Come aumentare la sicurezza e la privacy su Firefox senza ricorrere alle estensioni

Firefox, come molti altri browser moderni, dispone di una serie di estensioni che ne ampliano le funzioni e ci permettono di fare molte cose in più quando navighiamo, ci proteggono dalla pubblicità, dagli script pericolosi, dai siti di phishing e tantissime altre funzionalità. Però ogni estensione ha un "costo" in termini di memoria RAM utilizzata e questo, con un browser già piuttosto esigente in termini di consumo di memoria può essere, per alcune persone, un problema.

I metodi che andremo a elencare nel resto dell'articolo non escludono di per sé il possibile utilizzo di estensioni, ma ne rendono alcune ridondanti, inoltre alcune delle modifiche indicate potrebbero non essere compatibili con le vostre esigenze di navigazione. Quindi valutate bene quali applicare.

Procedimento senza estensioni

Per capire meglio lo scopo dell'articolo, chiariamo cosa fa concretamente l'estensione Adguard nella modalità Stealth, viene spiegato tutto dettagliatamente in questa pagina.

Le protezioni opzionali dello Stealth mode sono rispettivamente:

Nascondi referer di terze parti,
Invia il Do Not Track header,
Rimuovi l'intestazione X Client (utile per chi usa Chrome, non per Firefox),
Blocca WebRTC,
Autodistruzione dei cookie di terze e di prime parti
Elimina i parametri di tracciamento (è l'URL cleaning per aggirare principalmente Google Analytics),
Nascondi domande di ricerca.

Tutte queste protezioni si possono ottenere su Firefox semplicemente così:

per i referer andare su about:config e impostare i seguenti parametri

network.http.referer.trimmingPolicy : 1
network.http.referer.XOriginTrimmingPolicy : 1
network.http.referer.defaultPolicy : 2

Immagine 1 foto1

Il Do Not Track header, che è una semplice richiesta di non essere tracciati, che i siti quasi sempre disattendono e può anzi servire per il fingerprinting, su Firefox si può impostare semplicemente da Opzioni, Privacy e sicurezza, Invia ai siti un segnale Do Not Track e cliccare su Sempre.

Immagine 2 foto2

Per il blocco WebRTC basta andare su about:config e impostare il seguente parametro: media.peerconnection.enabled : false

Immagine 3 foto3

Per l'autodistruzione globale dei cookie, sempre da about:config impostare i seguenti parametri:

privacy.firstparty.isolate : true
network.cookie.cookieBehavior : 1 (blocca i cookie di terze parti)
network.cookie.lifetimePolicy : 2 (cancella tutti i cookie alla fine di ogni sessione)

Le protezioni non opzionali dello Stealth mode di Adguard sono invece:

Disable cache for third-party requests,
Block third-party Authorization header,
Block Push API,
Block Location API,
Block Flash,
Block Java,
Hide UserAgent
Hide IP (che è un semplice proxy)

Anche queste si possono impostare su Firefox in modo nativo.

Per la cache, avevamo già fatto la modifica in precedenza con network.cookie.lifetimePolicy, altrimenti basta andare su Opzioni, Privacy e sicurezza, Cookie e dati dei siti web e selezionare Elimina cookie e dati dei siti web alla chiusura di Firefox.

Dato che qualche sito potrebbe non funzionare più senza il suo cookie, da Gestisci permessi si può creare una lista di siti che possono salvare dati e negare questa possibilità a tutti gli altri.

Immagine 4 foto5

Per il blocco del modulo di autorizzazione agli header di terze parti, bastano le impostazioni precedenti e cancellare la cronologia dopo ogni log out.

Il blocco dei push API, le notifiche che ogni tanto vedete comparire in alcuni siti, si ottiene da Opzioni, Privacy e Sicurezza, Permessi, Notifiche, Impostazioni, Blocca nuove richieste di inviare notifiche e Salva cambiamenti.

Immagine 5 foto6

Il blocco della geolocalizzazione si ottiene impostando da about:config il parametro

geo.enabled : false

Immagine 6 foto7

Il blocco dei plugin Flash su Firefox era già attivo di default nelle vecchie versioni, ora gli NPAPI vengono isolati ed eseguiti in una sandbox interna e non occorre fare niente.

Anche i Javascript possono essere bloccati su Firefox da about:config impostando il parametro

javascript.enabled : false

Attenzione che questa modifica vi mette al riparo da alcuni tipi di attacchi e diffusione di malware, ma provoca l'impossibilità di riprodurre i video di Youtube e potrebbe bloccare il funzionamento di molti siti.

Lo UserAgent che imposta Adguard è in ambiente Linux, su Firefox lo si può cambiare nativamente accedendo a about:config e aggiungendo il parametro a stringa general.useragent.override e assegnandogli uno dei valori che possono essere trovati qui.

L'IP può essere modificato con un proxy, ma il modo più sicuro è affidarsi a una buona VPN (vedi).

I parametri di tracciamento e le domande di ricerca sono ovviamente puliti, criptati e non riferibili all'IP di provenienza in una VPN, ma vengono criptati come tutto il traffico anche nella modalità DoH che Firefox offre nativamente.

Ma Firefox offre anche altri settaggi per la sicurezza e la privacy.

Tanto per cominciare, se la privacy è la nostra preoccupazione principale è bene cambiare il motore di ricerca predefinito, che è Google, e impostare Qwant che è un motore di ricerca francese e quindi applica la legislazione sulla privacy europea, più vincolante e rigorosa di quella americana.

Immagine 7 foto8

Si può inoltre disattivare la telemetria di Mozilla negando a Firefox il permesso di inviare report, dati, crash e quant'altro.

Immagine 8 foto9

Disattivare i suggerimenti di ricerca, perché i suggerimenti provengono da informazioni che il motore di ricerca prende dalla cronologia del browser.

Immagine 9 foto10

Mentre da Opzioni, Privacy e sicurezza, Protezione antitracciamento avanzata cliccare su Restrittiva.

Immagine 10 foto11

Altri settaggi possibili da about:config

media.navigator.enabled : false (impedisce di attivare microfoni)
network.dns.disablePrefetch : true e network.prefetch-next : false (disabilitano le prefetch anche a livello DNS)
webgl.disabled : true (webGL per i browser moderni è un potenziale rischio, vedi qui, qui e qui)
dom.event.clipboardevents.enabled : false (impedisce ai siti di tracciare i copia e incolla)
media.eme.enabled : false (impedisce la riproduzione nel browser di contenuti protetti da diritti d'autore DRM; settando così questo parametro si ha una protezione avanzata contro il tracciamento di questa tipologia di dati, ma ovviamente non si possono più usare in Firefox servizi come Spotify)

Firefox dispone già nativamente anche di una sua protezione contro il fingerprinting che è attiva di default nel fork browser Tor.

Per attivarla anche su Firefox, settare da about:config:

privacy.resistFingerprinting : true
privacy.trackingprotection.fingerprinting.enabled : true

Quest'ultimo setting comporterà il fastidio di vedere Firefox aprirsi in una finestra ridotta anziché a pieno schermo.

Ripristinare i valori precedenti

Se qualche modifica che avete fatto non ha dato gli esiti sperati, anzi vi ha creato dei problemi, basta ritornare in about:config e possono essere ripristinate al valore precedente cliccando sull'apposita icona.

Immagine 11 foto12

Se proprio non potete fare a meno delle estensioni

Le estensioni che vale comunque la pena di installare per me sono ben poche:

Privacy Badger (antitracking di terze parti comportamentale della EFF, convive tranquillamente con qualsiasi adblocker e non è rilevato dagli antiadblock),
HTTPS Everywhere (sempre della EFF),
Decentraleyes (protegge contro alcuni tipi di attacchi),
un buon gestore password (io ho scelto Bitwarden, open source, semplice e settabile)
l'adblocker: Adguard è un adblocker classico che protegge meglio di tutti gli altri contro malware e phishing; uBlock Origin è un bloccatore globale che può funzionare come adblocker e fare anche altro: in particolare consente, attivando nella dashboard la spunta Sono un utente avanzato, di accedere al filtraggio dinamico nelle modalità Easy (con il blocco globale dei frame di terze parti), Medium (blocco globale di frame e script di terze parti) o Hard (blocco totale di frame, script e di tutti gli elementi di terze parti): questi ultimi due modi richiedono un settaggio attento dei domini da autorizzare sito per sito, quello Easy è più semplice; ma è comunque molto facile poter bloccare globalmente un dominio che già si conosce come tracciante o malizioso creando contemporaneamente l'eccezione per un sito sicuro.