к локальной машине, что позволило бы им анализировать список открытых портов. [Подсмотрено](https://trac.torproject.org/projects/tor/ticket/10686) у разработчиков Tor Возможны проблемы при обращении на адреса типа ``http://127.0.0.1:631``, используемые для конфигурации принтеров через CUPS и прочих устройств

    network.proxy.no_proxies_on = (пустое значение)

Тоже подсмотрено у Tor. Запрещает передачу сайтам подробной информации о графических возможностях системы

    webgl.disable-extensions = true
    webgl.min_capability_mode = true

Полное отключения кэширования. Анализируя время загрузки страницы, можно узнать, посещал ли пользователь этот сайт. Если посещал - часть файлов будет взята из кэша, что отразится на времени

    browser.cache.disk.capacity = 0
    browser.cache.disk.enable = false
    browser.cache.disk.smart_size.enabled = false
    browser.cache.disk_cache_ssl = false
    browser.cache.memory.enable = false
    browser.cache.offline.capacity = 0
    browser.cache.offline.enable = false
    dom.indexedDB.enabled = false
    media.cache_size = 0
    network.http.use-cache = false

Отключает возможность сайтов хранить некоторые настройки (нечто похожее на куки). Однако, после отключения, пропадает возможность пользоваться кэшем Гугла (в поисковике исчезают соответствующие выпадающие меню). Проблема на стороне Гугла.

    dom.storage.enabled = false

Маскировка браузера под версию 24 LTS и самую распространённую платформу. Не забываем обновлять по мере выхода очередных LTS

    general.appname.override = Netscape
    general.appversion.override = 5.0 (Windows)
    general.oscpu.override = Windows NT 6.1
    general.platform.override = Win32
    general.useragent.override = Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
    general.productSub.override = 20100101
    general.buildID.override = 20100101
    browser.startup.homepage_override.buildID = 20100101

Отключает автоматическое обновление браузера

    app.update.auto = false
    app.update.enabled = false
    app.update.mode = 0
    app.update.service.enabled = false

Отключает автоматическое обновление поисковых плагинов

    browser.search.update = false

Не отправлять данные о производительности в Mozilla

    datareporting.healthreport.service.enabled = false
    datareporting.healthreport.uploadEnabled = false
    datareporting.policy.dataSubmissionEnabled = false

Отключить шифр RC4, считающийся слишком слабым: [1](https://tools.ietf.org/html/draft-popov-tls-prohibiting-rc4-01), [2](http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx):

    security.ssl3.ecdh_ecdsa_rc4_128_sha  = false
    security.ssl3.ecdhe_ecdsa_rc4_128_sha = false
    security.ssl3.ecdh_rsa_rc4_128_sha    = false
    security.ssl3.ecdhe_rsa_rc4_128_sha   = false
    security.ssl3.rsa_rc4_128_md5         = false
    security.ssl3.rsa_rc4_128_sha         = false
+ add content 9 years ago			`---`
			`title: Firefox / Настройки приватности`
			`tags: security, privacy, firefox`
			`---`

			`Утянуто с ЛОРа, дополнено своими заметками. Что требуется подкрутить в настройках самого браузера, чтобы он не стучал, аки дятел, куда попало.`

			`---`

			`Запрещает поддержку протокола WebRTC, текущая реализация которого позволяет незаметно для пользователя получить список IP-адресов в его локальной сети (с помощью JavaScript), что повышает уникальность пользователя. [Пруф](http://habrahabr.ru/post/215071/)`

			`media.peerconnection.enabled = false`

			`Отключает передачу информации о посещаемых веб-сайтах Гуглу, база которого используется для предупреждений о мошеннических сайтах`

			`browser.safebrowsing.enabled = false`
			`browser.safebrowsing.malware.enabled = false`
			`browser.safebrowsing.downloads.enabled = false # >= 34`

			Отключает передачу текста, набираемого в окне поиска, поисковой системе без явного подтверждения со стороны пользователя. Лишаемся предложений от поисковой системы по мере набора запроса, но зато, если вы вдруг начали набирать запрос и передумали - он не отправится до нажатия Enter

			`browser.search.suggest.enabled = false`

			`Отключает передачу браузером информации о времени начала и окончания загрузки страницы. Анализ этих данных позволяет определить факт использования прокси-сервера`

			`dom.enable_performance = false`

			`Запрещает предварительное разрешение имён DNS для всех ссылок на веб-странице (пока пользователь сам не нажмёт на ссылку). Это может привести к утечке DNS-трафика при работе через анонимизирующий прокси-сервер`

			`network.dns.disablePrefetch = true`

			`Отправлять DNS-запросы через прокси при использовании прокси. Иначе они пойдут напрямую и могут привести к раскрытию реального IP-адреса`

			`network.proxy.socks_remote_dns = true`

			`Отключить Seer (см. первый комментарий в топике для подробностей)`

			`network.seer.enabled = false`

			`Запрещает сайтам установку соединений на критически важные порты, занятые I2P и Tor`

			`network.security.ports.banned = 4444,9050,9051`

			`Запрещает отслеживать состояние батареи и тем самым получать информацию, по которой можно идентифицировать пользователя`

			`dom.battery.enabled = false`

			`Запрещает определять параметры соединения с сетью (при этом передаётся тип соединения: LAN, Wifi, 3G и так далее)`

			`dom.network.enabled = false`

			Запрещает сайтам обращение к локальной машине, что позволило бы им анализировать список открытых портов. [Подсмотрено](https://trac.torproject.org/projects/tor/ticket/10686) у разработчиков Tor Возможны проблемы при обращении на адреса типа ``http://127.0.0.1:631``, используемые для конфигурации принтеров через CUPS и прочих устройств

			`network.proxy.no_proxies_on = (пустое значение)`

			`Тоже подсмотрено у Tor. Запрещает передачу сайтам подробной информации о графических возможностях системы`

			`webgl.disable-extensions = true`
			`webgl.min_capability_mode = true`

			`Полное отключения кэширования. Анализируя время загрузки страницы, можно узнать, посещал ли пользователь этот сайт. Если посещал - часть файлов будет взята из кэша, что отразится на времени`

			`browser.cache.disk.capacity = 0`
			`browser.cache.disk.enable = false`
			`browser.cache.disk.smart_size.enabled = false`
			`browser.cache.disk_cache_ssl = false`
			`browser.cache.memory.enable = false`
			`browser.cache.offline.capacity = 0`
			`browser.cache.offline.enable = false`
			`dom.indexedDB.enabled = false`
			`media.cache_size = 0`
			`network.http.use-cache = false`

			`Отключает возможность сайтов хранить некоторые настройки (нечто похожее на куки). Однако, после отключения, пропадает возможность пользоваться кэшем Гугла (в поисковике исчезают соответствующие выпадающие меню). Проблема на стороне Гугла.`

			`dom.storage.enabled = false`

			`Маскировка браузера под версию 24 LTS и самую распространённую платформу. Не забываем обновлять по мере выхода очередных LTS`

			`general.appname.override = Netscape`
			`general.appversion.override = 5.0 (Windows)`
			`general.oscpu.override = Windows NT 6.1`
			`general.platform.override = Win32`
			`general.useragent.override = Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0`
			`general.productSub.override = 20100101`
			`general.buildID.override = 20100101`
			`browser.startup.homepage_override.buildID = 20100101`

			`Отключает автоматическое обновление браузера`

			`app.update.auto = false`
			`app.update.enabled = false`
			`app.update.mode = 0`
			`app.update.service.enabled = false`

			`Отключает автоматическое обновление поисковых плагинов`

			`browser.search.update = false`

			`Не отправлять данные о производительности в Mozilla`

			`datareporting.healthreport.service.enabled = false`
			`datareporting.healthreport.uploadEnabled = false`
			`datareporting.policy.dataSubmissionEnabled = false`

			`Отключить шифр RC4, считающийся слишком слабым: [1](https://tools.ietf.org/html/draft-popov-tls-prohibiting-rc4-01), [2](http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx):`

			`security.ssl3.ecdh_ecdsa_rc4_128_sha = false`
			`security.ssl3.ecdhe_ecdsa_rc4_128_sha = false`
			`security.ssl3.ecdh_rsa_rc4_128_sha = false`
			`security.ssl3.ecdhe_rsa_rc4_128_sha = false`
			`security.ssl3.rsa_rc4_128_md5 = false`
			`security.ssl3.rsa_rc4_128_sha = false`