[컴][웹] firefox 보안 관련 설정

추적당하지 않도록 웹 브라우저 설정하는 방법 / 캡챠 captcha 가 안보이는 경우

update, 2023-04-09

보안을 생각하면 mullvad browser 쪽이 더 좋을 듯은 하다. 다만 좀 불편하긴 하다.

• How does the mullvad browser compare to firefox with arkenfox user.js? : r/mullvadvpn
• The Mullvad Browser hard facts: list of settings and modifications
• Mullvad Browser download

update, 2022-11-22

https://librewolf.net/ : 개인 정보 보안을 강화해서 build 한 firefox 에서 fork 한 프로젝트 

• WebGL is disabled? : LibreWolf : WebGL이 꺼져있다. webgl 이 figerprint 하기 쉬운 방법중 하나라고 함.
• browser 의 autofill(자동완성) 을 꺼야하는 이유 : 자동완성도 꺼져있다.

https://pulsebrowser.app/ : 일 생산성에 초점을 맞춘 hyper minimalistic UI , buil-in tools 를 넣어서 만든 firefox 라고 한다.

intika/Librefox: Librefox: Firefox with privacy enhancements : firefox 의 초기설정을 privacy 에 초점을 맞춰서 자동으로 해준다.

updated: 2020-05-17

• firefox 에서 보안설정 간편하게 하기

updated: 2019-11-10

보안을 위해 할일

1. 기기 이름 변경
2. 방문한 곳 삭제 - 되도록 gps 정보를 요구하지 않는 app 을 사용한다. - 평소에 위치정보를 끄고 다닌다.
3. 사용하지 않는 앱들을 지운다. - SNS 관련 앱들 - 날씨 앱들 - 게임들
4. privacy 와 관련된 browser 를 사용하고, 관련 설정을 한다.

더 자세한 내용은 여기를 확인하자.

updated: 2019-05-18

주소창에 : about:preferences#privacy

• check Trackers
• cookies : All Third-party Cookies
• 이 경우 captcha 가 안보이는 경우가 생긴다.(다른 domain 에 대한 js 를 block 하고, 다른 domain 에서 cookie(local storage 를 사용하지 못하게 하기 때문이다.)

updated: 2018-10-19

privacytools.io 에 대부분의 내용이 정리되어 있다. : Privacy Tools - Encryption Against Global Mass Surveillance

search engine 변경 : 

• 이것도 위의 privacytools.io 에 있다. (여기)
• 검색엔진을 변경해야 하는 이유에 대해서는 "Measuring the Filter Bubble: How Google is influencing what you click"을 확인하자.

updated: 2018-02-10

Referrer Policy

Firefox 59 부터는 "Private Browsing mode" 에서 Referrer Policy 가 기본적으로 strict-origin-when-cross-origin 으로 되어 있다.

• Preventing data leaks by stripping path information in HTTP Referrers | Mozilla Security Blog

default 값의 변경은 "about:config" 에서 "network.http.referer.defaultPolicy" 값을 '2' 로 변경하면 된다.

• https://wiki.mozilla.org/Security/Referrer

updated: 2016-Jan-22

좋은 글을 발견했다. firefox 에서 가능한 보안 설정에 대한 총정리? 같은 개념이다. 아래 글을 바탕으로 아래 글들을 update 했다.

• Guide: Hardening Mozilla Firefox For Privacy & Security 2015 | Cyber Security Wiki | Viking VPN Service

Plugins

• uBlock : adblock plus 같은 플러그인은 열어놓는 광고들이 있다. 그런데 이 녀석은 모두 다 막는다.
• No Script : script 로 구현된 tracking 기술들이 많다. 이런것들을 막아준다. 그리고 원하면 열수도 있다.
• Privacy Badger : 이 녀석은 페이지에서 접속하는 대부분 site 에 대한 개별 설정이 가능하다.(쿠키 사용, 차단등) 그래서 이전에 알려지지 않은 tacker 들도 바로 차단이 가능하다.
• Lightbeam : 이 녀석을 통해 내가 사용한 브라우저의 데이터가 어떤 흐름을 갖는지 볼 수 있다고 한다.

about:config

WebRTC 끄기: media.peerconnection.enabled  --> false

RC4 암호화로 된 통신 배제 : security*rc4 로 검색  -->  모두 false

3DES cipher 도 끄기 : security*des 로 검색  -->  모두 false

안전하지 않은 접근차단하고, 발생하면 경고 보이기 : 

• security.ssl.require_safe_negotiation --> true
• security.ssl.treat_unsafe_negotiation_as_broken --> true

form 정보 저장 끄기 : browser.formfill.enable --> false

disk 에 cache 안하기 : 

• browser.cache.disk.enable --> false
• browser.cache.disk_cache_ssl --> false

offline 용으로 저장하는 것 끄기 : browser.cache.offline.enable --> false

firefox 가 clipboard 에 접근하는 것 차단 : dom.event.clipboardevents.enabled --> false

geolocation 정보를 3rd party 에 보내는 것을 차단 : geo.enabled --> false

브라우저 닫을 때 언제나 모든 cookie 를 삭제 : network.cookie.lifetimePolicy --> 2

plugin 설치 정보 전달 차단 : plugin.scan.plid.all --> false

cache directory 변경 : how do I specify or move my cache directory?

network.http.referer.defaultPolicy --> 2

User Agent 속이기

아래 2개를 설치하자.

• UAControl 
• User-Agent JS Fixer 

UAControl 로 User Agent 를 변경하고 User-Agent JS Fixer 를 사용해서 좀 더 복잡한 javascript 호출에서도 변경된 User Agent 가 적용될 수 있도록 해준다고 한다. 사용법은 위의 원문을 참고하자.

• http://www.browser-info.net/useragents : 많이 사용되는 UAProfile 을 확인할 수 있다. (여기도 update 가 안되는듯하다.)
• Most Common User Agents - Tech Blog (wh) : 자신의 blog 에 방문하는 user agent 들을 모아서 most-popular user agent 를 보여준다. 훨씬 최신정보를 얻을 수 있다.

updated : 2015-Dec-21

Privacy Badger 를 발견했다. 이녀석은 cookie 를 좀 더 세밀하게 조정해서 막을 수 있다. 그래서 다시 chrome 을 사용하기로 했다. 관련된 사항은 아래를 참고하자.

• 쿠...sal: [컴][웹] chrome 에서 보안 강화

updated : 2015-Dec-06

2개의 browser 사용

결국 2개의 browser 를 사용하기로 했다. 1개는 cookie 를 전혀 사용하지 않는 setting 을 이용하고, 다른 하나는 login 과 관련된 작업만을 위해서 사용하기로 했다.

browser 정보 노출

아래 사이트에 가면, 내 브라우저에서 어떤 정보가 노출 되는지 알 수 있다.

• https://panopticlick.eff.org/

search proxy

• Disconnect Search: Search privately using your favorite search engine

---

Firefox에서 추적방지

• Tracking Protection in Private Browsing | Firefox 도움말

위의 글을 보면

• https://disconnect.me/trackerprotection

의 list 를 이용해서 차단하고, 차단하지 않고를 결정하는 듯 하다. 그래서 완전한 추적방지는 힘들어 보인다.

cookie 차단 목록

• http://enrypted.google.com
• https://enrypted.google.com
• http://play.google.com
• http://www.google.com
• https://www.google.com 
• http://www.google.co.kr
• https://www.google.co.kr  
• http://www.youtube.com/
• https://www.youtube.com/
• google.com
• google-anaytics.com
• gstatic.com
• googleusercontent.com

Firefox 에서 개인정보 설정

확실히 이런 설정은 사용하는 사람의 편리성을 제약시킨다.

설정 > 개인정보 

쿠키를 "항상 물어보기" 로 선택하는 이유는 아예 사용하지 않을 수는 없기 때문에, 이 정보를 제한 시키는 방법으로 사용한다. 보통 대부분의 우리가 잘 모르는 정보들이 이 쿠키에 저장되었다가 어느순간 서버로 들어가기 때문이다.

정확하지는 않지만, 사생활보호 모드로만 이용해도 아마 쿠키는 어느정도 허용해야 한다. login 등에서는 필요하니까.

updated : 며칠을 써보니, 그냥 "사생활 보호 모드로만 이용"이 가장 나은 듯 하다.그리고 혹시 cookie 가 필요한 곳은 "예외 목록" 에 추가하면 된다.

방문 기록 삭제 결정

여기서 "웹사이트 설정"을 살려놔야 한다. 이것은 쿠키를 "항상 물어보기" 로 해놨기 때문에, 사이트마다 쿠키에 대한 허가, 차단 여부를 정하게 되는데, 이 정보를 기억할 수 있게 된다.

검색엔진 수정

https://encrypted.google.com 로 변경하자.

• http://mycroftproject.com/google-search-plugins.html

위 link 에서 ecrypted 를 찾으면 된다. 이 주소로 변경하면 적어도 검색할 때 주소에 붙어서 google 에 전달되는 정보는 막을 수 있다.

Flash cache 지우기

• BetterPrivacy :: Add-ons for Firefox

위의 add-on 은 flash 에서 설정하는 cookie 를 지워준다. 이 녀석은 flash 에서 따로 설정하는 것이라서 browser 의 cache 설정에 영향을 받지 않는다고 한다.

참고로 firefox 의 private mode 를 사용한다면, 이녀석을 사용할 필요가 없다. private mode 에서는 알아서 지워준다.