[Sicurezza] Hardening Tor Browser Bundle

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

[Sicurezza] Hardening Tor Browser Bundle

Messaggio da hashcat »

Riporto una bozza della configurazione prevista da me elaborata.

<<Firefox>>
  • Opzioni > Applicazioni > "PDF (Portable Document Format)": "Chiedi ogni volta"
  • Opzioni > Privacy > "utilizza impostazioni personalizzate" > "Accetta i cookie dai siti": No
  • Opzioni > Avanzate > Generale > "Avvisa se un sito web cerca di reindirizzare o ricaricare la pagina": Si [Probabile sovrapposizione con la funzionalità analoga offerta da NoScript]
<<Componenti aggiuntivi>>

HTTPS-Everywhere:
  • about:config > [extensions.https_everywhere.enable_mixed_rulesets;true] (Abilita le regole relative ai siti che presentano contenuto misto)
Certificate Patrol (installato a parte):
  • Opzioni > "Barra di notificazione" > "Accetta modificazioni di basso pericolo automaticamente dopo 0 secondi (0 = disattivato)"
  • Opzioni > "Dialoghi dettagliati" > "Mostra certificati nuovamente adottati": Si
  • Opzioni > "Dialoghi dettagliati" > "Mostra certificati wildcard già accettati ogni volta che si presentano per un host diverso": Si
  • Opzioni > Opzioni > "Memorizza certificati anche se in Private Browsing Mode": Si
RequestPolicy (installato a parte):
  • Opzioni > Generale > Precisione > "Indirizzo completo (http://www.requestpolicy.com:81)"
  • Opzioni > Generale > "Setup iniziale" > "Apri il setup iniziale" > Nessuna casella marcata
  • Opzioni > Generale > Avanzate > Pagine web > "Ricarica la pagina corrente quando cambia la Lista Bianca": No
NoScript:
  • Opzioni > Generale > Nessuna casella marcata
  • Opzioni > Lista fidata > "Esecuzione script abilitata globalmente (pericoloso)": No
  • Opzioni > Oggetti importati > Vieta (Java, "Adobe Flash", "Microsoft Silverlight", "altri plugin", WebGL, "<AUDIO> / <VIDEO>", @font-face): Si, "Applica queste restrizioni anche ai siti fidati": Si, "Blocca tutti gli oggetti provenienti da siti segnalati come non fidati": Si, "Chiedi conferma prima di sbloccare temporaneamente un oggetto": Si
  • Opzioni > Avanzate > "Non fidato" > "Vieta i bookmarklet": Si
  • Opzioni > Avanzate > "Non fidato" > "Blocca i reindirizzamenti META dall'interno di elementi <NOSCRIPT>": Si
  • Opzioni > Avanzate > HTTPS > Comportamento > "Proibisci i contenuti attivi dal web non serviti da HTTPS": Sempre
  • Opzioni > Avanzate > ABE > "Abilita ABE (Application Boundaries Enforcer)": Si
Safe [safe@cesaroliveira.net] (installato a parte):
  • Opzioni > "Warn when submitting password insecurely": Si (funziona??) [extensions.safe@cesaroliveira.net.password-warning;true], [extensions.safe@cesaroliveira.net.thickness;3em]
Smart Referer (installato a parte):
  • Opzioni > Strict: No [extensions.smart-referer.strict;false], Allow: <<vuoto>> [extensions.smart-referer.allow;], "Whitelist Source": <<vuoto>> [extensions.smart-referer.whitelist;], Mode: "Send the URL you're going to as referer" [extensions.smart-referer.mode;self], "User Referer": <<vuoto>> [extensions.smart-referer.referer;]
Torbutton:
"Per aumentare la tua privacy, Torbutton può richiedere la versione inglese delle pagine web. Perciò alcune pagine che preferiresti leggere nella tua lingua potrebbero essere visualizzate in inglese.

Preferisci richiedere le pagine web in inglese per una maggiore privacy?": Si

To be continued...


<<about:config>>

//Blocca il contenuto misto attivo (CSS)
security.mixed_content.block_active_content;true
//Blocca il contenuto misto passivo (immagini)
security.mixed_content.block_display_content;true
//Disabilita i cifrari meno sicuri (RC4 e 3DES), vieta l'utilizzo del DSS. Consenti solo i cifrari che offrono la Perfect Forward Secrecy (PFS)
security.ssl3.dhe_dss_aes_128_sha;false
security.ssl3.dhe_dss_aes_256_sha;false
security.ssl3.dhe_dss_camellia_128_sha;false
security.ssl3.dhe_dss_camellia_256_sha;false
security.ssl3.dhe_dss_des_ede3_sha;false
security.ssl3.dhe_rsa_des_ede3_sha;false
security.ssl3.ecdh_ecdsa_aes_128_sha;false
security.ssl3.ecdh_ecdsa_aes_256_sha;false
security.ssl3.ecdh_ecdsa_des_ede3_sha;false
security.ssl3.ecdh_ecdsa_rc4_128_sha;false
security.ssl3.ecdh_rsa_aes_128_sha;false
security.ssl3.ecdh_rsa_aes_256_sha;false
security.ssl3.ecdh_rsa_des_ede3_sha;false
security.ssl3.ecdh_rsa_rc4_128_sha;false
security.ssl3.ecdhe_ecdsa_des_ede3_sha;false
security.ssl3.ecdhe_ecdsa_rc4_128_sha;false
security.ssl3.ecdhe_rsa_des_ede3_sha;false
security.ssl3.ecdhe_rsa_rc4_128_sha;false
security.ssl3.rsa_aes_128_sha;false
security.ssl3.rsa_aes_256_sha;false
security.ssl3.rsa_camellia_128_sha;false
security.ssl3.rsa_camellia_256_sha;false
security.ssl3.rsa_fips_des_ede3_sha;false
security.ssl3.rsa_rc4_128_md5;false
security.ssl3.rsa_rc4_128_sha;false
security.ssl3.rsa_seed_sha;false


<<To Do>>
  • Analizzare ed espandere le impostazioni relative a Torbutton
  • Tenere in considerazione il bug #2837 (che, ad occhio, sembra essere sfruttabile anche in assenza di JavaScript per identificare l'utilizzo del Tor Browser Bundle)
  • Varie ed eventuali
:armato
“The quieter you become, the more you can hear”
Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio