Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Zbyt duża ingerencja w Firefoxa ograniczy jej funkcjonalność. Można do zbroić ją pluginami.

Jakoś nikt nie pisze o apparmor ( albo nie znalazłem, bo wątek się wydłużył )

Mi przyszedł do głowy pomysł aby mieć 2 wersje Firefoxa. Zwykłą i uzbrojoną w AA. Domyślnie używam tej uzbrojonej, a jak mi coś nie działa to tymczasowo uruchamiam wersje nieuzbrojoną.
Ma to udawać drugą kopię FF. Teoretycznie wtedy regułki aa nie będą się stosowały bo ścieżka nie będzie pasować. Jeszcze nie sprawdziłem czy działa.

Mam takie pytanie odnośnie teoretycznej funkcjonalności Firefoksa.
Czy da się zrobić tak, że każda zakładka miała by swój własny profil/sandbox? Tzn., żeby strony nie mogły się komunikować ze sobą przy pomocy ciasteczek, FSO albo cache?
Bo w tej chwili te wszystkie pluginy Facebooka i Google a także dziesiątki innych szpiegujących rozwiązań, o których nie wiem, kojarzą jaki profil masz na FB albo Google i wyświetlają spersonalizowane reklamy, mogą wymieniać się między sobą, wszystkie kliki są kojarzone z rzeczywistym profilem. W tym celu założyłem osobny profil Firefoksa, w którym loguję się tylko do FB i do żadnej innej strony, jednak wolałbym to rozwiązać jakoś wygodniej

Pytanie nr 2. Jak Firefoksowi zablokować dostęp do wszystkich stron z wyjątkiem listy "białych" adresów? Musi być to rozwiązanie wewnątrz Firefoksa (plugin czy coś).

W opcjach Prywatności odznacz "Akceptuj ciasteczka innych witryn niż odwiedzane" - wtedy wchodząc na np Ubuntu.pl nie będą dostępne ciasteczka z facebooka, twoje konto nie zostanie więc skojarzone. Przynajmniej teoretycznie.

to ja proszę o odpowiedź na pytanie: w jaki sposób strona z domeny x (powiedzmy google.com) może uzyskać dostęp do ciastek z domeny y (np. al4a.com). tylko konkretnie poproszę, bez bajek o misiach wydajach i teorii matrixa.

ethanak pisze:to ja proszę o odpowiedź na pytanie: w jaki sposób strona z domeny x (powiedzmy google.com) może uzyskać dostęp do ciastek z domeny y (np. al4a.com). tylko konkretnie poproszę, bez bajek o misiach wydajach i teorii matrixa.

To pytanie z cyklu "ja wiem, a wy wiecie?", czy pytasz o coś czego istnienia nie jesteś pewien?

czy obce ci jest pojęcie pytania retorycznego?

Nie każde głupie pytanie jest od razu pytaniem retorycznym, a ja wolę się upewnić o co chodzi rozmówcy zanim założę, że nie rozumie o co tak naprawdę pyta. Ale widzę, że dojście do momentu, w którym postawisz jasno o co ci chodzi może trochę potrwać, albo i nigdy nie nadejść, przejdę więc do rzeczy:
Jeśli chodzi ci o opcję o której wspominałem, to najwyraźniej nie wiesz o co chodzi. Google wcale nie musi mieć bezpośredniego dostępu do ciasteczek ze strony al4a.com, aby uzyskać jakieś informacje a temat użytkownika, który tam zagląda. Wystarczy że ma własne ciasteczka identyfikujące użytkownika, a na al4a.com jest jakiś odnośnik do google.com, który te ciasteczka pozwala przesłać. Google ma adres referencyjny, wie więc gdzie użytkownik wszedł, a jak pobierze sobie tą stronę, to wie też co oglądał/czytał. Na tej zasadzie działają ciasteczka śledzące i ogólnie cały biznes z reklamami spersonalizowanymi czy facebookowymi widżetami. Umożliwia to też ataki CSRF na skopane strony www. Ale zakładam że ty to wszystko już wiesz. Problem w tym, że nie każdemu musi się to podobać, bo w końcu nie wchodzimy na google.com, czemu więc przeglądarka miałaby wysyłać ciasteczka z innej strony niż odwiedzana. I właśnie do tego służy ta opcja. Odznaczenie jej będzie skutkowało np tym, że facebookowe widżety czy reklamy nie będą wiedziały kim jest użytkownik, więc reklamy będą niespersonalizowane a dla widżetów będziesz widoczny jako użytkownik niezalogowany (choć w karcie obok masz zalogowanego facebooka). Są wiec plusy i minusy tego rozwiązania, ja osobiście nie jestem aż takim paranoikiem na punkcie prywatności i wolę wygodę, nawet jeśli rozumieć przez to reklamę książki zamiast podpasek .
A ciasteczka można wykraść chociażby przez jakiś XSS na stronie, choć zakładam że nie o to ci chodziło. :]

bardzo ładnie opisałeś p3p, ale w rzeczywistości działa to nieco inaczej.

ethanak pisze:bardzo ładnie opisałeś p3p, ale w rzeczywistości działa to nieco inaczej.

Jestem niezmiernie ciekaw, co masz w tej kwestii do dodania.

tyle, że na ekraniku komórki nie chce mi się sążnistych epistoł pisać bo zanim to zrobię temat przestanie być aktualny.

Można prosto i skutecznie - 2 konta w systemie. ( moja ulubiona metoda izolowania procesów
Konto czyste do logowania sie do prywatnych rzeczy i brudne do całej reszty.

ethanak pisze:to ja proszę o odpowiedź na pytanie: w jaki sposób strona z domeny x (powiedzmy google.com) może uzyskać dostęp do ciastek z domeny y (np. al4a.com). tylko konkretnie poproszę, bez bajek o misiach wydajach i teorii matrixa.

A o evercookie słyszał?
Odznaczenie ciasteczek z innych witryn i zaznaczenie Do Not Track Me (howgh!) wcale nie sprawia jakoś, że czuję się bezpieczniej.
W tej chwili mam osobny profil Fx do FB i osobny do Googla i chyba innego rozwiązania nie ma.

Przypomnę pytanie, jak Firefoksowi zablokować dostęp do wszystkich stron z wyjątkiem listy "białych" adresów? Musi być to rozwiązanie wewnątrz Firefoksa (plugin czy coś)?

piotrek_ra pisze:Można prosto i skutecznie - 2 konta w systemie. ( moja ulubiona metoda izolowania procesów
Konto czyste do logowania sie do prywatnych rzeczy i brudne do całej reszty.

Dzięki piotrek, ja mam podobnie, tylko, ze profile w przeglądarce a nie w systemie. Wystarczy klik na ikonkę i ładuję drugi profil, jest to chyba jeszcze prostsze A do tego profile przeglądarki mogą być obok siebie w różnych oknach, a dwóch profili systemu nie za bardzo uruchomisz naraz.

pioruns pisze: Dzięki piotrek, ja mam podobnie, tylko, ze profile w przeglądarce a nie w systemie. Wystarczy klik na ikonkę i ładuję drugi profil, jest to chyba jeszcze prostsze A do tego profile przeglądarki mogą być obok siebie w różnych oknach,

No właśnie ta prostota może być problemem, kliknie się nie tą ikonkę co trzeba, albo zapomni się które okno jest czyste a które brudne ( chyba że motywy inne ) i klops... Człowiek nie maszyna, komputer nie bomba, trzeba skonfigurować tak żeby nie trzeba było stale uważać.

a dwóch profili systemu nie za bardzo uruchomisz naraz.

Można bardzo łatwo, ikonka ludka obok zębatki, przełącz użytkownika, hasełko i mamy drugą sesję. I samo jądro dba aby procesy nie mogły się ptracować, mieszać wzajemnie w profilach i po prostu widać że są izolowane. I nie trzeba żmudnie testować że te profile rzeczywiście są w 100% izolowane jak należy...

piotrek_ra pisze:

pioruns pisze: Można bardzo łatwo, ikonka ludka obok zębatki, przełącz użytkownika, hasełko i mamy drugą sesję. I samo jądro dba aby procesy nie mogły się ptracować, mieszać wzajemnie w profilach i po prostu widać że są izolowane. I nie trzeba żmudnie testować że te profile rzeczywiście są w 100% izolowane jak należy...

Korzystanie z dwóch profili na raz nie spowoduje dużych spowolnień ?

Wszystko zależy od ilości RAMu i czy odpalisz na koncie działającym w tle jakieś programy mocno obciążające procesor. U mnie konto gościa działało bez zarzutu, choć główne było uruchomione w tle.

Aby się nie pomylić i to w 100% proponuję instalację na drugim komputerze systemu bez zbędnych dodatków np., bez javy ze starym firefoxem (np. 3.6.24 - są do pobrania w internecie - jeżeli ktoś chce) którego można łatwo sparametryzować.

Jak już to w wirtualnej maszynie, nie trzeba drugiego kompa.
Dlaczego stary firefox??? Zwykły ubuntowy z repo, po aktualizacji. 26.0 jest teraz.

Na koniec testowanie wtyczek, gdyż aktualny firefox to warunek konieczny, aczkolwiek niewystarczajacy.
https://browsercheck.qualys.com/

O evercookie słyszał, ale jak FF nie będzie miał poprawa zapisu cookie, to ich nie zapisze, zwykłe uprawnienia albo Apparmor:

Obecne profile Firefoxa do Apparmora u mnie:
http://jacekalex.sh.dug.net.pl/apparmor ... irefox.txt
http://jacekalex.sh.dug.net.pl/apparmor ... tainer.txt

pioruns pisze:Dzięki piotrek, ja mam podobnie, tylko, ze profile w przeglądarce a nie w systemie. Wystarczy klik na ikonkę i ładuję drugi profil, jest to chyba jeszcze prostsze A do tego profile przeglądarki mogą być obok siebie w różnych oknach, a dwóch profili systemu nie za bardzo uruchomisz naraz.

Czy mógłby kolega opisać proces bliżej? Również używam profili w FF ale nigdy nie otworzyłem innego profilu w nowym oknie jak ten już załadowany. JAK to zrobić??