Algunas opciones para proteger nuestra seguridad y privacidad en el Navegador Mozilla Firefox usando directamente la configuración del navegador o bien usando extensiones de terceros. Ejemplos para activar cualquier plugin como Adobe Flash Player o Java haciendo click para activar o desactivar por completo, además del reciente leak de ip en WebRTC ya que aunque estés usando VPN o TOR puede mostrar tu IP real.





 Siempre usando la opción en la barra del navegador:

about:config 

Debemos poner a false (falso) los valores que se indican.

Evitar Notificaciones

about:preferences#privacy

• Bloquear nuevas solicitudes de emisión de notificaciones - (Block new requests asking to allow notifications)

dom.webnotifications.enabled > false

dom.push.enabled > false

dom.webnotifications.requireinteraction.enabled

Esto evitará que cualquier sitio web no listado arriba solicite permiso para envirle notificaciones. Bloquear el envío de notificaciones puede afectar a las características de algunos sitios web.

Estadísticas de Firefox

Estabilidad y rendimiento informes.

• https://www.mozilla.org/en-US/privacy/firefox/#health-report

• datareporting.healthreport.service.enabled

• datareporting.healthreport.uploadEnabled

Estadísticas de uso.

• toolkit.telemetry.enabled

Encrypted Media Extensions (DRM)

• https://wiki.mozilla.org/Media/EME

Un plugin binario (de código cerrado) se usa a partir de Firefox versión 38

Se permite la reproducción de los medios de comunicación cifrados y le permite utilizar p.ej. Netflix sin Microsoft Silverlight. Para eliminar completamente el plugin tendrías que instalar una acumulación de EME gratuita de Firefox.

• http://download.cdn.mozilla.net/pub/firefox/releases/latest/win32-EME-free/

Valores:

• media.eme.enabled

• media.gmp-eme-adobe.enabled

Firefox Hello

• https://blog.elhacker.net/2014/10/firefox-hello-permite-hacer-videollamadas-navegador.html

Firefox se conecta a (Telefónica) servidores de terceros sin pedir permiso.

• loop.enabled

Pocket integration

Un servicio de terceros para la gestión de una lista de lecturas de artículos.

• browser.pocket.enabled

Sugerencias de búsqueda

Todo lo que escriba en el cuadro de búsqueda se envía al motor de búsqueda. Sugerencias sobre la base de la historia local seguirán funcionando.

• browser.search.suggest.enabled

WebRTC

Fugas de la IP real cuando se utiliza VPN / TOR.

WebRTC (Web Real-Time Communication) es un protocolo de código abierto desarrollado por Mozilla que permite establecer conexiones P2P para establecer llamadas de vídeo y de audio entre dos navegadores sin la necesidad de utilizar plugins ni software adicional más allá del propio navegador web utilizando APIs de JavaScript.

• media.peerconnection.enabled

Ejemplo:

• https://www.elhacker.net/geoip.html

Geolocalización

Por defecto pide confirmación.

• https://www.mozilla.org/es-ES/firefox/geolocation/

"Compartir Ubicación"

• geo.enabled

Indicar a los sitios que no quiero ser rastreado

Do Not Track Me

• about:preferences#privacy

Activar con un click Adobe Flash Player en el Navegador Mozilla Firefox

• Ves a Herramientas --> Complementos (Plugins)
• En el plugin "Shockwave Flash" selecciona:
• Preguntar para activar

La próxima vez que visites un sitio web que requiere Flash, haz clic en la ventana emergente "Activar Adobe Flash" para activar el plugin, si fuera necesario.

Ahora el contenido de de Flash Player saldrá así:



Ejemplo:

• http://www.adobe.com/software/flash/about/

Desactivar la reproducción automática de Flash en Firefox

Google Chrome ha introducido la semana pasada una configuración por defecto que bloquea la carga de contenido flash irrelevante por defecto ya sean vídeos como cualquier otro tipo de contenido o animación que su bloqueo no perjudique a la experiencia del usuario y de manera que con un solo click pueda reproducirlo fácilmente

Para activar esta opción en Firefox simplemente debemos abrir el navegador y teclear en la barra de direcciones :

about:config

Una vez dentro de los ajustes avanzados buscaremos el apartado

media.autoplay.enable

y cambiaremos su valor a “false” a "true"

Lo único que nos queda por hacer es reiniciar el navegador y volver a entrar en él. A partir de ahora todo el contenido Flash y HTML5 que se intente reproducir automáticamente en nuestro navegador quedará bloqueado por defecto y tendremos que ejecutarlo nosotros mismos cuando realmente lo necesitemos.

Esta función, aunque es válida para un gran número de webs, no es perfecta ya que algunas páginas como YouTube ignoran estas configuraciones y siguen reproduciendo automáticamente el contenido HTML5. Debemos tener en cuenta que aunque es muy sencillo identificar y bloquear el contenido Flash en el caso del HTML5 es mucho más complicado y, por el momento, no hay una solución perfecta para esto.

Desactivar WebRTC en Firefox

Desactivar WebRTC (Web Real-Time Communication) en Firefox. Con webRTC podemos mostrar la ip real aunque estemos usando una VPN.



Ejemplo:

• https://www.elhacker.net/geoip.html

WebRTC en Mozilla Firefox está soportado parcialmente desde Firefox 22, y está habilitada de forma predeterminada.

Para desactivar WebRTC en Firefox, vaya a

 about:config 

y debes poner el valor:

 media.peerconnection.enabled

en false (falso)

Para deshabilitar WebRTC en Google Chrome es necesario usar una  extensión:

• WebRTC Block

O bien:

chrome://flags/ 

 en la barra de direcciones del navegador y habilitar

 "Desactivar enumeración de dispositivos WebRTC".

Código Script para saber la IP privada (local) y la IP pública usando WebRTC

Firefox y Chrome han implementado WebRTC que permiten peticiones STUN (Session Traversal Utilities for Nat) a losservidores que devolverá las direcciones IP locales y públicas para el usuario.

 Estos resultados de solicitud están disponibles para javascript, por lo que ahora pueden obtener un usuarios de direcciones IP locales y públicas en javascript. Esta demo es una implementación ejemplo de ello.

Además, estas solicitudes STUN se hacen fuera del procedimiento normal de XMLHttpRequest, por lo que no son visibles en la consola de desarrollador o no van a a ser bloqueadas por los plugins como AdBlockPlus o Ghostery.

Esto hace que este tipo de solicitudes disponibles para el seguimiento en línea si un anunciante establece un servidor STUN con un dominio comodín.

Código

//get the IP addresses associated with an account
function getIPs(callback){
    var ip_dups = {};

    //compatibility for firefox and chrome
    var RTCPeerConnection = window.RTCPeerConnection
        || window.mozRTCPeerConnection
        || window.webkitRTCPeerConnection;
    var useWebKit = !!window.webkitRTCPeerConnection;

    //bypass naive webrtc blocking using an iframe
    if(!RTCPeerConnection){
        //NOTE: you need to have an iframe in the page right above the script tag
        //
        //iframe id="iframe" sandbox="allow-same-origin" style="display: none;">/iframe
        //script>...getIPs called in here...
        //
        var win = iframe.contentWindow;
        RTCPeerConnection = win.RTCPeerConnection
            || win.mozRTCPeerConnection
            || win.webkitRTCPeerConnection;
        useWebKit = !!win.webkitRTCPeerConnection;
    }

    //minimal requirements for data connection
    var mediaConstraints = {
        optional: [{RtpDataChannels: true}]
    };

    var servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};

    //construct a new RTCPeerConnection
    var pc = new RTCPeerConnection(servers, mediaConstraints);

    function handleCandidate(candidate){
        //match just the IP address
        var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/
        var ip_addr = ip_regex.exec(candidate)[1];

        //remove duplicates
        if(ip_dups[ip_addr] === undefined)
            callback(ip_addr);

        ip_dups[ip_addr] = true;
    }

    //listen for candidate events
    pc.onicecandidate = function(ice){

        //skip non-candidate events
        if(ice.candidate)
            handleCandidate(ice.candidate.candidate);
    };

    //create a bogus data channel
    pc.createDataChannel("");

    //create an offer sdp
    pc.createOffer(function(result){

        //trigger the stun server request
        pc.setLocalDescription(result, function(){}, function(){});

    }, function(){});

    //wait for a while to let everything done
    setTimeout(function(){
        //read candidate info from local description
        var lines = pc.localDescription.sdp.split('\n');

        lines.forEach(function(line){
            if(line.indexOf('a=candidate:') === 0)
                handleCandidate(line);
        });
    }, 1000);
}

//Test: Print the IP addresses into the console
getIPs(function(ip){console.log(ip);});

Fuentes:
https://github.com/amq/firefox-debloat
https://github.com/diafygi/webrtc-ips


Páginas de ejemplo para ver opciones de seguridad:

• https://ipleak.net/
• https://www.browserleaks.com/ 

Extensiones  de Firefox recomendadas de Seguridad y Privacidad

• Tinfoil
• AdBlock Plus (Gestor Anuncios)
• FlashBlock (Descontinuada)
• LastPass (Gestor Contraseñas)
• NoScript
• HTTPS Everywhere (Fuerza HTTPS)
• uBlock Origin
• Do Not Track Me (Anti-tracking y anti-cookies)
• Disconnect (Anti-tracking y anti-cookies)
• Ghostery (Anti-tracking y anti-cookies)