Дополнение для FireFox "HTTP UserAgent cleaner" - справка



 Support(English; do not use Google translate, if do not speak English - write in the language that you know. If needed, my crypto key ( https://www.gpg4win.org/ ) is C64BE61A in keys.gnupg.net [0ADA 369A 692F 515F F4CC 6C2B D30A C753 C64B E61A])
Поддержка(на русском. Если хотите шифровать переписку, мой GnuPG-ключ шифрования ( https://www.gpg4win.org/ ): C64BE61A на keys.gnupg.net [0ADA 369A 692F 515F F4CC 6C2B D30A C753 C64B E61A])




Дополнение не работает с включённым E10S (multiprocess FireFox / Electrolisys). Отключайте дополнение, если работаете с E10S во избежании неверной работы дополнения.

Чтобы получить доступ к настройкам дополнения, щёлкните в панели дополнений на значок дополнения .

В зависимости от включённых фильтров дополнение может различными способами повышать степень вашей анонимности в интернете.


Фильтр User-Agent
Давайте настроим фильтр User-Agent так, чтобы он подменял версию браузера, направляемую серверу. Этот фильтр изменяет:

Откройте панель настроек дополнения и кликните на ячейке настройки текущего статуса фильтра User-Agent.

Теперь состояние фильтра изменилось.


Синим цветом показывается состояние "генерировать ошибку". В этом случае заголовок User-Agent на сервер не передаётся вообще, а при попытке доступа к полям объекта navigator.userAgent и т.д. генерируется исключение.
При повторном клике состояние фильтра изменится на "включено" (на красном фоне).
В этом состоянии User-Agent также не будет посылаться на сервер, а поля navigator.userAgent и т.д. будут очищены

При ещё одном клике состояние изменится на "слабо-случайно". В этом режиме фильтр будет генерировать для каждого домена свой User-Agent, однако лишь изменяя версию FireFox и операционную систему. Если установлена опция "Интервал", то каждые n минут (в соответствии со значением фильтра "Интервал") User-Agent для этого домена будет заменяться на новый. Поля объекта navigator изменяются соответственно.

Состояние "случайно" соответствует генерации нового User-Agent, который может быть как FireFox, так и Opera или Chrome.

Наконец, при следующем клике, состояние снова изменится на "выключено": FireFox будет посылать обычный заголовок User-Agent, как будто дополнение не работает.


Рекомендуемое состояние - "слабо-случайно". Оно запутает сайты, следящие за вами, но не слишком изменит поведение просматриваемых страниц. Дополнение, переключённое в это положение, показано на первом рисунке (выше).
Но большую случайность обеспечивает опция "случайно".
Сейчас фильтр включен в режим "генерировать ошибку", однако при следующем запуске FireFox он снова будет включён в режиме "слабо-случайно" (почему - см. фильтр "Плагины").





Фильтр "Плагины"

Этот фильтр затрудняет опознавание вашей системы по списку установленных плагинов FireFox, таких как Shockwave Flash, PDF-XChange Viewer и т.п. Изменяет содержимое JavaScript-объектов navigator.Plugins и navigator.mimeTypes. Обратите внимание, что блокировка работы самих плагинов должна осуществляться другими приложениями. Этот фильтр лишь блокирует возможность понять, установлен ли плагин или нет, для JavaScript-кода, загруженного на страницу. Иногда страница блокирует отображение контента, предназначенного для этого плагина, заменяя его на ссылку для установки плагина. В таком случае фильтр "Плагины" придётся отключить.

Этот фильтр включается аналогично предыдущему.
Кликните на ячейке состояния фильтра "Плагины" и кликайте, пока не будет надпись "включено" на красном фоне (если она уже есть, вы можете, для тренировки, кликнуть несколько раз, пока она снова не появится).



Фильтр Plugins может исказить работу сайтов, которые проверяют версию установленных у вас плагинов. В том числе, могут появляться ложные приглашения установить плагин, так как JavaScript на странице посчитает, что у вас его нет. В таком случае, отключите на этом сайте фильтр (как это сделать, будет указано ниже).

Итак, мы настроили два фильтра, которые затруднят идентификацию вашего браузера по его "отпечатку". По набору разной служебной информации и поведению вашего браузера можно установить не только версию браузера, но и отличить его от сотен тысяч, а то и миллионов других браузеров, что позволяет выделить именно вашу активность от других пользователей (возможно, с целью вас обмануть или выдать вам более релевантную рекламу). Примеры технологии отслеживания можно посмотреть на таких сайтах, как fingerprint.pet-portal.eu, panopticlick.eff.org, ip-check.info, browserleaks.com, samy.pl/evercookie/).

Смысл цветов состояний фильтров на этой вкладке: "красный - запрет на отсылку достоверной информации (защита включена), зелёный - отсылка достоверной информации разрешена (защиты нет)".




Состояния фильтров
Мы включили два фильтра, однако при следующем запуске FireFox эти фильтры снова будут в другом состоянии. Например, если дополнение настроено так, как показано ниже, то фильтры при следующем запуске будут выключены.


Кликая на ячейках второго столбца, установим статус, аналогичный статусу в первом столбце.


Теперь дополнение загрузится при следующем запуске FireFox с такими же настройками.

Если вам надо будет временно отключить фильтр, просто измените статус фильтра в первом столбце на "выключено". Даже если вы забудете его поставить во "включено", при следующем запуске FireFox статус фильтра автоматически восстановится из второго столбца.





Настройки для домена
Допустим, что сайт mail.yandex.ru не работает с включёнными фильтрами. Мы можем отключить их для страниц домена mail.yandex.ru.
Для этого, кликните на столбце с заголовком "mail.yandex.ru" (4-ом столбце).



Кликайте на каждой ячейке, пока не выключите фильтры.


Теперь для страниц домена mail.yandex.ru (но не, скажем, static.mail.yandex.ru, если бы такой домен был) эти фильтры отключены.

Если бы мы сделали такую операцию не в 4-ом, а в 3-ем стобце, то мы отключили бы фильтры для страниц домена yandex.ru и всех его поддоменов, в том числе mail.yandex.ru.

Настройки для доменов сохраняются автоматически.


Остальные фильтры настраиваются аналогично.


Приватный режим.
Расширение не различает работу браузера в обычном и приватном режиме.
Однако, если вам необходимо, вы можете временно настроить фильтры дополнения на более строгий режим вручную.

Например, мы можем захотеть временно включить фильтры и на домене mail.yandex.ru.
Кликните по 4 раза на цифрах "5" справа от текущего статуса нужных фильтров.


Теперь в ячейках будет стоять цифра "4".


Цифра 4 задаёт более высокий приоритет правилу, чем цифра 5. Поэтому теперь правило для mail.yandex.ru будет игнорироваться.
Так как цифра изменена только в первом столбце, при следующем запуске FireFox значение приоритета фильтра снова будет "5" - соответственно цифре во втором столбце (который показывает сохранённые настройки статусов фильтров).
Самый высокий приоритет задаёт цифра "1", самый низкий - цифра "5". При одинаковой цифре для страницы выбирается самый правый статус фильтра.

Отмена приоритета делается, в данном случае, в один клик по цифре "4" (переходом на приоритет "5").






Известные проблемы с сайтами:



Другие фильтры

Locale При запросе сайта, браузер посылает серверу в http-заголовке "Accept-Language" информацию о том, на каком языке он хочет получить страницу. Например, "Accept-Language: es_UY,es;q=0.8,en-US;q=0.5,en;q=0.3". Аналогичная информация есть и в объектах JavaScript navigator.language и navigator.languages.
Данная информация может быть использована для идентификации вашей страны, а также для идентификации браузера.

Рекомендуемое значение: включено.
Если язык сайта вам не знаком, возможно, стоит отключить этот фильтр и перезагрузить страницу. Возможно, после этого страница загрузится на более знакомом языке. При возникновении проблем с другими фильтрами надо поступать аналогично: отключить фильтр для данного домена и перезагрузить страницу: возможно, после этого проблема пропадёт (если нет, значит, скорее всего, этот фильтр к этому не причастен).
Resolution На страницах имеются JavaScript-объекты, указывающие разрешение вашего экрана и размер окна браузера, что может быть использовано для идентификации браузера. При включённом фильтре, значения будут подменяться. Это может вызвать неверное отбражение сайтов (они будут отображаться слишком широко, узко или ещё как-то, не умещаясь в страницу и т.п.).

Рекомендуемое значение: включено.
Date
(Time Zone)
Как и локаль (желаемый язык), часовой пояс может выдать ваше местоположение. Включённый фильтр будет пытаться препятствовать этому.
Рекомендуемое значение: включено.
DNT DNT (Do not track me) - заголовок и поле javaScript-объекта "не отслеживайте меня". Этот заголовок может быть установлен в 1 или не установлен. Установленный в 1 заголовок говорит сайтам, что вы не хотите чтобы вас отслеживали.
Т.к. заголовок носит рекомендательный характер, его отсутствие вряд ли может повредить. Если вы считаете иначе, установите фильтр DNT в "не разрешаю отслеживать".
Иначе - рекомендуется устанавливать фильтр в состояние "случайно". На сайтах, которым вы доверяете, также можно установить фильтр в состояние "не разрешаю отслеживать". Состояние "случайно" будет то посылать заголовок DNT, то не посылать его.
Referer В состоянии "включено" убирает заголовок "Referer" (всегда). Сайты не смогут знать, по ссылке с какого сайта вы зашли. Сервера, с которых подгружаются изображения на загружаемую страницу также не будут знать, с какого сайта они запрашиваются (что, в некоторых случаях, может вызвать отказ от предоставления изображений). Режим "включено" также может повлечь за собой отказ от принятия данных отсылаемой формы (например, при регистрации на сайте или оплате товара).
Режим "host" убирает "Referer" только для запросов с одного домена на другой (например, mail.yandex.ru на yandex.ru). "Domain" убирает Referer для запросов с одного домена 2-ого уровня на другой домен (например, с yandex.ru на mail.ru). Эти режимы с высокой степенью вероятности не повредят функциональности сайта.
Рекомендация - "domain".
X-Forwarded-For Добавляет заголовки, эмулирующие работу через прокси. Это не заменяет вам прокси, однако может запутать некоторые следящие сайты.
В режиме random работает более энергично, в том числе подставляя в заголовок X-Forwarded-For сразу несколько IP (через ",").
Рекомендация - на усмотрение пользователя.
X-Forwarded-For может несколько деанонимизировать ваше пребывание. Если вы работаете, например, на сайте yandex.ru из обычного окна браузера и, одновременно, из приватного окна, то дополнение не делает различий между этими окнами и посылает один и тот же заголовок X-Forwarded-For. Таким образом, возможна определённая деанонимизация. В этом смысле заголовок лучше отключать, чем включать.
Storage Отключает хранилища localStorage, sessionStorage и indexedDB. Эти хранилища могут быть использованы, чтобы запомнить вас (идентифицировать, что это именно вы при следующем посещении).
Значение "включено" попытается эмулировать работу localStorage, sessionStorage для того, чтобы не разрушать функции сайтов (однако, такая эмуляция всё равно не сможет полностью обеспечить правильную работу сайта). Для indexedDB данный режим идентичен режиму "генерировать ошибку" (при попытке доступа будет генерироваться исключение).
Рекомендация - включено.
Фильтр iCookies вкладки "Сторонние" также подменяет этот объект.
Accept header Заменяет заголовок "Accept" на "*/*" или, в некоторых случаях, на значение, соответствующее полю User-Agent. Это поле может быть использовано для идентификации вашего браузера.
Рекомендация - включено.
Кеширование Отменяет кеширование на жёсткий диск и стимулирует запросы к серверу вместо обращений к кешу. Очень сильно увеличивает траффик и замедляет интернет.
Кеш может быть использован для загрузки в ваш браузер информации, которая будет однозначно его идентифицировать на подобие куков (Cookie) или объектов localStorage.
Так как отсутствие кеширования сильно замедляет интернет, рекомендация - выключено. Вместо этого лучше работать в приватном режиме и, время от времени, закрывать все окна приватного режима, а потом снова их открывать.
Режим "Проверять" вспомогательный: он не служит для анонимизации. В этом режиме дополнение будет принуждать FireFox проверять при загрузке страниц актуальность закешированных данных и перезагружать их более новыми версиями в случае необходимости. Режим можно использовать, если возникло подозрение на то, что страница сайта работает некорректно в связи с тем, что FireFox не подгрузил обновлённые данные на страницу.
Etag Убирает заголовок Etag, штатно используемый для управления кешированием, однако способный однозначно вас идентифицировать при повторном посещении того же сайта.
Рекомендации те же, что и для кеширования.
Canvas Элемент Canvas используется для отрисовки графики на странице. Используется сайтами по назначению довольно редко, а для отслеживания - часто.
За счёт того, что отрисовка объектов в разных системах и в разных библиотеках (браузерах) немного различается, сайт может получить дополнительную информацию, позволяющую вас дополнительно идентифицировать, возможно, из нескольких сотен или даже тысяч пользователей.
Рекомендация: "включено".

Для предотвращения идентификации, в режиме "включено" дополнение рисует на canvas (только по запросу опасных функций) прямоугольники. Сайт, использующий canvas, может ни разу не вызвать соответствующих функций и отображение содержимого не будет нарушено.
Отображение может быть нарушено, например, при попытке сохранения сайтом результата отрисовки. В случае, если вы заметили такое искажение, отключите фильтр canvas для этого домена и перезагрузите страницу (результат работы на странице будет потерян). После этого на странице можно будет работать без икажений.
В режимах "случайно" и "слабо-случайно" дополнение вносит меньше изменений в изображение. Поэтому режим "случайно" более предпочтителен, так как искажённое изображение сложнее отличить от оригинального. Режим "слабо-случайно" вносит ещё меньше изменений в изображение, однако он может внести недостаточно изменений для анонимизации. В настоящее время данные режимы слабо отработаны и не рекомендуются к использованию.
В режиме "Clean" дополнение блокирует функции, используемые для отслеживания. Однако сам этот факт также может быть отслежен.
В режиме "font" дополнение подменяет только шрифт изображения. Не рекомендуется, так как замена очень слабая.
Шрифты (Fonts) Данная опция защищает браузер от получения списка установленных шрифтов через JavaScript (но не через плагины, такие как Flash или Java - отключайте их, если они не нужны!). По списку шрифтов, доступных вашему браузеру, в некоторых случаях можно выделить вас из нескольких миллионов пользователей.
Опция "включено" пытается исказить список шрифтов без существенного влияния на отображение страницы (однако, отображение страницы может и нарушиться). Шрифты будут установлены с задержкой, но всё-таки установлены (исключая совсем явный перебор). Фильтр с этой опцией легко обмануть и получить установленные шрифты.
Опция "случайно" пытается исказить список шрифтов, причём часть запрошенных страницей шрифтов будут установлены, а часть - нет. Это может негативно повлиять на отображение страницы.
Эта настройка более слабая, чем browser.display.use_document_fonts (см. описание настроек вкладки FireFox). Она не закрывает все возможные способы выяснения установленных шрифтов через JavaScript.
Рекомендация: "случайно".

Изображения Отключает загрузку файлов-изображений, подгружаемых на страницу. Отображение изображений, встроенных в html через data:// не отключается.
Изображения могут содержать вирусы (хотя такое редкость), кроме этого, подгрузка изображений при медленном интернете может затормаживать загрузку страниц.
Рекомендация: на усмотрение пользователя. Предпочтительно режим "click". Для известных вам доменов - режим "выключено".
Режим "click" позволит вам подгружать заблокированные изображения по щелчку мыши. На ajax-сайтах такая подгрузка, к сожалению, обычно не работает (изображение просто блокируется). Чтобы подгрузить все изображения на уже полностью загруженной странице, нажмите shift+F12. В некоторых ситуациях сочетание клавиш работает, только если кликнуть сначала на фон страницы, в которой нужно подгрузить изображения. На некоторых страницах загрузка части изображений невозможна (сервер не отдаёт изображения), поэтому функция бесконечно ожидает загрузки одного изображения, не подгружая остальные изображения. Для обхода используйте сочетание клавиш alt+shift+F12, которое загрузит все изображения разом.
Аналогичные сочетания с клавишей ctrl [ctrl+shift+F12; ctrl+alt+shift+F12] запомнят для этой вкладки соответствующую настройку и при переходе по ссылкам в этой же вкладке будут подгружать изображения.
Медиа Отключает загрузку аудио- и видео-файлов.
В некоторых ситуациях загрузка файлов происходит автоматически при загрузке страницы, что замедляет интернет. Фильтр "Медиа" заблокирует загрузку любых медиа-файлов. Для загрузки таких файлов необходимо отключить фильтр и перезагрузить страницу.
Только HTML В режиме html подгружает только файлы с content-type "text/plain", "text/html", "application/ocsp-response", "plain/text".
В режиме css подгружает ещё и файлы "text/css".
В режиме js подгружает файлы "application/x-javascript", "application/javascript", "application/js", "text/js", "text/javascript", "text/x-javascript", "application/json", "application/x-json", "text/x-json", "text/json", "application/json-rpc", "application/xhtml+xml", "application/xml", "text/xml", "application/xml", "text/x-cross-domain-policy".
Подгрузка остальных типов файлов блокируется. Подгрузка JavaScript-файлов может занимать долгое время, а скрипты могут содержать вредоносный код. Однако для ajax-сайтов блокирование такой подгрузки полностью блокирует отображение сайта.
Иные типы файлов, как вариант, могут быть заражены вирусом.
Рекомендация: на усмотрение пользователя.
WebGL Отключает возможность использовать функции WebGL (отрисовка трёхмерной графики).
Рекомендация: включить фильтр.
AudioCtx Отключает возможность использовать функции аудио, которые могут быть использованы для деанонимизации.
Рекомендация: включить фильтр.
WebRTC Отключает возможность использовать функции WebRTC установления прямого канала связи для передачи медиа-сообщений. В большинстве случаев, это не препятствует просмотру видео через интернет и прочему. Фильтр WebRTC не позволит определить функциям WebRTC ваш IP-адрес (что может деанонимизировать вас даже при работе через tor).
Рекомендация: включить фильтр.
PushAPI Отключает возможность использовать Push API (сайт может посылать вам сообщения, даже если он не открыт ни в одной вкладке).
Рекомендация: можно оставить выключенным, т.к. браузер сам испрашивает разрешение на использование Push API.
ServiceWorker Отключает возможность использовать фоновые вычисления navigator.serviceWorker . Выключите фильтр на том сайте, где хотите разрешить PushAPI, т.к. для PushAPI иногда используют serviceWorker.
Рекомендация: можно оставить выключенным.
WebSocket Отключает возможность общения с сервером по специальному протоколу реального времени без перезагрузки страницы (например, может быть использовано для чата или проверки почты через web-интерфейс).
Данная функциональность, как и AJAX, может быть использована для отсылки дополнительной идентифицирующей ваш браузер информации, а также как инструмент для некоторых атак (CSRF, XSS).
Рекомендация: включить фильтр.
AJAX Отключает AJAX, то есть динамическую подгрузку содержимого с сервера без перезагрузки страницы. Отключает также функцию sendBeacon.
Хотя используется на многих сайтах, фильтр по умолчанию рекомендуется включить, отключая только для нужных сайтов.
CORS CORS - это запросы AJAX, которые адресованы другим хостам. Могут быть использованы для атак или для получения дополнительной информации, идентифицирующей ваш браузер. Фильтр запретит эти запросы.
Большинство AJAX-сайтов успешно функционируют с запрещёнными CORS-запросами. При этом, попытка, скажем, яндекс.метрики отослать дополнительную информацию на яндекс через ajax, будет блокирована (см. фильтр "Куки" ниже).
Режим "clean" не запрещает CORS-запросы, однако удаляет из них заголовки Referer и Cookie (получающий сервер, однако, всё равно может узнать страницу с которой происходит запрос).
Рекомендация - режим "domain".
Пароль Фишинговые сайты, похожие на сайты, где вы зарегистрированны, требуют ввода пароля в свои вредоносные формы. Если HUAC обнаружит поле для ввода пароля, то он заблокирует все поля ввода, связанные с полем ввода пароля, чтобы вы не могли ввести туда пароль и фишинговый сайт не мог бы его похитить.
Так как расширение не умеет отличать фишинговые сайты от хороших, то все домены вне белого списка будут блокироваться как подозрительные. Вам будет достаточно отключить фильтр "Пароль" на этом домене (поставить "выключено" в третьем или четвёртом столбце фильтра "Пароль"), чтобы в дальнейшем на этом домене поля ввода пароля не блокировались.
При использовании данной функции обращайте внимание на то, что при вводе пароля в поле вводимые символы не отображаются. Если это не так, прекращайте ввод пароля, т.к. это тоже может быть фишинговый сайт. Причём в результате того, что там нет специального парольного поля, дополнение ничего не заблокировало.
На некоторых сайтах формы ввода, никак не связанные с вводом пароля, также могут быть заблокированы. Например, на сайте livejournal.com расширение блокирует форму ввода комментариев, т.к. в ней есть обычно скрытое поле ввода пароля. Свидетельством блокировки является надпись "Блокировано HUAC" в соответствующих полях. Для обхода такой блокировки отключите для соответствующего сайта фильтр "Пароль" и перезагрузите страницу.

Обратите внимание. Данная функция может потребовать определённой аккуратности. Так, когда вы регистрируетесь на новом сайте, ввод пароля ещё не разрешён, а поле ввода пароля имеется. Значит, HUAC заблокирует все поля ввода регистрационной информации. Однако, разблокировать эти поля без перезагрузки страницы невозможно. Для многих сайтов это не страшно, однако для некоторых сайтов вам придётся начать регистрацию заново, при этом ваш новый логин этот сайт может посчитать как уже занятый.
Чтобы избежать этого, перед регистрацией на новых сайтах выключайте фильтр "Пароль" для этого нового сайта (в третьем или четвёртом столбце). Если вы уже на странице ввода регистрационной информациии или регистрация осуществляется с помощью ajax без перехода на другую страницу, то после выключения фильтра требуется перезагрузить страницу вручную и только потом начинать регистрацию.

Рекомендация - при должной аккуратности рекомендуется режим "включено" в первых двух столбцах и режимы "выключено" в третьем или четвёртом столбцах для доверенных сайтов.
HTTPS (только https) Фильтр в положении "включено" заблокирует запросы к не https-ресурсам, кроме ocsp-запросов.
При включении глобально убедитесь, что ваш браузер корректно проверяет обновления или разрешите отдельно не https-соединения для доменов mozilla.org, mozilla.net, mozilla.com .
Можно включать на тех сайтах, где вы используете только https и не хотите случайно оказаться на незащищённой странице. При включении глобально будет блокировать все не https-соединения, кроме запросов ocsp. Не http-страницы, обычно, будут перенаправляться на https, однако, могут быть и просто заблокированы (поменяйте http на https вручную).
Если сайт не поддерживает https, то через некоторое время FireFox выдаст ошибку соединения с сайтом. В таком случае, настройте для этого домена отключение фильтра HTTPS и снова попытайтесь зайти на сайт, задав вручную протокол http.
См. также
Логирование OCSP-запросов и перенаправлений https осуществляется, обычно, для неопределённого домена, то есть в логе блокировок такие запросы можно увидеть при открытии лога на пустой вкладке.
window.name Отключает возможность идентификации через window.name. В поле window.name вкладки браузера может быть записано значение, однозначно идентифицирующее вашу вкладку и браузер.
В режиме clean постоянно держит window.name пустым, не давая javascript заменить его чем-либо другим.
В режиме "генерировать ошибку" генерирует ошибку при обращении скрипта к этому полю.
В режиме "включено" очищает поле при закрытии страницы. Рекомендуется по умолчанию. Иные режимы могут сделать невозможным работу с сайтами с диалоговыми окнами и т.п. К сожалению, на большинстве ajax-страниц даже этот режим фильтра препятствует добавлению комментариев. Будьте внимательны, отключение фильтра имеет эффект только после перезагрузки страницы.
Куки Отключает отсылку и приём с сервера куков (cookies) через http-заголовки. Обратите внимание, не очищает текущие куки. Куки штатно предназначены для установки инфомации, однозначно идентифицирующей ваш браузер.
В режиме "включено" вы не сможете авторизоваться на сайте, произвести оплату чего-либо. Он нарушает работу некоторых поисковых систем, однако и сайт штатными средствами не сможет понять при повторном посещении, вы ли это, либо кто-то иной.
Отключение куков режимом "включено" не рекомендуется, так как нарушает работу сайтов, где требуется авторизация, оплата или другое запоминание состояний браузера. Для удаления куков можно использовать дополнение Self Destructing Cookies.

В режиме "host" будет отбрасывать все куки, которые посылаются в запросах к хостам, расположенных на других доменах, нежели документ вкладки. Например, если на сайте a.b.ru есть фрейм сайта d.b.ru и картика сайта e.ru, то сайты d.b.ru и e.ru не получать никаких куков.
Режим "domain" будет отбрасывать все куки, которые посылаются в запросах с несовпадающим доменов 2-ого уровня. В примере выше, страница d.b.ru уже получит куки, так как находится на том же самом домене второго уровня b.ru, однако сайт e.ru не получит куков.

Рекомендуемый режим: "domain". Позволяет работать с большинством сайтов. В то же время противодействует отслеживанию ваших действий в интернете различными рекламными трекерами яндекса, гугла, мэйл.ру и проч.
Рассмотрим ситуацию без этого фильтра. Допустим, вы авторизованы на yandex.ru и заходите на сайт b.ru и там установлен счётчик яндекс.метрики. Яндекс.метрика получает куки, способные указать, что вы (под вашим логином yandex.ru) зашли на сайт b.ru. Даже если вы не авторизованы на yandex.ru, яндекс может отследить ваши перемещения от сайтов к сайтам, а затем выдать вам контекстную рекламу, соответствующую тематике посещённых сайтов.

Данный фильтр действует на уровне фильтрации в http-запросах полей "Cookie" и "Set-Cookie". Более функциональный аналог данного фильтра вы можете найти на вкладке "Сторонние": это фильтры iCookies и hCookies.
document.cookie Куки могут быть прочитаны или установлены не только через http-заголовки, но и через объект JavaSсript document.cookie.
Большинство сайтов нормально функционируют с включённым фильтром. Рекомендуется установить в состояние "включено" (объект document.cookie будет доступен, но не будет позволять ни устанавливать куков, ни читать их).

Некоторые ajax-сайты, такие как vk.com, не могут работать с включённым фильром (отключите его для этих доменов).
На некоторых сайтах функция поиска работает, только если отключить этот фильтр.
Фильтр iCookies вкладки "Сторонние" также подменяет этот объект.
Интервал Устанавливает интервал смены значений User-Agent и других значений, устанавливаемых фильтрами Locale, Resolution, Time Zone, DNT, Accept Header, X-Forwarded-For. Дополнение пытается изменять эти значения синхронно, чтобы у сайта создалось впечатление, что это совсем другой браузер с другими настройками, однако определённая несинхронность присутствует.
Фильтр "Интервал" влияет на значения интервала сброса куков фильтром iCookies вкладки "Сторонние".
Если фильтр "Интервал" выключен (зелёный), то значения будут меняться только в следующих случаях:
1. При перезапуске браузера или дополнения
2. При выходе из приватного режима браузера
3. При нажатии кнопки "Reset data" на вкладке "FireFox"
4. При закрытии всех вкладок домена второго уровня (например, yandex.ru) - для этого домена
Все подменяемые значения разные для разных доменов вкладок, для приватного и обычного режимов.
Ручной UA Устанавливает поле User-Agent в конкретный браузер (выбор из довольно старых браузеров). Значение фильтра "User-Agent" при этом игнорируется.
Отключить фильтры Отключает работу всех фильтров, а также оценки и логирование защищённости TLS-соединения. Отключение происходит в состоянии "всё отключено". В состоянии "выключено" данная опция ничего не делает (фильтры включены).





HTTPS-шифры


Таблица шифров состоит из заголовка с названием шифра и двух строк под ним.
Цвет заголовка означает стойкость шифра. Самые стойкие шифры помечены зелёным.
Во второй строке (первая ниже заголовка) отмечены "+" на зелёном фоне те криптографические примитивы, которые разрешены для использования.
В третьей строке отмечены "+" те криптографические примитивы, которые включены полностью (нет ни одного отключённого набора шифров с этим примитивом). "+/-" если частично наборы шифрования с этим шифром выключены, частично - включены. "-" - если нет включённых наборов с этим шифром.

Все наборы шифрования (цифер сьюты - cipher suite), содержащие криптографический примитив, который помечен как запрещённый ("-" в средней строке), будут отключены, то есть шифр не будет использоваться.

Рекомендуется отключать шифры DSS, RC4. В новых версиях FireFox или дополнения они могут быть отключены по-умолчанию.
В случае проблем с работой сайта (например, на момент апреля 2015 года - webmoney.ru), попробуйте включить RC4. К сожалению, настройка действует для всех сайтов, поэтому не забудьте потом выключить уязвимый шифр.



При работе на важных сайтах с любыми криптографическими схемами:
1. Старайтесь работать в этот момент времени только с этим сайтом. На других вкладках может быть запущен вредоносный код, генерирующий запросы к важному сайту. Это может дать криптоаналитику возможность расшифровать траффик на любых криптографических примитивах протоколов версии ниже TLS 1.1 или на схемах, использующих криптографический примитив RC4 с любым протоколом.
2. Отключите лишние плагины, такие как Microsoft Silverlight, Oracle Java и т.п.
3. Используйте на важных сайтах двухфакторную аутентификацию (подтверждение операций по e-mail, sms и т.п.).
4. Заканчивайте аутентификационные сессии (выходите с сайтов вручную) сразу как закончили работу с сайтом. Если вы забываете это делать, возможно, вам поможет расширение Self-Destructing Cookies
. 5. Если у вас хватает терпения и вы знаете как, устанавливайте в межсетевом экране (файервол, брандмауэр) настройки для браузера, исключающие соединение браузера с сайтами, исключая тот, с которым работаете (чтобы не подвергнуться фишингу).





Настройки безопасности FireFox


Легенда:
В ячейке таблицы стоит "+" если соответствующая настройка FireFox включена, "-" - если выключена.
Ячейка окрашена в зелёный цвет, если настройка безопасна.
Как и настройки шифров, это настройки FireFox, поэтому они могут быть включены или выключены только для всего браузера сразу (для всех сайтов).

Настройки: слева на право.

"Download". Имя настройки FireFox gfx.downloadable_fonts.enabled.
Эта настройка указывает, использовать ли на страницах шрифты, подгружаемые из интернета. Многие сайты подгружают свои собственные шрифты и могут быть отображены некорректно без них. В то же время, шрифты могут содержать вирусы, а также использоваться для вашей идентификации.
Если вы собираетесь заходить на незнакомые сайты, вы можете выключить эту настройку (перевести в "-"). После их посещения, включить снова.
Безопасное положение - "-". Лично я всегда работаю с ним.

"Sanitize". gfx.downloadable_fonts.sanitize
FireFox обрабатывает шрифты для более безопасной работы. Безопасное положение настройки - "+" (по умолчанию).

"Document". browser.display.use_document_fonts
Указывает, использовать ли в страницах шрифты, указанные на странице, или только стандартные шрифты.

Безопасное положение - "-". Однако, если используются только стандартные шрифты, отображение страницы очень часто нарушается.
Эта настройка препятствует идентификации через JavaScript факта наличия или отсутствия у вас шрифтов (повышает приватность). Это очень важная настройка, т.к. по набору ваших шифров вас, очень часто, можно однозначно идентифицировать. Поэтому, при работе в приватном режиме рекомендуется её включать.
Эта настройка более сильная, чем настройка "Шрифты" на вкладке HTTP, однако больше влияет на отображения документов.

"Treat". security.ssl.treat_unsafe_negotiation_as_broken
FireFox отобразит иную картинку (треугольник с восклицательным знаком) вместо замка на https-сайте, уведомив вас о возможности установления злоумышленником ложного https-соединения с сервером (вклинивания в соединение).
Безопасное положение - "+". Потребности в отключении нет. Подробности на английском здесь.

"Require". security.ssl.require_safe_negotiation
Требует защищённого переподключения к серверу для невозможности вклинивания злоумышленника в https-соединение (см. предыдущую опцию).
Если сервер устанавливает соединение по старому протоколу, в соединении будет отказано с сообщением об ошибке, где будет указано об использовании старого стиля рукопожатия.
Безопасное положение - "+". Практически все современные сайты работают с этой настройкой, кроме сайта Майкрософт и некоторых страниц госуслуг (последние обещали поправить). Рекомендуется всегда включать в "+".


Настройка TLS min указывает браузеру минимальную версию протокола TLS, по которой он может соединяться по https-соединению. Рекомендуется - TLS 1.2. В случае, если сайт не грузится и указано, что протокол слишком старый - установите настройку ниже (в TLS 1.0; крайне не рекомендуется - SSL 3.0).
TLS max указывает браузеру максимальную версию протокола TLS. Настоятельно рекомендуется 1.2, это не сломает отображение сайтов, однако может несколько замедлить установление соединений со старыми сайтами (т.к. сначала будет попытка установить соединение по более новому протоколу).

Plugins "состояние по умолчанию". plugin.default.state. Показывает, какое состояние будет у нового плагина при его установке (состояния уже установленных плагинов не меняется). Состояния могут быть "включён", "отключён", "по требованию" (demand). Наиболее удобное - demand. В таком случае плагин можно будет запустить по запросу от FireFox, однако без запроса он работать не будет.

Plugins xpconnect.unrestricted. Управляет настройкой security.xpconnect.plugin.unrestricted. Если настройка выключена в "-", то JavaScript не имеет привелигированного доступа к объектам плагинов. Хотя по умолчанию настройка включена в "+", рекомендуется всегда устанавливать в "-", т.к. сайты, у которых функциональность при этом нарушается крайне редки.

"Block". Это группа настроек FireFox extensions.blocklist.
При включённой настройке, FireFox проверяет чёрный список дополнений для блокировки нестабильных или вредоносных дополнений.
Эту настройку можно только включить. Она всегда должна быть включена (плюс на зелёном фоне).
Расширение проверяет, что в вашем браузере установлены безопасные значения бранча настроек "extensions.blocklist". Это настройки "extensions.blocklist.enabled", "extensions.blocklist.interval", "extensions.blocklist.itemURL", "extensions.blocklist.detailsURL", "extensions.blocklist.level", "extensions.blocklist.url".

Все настройки должны быть установлены в значения по умолчанию. Настройка extensions.blocklist.interval (интервал обновления) может быть уменьшена относительно значения по умолчанию (раз в сутки), но не увеличена.
Если эта настройка показывает "-" на красном фоне - кликните для восстановления настроек "extensions.blocklist" в безопасное состояние. Никогда не работайте в интернете, если эта настройка показывает "-", так как, скорее всего, с вашим браузером что-то не так.



Под настройками шифров также выводится оценка стойкости шифрования на загруженной странице. Хорошая оценка - это более 50%. Лучше 60-70%. Максимальная в версии FireFox 37 - 90% (так как отсутствует реализация 256-разрядного GCM-шифра, хотя вообще такой существует).
Эта же оценка отображается на втором значке дополнения, однако она может быть не обновлена (особенно на ajax-сайте), поэтому рекомендуется смотреть оценку, отображённую на вкладке. При работе с ajax-сайтами иногда оценка падает, так как происходят запросы к менее защищённым серверам.

Оценка выставляется с учётом всех подгруженных на страницу данных, включая AJAX-запросы и сертификаты всех уровней.




Использование лога блокировок

На вкладке "Лог блокировок" вы можете найти почти все блокировки, которые сделало дополнение. Исключение может составлять документ, заблокированный фильтром HTTPS.
Для просмотра блокировок, сделанных на текущей странице, просто перейдите на вкладку. Информация о разрешённых запросах (приводится для информации) помечается слева зелёной полосой. О запретах, которые могут не иметь последствий - помечается серой полосой. Оранжевые и красные полосы говорят о полном запрете.
Блокировки, которые сделаны для запросов с неустановленных дополнением страниц, отобразятся, если открыть новую вкладку, зайти на неё и после этого просмотреть лог.

Рассмотрим пример.
Включены некоторые фильтры, в частности, "Только HTML" в состояние "css".
Проблема: не грузится web-интерфейс почты https://mail.yandex.ru.
В логе сразу же можно увидеть причину:

Как мы видим, некоторый файл https://yastatic.net/nearest.js, был заблокирован из функции "content policy".
Строка "script" говорит нам о том, что это скриптовый файл. Установим фильтр "Только HTML" в состояние "js/xml".
Теперь данный файл должен загрузиться. Для этого обновим страницу. Однако, она снова не загружается.
Обращаем внимание, что блокировки от прошлой загрузки на вкладке "Лог блокировок" тоже присутствуют, так что смотрим на время блокировок. Замечаем первую блокировку с временем, когда мы стали обновлять страницу. Чтобы старые блокировки удалились, можно попробовать перед обновлением страницы скопировать адрес открытой вкладки, закрыть её и открыть новую с таким же адресом (именно в таком порядке: сначала закрыть, потом открыть).

Видим, что блокирован AJAX, причём это не "серая", а "оранжевая" блокировка.
Разница между "серой" (тип 1) и "оранжевой" (тип 2) блокировками в том, что "серая" блокировка AJAX говорит о том, что в документе заблокирована возможность использования AJAX, а "оранжевая" блокировка говорит о том, что сайт попытался воспользоваться этой функцией. При этом и серая, и оранжевая блокировки должны выводиться только один раз для одного и того же документа (одной и той же загрузки). Следующие попытки воспользоваться AJAX будут игнорированы (во избежание замусоривания лога).

Давайте разрешим AJAX (фильтр AJAX в зелёное состояние "выключено") и снова обновим страницу.
После перезагрузки страницы видим, что доступ к почте работает. Однако, в логе видим оранжевое сообщение "WebSocket request blocked". То есть страница могла бы использовать ещё и WebSocket. Разрешаем соответствующий фильтр, чтобы функциональность страницы была полной.
Кроме этого, видим блокированные CORS-запросы на адреса, начинающиеся с https://mc.yandex.ru/watch/ . Это адреса яндекс.метрики, вряд ли эти блокировки помешают сайту работать, поэтому их можно так и оставить запрещёнными.

Выберите в меню Инструменты->Дополнения->HTTP UserAgent cleaner->Настройки. В настройке logb.displayedLevels по умолчанию введено "0 2 3 4 5 6 7" (без кавычек). Введите 0 или пустую строку, чтобы отфильтровать серые (удалить 1) и зелёные (удалить 0) записи в логах.

Записи о перенаправления фильтра HTTPS имеют тип 4, о разрешении ocsp-запросов - тип 5. Обычно логи таких запросов можно увидеть только при открытии лога блокировок на пустой вкладке. Т.е. настройка вывода осуществляется с помощью настройки logb.displayedLevelsNoTab. Пример настройки: "0 2 3 4 5 6".

Записи о блокировании файлов по типу имеет тип 6 (жёлто-оранжевый). Блокировки медиа-файлов (картинки, видео, аудио) отмечаются типом 7 (тёмно-жёлтый).

Главная страница
Общие слова
Раздел "Функции вкладок HTTP и FireFox"

Раздел "Функции вкладки 'Сторонние'"
Настройка разрешения сервисных соединений и перенаправления на https
Режимы фильтров

Раздел "Общие настройки дополнения"
Раздел "Управление сертификатами"
Раздел "Контроль изменений сертификатов" (фильтр Certs)
Раздел "Чтение оценки TLS и HPKP" (фильтр CertsHPKP)

Проблемы с фильтрами, часто не отображающиеся в логах

Новости