Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Pomyślałem sobie, że wiele osób podobnie jak i ja lubi chronić swoją prywatność.
Nikt chyba nie lubi być inwigilowanym przez np. statystyki Google, Yahoo; agencje reklamowe, czy też strony internetowe które odwiedzamy itd...
Przed dokonaniem poniższych zmian wejdź na stronę
https://labs.isecpartners.com/breadcrum ... rumbs.html i zobacz jak dużo informacji jest przekazywanych za pomocą twojej przeglądarki.
Osobiście używam Mozilla Firefox i na jego temat trochę napisze.
Zacznijmy może od tego co pomoże nam w znacznym stopniu zwiększyć swoją prywatność.

1.Wykradanie adresów ostatnio odwiedzanych stron.
Uruchamiamy Firefox w pasku wydajemy polecenie about:config
następnie odszukujemy layout.css.visited_links_enabled klikając na niego zmieniamy wartość na false
2.Instalujemy dodatek do przeglądarki NoScript, który zarządza(blokuje/bądź nie) wykonywaniem przez Firefoxa skryptów JavaScript, Flash i innych wtyczek do ustawienia w opcjach (mniej natrętnych reklam się będzie uruchamiać).
3.W opcjach Firefoxa preferencje->prywatność->czyść historię podczas zamykania->wybieram opcję USTAWIENIA i zaznaczamy tam CIASTECZKA, aby po każdym zamknięciu przeglądarki były one usuwane.
4.Instalujemy dodatek do przeglądarki BetterPrivacy, który usuwa ciasteczka Flash LSO a te są najgroźniejsze ponieważ:
-mają pojemność do 100kB a nie jak http cookies 4kb,
-każdy ma na swoim komputerze plugina Flash, którego używa
-w domyślnej konfiguracji Flash zapisuje je na dysk, może także zapisywać z kodem podlinkowym innego serwera,
-nie można ich przeglądać z poziomy Firefoxa i kasować z tego poziomu.
Domyślnie są one zapisywane w /home/katalog-nazwa-usera/.macromedia
Dla "fanów" anonimowości polecam zmiany powodujące nie ujawnienie informacji na temat nazwy przeglądarki, języka, bezpieczeństwa, komentarza producenta nazwa, wersji i geolokalizacji
Uruchamiamy Firefox w pasku wydajemy polecenie about:config
następnie odszukujemy:
general.useragent.extra.firefox - nazwa przeglądarki, wersja zapis
general.useragent.locale - język przeglądarki
general.useragent.override - wersja
general.useragent.security - bezpieczeństwo
general.useragent.vendor - komentarz producenta (nazwa)
general.useragent.vendorComment - platforma, OS CPU
general.useragent.vendorSub - komentarz producenta (wersja)
możemy tutaj podawać rózne informacje w wartości łańcucha
geo.enabled - geolokalizacja zmieniamy na wartość łańcucha FALSE
geo.wifi.uri - geolokacja zmieniamy na wartość łańcucha FALSE

To nie wszystko ale na początek

EDIT
jeszcze jeden brzydki klucz, domyślnie ustawiony na

Kod: Zaznacz cały

 urlclassifier.keyupdatetime.https://sb-ssl.google.com/safebrowsing/newkey;0000000000

zostało to wprowadzone w celu "bezpiecznego surfowania", a w rzeczywistości, porównanie każdej odwiedzonej strony z listą bezpiecznych stron uznawaną przez google, ja po prostu skasowałem ten cały klucz.
Aby to zrobić należy, zamknąć przeglądarkę Firefox, a następnie w katalogu gdzie jest zainstalowany Firefox odszukać plik
perfs.js, (przed zmianami polecam skopiować go w stosowne miejsce), następnie edytujemy go odszukujemy zapis

Kod: Zaznacz cały

user_pref("urlclassifier.keyupdatetime".https://sb-ssl.google.com/safebrowsing/newkey;"0000000000");

i kasujemy ten tylko zapis ( cała linię), zapisujemy plik.
Od tego momentu odwiedzane przez nas strony nie będą porównywane z "czarną listą stron" w google

ps. nie wiem co to jest ta czarna lista w google i dlaczego bez mojej wiedzy jest coś porównywane, moim zdaniem google na bieżąco widzi, kto jakie strony odwiedza, ponieważ liczba podana w kluczu jest unikatowa dla każdej konkretnej instalacji przeglądarki

Kilka moich uwag jako osoby ceniącej sobie prywatność

2.Instalujemy dodatek do przeglądarki NoScript, który zarządza(blokuje/bądź nie) wykonywaniem przez Firefoxa skryptów JavaScript, Flash i innych wtyczek do ustawienia w opcjach (mniej natrętnych reklam się będzie uruchamiać).

Używanie noscripta nie ogranicza się tylko do tego, ale tu odsyłam do dokumentacji w programie.
Pragnę zwrócić uwagę, że samo zainstalowanie noscripta spowoduje, że 99% stron internetowych nie będzie obsługiwanych. Pozostałe 1% to strony potrafiące się przełączać pomiędzy wersją js a czystym html. Wszystko kosztem wygody użytkownika i użyteczności strony. w tym 1% mieści się też kilka stron nie korzystających z js.
Żeby docenić noscripta trzeba dla niego robić białe listy. Opcje konfiguracyjne są bogate i bezproblemowo można zrobić sobie fajną whitelistę typu: forum.ubuntu.pl może uruchamiać js, ale np doubleclick.net już nie.

3.W opcjach Firefoxa preferencje->prywatność->czyść historię podczas zamykania->wybieram opcję USTAWIENIA i zaznaczamy tam CIASTECZKA, aby po każdym zamknięciu przeglądarki były one usuwane.

Jaki, ale to jaki ma to sens? Po każdym zamknięciu przeglądarki musiałbym wklepywać moje hasło do forum.ubuntu.pl (i 10 innych stron) ponownie. Wolę rozwiązanie:globalna blokada ciasteczek plus whitelista stron które mogą zapisywać dane. Na przykład forum.ubuntu.pl

Nie można przesadzać z dążeniem do absolutnej anonimowości. ZAWSZE będzie się to odbywało kosztem wygody użytkowania. Na przykład zmiana general.useragent.locale w configu. Wiele stron korzysta z tego aby wyświetlić interface w odpowiednim języku. Pewnie, można zmienić sobie na takiej stronie. Ale zaraz! Nie zapisujemy ciasteczek! W nowej sesji przeglądarki znowu dostaniemy obcojęzyczny interface.

Melduję posłusznie, że żadnych informacji o sobie na tej stronie nie zauważyłem

Noscript ma bardzo wygodną ikonę na pasku - do przełączania poziomu zabezpieczenia strony, whitelista tworzy się automatycznie.
Better Privacy znam, sprawdza się dobrze, do kilku innych uwag się zastosowałem. (geoip)
Dobrze ponadto działa useragent switcher.

Co do innych drobiazgów - na teście javy zawsze widzę wersję kernela

.

Ponadto można nieźle poprawić bezpieczeństwo pakując przeglądarkę do jaila, i ograniczyć możliwości przeglądarki przy pomocy grup i nieaktywnej powłoki /bin/false.

Jak to zrobić:
tworzymy grupę jail ,użytkownika jail, powłoka /bin/false, grupa jail, dodajemy do grup video i audio, musi mieć folder domowy.
W /etc/sudoers ustawiamy:

Kod: Zaznacz cały

Defaults:ALL  env_reset
Defaults:ALL  env_keep=DISPLAY
Defaults:ALL  always_set_home
.......
ALL   localhost=(jail) NOPASSWD: ALL

potem umożliwiamy lokalnym programom z innego konta usera użyć xservera.

Kod: Zaznacz cały

xhost local:+

uruchamiamy poleceniem:

Kod: Zaznacz cały

sudo -u jail firefox

W takim przypadku w firefoxie nie będzie dźwięku:
w przypadku dmixa można to zmienić poprzez parametr

Kod: Zaznacz cały

ipc_perm 0666

Cały konfig w tej chwili, u mnie, wygląda tak:

Kod: Zaznacz cały

pcm.!default {
    type plug
    slave.pcm "dmixer"
}
pcm.dsp0 {
    type plug
    slave.pcm "dmixer"
}
pcm.dmixer {
    type dmix
    ipc_key 1024
    ipc_perm 0666
    slave {
        pcm "hw:2,0"
        period_time 0
        period_size 1024
        buffer_size 8192
        #periods 128
        rate 44100
     }
     bindings {
        0 0
        1 1
     }
}
ctl.mixer0 {
    type hw
    card 2
}

Pulseaudio nie używam, w serwerze Jack-audio nie udało mi się uruchomić opcji multiuser.
Ale alsa działa przyzwoicie.

W ten sposób, o ile nasz katalog domowy ma uprawnienia np 700 albo podobne (750), to firefox znajduje się bardzo daleko od kluczy ssh i gpg, folderu thunderbirda z hasłami do poczty, i kilku innych prywatnych informacji.
Podobne możliwości daje moduł apparmor, (obecny w Ubuntu).

Pozdrawiam

Jeśli nie znacie takiej strony to można rzucić okiem:
https://panopticlick.eff.org/
i troche poczytać to:
https://panopticlick.eff.org/browser-uniqueness.pdf
(ciężki kaliber)

Jest jescze taki dodatek do FF - https everywhere, albo po prostu:
https://encrypted.google.com

eskaemma pisze:Jeśli nie znacie takiej strony to można rzucić okiem:
https://panopticlick.eff.org/

po zastosowaniu powyższych rad widać jeszcze rozdzielczość ekranu, rodzaj przeglądarki,

mi strona którą podałeś wyświetala takie informacje

Kod: Zaznacz cały

Browser Characteristic                 value

User Agent                               0
Browser Plugin Details                no javascript
Time Zone                             no javascript
Screen Size and Color Depth           no javascript
System Fonts                          no javascript

itd...

xc1256 pisze:
User Agent 0

Po wyłączeniu javy zostają informacje o przeglądarce i systemie operacyjnym w "user agent"

gesnet pisze:Po wyłączeniu javy zostają informacje o przeglądarce i systemie operacyjnym w "user agent"

jak wykasujesz informacje i wstawisz np. 0 to będzie tylko widać 0

Zamiast BetterPrivacy (kolejny addon), to Flashowe LSO możemy kasować sobie sami. Ot, do crontaba:

Kod: Zaznacz cały

30 20 * * * rm -rf ~/.macromedia/Flash_Player/#SharedObjects/

@jacekalex:
Niezłe to:) Trzeba by mi wypróbować, i powoli zacząć migrować programy do piaskownicy, zamiast VirtualBoxem się bawić;)

@xc1256:

geo.enabled - geolokalizacja zmieniamy na wartość łańcucha FALSE
geo.wifi.uri - geolokacja zmieniamy na wartość łańcucha FALSE

Pomyliłeś się przy geo.wifi.uri - tu ma być domyślny adres usługi geo, z której korzystamy (lub nie), a nie żadne FALSE. Zmiana geo.enabled na FALSE wystarczy w zupełności. Przeczytaj to:

Kod: Zaznacz cały

http://kb.mozillazine.org/About:config_entries#Geo.

musiałem dać w code, bo w adresie jest kropka, która zepsuje adres linku.

xc1256 pisze:jak wykasujesz informacje i wstawisz np. 0 to będzie tylko widać 0

u mnie to nie działa, pozmieniałem wszystko na 0 i dalej jest wersja przeglądarki, etc:

EDIT:

xc1256 pisze: geo.wifi.uri - geolokacja zmieniamy na wartość łańcucha FALSE

to też nie jest opisane prawidłowo

geo.wifi.url - na tą funkcję bym nie liczył, ponieważ jak czasami można zauważyć, łącząc się z konkretnego adresu IP, serwer zna ten adres IP,
i przy pomocy narzędzi geoip może zidentyfikować miejsce występowania tego IP, z całkiem przyzwoitą dokładnością.

Sama identyfikacja przeglądarki jest w jakimś stopniu groźna, ale znacznie groźniejsza jest java, co wyraźnie widać w tym teście.
Mam na myśli wersję kernela widoczną w internecie.
Ciekawe, jakie jeszcze informacje może z kompa wyciągnąć skrypt javy, ( w celach statystycznych

)

To by było na tyle

@jacekalex:
http://www.java.com/pl/download/help/testvm.xml:

Kod: Zaznacz cały

Something is wrong. Java is not working.

Haha;) Najpierw musiałem własnoręcznie aktywować okienko ze skryptem (noscript blokuje), a na koniec to. Ode mnie nic nie wyciągną;p Javy po prostu nie używam.
Na dzień dzisiejszy trzeba zadać sobie pytanie, do czego my wogóle zamierzamy używać Javy. Na chatach WP nie przesiaduję, w jakieś słitaśne gierki w java nie gram, wszelkie biznesowe strony, których używam, też bez niej się obejdą. Javę mam tylko na VirtualBox - jak potrzebować będę, to włączę, zrobię co trzeba, i odrzucę migawkę ze zmianami.

geo.wifi.url - na tą funkcję bym nie liczył, ponieważ jak czasami można zauważyć, łącząc się z konkretnego adresu IP, serwer zna ten adres IP, i przy pomocy narzędzi geoip może zidentyfikować miejsce występowania tego IP, z całkiem przyzwoitą dokładnością.

Każdy może sobie zidentyfikować userów/klientów, kiedy tylko chce - można uzyć bazy ip2country albo czegoś podobnego.

Kolejną rozwiązaniem, o którym nie pisaliśmy jeszcze w tym wątku jest sieć TOR. Zapewnia całkiem przyzwoity poziom anonimowości dla przeglądarki, pozwala całkowicie wyeliminować problem z geoip. Przykładem jest wejście na Facebooka przez TORa - przywita nas w przypadkowym języku;) Zależnie od serwera wyjściowego TORa, przez który się łączymy. To dowód na to, że na Facebooku mają customizowane strony pod kontem geoip. Mimo, że w przeglądarce masz zdefiniowane języki, w których chcesz, aby strony były wyświetlane, to taki Facebook ignoruje to i korzysta z jakiejś bazy ip2country.

jacekalex pisze: Ciekawe, jakie jeszcze informacje może z kompa wyciągnąć skrypt javy, ( w celach statystycznych )

Da się np. przejąc kamerę użytkownika,

http://niebezpiecznik.pl/post/zdalne-wy ... laptopach/

Pomyśl jednak co było jak by ktoś przejął kontrolę nad Twoim Biosem w płycie głównej?

EDIT:

pioruns pisze:@jacekalex:
http://www.java.com/pl/download/help/testvm.xml:

Kolejną rozwiązaniem, o którym nie pisaliśmy jeszcze w tym wątku jest sieć TOR. Zapewnia całkiem przyzwoity poziom anonimowości dla przeglądarki, pozwala całkowicie wyeliminować problem z geoip. Przykładem jest wejście na Facebooka przez TORa - przywita nas w przypadkowym języku;) Zależnie od serwera wyjściowego TORa, przez który się łączymy. To dowód na to, że na Facebooku mają customizowane strony pod kontem geoip. Mimo, że w przeglądarce masz zdefiniowane języki, w których chcesz, aby strony były wyświetlane, to taki Facebook ignoruje to i korzysta z jakiejś bazy ip2country.

O konfiguracji firefoxa przy okazji tor'a było już
http://www.kapitalizm.org/teksty/onion2/onion2.html

a przy okazji java, java a reszta pluginów w firefoxie też istotna

Torbutton blocks browser plugins such as Java, Flash, ActiveX, RealPlayer, Quicktime, Adobe's PDF plugin, and others: they can be manipulated into revealing your IP address. For example, that means Youtube is disabled. If you really need your Youtube, you can reconfigure Torbutton to allow it; but be aware that you're opening yourself up to potential attack. Also, extensions like Google toolbar look up more information about the websites you type in: they may bypass Tor and/or broadcast sensitive information. Some people prefer using two browsers (one for Tor, one for non-Tor browsing).

pioruns pisze:......To dowód na to, że na Facebooku mają customizowane strony pod kontem geoip. Mimo, że w przeglądarce masz zdefiniowane języki, w których chcesz, aby strony były wyświetlane, to taki Facebook ignoruje to i korzysta z jakiejś bazy ip2country.

ja nie korzystam z Facebook-a

, ponieważ wszystkie informacje są zbierane i archiwizowane, tworzone są profile osób itd...
Tak na marginesie to ciekawy pomysł do zbierania danych osobowych, zdjęć i nie wiem jakie jeszcze trzeba podawać informacje..
No ale to trochę odbiega od tematu, postaram się coś zrobić z tym testem (http://www.java.com/pl/download/help/testvm.xml), chociaż sam nie korzystam z javy więc nie mogę nic przekazać nawet w celach statystycznych

gesnet pisze:Da się np. przejąc kamerę użytkownika,

http://niebezpiecznik.pl/post/zdalne-wy ... laptopach/

Pomyśl jednak co było jak by ktoś przejął kontrolę nad Twoim Biosem w płycie głównej?

kamerki nie posiadam (moja gęba i tak się do kamery nie nadaje

), co do nieznanych apletów i stron, jest noscript, a co do biosu - to jest np u mnie grsecurity, także to raczej kiepski przypadek.

Ale vm javy działa z uprawnieniami użyszkodnika, a bez javy i javascriptu ciężko sie z w necie poruszać, np javascript jest potrzebny do zalogowania w mbanku.

Także javę bezwzględnie należy potraktować profilem apparmora (na razie w Ubuntu), polityką grsecurity, albo selinux.

Bo stron, które bez javy nie działają, wcale nie brakuje.

To by było na tyle

jacekalex pisze: a co do biosu - to jest np u mnie grsecurity, także to raczej kiepski przypadek.

nie jestem pewien na ile grsecurity może chronić przed backdoorami w firmwerach urządzeń, tak jak i w biosie

jacekalex pisze: Ale vm javy działa z uprawnieniami użyszkodnika, a bez javy i javascriptu ciężko sie z w necie poruszać, np javascript jest potrzebny do zalogowania w mbankU.

Z wyłączoną java moża poruszać się w przeglądarce internetowej, jednak funkcjonalność jest znacznie obniżona.

jacekalex pisze:Także javę bezwzględnie należy potraktować profilem apparmora (na razie w Ubuntu), polityką grsecurity, albo selinux.

Bo stron, które bez javy nie działają, wcale nie brakuje.

apparmor ... tutaj walczę z tym

gesnet pisze:nie jestem pewien na ile grsecurity może chronić przed backdoorami w firmwerach urządzeń, tak jak i w biosie

Co ma piernik do wiatraka?
Sterowniki w jaju są starannie dobrane, u mnie poza nvidią nie ma ani jednego zamkniętego steru.
A zablokować możliwość modyfikacji modułów kernela można wyłączając funkcję ładowania modułów.
np:

Kod: Zaznacz cały

root  # cat /proc/sys/kernel/modules_disabled
0
17:26:30 /root 
root  # rmmod dazukofs
17:26:37 /root 
root  # modprobe dazukofs
17:26:47 /root 
root  # echo 1 > /proc/sys/kernel/modules_disabled
17:26:57 /root 
root  # rmmod dazukofs
ERROR: Removing 'dazukofs': Operation not permitted

po wyłączeniu ładowania modułów nic na liście załadowanych modułów się nie zmieni, aż do restartu.

A bios jest potrzebny tylko do odpalenia gruba, i jeśli ma jakiegoś backdoora, to najwyżej dla Windows.
Po za tym biosy są bardzo dobrze sprawdzone, pod tym względem.

To by było na tyle

Dobrze, że jest taki temat.

Jednak zagrożenie kryjące się w pobieraniu danych z przeglądarek jest tak na prawdę znikome. Podobnie ma się sprawa z ciasteczkami.

Trzeba zdać sobie sprawę z tego , że zarówno z ciastek jak i z js korzystają przede wszystkim normalni programiści którzy niczego nie chcą wykradać.
Chcą natomiast by strona internetowa którą tworzą była najbardziej przyjazna dla użytkownika.
Zapisywanie pewnych danych jako ciastka i wykorzystanie javascript (choćby do AJAXA) jest standardem.
Nie chodzi o to aby nie blokować. Niech sobie ludzie blokują, ale niech mają świadomość tego co robią.
Trzeba otwarcie powiedzieć, że blokując przeglądarkę trzeba się liczyć z negatywnymi konsekwencjami.

Ja na przykład nie blokuję niczego. Wlazłem na stronę wskazaną przez autora wątku i co ? I nic. Poza wersją Ubuntu, firefoxa i czasem systemowym niczego nie pokazało. Czy to są te dane warte ukrywania i niszczenia spójności stron ?

oscarr pisze:
Jednak zagrożenie kryjące się w pobieraniu danych z przeglądarek jest tak na prawdę znikome. Podobnie ma się sprawa z ciasteczkami.

Na chwilę obecną jest to najbardziej prawdopodobny scenariusz zarażenia.
Twórcy stron sami padają ofiarami a userzy zaraz po nich.

Wszystko zależy od tego jak bardzo izolowane środowisko tworzy przeglądarka, a nie od tego czy skrypty będą uruchamiane lub ciastka przechowywane.
Pod względem oddzielenia przeglądarki od systemu to przynajmniej wizualnie przoduje Opera, jak jest na prawdę nie wiem nigdy nie zgłębiałem tego tematu.
Tak czy inaczej, moim zdaniem przeglądarka powinna tworzyć swego rodzaju sandbox w którym będą mogły się kotłować wszystkie skrypty.

Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Zabezpieczenie Firefoksa przed wykradaniem informacji.

Zabezpieczenie Firefoksa przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.

Odp: Zabezpieczenie Firefox-a przed wykradaniem informacji.