В современном Интернете мы всё чаще сталкиваемся с различными опасностями, исходящими с Web-страниц. Уязвимые плагины, XSS на сайтах, эксплуатирование уязвимостей с помощью JavaScript, Clickjacking — и это далеко не полный список радостей жизни, которые могут встретиться на сайтах.
Даже если у Вас Linux или Mac OS X, нельзя быть полностью спокойными — в таком случае гадость просто не выйдет за пределы браузера, а вот cookies или LocalStorage извлечь вредоносный код вполне в состоянии. Также мощности компьютера могут быть использованы в совершенно неожиданных целях, вплоть до майнинга биткойнов на компьютере жертвы.
Так что защищать браузер необходимо не только снаружи, но и изнутри. Для этого нужно посмотреть на соответствующие расширения, чему и посвящён этот пост. Также здесь будут рассмотрены некоторые вопросы приватности (но не анонимности!), чтобы вы могли защититься от следящих компаний.
Полезные расширения
NoScript
Мне кажется, начать нужно именно с этого расширения, потому что оно, как мне кажется, необходимо сегодня каждому пользователю браузера — после Adblock Plus, разумеется. Если посмотреть на название, становится понятно, что основная задача данного расширения — блокировка JavaScript. И оно выполняет свою задачу прекрасно, причём намного удобнее, чем просто кнопка в настройках «Отключить JavaScript» (особенно, учитывая что в последних версиях лисы этой кнопки уже нет). Есть возможность разрешения посайтово, ведения белого и чёрного списков, а также наличествует поддержка временного разрешения для того или иного сайта.
Однако на этом возможности его не заканчиваются — ещё он отлично умеет блокировать плагины (любые), форсировать HTTPS на страничках, защищает от XSS-атак и ClickJacking (с помощью технологии ClearClick, позволяющей при обнаружении опасности посмотреть реальный вид элемента). Также имеется реализация интересной технологии ABE — своего рода firewall для Web, позволяющего ограничить доступ одних сайтов к другим.
Adblock Plus
Наверное, самое известное расширение для браузера. И правда, те, кто его установили уже не могут пользоваться браузером без блокировщика рекламы — таким чистым и светлым становится Интернет.
Однако не слишком очевидно, как он может помочь с безопасностью. Ответ — в его подписках. Они могут быть совершенно различными — собственно антирекламные (а вместе с ней вырезается и много если не вредоносного, то просто хламового контента), защита от слежки со стороны различных сайтов статистики (тут скорее приватность, чем безопасность), блокирование доменов, замеченных в распространении malware и многое другое. Из подписок я рекомендую использовать — EasyList, RuAdlist, EasyPrivacy, Fanboy Enchanced Trackers и Malware Domains. Это также поможет сделать браузер безопаснее.
RequestPolicy
Очередной аддон, созданный для посайтового управления разрешения. RequestPolicy даёт вам возможность управлять межсайтовыми запросами.
Пример — сайт habrahabr.ru запрашивает картинки с habrastorage.org и скрипт с mc.yandex.ru. Habrastorage можно разрешить, а Яндекс.Метрику — оставить блокированной. Таким образом этот аддон поможет защититься от следящих сайтов, собирающих статистику по пользователю.
Ещё он точно защитит от XSS и всякой ерунды, которая Вам не понравится — вроде кнопок социальных сетей и части рекламы. Таким образом, данное расширение действительно даёт весьма хорошую защиту, но имеет один важный минус — необходимость активного взаимодействия с ним и ручного выбора разрешений — блокироваться будет действительно много и значительная его часть может оказаться необходимой для просмотра сайта. Так что решать Вам. Кстати, в версии 1.0 (имеет статус разрабатываемой) были добавлены подписки и возможность использования в режиме чёрного списка.
Cookie Monster
Одни из тех расширений, функции которого, в общем, покрывает браузер, но с которым несравненно удобнее, чем без него. Cookie Monster позволяет управлять вашими Cookies, разрешая их только для тех сайтов, для которых вы это явно прописали. Также имеется возможность разрешать хранить Cookies только до закрытия браузера или запрещать только сторонние печеньки.
Очень удобное расширение, практически не требует взаимодействия, так как сайтов, на которых действительно нужны Cookies на деле очень мало — в основном это сайты, на которых вы зарегистрированы. Крайне рекомендуется всем.
Страничка расширения на Addons.Mozilla.Org
HTTPS Everywhere
Расширение от небезызвестного Фонда Электронных Рубежей, предназначенное для форсированного использования HTTPS на сайтах, которые его поддерживают, но не ставят основным. Отлично помогает защитить ваш браузер от MITM-атак, которые могут привести к таким нехорошим последствиям, как кража вашего пароля в недоверенной сети или встраивание рекламы в страницы провайдером.
Расширение очень полезно, особенно в тех случаях, когда приходится подключаться к Wi-Fi-сети где-нибудь в кафе или на вокзале, потому что позволяет вам не ошибиться в наборе именно https адреса или при переходе по ссылке. Также, он при возможности переписывает небезопасные запросы со странички на безопасные.
Страничка расширения на сайте EFF
WOT — Web Of Trust
Расширение, показывающее возле ссылок уровень доверия сайтов, устанавливаемый сообществам. Предназначен для «друга айтишника» — то есть мне оно может и не очень нужно, но всем знакомым я его ставлю, предварительно объяснив, что на ссылки с «красным кружочком» кликать не надо.
Поможет защититься от фишинга, частично от сайтов с малварью. На деле имеет много ложных срабатываний и совершенно не воспринимает поддомены бесплатных хостингов. Но иногда лучше перестараться, чем недостараться. Также имеет негативное влияние на приватность — URL на проверку он направляет себе на сервер.
RefControl и UaControl
Аддоны, предназначенные для контроля за HTTP-заголовками Referer (адрес странички, с которой плльзователь попал на сайт) и User Agent (неуникальный идентификатор браузера). Позволяют притворяться другими браузерами, или даже поисковыми роботами, не отсылать сайту информацию, как Вы на него попали или даже вписать в эти поля то, что вам хочется. Я вот одно время ходил по Интернету с User Agent'ом, сформированным как браузер IE 10 под Linux. Интересно, вебмастеры читают подобные логи?
В принципе, RefControl позволяет запретить сайтам узнавать, по какому поисковому запросу вы пришли, особенно учитывая сколько всего в это поле впихивает Google. Ну а UAControl — притвориться популярным браузером и «скрыться в толпе» с целью избежать всё того же сбора статистики.
Страничка RefControl на AMO
Страничка UaControl на AMO
Заключение
Надеюсь вы всё-таки прочитали этот пост, а там уж ваше дело — ставить данные расширения или нет, тем более, что я всё достаточно подробно расписал. Теперь наш браузер безопаснее изнутри, ну а как защитить его снаружи с помощью AppArmor я, может быть, напишу позже.
P.S.: Прошу прощения за стиль изложения. Это мой первый пост на Хабре, так что прошу конструктивной критики.
Автор: Falcon_peregrinus