LINUX.ORG.RU

Куда лезет фаерфокс сразу после старта? Как это прекратить?

 


6

4

Старт и запрос 192.168.0.1 — а чего оно забыло на амазоне и чёрти где ещё???

173.194.44.* — google (кто его просил?) 52.222.226.* — amazon

Как это (и другое) отключить? Понятно, там много траффика на незапрашиваемые ресурсы, но кто его просил?

17:54:21.446543 IP 192.168.0.100.47058 > 173.194.44.81.https: Flags [S], seq 1977460891, win 29200, options [mss 1460,sackOK,TS val 169013130 ecr 0,nop,wscale 7], length 0
17:54:22.563150 IP 192.168.0.100.54198 > 52.222.226.76.https: Flags [S], seq 305898223, win 29200, options [mss 1460,sackOK,TS val 169013409 ecr 0,nop,wscale 7], length 0
17:54:23.350950 IP 192.168.0.100.39798 > ec2-54-77-38-116.eu-west-1.compute.amazonaws.com.https: Flags [S], seq 983447588, win 29200, options [mss 1460,sackOK,TS val 169013606 ecr 0,nop,wscale 7], length 0
17:54:24.097911 IP 192.168.0.100.47514 > 192.168.0.1.http: Flags [S], seq 4231223268, win 29200, options [mss 1460,sackOK,TS val 169013793 ecr 0,nop,wscale 7], length 0
17:54:27.350394 IP 192.168.0.100.36732 > ec2-52-40-179-197.us-west-2.compute.amazonaws.com.https: Flags [S], seq 703735864, win 29200, options [mss 1460,sackOK,TS val 169014606 ecr 0,nop,wscale 7], length 0
17:54:28.037909 IP 192.168.0.100.59944 > 52.222.171.186.https: Flags [S], seq 2756436483, win 29200, options [mss 1460,sackOK,TS val 169014778 ecr 0,nop,wscale 7], length 0
17:54:29.458365 IP 192.168.0.100.59946 > 52.222.171.186.https: Flags [S], seq 2224463378, win 29200, options [mss 1460,sackOK,TS val 169015133 ecr 0,nop,wscale 7], length 0


я давным давно постил как лиса лезет синхронным вызовом connect при каждом нажатии enter в поле адреса куда-то в америку. правда там адрес был другой. 44 что-то там, могу ошибаться, хуизится на какую-то ассоциацию радиолюбителей.

тред модераторы потерли кстати, видимо это было свободное, демократическое решето.

лиса кстати после пары обновлений стала залипать по другому: она теперь не напрямую ломилась а через avahi.

лечится так: пишешь на С файл, где вызов connect просто в лоб сверяет адреса с забанеными и отвечает -1.

i36_zubov
()
Ответ на: комментарий от nebularia

Никаких расширений и плагинов.

fk0
() автор топика
Ответ на: комментарий от i36_zubov

Про DNS отдельная интересная история. Список резолвящихся хостов тоже очень ненормальный и я там подозреваю DNS-туннелинг...

Проблема в том, что список хостов, куда по SSL лезет мозилла — большой и сильно пересекается с рядом публичных сервисов, из-за его его не забанишь. Да и через hosts не забанишь (в интернете легко гуглится, есть жалобы, на то, что мозилла резолвит сама).

# ldd /usr/lib/firefox-esr/libxul.so |grep -i ssl libssl3.so => /usr/lib/i386-linux-gnu/libssl3.so (0xb2a45000)

Можно ли как-то подслушать на уровне до ssl, что там передаётся? Или оно статически тоже слинковано.

fk0
() автор топика
Ответ на: комментарий от i36_zubov

Забыл дописать. пишешь значит этот файл, где делаешь точную копию функции connect.

#include <sys/types.h>          /* See NOTES */
#include <sys/socket.h>
#include <dlfcn.h>
#include <errno.h>
typedef int (*connect_t)(
   int sockfd, 
   const struct sockaddr *addr,
   socklen_t addrlen);
static connect_t old_connect = 0;

int connect(int sockfd, 
   const struct sockaddr *addr,
   socklen_t addrlen)
{
   if (old_connect == 0) 
     old_connect = (connect_t)dlsym(RTLD_NEXT, "connect");
   if (addr->sa_family == AF_INET) {
       if (addrlen < sizeof(struct sockaddr_in)) {
          errno = EINVAL;
          return -1;
       }
       const struct sockaddr_in * sin = 
         (const struct sockaddr_in*)addr;
       switch(sin->sin_addr.s_addr) {
       case 0xbadip1:
       case 0xbadip2:
          errno = EINVAL;
          return -1;
       }
   }
   return old_connect(sock_fd, addr, addrlen);
}

это все компилишь в so (gcc -shared -o fuckfirefox.so myfile.c) и грузишь через LD_PRELOAD вперед фаерфокса.

i36_zubov
()
Ответ на: комментарий от fk0

я тут рецепт накидал, которым пользовался сам. пока фокс не полезет напрямую в системные вызовы, работать будет.

еще один момент - надо фоксу отрубить еще и коннект через AF_UNIX к avahi если есть. эта гнида и через него в сеть ломится.

i36_zubov
()
Ответ на: комментарий от i36_zubov

это все компилишь в so (gcc -shared -o fuckfirefox.so myfile.c) и грузишь через LD_PRELOAD вперед фаерфокса.[/quote

А через iptables не проще? Или вовсе в Dlink-роутере вписать.

fk0
() автор топика
Ответ на: комментарий от i36_zubov

тред модераторы потерли кстати, видимо это было свободное, демократическое решето.

Реквестирую ссылку на удалённый тред.

anonymous00 ★★
()

Собственно почему меня заинтересовала: шпионский код этот является порядочным говнокодом и периодически подвешивает мозиллу на пару секунд.

Вначале я думал, что это вот это: https://superuser.com/questions/399473/firefox-writes-megabytes-of-data-per-m... (актуально для тех, у кого SSD)

Но не особо помогало.

Потом думал, что это: https://bugs.launchpad.net/ubuntu/ bug/215728

Это мешало лишь отчасти. Подвисания стали редкими, но остались. В момент подвисания траффика нет, а потом сразу куча коннектов (SSL, на всякие амазоны) и DNS-запросов (тоже амазоны, гуглы).

fk0
() автор топика
Ответ на: комментарий от anonymous00

Что подобные темы трутся с google groups и mozilla-форума — факт. Их сам же google (ещё не потертые — бугага) и находит. Но внятного рецепта, кроме hosts, нет.

fk0
() автор топика
Ответ на: комментарий от fk0

Почему бы не собрать из сырцов свою мозиллу выкосив в сырцах список всех ненужных сайтов и почему никто это не сделает?

Каким вообще браузером сейчас можно пользоваться? Кроме мозиллы. Допустим, обойдусь без видео, флеша, html5. Но что-то уровня phpbb-сайта оно должно осилить.

fk0
() автор топика
Ответ на: комментарий от fk0

периодически подвешивает мозиллу на пару секунд.

Да-да-да, это оно самое. но через iptables не получится - т.к. код именно что говнокод, он блокируется в connectе. поэтому я сделал просто отбойник.

i36_zubov
()
Ответ на: комментарий от anonymous00

можно подумать, я помню этот пост. он на лоре провисел минут 15 пока его не снесли. вряд ли даже кто-то проиндексировал.

i36_zubov
()
Ответ на: комментарий от i36_zubov

Так в iptables можно в ответ RST заслать, и connect практически сразу вернёт ошибку. Не обязательно же просто дропать пакеты.

Вопрос опять же — для каких хостов? Не удивлюсь, если за одним ip-адресом сидит и шпионский функционал и какая-нибудь google-аутентификация.

Как бы использовать что-то вроде этого (https://github.com/jethrogb/ssltrace) или этого (http://trevorjim.com/debug-ssl-connections-with-a-shim/) или этого (https://wiki.wireshark.org/SSL) для записи соединения, что там фаерфокс отправляет? Может кто-то пробовал?

Может быть, имеет смысл удалить, забанить как-то (а как можно?) отдельные сертификаты и если сертификаты для шпионских сайтов отдельные — мы получим возможность их блокировать. Но можно ли запретить в фаерфоксе использование сертификата с заданными свойствами, как? На худой конец, наверное, этот сертификат виден в tcp-соединении...

fk0
() автор топика

Что Кирилл, паранойя разыгралась ?

Deleted
()
Ответ на: комментарий от fk0

я просто обрубил гадёнышу коннекты куда не надо и все продолжило работать. на крайняк можно сдампить траффик и посмотреть что там такое

i36_zubov
()
Ответ на: комментарий от i36_zubov

А это не ты аж брал лису от столманутых и она тоже «лезла»? Там много куда она лезть может с вполне благими целями.

Да и точно ли лиса? У меня без браузера тоже коннекты идут, без анализа хотя бы tcpdump/ssdump чё параноить?

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)

fk0

173.194.44.* — google

Ты думаешь лиса бесплатная? Нет, ты платишь приватностью. Конкретно это вроде проверка на так называемую «вирусню» и прочую гадость каждого запрошенного тобой ресурса.

52.222.226.76

А это хз, но скорее всего что-то аналогичное.

mandala ★★★★★
()

about:config

В строке поиска пишешь url

И абсолютно все строки с содержимым кроме chrome:// и resource:// меняешь на пустую строку.

Больше никто никуда не лезет.

Stanson ★★★★★
()

Icecat используй.

anonymous
()

В штаб борцунства за свободу разумеется. Это же не какой-то там хромой.

anonymous
()

А, ещё надо обязательно запретить такое мерзейшее дерьмо как serviceworkers: dom.serviceWorkers.enabled = false

Перед тем как это делать - зайди на about:serviceworkers и подивись, там скорее всего уже будет куча дряни, которая постоянно работает и втихушечку чёрт знает что сливает чёрт знает куда.

Stanson ★★★★★
()
Ответ на: комментарий от mandala

точно лиса, я ей ld_preload делал. ибо зависала она

лиса была бинарная из пакетов убунты

i36_zubov
()
Ответ на: комментарий от mandala

Что такое «лиса от столлманутых»?

У меня iceweasel и debian, который на самом деле firefox-esr.

Без браузера ничего не идёт. tcpdump и nethogs смотрел, netstat -nap смотрел. Может конечно уже руткит (было дело...) и его в netstat и ps не видно, но в tcpdump всё же видно.

fk0
() автор топика
Ответ на: комментарий от mandala

Хотят оплату: пусть принимают и в долларах. Хотят телеметрию — я даже соглашусь, если покажут что внутри и согласятся принимать её не в онлайне, а с задержкой, с другого хоста, и без привязки к хосту с которого идут запросы.

fk0
() автор топика
Ответ на: комментарий от fk0

Что такое «лиса от столлманутых»?

icecat назвается, но я бы не рекомендовал, там задержка в релизах около месяца с firefox'ом.

anonymous
()
Ответ на: комментарий от Stanson

И абсолютно все строки с содержимым кроме chrome:// и resource:// меняешь на пустую строку.

safebrowsing и так отключен. и в этом списке нет amazonaws.com, куда он тоже лезет, а в бинарнике (libxul.so) — есть.

fk0
() автор топика
Ответ на: комментарий от fk0

safebrowsing и так отключен.

Этого мало. Нужно удалить _все_ url.

и в этом списке нет amazonaws.com, куда он тоже лезет, а в бинарнике (libxul.so) — есть.

В libxul.so есть гигантский список разных доменов для этого дебильного автодополнения. Так что там не только амазон. Но оно по крайней мере хотя бы по ним не лазает и автодополнение пока ещё можно просто выключить.

Stanson ★★★★★
()

На обычной стартовой странице, они пробовали выводить что-то вроде рекламы. Может в этом дело.

th3m3 ★★★★★
()
Ответ на: комментарий от anonymous

icecat назвается, но я бы не рекомендовал, там задержка в релизах около месяца с firefox'ом.

1) с форумами нормально не работает, катастрофические проблемы с javascript видимо (даже если скрипты разрешить все);

2) 50% cpu load на показе пустой страницы;

3) у и наконец:

21:37:02.908345 IP 192.168.0.100.33693 > server-54-192-130-159.ams50.r.cloudfront.net.http: Flags [S], seq 3740688040, win 29200, options [mss 1460,sackOK,TS val 9549605 ecr 0,nop,wscale 7], length 0
21:37:31.044457 IP 192.168.0.100.41803 > 74.125.232.232.http: Flags [S], seq 3404564584, win 29200, options [mss 1460,sackOK,TS val 9556639 ecr 0,nop,wscale 7], length 0

Это при заходе на 192.168.0.1... ТОЖЕ СЛИВАЕТ В GOOGLE! И ещё куда-то.

fk0
() автор топика

Как правило в исходниках все, да и набор соответствующих патчей возможен.

anonymous
()

А вообще, по аналогии с той поделкой на хроме — пройдитесь по исходникам скриптом, замените все доменные адреса и айпиники, адреса почты и прочее на мусор и спите спокойно, параноики, блин.

Только это вас не спасет от настоящих закладок, хы-хы.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от fk0

Почему бы не собрать из сырцов свою мозиллу выкосив в сырцах список всех ненужных сайтов и почему никто это не сделает?

Pale Moon.

anonymous
()

В firefox сидят хорошие дядечки и до сих пор оставляют вам возможность выбора, хотя с каждым релизом прячут возможность отключения дерьма вс глубже. Во-первых, при первом включении ФФ без спросу лезет и устанавливает H264 плагин, которые на самом деле имеет очень косвенное отношение к проигрыванию песен и плясок, а представляет из себя WebRTC дырку. (отключайте автоматическое обновление плагинов, выкидывайте сайты из списка доверенных исключений в preferences, которые добрые дядечки из ФФ включили по умолчанию) Во-вторых, эту вебртц фишку надо отключить в about:config (какие пункты за нее отвечают - лень искать, что-то *.media.*) В-третьих, помедитируйте над каждым пунктом в about:config и вы удивитесь, сколько всяких отчетов(?) ФФ отправляет не только по мозилловским адресам, но и по гугловским. Задайтесь вопросом - нахрена они это делают, нахрена надо это лично вам и если ответа не найдете - выкидывайте половину конфига в false или в 127.0.0.1

vaddd ★☆
()
Ответ на: комментарий от Stanson

зайди на about:serviceworkers и подивись

У меня пишет «Service Workers не включены» (правда, сейчас под рукой только FF 40.0.3 и б-гомерзкий офтопик).

anonymous
()
Ответ на: комментарий от anonymous

А как в PaleMoon с обновлениями безопасности? В FF их довольно оперативно включают.

anonymous_incognito ★★★★★
()

Многоуважаемый топикстартер! Если вы хотите, то можете использовать другой браузер вместо Firefox. К примеру, Seamonkey, Opera или Сhromium... :-)

anonymous
()

Господа, я начал всерьёз параноить. В Tor Browser тоже самое или выпилили?

PanZagloba
()
Ответ на: комментарий от fk0

Он на своей главной какие-то уведомления от мозиллы показывать может. Может их и ищет?

nebularia ★★★
()
Ответ на: комментарий от anonymous

Pale Moon

Спасибо, анон. Из описания на сайте - что надо - коммьюнити-браузер (нах эти корпорации добра). И форум активный. Поставил, попробую перейти на этот ПМ.

Последние полгода запускаю ФФ (и хожу в инет) из-под виртуалки. ПМ почему-то не хочет, Segmentation fault. Даже

$ ./palemoon --help
...
Segmentation fault
$
Debian Jessie, icewm, qemu kvm 64 bit, всё из реп, без системд. ПМ 64 бита. На хосте - всё ок.

abvgdee
()
Ответ на: комментарий от abvgdee

ПМ под виртуалкой: было мало памяти (1G на VM). ФФ закрыл, и ПМ запустился.

abvgdee
()
13 июля 2017 г.
Ответ на: комментарий от mandala

у меня было что-то вида 44.0.* - это вообще не резолвится. типа «сеть американских радиолюбителей».

ckotinko ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.