Сегодня вышел в свет Firefox 29, чему посвящён топик на ЛОРе. В этом топике один анонимус выложил список опций в about:config, влияющих на приватность. Весьма интересный и полезный, как мне кажется (особенно в нынешних российских условиях), список размещён под катом.

Список выглядит следующим образом:

media.peerconnection.enabled = false

— запрещает поддержку протокола WebRTC, текущая реализация которого позволяет незаметно для пользователя получить список IP-адресов в его локальной сети (с помощью JavaScript), что повышает уникальность пользователя. Пруф.

browser.safebrowsing.enabled = falsebrowser.safebrowsing.malware.enabled = false

— отключает передачу информации о посещаемых веб-сайтах Гуглу, база которого используется для предупреждений о мошеннических сайтах (какая ирония — называть опцию, сливающую данные “налево” — safe browsing…).

browser.search.suggest.enabled = false

— отключает передачу текста, набираемого в окне поиска, поисковой системе без явного подтверждения со стороны пользователя. Лишаемся предложений от поисковой системы по мере набора запроса, но зато, если вы вдруг начали набирать запрос и передумали – он не отправится до нажатия Enter.

dom.enable_performance = false

— отключает передачу браузером информации о времени начала и окончания загрузки страницы. Анализ этих данных позволяет определить факт использования прокси-сервера.

network.dns.disablePrefetch = true

— запрещает предварительное разрешение имён DNS для всех ссылок на веб-странице (пока пользователь сам не нажмёт на ссылку). Это может привести к утечке DNS-трафика при работе через анонимизирующий прокси-сервер.

network.proxy.socks_remote_dns = true

— отправлять DNS-запросы через прокси при использовании прокси. Иначе они пойдут напрямую и могут привести к раскрытию реального IP-адреса.

network.seer.enabled = false

— отключить Seer. Seer — механизм, включенный в Firefox 29, который отслеживает сайты, посещаемые пользователем. Например, при заходе на http://example.com/index.html браузер запоминает, что веб-страница запросила загрузку http://images.example.com/image.jpg, http://styles.example.com/style.css и http://scripts.example.com/jquery.js. При следующем посещении этого сайта браузер сразу откроет соединение с images.example.com, styles.example.com, и scripts.example.com, что позволит сократить время загрузки страницы. Важно заметить, что Seer не занимается предзагрузкой контента (предварительная загрузка управляется другой настройкой – network.prefetch-next, которую можно отключить с целью повышения уровня приватности), а лишь устанавливает соединение (включая предварительно разрешение имён через DNS и SSL-handshake). Кроме того, отслеживание не производится для https-соединений и в режиме приватности. Активность Seer и размер списка посещённых страниц можно регулировать с помощью настроек network.seer.enabled и network.seer.max-db-size (по умолчанию, размер файла seer.sqlite может достигать 150 мегабайт). Теоретически, владелец сайта может отслеживать время загрузки страниц браузером пользователя и использовать эту информацию, как дополнительный источник данных для составления более четкого «отпечатка браузера».

network.security.ports.banned = 4444,9050,9051

— запрещает сайтам установку соединений на критически важные порты, занятые I2P и Tor. Людям, которые данными сетями не пользуются, ставить данную опцию необязательно.

dom.battery.enabled = false

— запрещает отслеживать состояние батареи (уровень паранойи: расширенный).

dom.network.enabled = false

— запрещает определять параметры соединения с сетью (при этом передаётся тип соединения: LAN, Wifi, 3G и так далее).

network.proxy.no_proxies_on = (пустое значение)

— запрещает сайтам обращение к локальной машине, что позволило бы им анализировать список открытых портов. Подсмотрено у разработчиков Tor. Возможны проблемы при обращении на адреса типа ​http://127.0.0.1:631, используемые для конфигурации принтеров через CUPS и прочих устройств.

webgl.disable-extensions = true webgl.min_capability_mode = true

— тоже подсмотрено у Tor. Запрещает передачу сайтам подробной информации о графических возможностях системы.

browser.cache.disk.capacity = 0browser.cache.disk.enable = falsebrowser.cache.disk.smart_size.enabled = falsebrowser.cache.disk_cache_ssl = falsebrowser.cache.memory.enable = falsebrowser.cache.offline.capacity = 0browser.cache.offline.enable = falsedom.indexedDB.enabled = falsemedia.cache_size = 0network.http.use-cache = false

— полное отключения кэширования. Анализируя время загрузки страницы, можно узнать, посещал ли пользователь этот сайт. Если посещал — часть файлов будет взята из кэша, что отразится на времени загрузки.

dom.storage.enabled = false

— отключает возможность сайтов хранить некоторые настройки (нечто похожее на куки). Однако, после отключения, пропадает возможность пользоваться кэшем Гугла (в поисковике исчезают соответствующие выпадающие меню).

general.appname.override = Netscapegeneral.appversion.override = 5.0 (Windows)general.oscpu.override = Windows NT 6.1general.platform.override = Win32general.useragent.override = Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0general.productSub.override = 20100101general.buildID.override = 20100101browser.startup.homepage_override.buildID = 20100101

— маскировка браузера под версию 24 LTS и самую распространённую платформу. Не забываем обновлять по мере выхода очередных LTS (и очередных виндов) (уровень параноий: расширенный).

app.update.auto = falseapp.update.enabled = falseapp.update.mode = 0app.update.service.enabled = false

— отключает автообновление браузера (по большей части актуально для Windows и OS X).

browser.search.update = false

— отключает автообновление поисковых плагинов.

datareporting.healthreport.service.enabled = falsedatareporting.healthreport.uploadEnabled = falsedatareporting.policy.dataSubmissionEnabled = false

— не отправлять данные о производительности в Mozilla.

Дополнительные рекомендации анонимуса:

Для борьбы со скриптами и куками рекламных сетей рекомендуются подписки адблока (Enhanced Trackers List, Social List), расширение NoScript (режет все скрипты, пользователь может разрешать скрипты доверенным сайтам, например, разрешить скрипты, лежащие лишь на linux.org.ru, а гуглоаналитику на том же лоре – нет), расширение Cookie Monster (точно также режет все куки, кроме явно одобренных пользователем). К использованию рекомендуется и HTTPS Everywhere от Фонда электронных рубежей, форсирующее использование HTTPS на большом количестве сайтов (только придется рукаи отключить правило для Google services, поскольку оно ломает ютуб после того, как ютуб поменял дизайн).

Возможно, для кого-то эта информация будет полезной. Если у вас есть какие-то свои размышления на тему параноидального использования современной техники в эпоху АНБ — милости прошу в комментарии.