web-dev-qa-db-ja.com

Firefoxのセキュリティとプライバシーを改善する方法

Firefoxのセキュリティとプライバシーを強化する賢明なアプローチとは何でしょうか?

私はこれについて質問を見つけませんでした、そして私はカジュアルなウェブユーザーのためのいくつかのガイドラインが便利だと思います。

現在私のブラウザは着ています:

最初の2つは長い間使用されています。後者は本日インストールされましたが、聞いたことがあるのでいくつかのWebサイトを破壊するので、それがどの程度かを評価しています。

VM inception などを使用して、私たちの最もパラノイアな人に回答を投稿してください。その他の国については、他に何をリストに追加しますか、またその理由は何ですか? sability を覚えておいてください。

10
Daniel

Firefoxを保護するために実行できるアクションはいくつかあります。もちろん、どこまで進んだかはあなた次第です。

Firefoxの設定メニューでいくつかの変更を行うことができます。

  • 「一般」
    • 「Firefoxの起動時」->「空白ページを表示」
    • "ファイルを保存:"ダウンロード "
  • "コンテンツ"
    • チェック:「ポップアップウィンドウをブロックする」
    • uncheck: "JavaScriptを有効にする"
    • "言語"-> chooseonly: "en-us"
  • 「アプリケーション」-> choose:「すべてのアプリケーションで常に要求する」
  • "プライバシー"

    • "追跡"->チェック: "追跡したくないウェブサイトを教えて"
    • "履歴"-> "Firefoxは:"履歴のカスタム設定を使用します "
    • 「履歴」->チェックを外す:「常にプライベートブラウジングモードを使用する」
    • "履歴"->チェックを外す: "閲覧とダウンロードの履歴を記憶する"
    • "History"-> uncheck: "Research and form history"
    • "履歴"->チェックを外す: "サイトからのクッキーを受け入れる"
    • 「履歴」->チェックを外す:「サードパーティのCookieを受け入れる」

    • "履歴"->チェック: "Firefox /夜間終了時に履歴をクリア"

    • 「履歴」->「設定」:すべてチェック->例外:「サイト設定」
    • "ロケーションバー"-> "ロケーションバーを使用する場合は、次のことを提案します。"-> choose: "なし"
  • 「セキュリティ」
    • チェック:「サイトがアドオンをインストールしようとしたときに警告する」
    • チェック:「ブロックされた攻撃サイト」
    • チェック:「ブロックはウェブ偽造を報告しました」
    • "パスワード"->チェックを外す: "サイトのパスワードを記憶する"
    • "Passwords"-> uncheck: "Use a master password"
  • 「上級」
    • 「一般」->「システムデフォルト」->チェックを外す:「クラッシュレポートを送信」
    • 「一般」->「システムデフォルト」->チェックを外す:「パフォーマンスデータを送信する」
    • "更新"->チェック: "更新を自動的にインストール"
    • "更新"->チェック: "これが私のアドオンのいずれかを無効にする場合に警告します"
    • "更新"->チェック: "検索エンジンを自動的に更新"
    • 「暗号化」->「プロトコル」->チェック:「SSL 3.0を使用」
    • 「暗号化」->「プロトコル」->チェック:「TLS 1.0を使用」
    • 「暗号化」->「証明書」->「サーバーが個人証明書を要求するとき」->チェック:「毎回確認」

アドオン

空のキャッシュボタン[オプション]

Calomel SSL Validation [その名のとおり正確に動作し、設定にもいくつかの微調整があるクールな小さなアドオン]

Adblock Edge

イージーリスト

EasyPrivacy

fanboy-adblock

ファンボーイの追跡リスト

ファンボーイの迷惑リスト

BetterPrivacy [LSO/Flash-Cookie-Protection]

Cookie Monster [Cookieポリシーを管理できます。手荷物を少なくするには、Firefox/Iceweaselの「設定」->「プライバシー」を使用してください]

HTTPS-Everywhere [EFF.orgからダウンロード] [設定:SSL-Observatoryを有効にするが、ISPデータの送信を許可しない]

HTTPSファインダー

NoScript [「設定」に移動し、「ホワイトリストに登録されたサイトにも適用する」をチェックしてください]

パースペクティブ[SSL-Cerfiticate-Control-設定に移動:[公証サーバー]-> [ウェブサイトがセキュリティエラーを引き起こした場合のみ連絡する]をオンにします]

RefControl [HTTP-Referersを制御する-設定: "block"-> "サードパーティのみ"]

リクエストポリシー[クロスサイトリクエストを拒否]

WOT [Web of Trust-Websearchesに表示されるユーザーベースのWebサイトの評価。注意:あまり正確ではありません。疑わしい場合は常に再確認してください。このアドオンは、悪意のあるサイトに良い評価を与える、または完全に良いサイトにフラグを立てる、さまざまなユーザーグループに悪用される傾向があります。]

PwdHash [パスワード管理に役立つ素敵なアドオン。どこかに新しいアカウントを設定してパスワードとドメインを使用してMD5ハッシュを作成するときに、パスワードフィールドにパスワードを入力するときは、「F2」を使用します。 (ログインするときは、パスワードフィールドを選択し、もう一度F2を押してハッシュを実行する必要があります。)この方法では、セキュリティへの影響を心配する必要なく、異なるサイトで同じパスワードを使用できます。ハッシュ。このツールは、スタンドフォード大学によって提供され、信頼できます。実際にサーバーに送信されるデータはありません。ハッシュは、ローカルのJavaスクリプトを使用して生成されます。 pwdhashがインストールされていないマシンからログインする必要がある場合: https://www.pwdhash.com/ にアクセスしてください。SSLは非常に強力です。]

FoxyProxy [便利なプロキシスイッチャー]

Useragent Switcher [まさにそれを行います。ただし、注意してください。以下のようにユーザーエージェントを設定した場合、このアドオンを使用すると、これらの設定が上書きされ、スイッチャーをオフにしても自動的に復元されません。したがって、about:configを手動で再構成する必要があります。嫌だ。しかし、ここでは、非常にクールなユーザーエージェント全体の負荷を取得できます。 .xmlをダウンロードして、それをUseragentスイッチャーにインポートするだけです。そこには本当にきちんとした現在のエージェントがいます:すべてのOSのためのあらゆる種類の異なるWebブラウザー、そしてもちろんさまざまなボット。 Googleボットは、フォーラムへのアクセスが必要なときに便利です... wink]

Web開発者[いくつかのクールな機能があります。ウェブサイトを閲覧したい場合は、チェックしてください。]

Bloody Vikings [使い捨てメールアドレスを作成]

注:Ghosteryは必要ありません。上記のAdblockリストは、Ghosteryが使用する追加のリソースを使用せずに、Webトラッキングからユーザーを保護するはるかに優れた働きをします。

もちろん、使用できるアドオンは他にもあります。しかし、私は彼らの要点を本当に見ていません。それらのほとんどはヘビ油か危険ですらある。 ISPおよび可能なMITM攻撃者がWebで行うことを読まないようにするには、可能な限り、常にSSLを使用します。この使用を支援するには:

SSL検索エンジン

ユーザー「SSL検索バー」は、簡単にインストール可能なSSL-searchbar-pluginsを提供しています

そこには、ixquick、duckduckgoなどの代替検索エンジンすべてのSSLプラグインがあります。たまたま使用するものをインストールします。

Privateleeも有望に見えます。しかし、私はそれを広範囲に試していません。

次に行うことは、マクロメディアのフラッシュ設定を変更することです。

フラッシュ設定

ここに行きます。

そして、厄介な設定マネージャーを介して自分と戦います。すべてを「0」または「許可しない」/「今後表示しない」に設定し、保存されているすべてのWebサイトのコンテンツを削除します。ウェブカメラとマイクの設定に特に注意してください

.macromediaフォルダーのアクセス許可を読み取り専用に設定することもできますが、上記のオプションを必ず編集する必要があるため、ウェブサイトでのマイクやウェブカメラの使用を許可しないようにするため、これは不要です。私は実際にBIOSでそれらを無効にすることにより、これをさらに一歩進めます。

さらに一歩進んで、SandboxieなどのサンドボックスでFirefoxを実行することもできます。

あなたができることのほんの一般的な考えはあなたのブラウザを安全にするのを助けます。

6
CPagan

セキュリティ、アドオン、および基本構成を改善するために実行できる基本的なアクションではないので、私の回答に焦点を当てます。

About:configに移動して、次を検索します。

security.ssl.require_safe_negotiation trueに設定します

security.warn_viewing_mixed trueに設定します

security.xpconnect.plugin.unrestricted falseに設定します(現時点でテストできないプラグインが壊れる可能性があるため、上記のアドオンでテストしなかった場合、非常に良いテストを誰かができる場合)

privacy.trackingprotection.enabled trueに設定します

また、(同じ構成ページで) "rc4"を検索して、SSL接続を確立するときに強力な暗号を適用する方法でrc4が安全でないことをすべて無効にします。

network.http.sendRefererHeader

0 – never send the referring URL.
1 – send only when links are clicked.
2 – send for links and images (default).

推奨:1

network.http.referer.XOriginPolicy

0 – always send referrer (default).
1 – only send if base domains match.
2 – only send if hosts match.

推奨:1

network.http.referer.spoofSource

false – send the referrer (default).
true – spoof the referrer and use the target URI instead.

推奨:True

network.http.referer.trimmingPolicy

0 – send full URI (default).
1 – scheme, Host, port and path.
2 – scheme, Host and port.

推奨:2

Network.proxy.socks_remote_dns(about:config内)をtrueに設定して、Firefoxがプロキシ経由でDNS要求を強制的に実行するようにします。そうしないと、DNSリクエストがローカルプロバイダーにリークされる可能性があります。(@ pseudonに感謝)

AndroidのためにデスクトップのみのFirefoxにアクセスできないので、今のところそれを覚えています

2
Freedo