[Firefox] améliorer la sécurité

[PengouinPdt]

Voici un T&A, concernant l'amélioration de la sécurité de Firefox, à-propos des malwares et autres choses non-désirables !

about:config dans la barre d'adresses, puis :

Browsing Protection

/!\ ATTENTION : cette technique "Browsing Protection" semble décriée de plus en plus par la communauté, par des avis d'experts en sécurité informatiques, car bien qu'intéressante d'un point de vue sécurité contre certaines mauvaises activités de piratages, elle permet le pistage de manière unique par Google, et semble être utiliser par certaines agences de renseignements pour faire des recoupements d'information et du ciblage informatique ... /!\

Le but de ces techniques est de protéger contre les sites fournissant des malwares, le phishing, les sites d’ingénierie sociale, et les sites hébergeant des logiciels indésirables, potentiellement dangereux !

[*] browser.safebrowsing.enabled active la protection anti-phising - à-partir de la v.50 devient "browser.safebrowsing.phishing.enabled"
[*] browser.safebrowsing.malware.enabled active la protection contre les malwares et autres "cradiosités" ...
[*] browser.safebrowsing.downloads.remote.enabled autorise le téléchargement de la liste Google qui gére la reconnaissance des malwares (cf, ci-dessous ...)

Gestion des types de malware

Il suffit, normalement, de positionner sur 'on' pour activer ou 'off' pour le contraire ... et, est sensé protégé des contenus malveillants lors de téléchargements divers ...

[*] browser.safebrowsing.downloads.remote.block_dangerous
[*] browser.safebrowsing.downloads.remote.block_dangerous_host
[*] browser.safebrowsing.downloads.remote.block_potentially_unwanted
[*] browser.safebrowsing.downloads.remote.block_uncommon


Mise-à-jour des listes identifiants les sites "dangereux"

Toutes les 30 minutes environ, FF télécharge ces listes et sont enregistrées dans votre station sur : ~/.cache/mozilla/firefox/profil_firefox_en_cours/safebrowsing/

[*] browser.safebrowsing.downloads.remote.url est l'URL du serveur Google qui gère la liste de reconnaissance des malwares (cf, informations ci-dessus)
[*] browser.safebrowsing.provider.google.lists gère les listes de télémétrie Google, liées à la gestion de la détection des malwares (ci-dessus) - videz la liste, si cela vous est "indésirable" !
[*] browser.safebrowsing.provider.google.updateURL est l'URL du serveur Google à contacter ...

----

Autres protections

[*] geo.enabled active ou désactive la géolocalisation - préférez false
[*] network.IDN_show_punycode - voir les caractères Punycode ou non, afin d'éviter la technique d'hameçonnage sur les noms de domaines. 'true' pour activer ...
[*] network.http.sendRefererHeader communique la dernière page visitée - préférez 0 - Attention, certains sites web refusent la connexion ou l'envoi de données lorsque cette info ne retourne rien ou 0, c'est le cas actuellement (08/2016) pour le forum FluxBB !
[*] offline-apps.allow_by_default et offline-apps.quota.warn - à-propos de la gestion des données "offline" : la première sur false, et la seconde sur 0 évite l'usage à votre insu ...
[*] les security.tls.version : le min doit être à 1, le max sur 3 ; le fallback sur 3 - ce qui semble être le cas par défaut ...


----
Une page d'info : https://wiki.mozilla.org/Security/Safe_Browsing
Une seconde page d'info : http://www.blog-des-telecoms.com/securi ... outconfig/
Une autre - en anglais : https://feeding.cloud.geek.nz/posts/how ... n-firefox/

Un site EFF pour tester : https://panopticlick.eff.org

[Dunatotatos]

Petite précision de taille : ces manipulations impliquent l'envoi de votre activité de navigation à un service de Google.

[PengouinPdt]

Prouves ton propos, stp ... parce que c'est un peu trop facile.
C'est exactement comme cela qu'on lance n'importe quoi, qui va de la légende urbaine, à d'autres informations volontairement erronées.

Personnellement, si j'en crois, cette explication détaillée, ce serait plutôt des métadonnées relatives au binaire envoyé au serveur de réputation, en question. Remontée, qui peut être supprimée, par l'usage de l'option 'browser.safebrowsing.downloads.remote.enabled'.

Note that Step 5 is the only point at which any information about the download is shared with Google

Ce qui me semble, quand même, très, très, très légèrement différent, n'est-ce pas ?!
Alors, oui, c'est de la télémétrie ... mais, on est loin de "Google récupère toute votre navigation !"

D'ailleurs, lire à ce propos la section "Privacy" ... c'est assurément édifiant !

[Dunatotatos]

Ok, j'ai fait une erreur. Comme indiqué dans cette page, la version 1 du Google's Safe browsing envoyait les informations de navigation. J'ai retenu cette information.
Personne ne m'avait gentillement informé que les nouvelles versions du protocole étaient plus respectueuses.

[vohu]

Tout ça est activé par défaut chez vous ? car je n'ai rien eu à faire

[PengouinPdt]

Ok, j'ai fait une erreur. Comme indiqué dans cette page, la version 1 du Google's Safe browsing envoyait les informations de navigation. J'ai retenu cette information.
Personne ne m'avait gentillement informé que les nouvelles versions du protocole étaient plus respectueuses.

En même temps, quand tu as affirmé ce que tu as affirmé ... j'ai cherché ; il ne m'a pas fallu plus de deux minutes pour trouver l'information.
C'est un lien nommé "Overview of how Safe Browsing works in Firefox", dans la section "Documentation", de la page d'info que j'ai restitué en fin de mon post ...

Es-tu sûr de l'avoir lue ? ;-)

@vohu: tiens, moi, j'en ai activé certaines ...

[wetaskiwin]

Tout ça est activé par défaut chez vous ? car je n'ai rien eu à faire

Oui. Je n'ai rien du modifier non plus.

[PengouinPdt]

Un nouvel article informant d'autres valeurs à modifier :

http://www.blog-des-telecoms.com/securi ... outconfig/

[marcastro]

noscript ne permet il pas une bonne protection contre tous ces trucs de tracking?+

[PengouinPdt]

Màj du premier post avec les dernières informations ;)

@marcastro : peut-être, mais là, c'est toi-même qui gère nativement !

[lol]

noscript ne permet il pas une bonne protection contre tous ces trucs de tracking?+

Je l'installe systématiquement avec adblock sur mes browser quand c'est possible. ScriptSafe sur chromium et chrome.
C'est particulièrement efficace, tout est bloqué (et sur certains sites, c'est hallucinant le nombre de scripts qui se lancent...
Ghostery est pas mal non plus...

A chaque nouvelle page ça demande un peu de "travail", mais au moins t'es protégé un minimum (Je ne crois pas qu'on puisse être protégé à 100% malheureusement).

[marcastro]

@lol: idem pour moi: noscript et ghostery. Adblock n'a plus vraiment la cote.

[Triangle]

J'ai réglé tous ces problèmes de traçage avec privoxy qui est top.
Pour les pubs un bon filtre est ublock origin.
Ghostery n'est pas libre et suspecté de traçage.

[lol]

Ghostery n'est pas libre et suspecté de traçage.

Ha! Nous voilà bien... Tu as un lien ou des infos ?

[marcastro]

Ghostery n'est pas libre et suspecté de traçage.

Ha! Nous voilà bien... Tu as un lien ou des infos ?

je m'ai gourré,c'est pas ghostery que j'ai mais ublock origin;j'avais aussi lu que ghostery était un peu indiscret mais je me souviens plus où j'avais pêché l'info.

[sv0t]

Salut,

j'ai trouvé ça http://surfezcouvert.net/?p=245 je n'ai pas idée du niveau de fiabilité du site, mais de premier abord ça semble pas mal.

[PengouinPdt]

Amélioration du premier post, ajout de nouvelles informations !

[PengouinPdt]

En date d'octobre 2016, il apparaît que la technique "Safebrowsing" n'est pas si anodine que cela ... en effet, Firefox se trouve incapable de supprimer un cookie - bogue #1026538 qui sert de fait d'unique IDentifiant à Google pour pister l'utilisateur.

N'hésitez pas à désactiver - jusqu'à ce que Mozilla corrige le code - cette fonctionnalité :
1/ Décochez les deux paramètres suivantes dans les préférences de Firefox, onglet "Sécurité" : Block reported attack sites, et, Block reported web forgeries - puis fermez FF !
2/ Ensuite, il faut supprimer manuellement le cookie par les étapes suivantes :
2.1/ Tapez la commande suivante pour repérer le chemin de la base 'cookie.sqlite' : find ~/.mozilla/firefox -name cookies.sqlite
2.2/ Installez le paquet sqlite3
2.3/ En mode console, tapez la commande suivante : sqlite3 suivi du chemin restitué par le commande en 2.1
2.4/ Dans le prompt sqlite3, tapez la commande : DELETE FROM moz_cookies WHERE baseDomain = "google.com";

Ne réactivez pas l'option tant que Mozilla n'aura pas corrigé le bogue !

Il est recommandé d'utiliser des addons de gestion de cookie comme "Self-Destructing Cookies" et "Disconnect"

Pour info, la NSA se serait servi de cette option pour surveiller/suivre/attaquer certaines cibles ! source

[hybridemoineau]

C'est quand même incroyable ce genre de "bug" qui dure depuis des années....Ecore heureux qu'il s'agisse d'un logiciel libre. Je frémis quand je pense aux obligations légales des boîtes basées aux USA, dont la fondation Mozilla. Et à part OpenBSD, il n'y a pas de grosses structures qui soit hors de ce territoire (je n'arrive pas à trouver pour Tor)

[PengouinPdt]

Est que la techno Electrolysis dispo officiellement à partir de la version 49 permet d'améliorer la sécurité ?!

C'est ce que tend à démontrer l'article suivant par l'usage des multi-processus !