Firefox - Segurança e Privacidade - Naurú Moko

Colaboração: Diego Boot

Data de Publicação: 21 de julho de 2016

Esse é o segundo vídeo da série Naurú (Bravo em Tupi-Guarari) em homenagem ao recente anúncio da Mozilla traduzir o navegador para o idioma Guarani. O projeto foi criado e coordenado por Alcídes Torres com o foco em uma tradução muito amigável e que não gere complicações , disse Torres.

A série tem como objetivo dar dicas de como deixar o navegador para mais veloz com a melhor performance possível, além de ensinar como manter a privacidade e segurança de quem utiliza o browser.

Desativar WebRTC

WebRTC é uma API em desenvolvimento elaborada pela World Wide Web Consortium (W3C), conhecido também como Web Real-Time Communications (Comunicação Web em Tempo Real), é um projeto de software livre promovido pelo Google, Mozilla e outros e permite Comunicações em tempo real livre de plugin via API do Javascript. Ele facilita aplicativos entre navegadores para chamada de voz, bate-papo por vídeo e compartilhamento de arquivo. No momento, o codec suportado para WebRTC é o VP9. O WebRTC usa um servidor chamado Servidor de Webconferência que, em conjunto com um Servidor STUN, é exigido para fornecer a página inicial e sincronizar as conexões entre dois pontos de extremidade WebRTC.

O intuito de desativar as chaves WebRTC é impedir o vazamento dos seus verdadeiros endereços IP internos e externos.

  media.peerconnection.enabled » false
  media.peerconnection.use_document_iceservers » false
  media.navigator.enabled » false
  media.getusermedia.screensharing.enabled » false
  media.getusermedia.screensharing.allowed_domains»  

Veja mais sobre o WebRTC em

• Teste de vazamento (e outras coisas)
• Progresso de atualização do WebRTC para o Firefox no desktop
• Teste WebRTC da página de destino
• Mídia / Obteendo mídia de usuários

Desativar IPV6

De modo geral, um endereço IPv6 faz parte de uma das seguintes categorias: unicast, multicast e anycast. Tal caraterística serve, basicamente, para permitir uma distribuição otimizada de endereços e possibilitar que estes sejam acessados mais rapidamente, de acordo com as circunstâncias.

Sub-redes IPv6 geralmente tem uma máscara de rede de 64 bits. Isso significa que endereços distintos 264 existem dentro da sub-rede. Isso permite a Stateless Address Autoconfiguration (SLAAC) pegar um endereço baseando-se no endereço MAC da interface de rede. Por padrão, se SLAAC estiver ativada em sua rede e o IPv6 em seu computador, o núcleo irá automaticamente encontrar os roteadores IPv6 e configurar as interfaces de rede.

Esse comportamento pode ter implicações de privacidade. Se você muda de rede com frequência, por exemplo com um laptop, você talvez não queira que seu endereço MAC faça parte do seu endereço IPv6 público. Isso faz com que seja fácil identificar o mesmo dispositivo através das redes.

Com a nova geração de IPs, um televisor, por exemplo, poderá estar conectado ao fabricante e, quando pifar, poderá ser consertado remotamente. Mas, por outro lado, não se sabe o que o fabricante fará com os dados coletados, como suas preferências, os programas e horários, entre outras possibilidades.

  network.dns.disableIPv6» true
  network.http.fast-fallback-to-IPv4» true

Veja alguns textos sobre o porquê de IPv6 não é bom para a privacidade:

• IPv6 NÃO É Bom Para a privacidade
• Demi Getschko, integrante do Comitê Gestor da Internet, alerta para riscos decorrentes da ampliação da conectividade de equipamentos domésticos
• Enfrentando as implicações de privacidade de IPv6
• IPv6 e o Futuro da Privacidade
• Segurança vs Privacidade com a implantação do IPv6

Desativar envio de pings HTML5

A especificação de aplicações Web 1.0 (também conhecida como HTML5) define um novo atributo para elementos ping. Esse primeiro atributo contém um ou mais URIs de ping (enviar um pedido de POST para) quando o usuário clica em um link. Esse atributo é muito útil para deixar que sites controlem os cliques dos visitantes. Uma vez que o recurso tem possíveis implicações de privacidade, ele pode ser desligado.

O segundo atributo também pode conter um ou mais URIs de ping e é útil para deixar sites controlar os cliques dos visitantes. No entanto ele determina se os URIs para fazer ping devem estar no mesmo host que a página atual.

  browser.send_pings» false
  browser.send_pings.require_same_host » true

Veja mais em mozillaZine.com.

• Browser.send pings
• Security versus privacy with IPv6 deployment
• Browser.send pings.require same host

Desativar desvio de proxy DNS

Essa preferência controla se as pesquisas de DNS para clientes SOCKS v5 que acontecem no cliente ou no servidor proxy.

  network.proxy.socks_remote_dns» true

Veja mais em:

• Bug SOCKS5: DNS lookups (host resolving) should occur on proxy, not client side
• How to do DNS through a proxy in Firefox?
• mozillaZine

Desativar pré-busca de DNS

Esta é uma das formas de pré-busca que o Firefox suporta e faz uso de por padrão. O navegador prevê os links que o usuário normalmente acessa ao abrir o browser para resolver nomes de domínio enquanto o usuário ainda está em uma determinada página. Isso remove o tempo que leva para resolver nomes de domínio quando o usuário clica em um link no navegador que foi pré-definido pelo Firefox como meta prioritária. O ganho depende muito do servidor DNS e as previsões que o Firefox faz. Estão disponíveis duas preferências no Firefox que determinam a pré-busca de DNS do browser.

A primeira se definida como verdadeira, irá desativar pré-busca de DNS no navegador.

  network.dns.disablePrefetch » true

A Segunda se definida como falso, vai permitir a pré-busca de DNS em sites HTTPS. A preferência não existe por padrão e precisa ser criada. Infelizmente esqueci de mostrar como criá-la no vídeo, mas não se preocupe, é muito fácil.

Clique no botão direito do mouse e selecione Nova opção > Boolean > True

  network.dns.disablePrefetchFromHTTPS » true

Veja mais em:

• Firefox prefetching: o que você precisa saber
• Controlando pré-busca de DNS

Desativar pré-busca de Link

O recurso é utilizado durante tempo ocioso do navegador para baixar ou realizar pré-buscas de documentos que o usuário pode visitar no futuro próximo. Uma página web fornece um conjunto de pré-busca de sugestões para o navegador, e depois que o navegador é termina de carregar a página, ele começa a fazer buascas silenciosamente de documentos especificados e os armazena em seu cache. Quando o usuário visita um dos documentos PREFETCHED, ele pode ser servido mais rapidamente através do cache do navegador.

  network.prefetch-next» true

Veja mais em Link prefetching FAQ//

Não ser direcionado para links remotas em foco

As versões mais recentes do Firefox podem enviar solicitações para um servidor de destino apenas passando o mouse sobre um link. No CSS, sem JavaScript, nenhuma pré-busca é necessária. Tente você mesmo. Desativar o CSS, JavaScript, fire up iftop ou o Monitor de Recursos do Windows, passe o mouse sobre alguns links e veja a diversão começar.

Era uma vez um tempo em que você pairava sobre um link para verificar um link real antes de clicar nele. Bem, não mais. Só de olhar para ele faz um pedido silencioso. Esse comportamento é o resultado da speculative connect API da Mozilla   Acredito que seja um bug da API. Outro erro solicitando haver uma opção para desligá-lo. Estranhamente o último bug ainda é rotulado WONTFIX, mas a questão é fácil de ser resolvida.

  network.http.speculative-parallel-limit » 0

Veja mais em:

• Como parar de fazer ligações automáticas no Firefox
• Como anular solicitações silencionas no Firefox

Habilitar proteção de rastreamento

Não é novidade que os navegadores modernos suportam um recurso Não rastrear , que pede a sites não para rastreá-lo, e Firefox não é excepção. A primeira chave serve para garantir que esse recurso certamente deva ser ativado (definido como true).

Enquanto o cenário da primeira chave determina se uma instrução Não rastrear é enviado para um site, a segunda chave determina o que a instrução realmente diz. Você deve, portanto, definir como 1 para solicitar que Web sites não realize o rastreamento

A terceira chave permite que uma lista de bloqueio com base em uma lista de bloqueio de desconexão, para ajudar a evitar rastreamento cross-site. Uma vez Proteção contra Rastreamento é ativado, você verá um escudo em sua barra de endereços sempre que o Firefox estiver bloqueando tanto domínios de rastreamento como conteúdo misto.

Anunciantes que não conhecemos não costumam honrar essas configurações, mas para ter maiores garantias de manter sua privacidade use o os add-ons Privacy Bagder, Disconnect ou similares.

  privacy.donottrackheader.enabled » true
  privacy.donottrackheader.value » 1
  privacy.trackingprotection.enabled » true

Veja mais em:

How to make Firefox more secure using about:config//

Punycode

O suporte a IDN permite aos usuários inserirem nomes de domínio que contém caracteres estendidos que não são suportados em URLs padrão . Isto torna possível para sites internacionais registrarem nomes de domínio usando caracteres nativos no seu idioma natal.

A fim de ampliar o número de caracteres permitidos em nomes de domínio para incluir todos os caracteres Unicode, foi desenvolvido um tipo de codificação chamado Punycode . Essa codificação usa caracteres legais em nomes de domínio,traços, letras e números para representar caracteres Unicode. Quando o suporte a IDN é habilitado, desta forma o Mozilla reconhece nomes de domínio codificados fazendo a conversão em cadeias de caracteres Unicode. Assim, um nome de domínio que se parece com http://xn--tdali-d8a8w.lv é convertido em um nome de domínio que se parece com http://tūdaliņ.lv.

Essa chave mostra Punycode para nomes de domínio internacionais, evitando algumas tentativas de phishing.

  network.IDN_show_punycode » true

Veja mais em:

mozillaZine

Impedir que sites vasculhem por conteúdo da área de transferência

Essa chave permite que websites possam obter notificações case o usuário copie, cole, ou recorte alguma coisa a partir de uma página da Web, permitindo que eles saibam que parte da página foi selecionada. O emissor dos elementos oncopy, oncut e onpaste dessas ações são controlados por esta preferência, se definida como false é desativada.

  dom.event.clipboardevents.enabled » false

Veja mais em:

Mozilla Developer Network

Desativar Geolocalização

Caso você deseje usar o Google Maps ou aplicações semelhantes que necessitam obter sua localização através do browser mobile, a desativação dessa chave não é recomendada.

  geo.enabled » false
  geo.wifi.uri »  

Desativar Segmentação Geográfica

Geosegmentação é o método de determinação da localização geográfica (localização física) de um visitante do site, possibilitando a entrega de conteúdo diferente ao que o visitante com base em sua localização, como país, região / estado, cidade, código postal, organização, Internet Protocol (IP), ISP ou outros critérios.

  browser.search.geoSpecificDefaults » false
  browser.search.geoSpecificDefaults.url »  
  browser.search.geoip.url »  

Desativar Relatórios de Falhas

As aplicações Mozilla usam um conjunto de bibliotecas chamadas Breakpad para lidar com os relatórios de falhas. Quando um aplicativo falha, um arquivo binário batizado de dump é criado e enviado para um servidor central para análise. Ao visitar sobre: falha, os usuários podem ver uma listagem dos relatórios de erros que você enviou. Esta preferência determina qual servidor de relatório está ligada à essa página. Por padrão o Firefox usa a página http://crash-stats.mozilla.com/report/index

  breakpad.reportURL »  

Veja mais em:

• mozillaZine: Breakpad report url
• Mozilla Crash Reporter

Desativar Telemetria

Telemetria é uma tecnologia que permite a medição e comunicação de informações de interesse do operador ou desenvolvedor de sistemas. A palavra é de origem Grega onde tele = remoto e metron = medida. Sistemas que necessitam de instruções e dados enviados a eles para que sejam operados, requerem o correspondente a telemetria, ou telecomando.

O Comportamento de telemetria no navegador da Mozilla é controlada através das chaves listadas logo abaixo.

  toolkit.telemetry.archive.enabled » false
  toolkit.telemetry.cachedClientID »  
  toolkit.telemetry.enabled » false (Essa chave  não  desativa a telemetria completamente)
  toolkit.telemetry.previousBuildID »  
  toolkit.telemetry.server »
  toolkit.telemetry.unified » false (Combinada com a terceira chave, a teletria é completamente desativada)

Veja mais em:

Preferences//

Desativar Relatório de Saúde

O Firefox Health Report coleta e envia dados para servidores remotos, o recursos é uma característica opt-out, e há preocupações legais e de privacidade sobre quais dados podem ser coletados e submetidos.

  datareporting.healthreport.about.reportUrl »
  datareporting.healthreport.about.reportUrlUnified »  
  datareporting.healthreport.documentServerURI »  
  datareporting.healthreport.infoURL »  
  datareporting.healthreport.logging.consoleEnabled » false
  datareporting.healthreport.service.enabled » false
  datareporting.healthreport.uploadEnabled » false
  datareporting.policy.dataSubmissionEnabled » false
  datareporting.policy.dataSubmissionEnabled.v2 » false - Essa chave pode não existir de acordo com a versão do seu browser

Veja mais em Firefox Health Report (Obsolete)

Desativar Heartbeat

O Heartbeat é voz do usuário no Firefox.

O Heartbeat (Batimentos cardíacos, em tradução livre) fornece a compreensão em tempo real da quantidade de usuários desktop existente, permitindo que a Mozilla possa adaptar o navegador mais rapidamente com base nas necessidades e desejos dos seus usuários.

  browser.selfsupport.url »  

Veja mais em Advocacy/heartbeat//

Desativar Navegação segura (Rastreamento Google / Log / Celular)

Essas chaves existem desde o Firefox 43.

  browser.safebrowsing.downloads.enabled » false
  browser.safebrowsing.downloads.remote.enabled » false
  browser.safebrowsing.enabled » false
  browser.safebrowsing.malware.enabled » false
  browser.safebrowsing.provider.google.appRepURL »  
  browser.safebrowsing.provider.google.gethashURL »  
  browser.safebrowsing.provider.google.lists »  
  browser.safebrowsing.provider.google.reportURL »  
  browser.safebrowsing.provider.google.updateURL »  
  browser.safebrowsing.provider.mozilla.gethashURL »  
  browser.safebrowsing.provider.mozilla.updateURL »  
  browser.safebrowsing.reportMalwareMistakeURL »  
  browser.safebrowsing.reportPhishMistakeURL »  
  browser.safebrowsing.reportPhishURL »

Desativar WebGL

O WebGL é baseado no OpenGL ES 2.0 e fornece uma interface de programação de gráficos 2D e 3D. Ele usa o elemento canvas do HTML5 e é acessada por meio de interfaces DOM (Document Object Model). O gerenciamento automático de memória é fornecida como parte da linguagem JavaScript. Podendo ser implementado em uma aplicação web sem a necessidade de plug-ins no navegador.

Notei que no caso do Firefox Niglity o recurso parece não funcionar perfeitamente de alguns sites, como o Tweetdeck / Twitter.

Uma série de problemas de segurança graves foram identificados com a especificação e implementações do WebGL. Esses problemas podem permitir que um invasor possa fornecer um código malicioso através de um navegador web deixando o navegador ainda mais vulnerável a ataques contra os controladores de GPU e gráficos. Estes ataques à GPU via WebGL pode processar toda a máquina inutilizável.

Além disso, existem outros perigos com WebGL que colocam dos usuários de dados, privacidade e segurança em risco. Estas questões são inerentes à especificação WebGL e exigiria alterações de arquitetura significativas, a fim de remediar no design da plataforma. Os navegadores que permitem o WebGL por padrão colocam seus usuários em risco a estas questões.

  webgl.disabled » true
  webgl.disable-extensions » true

Veja mais em:

• WebGL - A New Dimension for Browser Exploitation
• Is WebGL a security concern?

Desativar estatísticas de Vídeo HTML5

Apresenta problemas relacionados à mídia (vídeo/áudio) Especialmente quando a informação não é coletada corretamente. Erros nesta categoria normalmente são movidos para outra categoria de mídia durante o processo de triagem.

  media.video_stats.enabled » false

Veja mais em Bugzilla//

Desativar suporte para asm.js (http://asmjs.org)

A implementação asm.js no Mozilla Firefox antes da v38.0 não determina corretamente comprimentos de proporção durante a identificação de casos em que a verificação de limites pode ser seguramente ignorada, o que permite que atacantes possam remotamente executar algum código malicioso, ou acionar um gatilho out-of-limites para operações de leitura e, possivelmente, obter informações confidenciais da memória do processo, via JavaScript.

  javascript.options.asmjs » false

Veja mais em:

• CVE-2015 2712
• Mozilla Foundation Security Advisory

Sobre o autor

✒ Assine o canal | Subscrible
✒ YouTube: http://bit.ly/Taverna_Linux
⑄ Redes Sociais | Social Networks
⑄ Google+: http://bit.ly/g_plus_taverna
⑄ Facebook: https://fb.me/tavernalinux
⑄ Tumblr: http://tavernalinux.tumblr.com
⑄ Twitter: https://twitter.com/tavernalinux
⑄ Quitter: https://www.quitter.se/tavernalinux
⑄ Medium: https://medium.com/@tavernalinux
⑄ Instagram: https://instagram.com/tavernalinux

║ Creative Commons (CC BY 3.0)
║
║ Your love
║ by Lyvo http://bit.ly/angus_toddle_urban_noise
║
║ Angus Toddle - Urban Noise
║ by Todeskurve https://soundcloud.com/lyvo/your-love
║
║ Por Lucía Figueroa no ViMeO (CC BY-SA 4.0)
║ Red Panda Gangsta https://vimeo.com/155896904
╭ Contato: <tavernalinux (a) gmail com> &#9582;