Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firefox verharden

08-10-2018, 07:37 door Anoniem, 31 reacties
Wat hebben jullie allemaal gedaan aan de instellingen van Firefox om het te verharden?
Reacties (31)
08-10-2018, 11:45 door Anoniem
Ik heb het volgende gedaan:

Plugins die ik geïnstalleerd heb:
Ublock Orgin
NoScript

Instellingen die ik heb aangepast:
Type in de browser:
about:config
Zoek:
security.tls.version.min naar 3
security.mixed_content.block_display_content naar true
08-10-2018, 12:55 door Bartbartbart
Het is iig nuttig om dit lijstje bij langs te gaan:
https://gist.github.com/0XDE57/fbd302cef7693e62c769
08-10-2018, 13:17 door Anoniem
about:config privacy settings

* ongeldig maken van bijna alle links, dat zorgt ervoor dat veel van call home poging stranden.
* veel van de app.normandy keys op false zetten
* app.update.enabled false
* browser.onboarding.enabled false
* browser.safebrowsing.downloads.enabled false
* browser.startup.page 0
* veel van de browser.tabs.crashReporting keys op false zetten
* veel van de datareporting.* keys op false zetten
* veel van de experiments.* keys op false zetten
* geo.enabled false
* keyword.enabled false
* network.IDN_show_punycode true
* network.http.speculative-parallel-limit 0
* network.predictor.enabled false
* pdfjs.disabled true
* veel van de services.sync.* keys op false zetten
* veel van de toolkit.telemetry keys op false zetten
* webextensions.storage.sync.enabled false
08-10-2018, 13:26 door Bartbartbart
en wat plugins betreft:

Random Agent Spoofer
Self-destructing Cookies
Ublock Origin
Adblock Plus + Element Hiding Helper (oude versie met element filter)
Disconnect
Ghostery
Noscript
Privacy Badger
Greasemonkey
Flagfox
08-10-2018, 13:32 door -karma4 - Bijgewerkt: 08-10-2018, 13:34
Tor Brower gebruiken. Hoeft niet via het 'Tor-netwerk'. Bij voorkeur wel via een VPN maar je kan het ook met reguliere, rechttoe-rechtaan internettoegang gebruiken.
08-10-2018, 13:42 door Bartbartbart - Bijgewerkt: 08-10-2018, 13:44
Als het om fingerprinting gaat is de Tor browser de beste, maar of het dat ook in absolute zin is..
Zodra je plugins installeert vervalt dat voordeel weer en wat overblijft is een ordinaire Firefox.

Waterfox is een Firefox waar veel uit is gesloopt en op die manier ook een stuk veiliger is. (Alleen is de vraag hoe ernstig het is dat ze een oudere versie gebruiken).

Wat ook een goede gewoonte is, is werken met profielen. Die kun je aanmaken door achter firefox.exe -profiles te zetten, en zodra je ze aangemaakt hebt kun je ze starten door -P Profilename -no-remote achter firefox.exe te plaatsen.
Het voordeel hiervan is dat je dataverzamelaars zoals Facebook die je wellicht toch af en toe wilt gebruiken buiten je normale browserdata kunt houden, of dat je bv veilig kunt internetbankieren zonder dat er door foute code van andere paginas iets mee kan worden gedaan.
08-10-2018, 13:43 door Anoniem
Door Bartbartbart: en wat plugins betreft:

Random Agent Spoofer
Self-destructing Cookies
Ublock Origin
Adblock Plus + Element Hiding Helper (oude versie met element filter)
Disconnect
Ghostery
Noscript
Privacy Badger
Greasemonkey
Flagfox

Element hiding is ook mogelijk met uBlock, dat scheelt weer een extra plugin en dus ook weer een veiligheidsrisico minder. Ghostery is closed-source en wordt beheerd door een advertentiebedrijf. Greasemonkey is alleen nuttig als je ook echt nuttige scriptjes toevoegd, dus als je niet van plan bent om dat te doen zou ik het niet installeren.

Een mooie toevoeging zou ik Decentraleyes vinden, een vrije en open-source plugin die hosted libraries vanaf de computer laadt in plaats van de server van bijv. Google.
08-10-2018, 15:07 door Anoniem
Door Bartbartbart:

en wat plugins betreft:

Random Agent Spoofer
Self-destructing Cookies
Ublock Origin
Adblock Plus + Element Hiding Helper (oude versie met element filter)
Disconnect
Ghostery
Noscript
Privacy Badger
Greasemonkey
Flagfox

1. Genoemde lijst add-ons zijn geen plugins maar (een mix van legacy en web)extensies.
2. Tenzij je uBlockO enkel in advanced mode gebruikt /dynamic filtering, zijn uBlockO en ABP dubbelop. Ze gebruiken dezelfde (optionele) filterlisten , alleen is uBlockO tig sneller/lichter en heeft ook een ingebouwde 'element hider'. Voor dynamic filtering gebruik je sowieso beter uMatrix dan uBlockO of NoScript. uMatrix kan alles blokkeren wat je wil, NoScript enkel scripts. Zelfs ABE protection kan je in uMatrix configureren.
3. Element hiding = esthetisch 'verbergen' = iets anders dan bepaalde content/ connecties blokkeren, dus heeft niets met 'verharding' firefox te maken.
4. Greasemonkey heeft niets te maken met 'verharden' firefox, maar dient om oa een site anders weer te geven middels een userscript.

Waterfox is een Firefox waar veel uit is gesloopt en op die manier ook een stuk veiliger is. (Alleen is de vraag hoe ernstig het is dat ze een oudere versie gebruiken).

1. niks 'oude' versie, niks 'ernstig' : WF56 ( dat overigens ook code uit FF57 terug forked en zowel legacy als webextensions ondersteunt) is security supported, updates circa 1 week na FF 's security updates.
2. vreemde opmerking, gezien je eerder genoemde legacy extensie ABP/ElementHidingHelper alleen kan draaien t/m FF56, dat niet meer security supported is !

Wat ook een goede gewoonte is, is werken met profielen. Die kun je aanmaken door achter firefox.exe -profiles te zetten, en zodra je ze aangemaakt hebt kun je ze starten door -P Profilename -no-remote achter firefox.exe te plaatsen.

Waarom ingewikkeld doen als het makkelijk kan met ProfileSwitcher ? Je maakt een naam aan dat automatisch via de interne profilemanager gaat, kiest er leuk icoontje/kleurtje bij en je switched via de knop in je toolbar. Je hoeft niet eens te herstarten, je kunt alle profielen 'open' houden.
08-10-2018, 16:44 door Bartbartbart
Door Anoniem:
Element hiding is ook mogelijk met uBlock, dat scheelt weer een extra plugin en dus ook weer een veiligheidsrisico minder. Ghostery is closed-source en wordt beheerd door een advertentiebedrijf. Greasemonkey is alleen nuttig als je ook echt nuttige scriptjes toevoegd, dus als je niet van plan bent om dat te doen zou ik het niet installeren.

Een mooie toevoeging zou ik Decentraleyes vinden, een vrije en open-source plugin die hosted libraries vanaf de computer laadt in plaats van de server van bijv. Google.
Element hiding is niet mogelijk op de manier van Adblock pre 3.0. Met Ublock kun je slechts visuele pagina-elementen klikken terwijl je met adblock regels code uit een pagina-element kunt verwijderen terwijl bv het visuele aspect ervan intact blijft. Bovendien zei je wat er ingeladen wordt en van welke adressen enzo, je krijgt dus veel meer nuttige informatie.

Met greasemonkey ben ik het met je eens, alleen doen als je er scripts op draait, maar veel dingen die per addon worden aangeboden worden ook aangeboden middels dikwijls flexibelere greasemonkeyscripts.
Ghostery klopt maar doet het in mijn beleving toch echt ook goed, maar sowieso al een beetje dubbelop dus optioneel.
Decentraleyes - nice, toegevoegd! :D
08-10-2018, 18:03 door Anoniem
Maak hier graag gebruik van uMatrix, dit met als uitgangspunt; des te meer je blokkeert des te beter het is natuurlijk :-).

Echter van de onderliggende techniek heb ik geen kaas gegeten. Vraag mij dan ook af wat een website eigenlijk teruggekoppeld krijgt van je browser wanneer onderdelen niet geladen kunnen worden. Zou iemand in het kort hierover iets willen vertellen? Heeft dat terugkoppelen ook nog nadelige gevolgen? Dat bijvoorbeeld daarmee volgen mogelijk wordt, aangezien je je daarmee nog meer 'uniek' maakt.
08-10-2018, 18:05 door Bartbartbart
Door Anoniem:
1. Genoemde lijst add-ons zijn geen plugins maar (een mix van legacy en web)extensies.
Not a single fuck was given.
Door Anoniem:
2. Tenzij je uBlockO enkel in advanced mode gebruikt /dynamic filtering, zijn uBlockO en ABP dubbelop. Ze gebruiken dezelfde (optionele) filterlisten , alleen is uBlockO tig sneller/lichter en heeft ook een ingebouwde 'element hider'. Voor dynamic filtering gebruik je sowieso beter uMatrix dan uBlockO of NoScript. uMatrix kan alles blokkeren wat je wil,
NoScript enkel scripts. Zelfs ABE protection kan je in uMatrix configureren.
Ik gebruik ABP exclusief voor element hiding.

Door Anoniem:
3. Element hiding = esthetisch 'verbergen' = iets anders dan bepaalde content/ connecties blokkeren, dus heeft niets met 'verharding' firefox te maken.
Op UBO wellicht, maar met ABP kun je gewoon pagina-onderdelen, zoals thirdparty-adressen, blacklisten. Dan worden ze niet meer meegeladen.

Door Anoniem:
4. Greasemonkey heeft niets te maken met 'verharden' firefox, maar dient om oa een site anders weer te geven middels een userscript.
met Greasemonkey kan alles.

Door Anoniem:
Waterfox is een Firefox waar veel uit is gesloopt en op die manier ook een stuk veiliger is. (Alleen is de vraag hoe ernstig het is dat ze een oudere versie gebruiken).

1. niks 'oude' versie, niks 'ernstig' : WF56 ( dat overigens ook code uit FF57 terug forked en zowel legacy als webextensions ondersteunt) is security supported, updates circa 1 week na FF 's security updates.
Wellicht heb ik dit dan verkeerd begrepen want omdat de versienummers zo veel op elkaar lijken heb ik aangenomen dat ze dezelfde nummering hanteren en dat WF56 dus achterloopt op FF62

Door Anoniem:
2. vreemde opmerking, gezien je eerder genoemde legacy extensie ABP/ElementHidingHelper alleen kan draaien t/m FF56, dat niet meer security supported is !
Draait prima.(de niet ondersteunt melding gewoon negeren)

Door Anoniem:
Waarom ingewikkeld doen als het makkelijk kan met ProfileSwitcher ? Je maakt een naam aan dat automatisch via de interne profilemanager gaat, kiest er leuk icoontje/kleurtje bij en je switched via de knop in je toolbar. Je hoeft niet eens te herstarten, je kunt alle profielen 'open' houden.
heb je dan ook totaal gescheiden browsers met elk hun eigen addons en addongeschiedenis enzo? Want daar gaat het om, het gescheiden houden van types internetgebruik.
08-10-2018, 21:04 door Anoniem
09-10-2018, 06:17 door Anoniem
Hebben jullie ook tips voor Opera gebruikers? Hoor ze graag :-)
09-10-2018, 11:02 door Anoniem
Door Anoniem: Hebben jullie ook tips voor Opera gebruikers? Hoor ze graag :-)

Schakel over naar Firefox. ;)
09-10-2018, 12:45 door Anoniem
wat een moeite moet je doen...
dan begrijp ik dit allemaal nog wel, maar kan me goed voorstellen dat een gemiddeld persoon hier niet mee bezig is.

Waarom is dit niet gewoon "default" ingebouwd in onze browsers? En makkelijker te configureren.

Al die losse "plugins" kunnen ook weer problemen veroorzaken of moet je ook weer bijhouden.
09-10-2018, 13:58 door Anoniem
Door Anoniem: wat een moeite moet je doen...
dan begrijp ik dit allemaal nog wel, maar kan me goed voorstellen dat een gemiddeld persoon hier niet mee bezig is.

Waarom is dit niet gewoon "default" ingebouwd in onze browsers? En makkelijker te configureren.

Al die losse "plugins" kunnen ook weer problemen veroorzaken of moet je ook weer bijhouden.

Omdat wij niet betalen voor onze privacy, oh wacht IE, Safari en Edge zijn wel betaalde producten.
09-10-2018, 16:15 door Anoniem
Door Anoniem:
Door Anoniem: Hebben jullie ook tips voor Opera gebruikers? Hoor ze graag :-)

Schakel over naar Firefox. ;)

Naar een browser uit het stenen tijdperk wat nog steeds neit fatsoenlijk met ssl certificaten om kan springen?

Bedankt. De nieuwere versies van firefox werden met elke update slechter. Dus tenzij je een beter alternatief hebt als Opera kan je gewoon ophouden met trollen.

Er werd een serieuse vraag gesteld.
09-10-2018, 17:11 door Anoniem
Door Anoniem: Omdat wij niet betalen voor onze privacy, oh wacht IE, Safari en Edge zijn wel betaalde producten.
Lol, al is het eigenlijk niet om te lachen. Om het nog even verder door te tracken umh bedoel trekken: NS Reisplanner Xtra, Ziggo Go etc. bevat allemaal spyware, maar maandelijks wel fors voor moeten betalen.
09-10-2018, 17:21 door Anoniem
Door Anoniem: Dus tenzij je een beter alternatief hebt als Opera kan je gewoon ophouden met trollen.
Kijk eens in je 'taakplanner' wat daar te zien is over Opera. En wat vind jij daarvan? (serieuze vraag)
Of desnoods kijk eens het logboek van je firewall.
09-10-2018, 21:15 door Anoniem
Voor maximale privacy

Zet Color Fonts op #000000
Zet Color Background op #000000
Maar beide op waarde #ffffff is ook heel effectief tegen schoudersurfers.

Firefox verharden is onzin want na elke update kan je je lijsten weer opnieuw doorspitten op nieuwe vreemde toegevoegde waarden in je about config.

Verspil je tijd dus niet want Torproject heeft dit allemaal al voor je gedaan in Torbrowser!
09-10-2018, 22:09 door Anoniem
Door Anoniem: Hebben jullie ook tips voor Opera gebruikers? Hoor ze graag :-)

Afvragen of je die browser überhaupt wel wil gebruiken;

Heb daarstraks Opera geïnstalleerd (gebruikte de beta versie al soms om privacy-redenen), wat mij opviel;

- Half uur bezig geweest op de instellingen een beetje privacy vriendelijk te krijgen. Meest schrijnende is nog wel wanneer je VPN aanklikt hij deze automatisch uitzet bij zoekmachines.
- Importeerde, zonder te vragen, al mijn bladwijzers vanuit FF (dit staat standaard ook aan, en niet alleen je bladwijzers ook wachtwoorden en meer).
- Toevoeging aan geplande taken, dat bij opstarten PC altijd checkt of er een update voor Opera is. Pardon!?
- Geen mogelijkheid om in te stellen dat al je data bij het afsluiten gewist wordt (lijkt mij persoonlijk een essentiële optie).

FF is ook niet zaligmakend, maar die standaard instellingen van Opera zijn echt een regelrechte schande voor je privacy. Dit kun je (normale) mensen niet aanraden om te gebruiken.
10-10-2018, 03:21 door beatnix - Bijgewerkt: 10-10-2018, 03:22
https://github.com/andryou/scriptsafe (en beter niet instelligen vergeten aan te passen)

in combinatie bijv. met noscript. [edit] en oh ja, adblock plus is in deze combinatie handiger dan vele denken.[/edit]

en dan cookies/history na ieder afsluiten standaard eruit kieperen, DNT (do not track) uitzetten want heeft toch geen zin want niet alleen zijn er sites die dat niet respecteren als je DNT header meezend, er wordt zelfs mee geprofileerd om te indexeren wie meer/minder privacy bewust is.

dan eens in de adresbalk "about:config" intiepen en dan wanneer je serieus undercover wil, zoeken op alle URLs zoals http:// en https:// en mozilla domeinen en die allemaal aanpassen naar 'http://localhost' wel oppassen want er zijn nogal wat add-on en update functies die dan niet meer zoals bedoeld werken.

general.useragent.override om de user agent van je browser aan te passen
general.useragent.site_specific_overrides soms handig bij bepaalde sites/uitzonderingen
general.useragent.vendor* verraad soms nog wel dingen die je niet wil, ook via dom objecten of hoe dat ook heet.
dom.push.userAgentID google maar een beetje.

en je behoort je lief te gedragen jij!
10-10-2018, 09:01 door Anoniem
Door Anoniem:
Door Anoniem: Dus tenzij je een beter alternatief hebt als Opera kan je gewoon ophouden met trollen.
Kijk eens in je 'taakplanner' wat daar te zien is over Opera. En wat vind jij daarvan? (serieuze vraag)
Of desnoods kijk eens het logboek van je firewall.

Heb Opera even geinstalleerd om te kijken, En inderdaad even een automatische taak voor het updaten scheduled. Pfff waardeloos. Chrome doet dit ook. Echter zijn het dan een stuk of 40 tasks. Waardeloos

- Half uur bezig geweest op de instellingen een beetje privacy vriendelijk te krijgen. Meest schrijnende is nog wel wanneer je VPN aanklikt hij deze automatisch uitzet bij zoekmachines.
- Importeerde, zonder te vragen, al mijn bladwijzers vanuit FF (dit staat standaard ook aan, en niet alleen je bladwijzers ook wachtwoorden en meer).
- Toevoeging aan geplande taken, dat bij opstarten PC altijd checkt of er een update voor Opera is. Pardon!?
- Geen mogelijkheid om in te stellen dat al je data bij het afsluiten gewist wordt (lijkt mij persoonlijk een essentiële optie).

Eens. Maar wat hierboven ook al aangegeven is, ik weet niet wat Firefos doet met die SSL certificaten maar heb bij een boel websites dat hij aangeeft niet veilig te zijn of dat een SSL certificaat ontbreekt. Als ik hem dan in IE, Edge, Chromium of Chrome open geeft hij gewoon een volledig groen certificaat.

Eigenlijk best sjit dat je alleen de keuze hebt tussen deze browsers. Je hebt nog een aantal forks maar daar is het ook wel mee gezegd. Heeft iemand anders nog een goed alternatief?

Ik draai nu nog leuk op Firefox, maar switch regelmatig naar andere browsers.
10-10-2018, 16:51 door Anoniem
Door beatnix: https://github.com/andryou/scriptsafe (en beter niet instelligen vergeten aan te passen)

Heb ik getest met npo.nl (filmpje kijken met Google widevine DRM), en dat werkt alleen als scriptsafe helemaal uitstaat. Alle opties uitschakelen helpt niet.
10-10-2018, 19:02 door beatnix - Bijgewerkt: 10-10-2018, 19:07
Door Anoniem:
Door beatnix: https://github.com/andryou/scriptsafe (en beter niet instelligen vergeten aan te passen)

Heb ik getest met npo.nl (filmpje kijken met Google widevine DRM), en dat werkt alleen als scriptsafe helemaal uitstaat. Alle opties uitschakelen helpt niet.

filmpje kijken op npo.nl hoef je ook je firefox niet voor te verharden, gewoon portable versie van firefox waarbij cookies/history automatisch na afsluiten bijvoorbeeld wordt verwijderd. bij bankieren hoef je je firefox ook niet te veharden. bij standaard rondsurfen beter wel. dus, beter verschillende browsers gebruiken met verharde versie waarbij je niet halverwege verhard maar serieus zoals met plugin die ik mocht krijgen voor te stellen, en portable versies in een sandbox draaien zonder verharding, gewoon standaard cookies/history eruit na afsluiten bij bankieren etc.

let eventueel op routes/dns bij bankieren browse sessie. en bankieren met npo.nl bezoek combineren zal je zeer hoogstwaarschijnlijk niet compromitteren, met name niet wanneer je al uitegelogd bent bij de bank.

oh en bij bankieren is het benutten van de iron browser (https://www.srware.net/lp_ew/downloads.php) een werkelijke aanrader zeker om ook nog in de portable versie van een readonly partitie in een sandbox te lanceren (men denkt bij sandbox vaak dat toegang van binnen naar buiten de sandbox lastiger wordt, maar andersom zitten er ook voordelen) vanwege wat aangepaste instellingen en vooral memory management.
10-10-2018, 20:31 door Anoniem
Met een beetje handig - en veilig - zoeken kun je de linkjes van wat je eventueel wil zien bij de NPO vinden. Desnoods bezoek je de pagina zonder scripts, met de url kun je op verschillende plekken de uitzending downloaden of een url generen en direct kijken.

Zelf hier gestopt met het proberen websites van de NPO werkende te krijgen in mijn browser(s).
11-10-2018, 00:16 door Anoniem
Door beatnix:
Door Anoniem:
Door beatnix: https://github.com/andryou/scriptsafe (en beter niet instelligen vergeten aan te passen)

Heb ik getest met npo.nl (filmpje kijken met Google widevine DRM), en dat werkt alleen als scriptsafe helemaal uitstaat. Alle opties uitschakelen helpt niet.

filmpje kijken op npo.nl hoef je ook je firefox niet voor te verharden, gewoon portable versie van firefox waarbij cookies/history automatisch na afsluiten bijvoorbeeld wordt verwijderd.

Niet mee eens. Fingerprinten gebeurt niet alleen met cookies en npo laadt ook trackers.
11-10-2018, 09:44 door Anoniem
Hoe schakel je het dan uit dat de Tor browser gebruik maakt van de Tor netwerk, en dat daarvoor in de plaats je eigen netwerk connectie gebruikt wordt.
11-10-2018, 10:25 door beatnix
@Anoniem 11-10-2018 00:16;

Leg eens uit wat NPO met tracker en al moet wanneer je na het kijken van filmpjes history/cookies wist? En als je dan na het wissen weer NPO bezoekt, wat weet de NPO nu heel precies dan? Vrijwel niets dus, en wat NPO aan data vangt, gaat de NPO anders mee om dan youtube.com. hoewel npo website wel een en ander van google laad wat zonder canvas defender app of zoiets inderdaad nog wel een pietsie meekrijgt, totdat je zoals ik mocht krijgen voor te stellen op die andere verharde browser uiteraard wél gespoofd door de bocht komt, heeft google daardoor nog steeds niets meer dan een lijstje npo locaties aan een browser fingerprint gekoppeld.

@Anoniem 11-10-2018 09:44;
surf naar about:config en ga verander network.proxy.type waarde in 0 en vervolgens network.proxy.socks_remote_dns verwijderen.
11-10-2018, 10:48 door Anoniem
Door beatnix: @Anoniem 11-10-2018 00:16;

Leg eens uit wat NPO met tracker en al moet wanneer je na het kijken van filmpjes history/cookies wist? En als je dan na het wissen weer NPO bezoekt, wat weet de NPO nu heel precies dan? Vrijwel niets dus, en wat NPO aan data vangt, gaat de NPO anders mee om dan youtube.com. hoewel npo website wel een en ander van google laad wat zonder canvas defender app of zoiets inderdaad nog wel een pietsie meekrijgt, totdat je zoals ik mocht krijgen voor te stellen op die andere verharde browser uiteraard wél gespoofd door de bocht komt, heeft google daardoor nog steeds niets meer dan een lijstje npo locaties aan een browser fingerprint gekoppeld.

Ik denk dat je de methodiek van trackers onderschat. Fingerprinting is eenvoudiger dan je denkt en ik zie bijvoorbeeld dat Google - die ik nooit toestemming heb gegeven - mij volgt en suggesties doet gebaseerd op historische gegevens, zelfs als ik elke dag alles grondig wis en tracking sites in de hosts file staan.

Ronduit irritant is dat hoe meer moeite je doet om zaken te blokkeren, hoe unieker je fingerprint wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.