关于Firefox的技巧的文档:侧边栏视图、缩略图视图,本文更新地址,
//声明下,彻底防御网络跟踪是几乎不可能的,但是完全可以通过措施最大限度地保护自己的隐私,除了通过僵尸Cookie跟踪外,//网站一般还可以通过Device Fingerprinting识别用户,基于指纹的跟踪其实也可以在不破坏当前Internet兼容性的前提下,最大限度的防御,不过暂时先不研究它!//samy.pl/evercookie/,
//Evercookie是Samy Kamkar编写的基于JS的API,用来在浏览器中生成僵尸Cookie,即所谓的“删不掉的Cookie”//何谓EverCookie?中文
cookie阻止好还是不阻止好//如何不使用Cookie进行用户跟踪?,
僵尸Cookie API具有自我恢复性/复制性,当客户端删除部分类型的本地存储,其他类型的Cookie可以自行恢复这部分被删除的Cookie,所有这些Cookie保持统一信息,基于插件的Cookie使得僵尸Cookie具有跨平台性,只要浏览器退出时未删除插件Cookie,那么其他浏览器可以重用之,并复制到其他类型Cookie中;客户端生成僵尸Cookie时用户是察觉不到的,
===========================================
基于标准HTTP Cookies:参考Firefox 安全隐私 - HTTP Cookie(3),
基于插件的本地存储机制:Local Shared Objects (Flash Cookies):参考Firefox 安全隐私 - LSO(3)、Silverlight Isolated Storage:参考Firefox SL应用程序存储(3),Storing cookies in RGB values of auto-generated, force-cached PNGs using HTML5 Canvas tag to read pixels (cookies) back out,禁用缓存即可Storing cookies in Web History:参考History Sniffing(3),扩展-SafeHistory,,
Storing cookies in Web cache(3):扩展-SafeCache,禁用缓存也可以,
Storing cookies in HTTP ETags(3):扩展-Truste、扩展-SDC - 中文简介(3),
window.name caching:暂时没研究,日后再说
Internet Explorer userData storage:这是IE特有的DOM雏形式本地存储机制,火狐不支持!
HTML5 Session Storage ,HTML5 Local Storage,H TML5 Global Storage(已废弃):参考Firefox 安全隐私 - DOM存储(3),HTML5 Database Storage via SQLite:参考火狐永不支持WebSQL Storage,而采用更好的indexDB,
============================================
一些建议:
//HTTP Cookie
//user_pref("kieBehavior", 2);//默认站点权限-Cookie?参考;
//user_pref("kie.lifetimePolicy", 1);//cookie 生命期?0由服务器决定,即持久Cookie;1每次询问,建议;2保持到退出FF;3由kie.lifetime.days来决定,
//基于插件的跟踪:
//火狐无插件化,
//扩展-BetterPrivacy,
user_pref("extensions.bprivacy.AutoDelLSOnExitMode", 0);//0:当firefox退出时删除flash cookie, 1增加" LSO项目"到清理历史记录user_pref("extensions.bprivacy.AutoDelLSOnStart",true);//启动FF时自动删除LSO?
user_pref("extensions.bprivacy.DefaultFlashCookieDeletion",false);//删除flashplayer默认cookie?no user_pref("extensions.bprivacy.useDelTimer", false);//按时删除LSO?no
//user_pref("extensions.bprivacy.DelTimerInterval", 7200); //默认7200 sec = 2h
user_pref("extensions.bprivacy.sendpings.allowed", false);//click ping?no
user_pref("extensions.bprivacy.delDirs",true);//删除cookie时同时,删除空的cookie文件夹
user_pref("extensions.bprivacy.donotaskonexit",true);//退出时不要询问?
user_pref("extensions.bprivacy.autosubfolders",true);//自动保护LSO子文件夹
user_pref("extensions.bprivacy.manageLSOs", true);//替代FF管理LSO?yes
user_pref("extensions.bprivacy.alwaysReScan",false);//便携模式
user_pref("extensions.bprivacy.NotifyOnNewLSO",1);//当有新LSO时提示用户?默认0不提醒;1提醒;user_pref("extensions.bprivacy.NotifyDuration",10);//提示?秒后消失
防御 History Sniffing:
//本来我就禁用历史,但不禁用会话存储,
user_pref("abled",false);//记住我的浏览和下载历史?为了隐私和减少places.sqlite 的碎片/体积,同时防御历史嗅探攻击,user_pref("browser.history_expire_days", 0);//历史记录?天(非
负数)参考,
user_pref("browser.history_expire_sites",0);//历史记录?个网站数(正整数)参考,
user_pref("piration.max_pages",0);//历史记录中保留最大独立URL数量(正整数)参考,user_pref("browser.history_expire_days_min",0);//为了防止历史过早过期,该参数规定了历史在最少保存天数(正整数)//防御CSS History Attack:
user_pref("browser.display.use_document_colors", true); //允许页面选择颜而无需使用上面的设置?
//user_pref("layout.css.visited_links_enabled", false);//彻底禁用访问过链接的颜?默认true,参考,该参数用来防御CSS History Sniffing攻击(3),//基于缓存/Canvas跟踪:
//user_pref("network.http.use-cache",false);//使用HTTP文件缓存?优先级最高,若为false,则禁用内存和磁盘缓存,参考,
//Etag:扩展-Truste,
user_pref("usttheweb.blockATMCookies",true);//拦截ATM Cookie?//user_pref("usttheweb.optoutATMCookies",false);//不参与ATM cookie?//user_p
ref("usttheweb.customATMCookies",true);//自定义ATMCookie?不晓得ATM cookie是什么
//user_pref("usttheweb.block3PCookies",false);//拦截第三方cookie?user_pref("ableJSBlocking",false);//拦截JS?user_pref("usttheweb.disableEtags",true);//拦截Etags?user_pref("usttheweb.blockBeacons",true);//拦截Beasons?user_pref("uste.adobeflashcookies",true);//重启FF时自动删除LSO?貌似失效了
//user_pref("usttheweb.whitelist","");//truste白名单user_pref("usttheweb.canSendReport",false);//不发送报告user_pref("uste.sendanonymoustrackers",false);//同上//HTML5存储:
//DOM存储与Cookie存储相同策略,需要询问授权,也可以禁用;indexDB暂时可以禁用,估计日后会和HTTP Cookie相同策略,询问授权user_pref("abled",false);//开启DOM存储?默认true user_pref("abled",false);//启用indexDB?可能会泄漏个人信息,僵尸Cookie API是用JS语言编写的,所以拦截JS能够完全阻止僵尸Cookie的生成,这方面工具较多,比如QuickJava、NoScript、Controle de Scripts,
当然了,更好地办法是使用Web应用隔离机制,因为所有这些跨站攻击都是基于一个共同点基础 - Web应用未被隔离/长期性用户状态信息可被重用,虽然,各种浏览器都采用了同源策略,但该策略实现的范围不够彻底,仅仅针对Cookie/HTML5存储和JS的访问权限,而缓存/历史记录等都是共享的
扩展SafeCache,SafeHistory,,就是对同源策略的扩展
发表评论