Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
julio
(Total:
40
)
- Vulnerabilidad crítica en Bind explotable remotamente
- Posibles soluciones contra el fallo MMS de Android...
- Opciones de privacidad y seguridad en Mozilla Firefox
- Bug en Red Hat y derivados, permite a un usuario l...
- Bettercap, un completo framework para hacer MITM ...
- 4 nuevas vulnerabilidades 0day para Internet Explorer
- Criminales usan Malware para vaciar cajeros automá...
- Microsoft eliminará de sus resultados las imágenes...
- Comparativa de Google: Usuarios expertos en seguri...
- Docenas de aplicaciones en Google Play visitan sil...
- Nueva versión de WordPress soluciona varios fallos...
- Universal Studios pide quitar una copia pirata de ...
- Evita que el Wifi de tu dispositivo emita informac...
- Hook Analyser 3.2, herramienta de análisis de Malw...
- El documental "Zero Days", agujeros de seguridad a...
- PhotoDNA, la herramienta de Microsoft para combati...
- Detenido en Madrid un delincuente que vendió datos...
- Detenido un joven por instalar una aplicación espí...
- Vulnerabilidad antigua en MongoDB expone accidenta...
- Microsoft publica una actualización crítica para t...
- La No cON Name [NcN] 2015 será gratuita
- Cómo activar el Click to Play de Adobe Flash Playe...
- Disponible wifislax-4.11.1 versión de mantenimiento
- Evadir el Anti-Virus con Shellter 4.0 en Kali Linux
- Telegram sufre un fuerte DDoS de 200Gbps en la zon...
- Muere el presidente de Nintendo a los 55 años de edad
- Componente de Office permite ejecutar código malic...
- Retiran de Google Play una app fraudulenta copia f...
- EMET de Microsoft (Enhanced Mitigation Experience ...
- Anuncian actualización de OpenSSL tras una nueva g...
- Adobe confirma vulnerabilidad crítica 0day en Flas...
- Miembro de Lizard Squad de 17 años declarado culpa...
- I Jornadas Nacionales de Investigación en Ciberseg...
- Los clientes de Hacking Team eran también gobierno...
- Según un estudio, el 8% de las cuentas Instagram s...
- Kali Linux 2.0 aka Kali Santa ya tiene fecha de s...
- Segunda edición de CyberCamp 26-29 de noviembre en...
- Gusanos que se propagan por USB son el malware más...
- Utilizan routers de usuarios domésticos para propa...
- El antivirus Avira gana el caso de una demanda int...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Opciones de privacidad y seguridad en Mozilla Firefox
miércoles, 29 de julio de 2015
|
Publicado por
el-brujo
|
Editar entrada
Algunas opciones para proteger nuestra seguridad y privacidad en el Navegador Mozilla Firefox usando directamente la configuración del navegador o bien usando extensiones de terceros. Ejemplos para activar cualquier plugin como Adobe Flash Player o Java haciendo click para activar o desactivar por completo, además del reciente leak de ip en WebRTC ya que aunque estés usando VPN o TOR puede mostrar tu IP real.
Siempre usando la opción en la barra del navegador:
Debemos poner a false (falso) los valores que se indican.
Esto evitará que cualquier sitio web no listado arriba solicite permiso para envirle notificaciones. Bloquear el envío de notificaciones puede afectar a las características de algunos sitios web.
Estabilidad y rendimiento informes.
Estadísticas de uso.
Un plugin binario (de código cerrado) se usa a partir de Firefox versión 38
Se permite la reproducción de los medios de comunicación cifrados y le permite utilizar p.ej. Netflix sin Microsoft Silverlight. Para eliminar completamente el plugin tendrías que instalar una acumulación de EME gratuita de Firefox.
Valores:
Un servicio de terceros para la gestión de una lista de lecturas de artículos.
Todo lo que escriba en el cuadro de búsqueda se envía al motor de búsqueda. Sugerencias sobre la base de la historia local seguirán funcionando.
Fugas de la IP real cuando se utiliza VPN / TOR.
WebRTC (Web Real-Time Communication) es un protocolo de código abierto desarrollado por Mozilla que permite establecer conexiones P2P para establecer llamadas de vídeo y de audio entre dos navegadores sin la necesidad de utilizar plugins ni software adicional más allá del propio navegador web utilizando APIs de JavaScript.
"Compartir Ubicación"
Haz clic en el botón Menú
y elige Complementos. Se abrirá la pestaña del Administrador de Complementos.
En la pestaña del Administrador de Complementos, selecciona el panel Plugins.
Busca Shockwave Flash en tu lista. Establécelo a Preguntar para activar.
La próxima vez que visites un sitio web que requiere Flash, haz clic en la ventana emergente "Activar Adobe Flash" para activar el plugin, si fuera necesario.
Ahora el contenido de de Flash Player saldrá así:
Ejemplo:
Para activar esta opción en Firefox simplemente debemos abrir el navegador y teclear en la barra de direcciones :
Una vez dentro de los ajustes avanzados buscaremos el apartado
y cambiaremos su valor a “false” a "true"
Lo único que nos queda por hacer es reiniciar el navegador y volver a entrar en él. A partir de ahora todo el contenido Flash y HTML5 que se intente reproducir automáticamente en nuestro navegador quedará bloqueado por defecto y tendremos que ejecutarlo nosotros mismos cuando realmente lo necesitemos.
Esta función, aunque es válida para un gran número de webs, no es perfecta ya que algunas páginas como YouTube ignoran estas configuraciones y siguen reproduciendo automáticamente el contenido HTML5. Debemos tener en cuenta que aunque es muy sencillo identificar y bloquear el contenido Flash en el caso del HTML5 es mucho más complicado y, por el momento, no hay una solución perfecta para esto.
Ejemplo:
WebRTC en Mozilla Firefox está soportado parcialmente desde Firefox 22, y está habilitada de forma predeterminada.
Para desactivar WebRTC en Firefox, vaya a
y debes poner el valor:
en false (falso)
Para deshabilitar WebRTC en Google Chrome es necesario usar una extensión:
O bien:
en la barra de direcciones del navegador y habilitar
Firefox y Chrome han implementado WebRTC que permiten peticiones STUN (Session Traversal Utilities for Nat) a losservidores que devolverá las direcciones IP locales y públicas para el usuario.
Estos resultados de solicitud están disponibles para javascript, por lo que ahora pueden obtener un usuarios de direcciones IP locales y públicas en javascript. Esta demo es una implementación ejemplo de ello.
Además, estas solicitudes STUN se hacen fuera del procedimiento normal de XMLHttpRequest, por lo que no son visibles en la consola de desarrollador o no van a a ser bloqueadas por los plugins como AdBlockPlus o Ghostery.
Esto hace que este tipo de solicitudes disponibles para el seguimiento en línea si un anunciante establece un servidor STUN con un dominio comodín.
Código
Fuentes:
https://github.com/amq/firefox-debloat
https://github.com/diafygi/webrtc-ips
Páginas de ejemplo para ver opciones de seguridad:
Siempre usando la opción en la barra del navegador:
about:config
Debemos poner a false (falso) los valores que se indican.
Evitar Notificaciones
about:preferences#privacy
- Bloquear nuevas solicitudes de emisión de notificaciones - (Block new requests asking to allow notifications)
dom.webnotifications.enabled > false
dom.push.enabled > false
dom.webnotifications.requireinteraction.enabled
Esto evitará que cualquier sitio web no listado arriba solicite permiso para envirle notificaciones. Bloquear el envío de notificaciones puede afectar a las características de algunos sitios web.
Estadísticas de Firefox
Estabilidad y rendimiento informes.
- datareporting.healthreport.service.enabled
- datareporting.healthreport.uploadEnabled
Estadísticas de uso.
- toolkit.telemetry.enabled
Encrypted Media Extensions (DRM)
Un plugin binario (de código cerrado) se usa a partir de Firefox versión 38
Se permite la reproducción de los medios de comunicación cifrados y le permite utilizar p.ej. Netflix sin Microsoft Silverlight. Para eliminar completamente el plugin tendrías que instalar una acumulación de EME gratuita de Firefox.
Valores:
- media.eme.enabled
- media.gmp-eme-adobe.enabled
Firefox Hello
Firefox se conecta a (Telefónica) servidores de terceros sin pedir permiso.
- loop.enabled
Pocket integration
Un servicio de terceros para la gestión de una lista de lecturas de artículos.
- browser.pocket.enabled
Sugerencias de búsqueda
Todo lo que escriba en el cuadro de búsqueda se envía al motor de búsqueda. Sugerencias sobre la base de la historia local seguirán funcionando.
- browser.search.suggest.enabled
WebRTC
Fugas de la IP real cuando se utiliza VPN / TOR.
WebRTC (Web Real-Time Communication) es un protocolo de código abierto desarrollado por Mozilla que permite establecer conexiones P2P para establecer llamadas de vídeo y de audio entre dos navegadores sin la necesidad de utilizar plugins ni software adicional más allá del propio navegador web utilizando APIs de JavaScript.
Ejemplo:
- media.peerconnection.enabled
Geolocalización
Por defecto pide confirmación."Compartir Ubicación"
- geo.enabled
Indicar a los sitios que no quiero ser rastreado
Do Not Track Me
- about:preferences#privacy
Activar con un click Adobe Flash Player en el Navegador Mozilla Firefox
- Ves a Herramientas --> Complementos (Plugins)
- En el plugin "Shockwave Flash" selecciona:
- Preguntar para activar
La próxima vez que visites un sitio web que requiere Flash, haz clic en la ventana emergente "Activar Adobe Flash" para activar el plugin, si fuera necesario.
Ahora el contenido de de Flash Player saldrá así:
Ejemplo:
Puedes por ejemplo permitir activar el plugin de Adobe Flash Player en una página web concreta:
Desactivar la reproducción automática de Flash en Firefox
Google Chrome ha introducido la semana pasada una configuración por defecto que bloquea la carga de contenido flash irrelevante por defecto ya sean vídeos como cualquier otro tipo de contenido o animación que su bloqueo no perjudique a la experiencia del usuario y de manera que con un solo click pueda reproducirlo fácilmentePara activar esta opción en Firefox simplemente debemos abrir el navegador y teclear en la barra de direcciones :
about:config
Una vez dentro de los ajustes avanzados buscaremos el apartado
media.autoplay.enable
y cambiaremos su valor a “false” a "true"
Lo único que nos queda por hacer es reiniciar el navegador y volver a entrar en él. A partir de ahora todo el contenido Flash y HTML5 que se intente reproducir automáticamente en nuestro navegador quedará bloqueado por defecto y tendremos que ejecutarlo nosotros mismos cuando realmente lo necesitemos.
Esta función, aunque es válida para un gran número de webs, no es perfecta ya que algunas páginas como YouTube ignoran estas configuraciones y siguen reproduciendo automáticamente el contenido HTML5. Debemos tener en cuenta que aunque es muy sencillo identificar y bloquear el contenido Flash en el caso del HTML5 es mucho más complicado y, por el momento, no hay una solución perfecta para esto.
Desactivar WebRTC en Firefox
Desactivar WebRTC (Web Real-Time Communication) en Firefox. Con webRTC podemos mostrar la ip real aunque estemos usando una VPN.Ejemplo:
WebRTC en Mozilla Firefox está soportado parcialmente desde Firefox 22, y está habilitada de forma predeterminada.
Para desactivar WebRTC en Firefox, vaya a
about:config
y debes poner el valor:
media.peerconnection.enabled
en false (falso)
Para deshabilitar WebRTC en Google Chrome es necesario usar una extensión:
O bien:
chrome://flags/
en la barra de direcciones del navegador y habilitar
"Desactivar enumeración de dispositivos WebRTC".
Código Script para saber la IP privada (local) y la IP pública usando WebRTC
Firefox y Chrome han implementado WebRTC que permiten peticiones STUN (Session Traversal Utilities for Nat) a losservidores que devolverá las direcciones IP locales y públicas para el usuario.
Estos resultados de solicitud están disponibles para javascript, por lo que ahora pueden obtener un usuarios de direcciones IP locales y públicas en javascript. Esta demo es una implementación ejemplo de ello.
Además, estas solicitudes STUN se hacen fuera del procedimiento normal de XMLHttpRequest, por lo que no son visibles en la consola de desarrollador o no van a a ser bloqueadas por los plugins como AdBlockPlus o Ghostery.
Esto hace que este tipo de solicitudes disponibles para el seguimiento en línea si un anunciante establece un servidor STUN con un dominio comodín.
Código
//get the IP addresses associated with an account function getIPs(callback){ var ip_dups = {}; //compatibility for firefox and chrome var RTCPeerConnection = window.RTCPeerConnection || window.mozRTCPeerConnection || window.webkitRTCPeerConnection; var useWebKit = !!window.webkitRTCPeerConnection; //bypass naive webrtc blocking using an iframe if(!RTCPeerConnection){ //NOTE: you need to have an iframe in the page right above the script tag // //iframe id="iframe" sandbox="allow-same-origin" style="display: none;">/iframe //script>...getIPs called in here... // var win = iframe.contentWindow; RTCPeerConnection = win.RTCPeerConnection || win.mozRTCPeerConnection || win.webkitRTCPeerConnection; useWebKit = !!win.webkitRTCPeerConnection; } //minimal requirements for data connection var mediaConstraints = { optional: [{RtpDataChannels: true}] }; var servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]}; //construct a new RTCPeerConnection var pc = new RTCPeerConnection(servers, mediaConstraints); function handleCandidate(candidate){ //match just the IP address var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/ var ip_addr = ip_regex.exec(candidate)[1]; //remove duplicates if(ip_dups[ip_addr] === undefined) callback(ip_addr); ip_dups[ip_addr] = true; } //listen for candidate events pc.onicecandidate = function(ice){ //skip non-candidate events if(ice.candidate) handleCandidate(ice.candidate.candidate); }; //create a bogus data channel pc.createDataChannel(""); //create an offer sdp pc.createOffer(function(result){ //trigger the stun server request pc.setLocalDescription(result, function(){}, function(){}); }, function(){}); //wait for a while to let everything done setTimeout(function(){ //read candidate info from local description var lines = pc.localDescription.sdp.split('\n'); lines.forEach(function(line){ if(line.indexOf('a=candidate:') === 0) handleCandidate(line); }); }, 1000); } //Test: Print the IP addresses into the console getIPs(function(ip){console.log(ip);});
Fuentes:
https://github.com/amq/firefox-debloat
https://github.com/diafygi/webrtc-ips
Páginas de ejemplo para ver opciones de seguridad:
Extensiones de Firefox recomendadas de Seguridad y Privacidad
- Tinfoil
- AdBlock Plus (Gestor Anuncios)
- FlashBlock (Descontinuada)
- LastPass (Gestor Contraseñas)
- NoScript
- HTTPS Everywhere (Fuerza HTTPS)
- uBlock Origin
- Do Not Track Me (Anti-tracking y anti-cookies)
- Disconnect (Anti-tracking y anti-cookies)
- Ghostery (Anti-tracking y anti-cookies)
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
2 comentarios :
Entiendo que al cambiar a 'false' las opciones:
browser.safebrowsing.enabled
browser.safebrowsing.downloads.enabled
browser.safebrowsing.malware.enabled
se deshabilita la navegación segura. ¿Por qué hacer ese cambio? ¿O lo he entendio al revés?
Según https://github.com/amq/firefox-debloat "Google Safe Browsing" "Leaks the browsing history to Google", pero no está demostrado ni explicado cómo, así que mejor lo quito, Tal y cómo dicen en https://news.ycombinator.com/item?id=9779440: En teoría sólo descarga de Google una lista de urls que deben ser bloqueadas cada x minutos, pero no manda información. Cómo máximo compara las urls locales con las descargas. Además seguramente los beneficios de evitar Phishing son muy superiores a los de la privacidad. Lo quito de la lista para no causar confusión a usuarios noveles. Gracias por avisar
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.