Предлагаемая конфигурация системы Windows и браузера Google Chrome призвана сделать серфинг в интернете максимально чистым и безопасным, свободным от рекламы отслеживания, различных видов атак. В статье идет речь о версии браузера 83.0.4103.116, актуальной на момент написания.
Статья рассчитана на более или менее продвинутых пользователей, которые понимают, для чего именно они делают то или иное изменение. Поэтому не все из предлагаемых советов можно (нужно) применять в конкретном случае.
1. DNS-шифрование и фильтрация
aganin.org) соответствует его IP-адрес (например, 185.93.108.104). К DNS-серверу ваш браузер обращается всякий раз, когда получает команду перехода по некоторому доменному имени (или ссылке).Ваш провайдер тоже имеет свой сервер DNS, которым вы пользуетесь по умолчанию. Как правило, DNS-сервер провайдера является самым быстрым.
Но нас интересует безопасность, поэтому нам нужен сервер DNS, шифрующий DNS-запросы, и который, желательно, имеет черные списки рекламных, фишинговых и прочих вредоносных доменов. Я предпочитаю пользоваться одним из следующих вариантов, поддерживающих шифрование DNS-over-HTTPS:
- Cloudflare DNS
- Google Public DNS
- OpenDNS
- AdGuard DNS
176.103.130.130
176.103.130.131
Поддерживается политика "без логов". Блокирует системы отслеживания, рекламы, известные фишинговые и другие опасные домены.
- Quad9
- CleanBrowsing
- OpennicDNS
1.1.1.1
1.0.0.1
Поддерживается политика "без логов". Фильтрации нет (фильтрацию DNS-запросов мы организуем позже).
Пропишите эту пару IP-адресов в роутер, или в настройки соединения Windows.
DNS-сервера в параметрах соединения Windows.
8.8.8.8
8.8.4.4
Логи есть, фильтрации нет.
208.67.222.222
208.67.220.220
Логи есть, фильтрации нет.
9.9.9.9
149.112.112.112
Логи есть. Блокирует известные фишинговые и другие опасные домены.
185.228.168.168
185.228.169.168
Логи есть. Блокирует взрослый контент. Подходит родителям, школам, религиозным организациям и т.п.
Это решение менее надежно, ибо поддерживаются DNS-сервера от OpenNIC неизвестно кем, но они позволят нам заходить на сайты.lib. Разделегировать домены.lib решением суда нельзя, поэтому некоторые из заблокированных путем разделегирования доменов сайты доступны в зоне.lib.
Идем в каталог серверов OpennicDNS, и выбираем побольше DNS-серверов, удовлетворяющих следующим требованиям: а) есть есть оранжевый значок «DoH», б) возле которых указан черный флаг «Blocklist», в) желательно, есть лиловый значок «No logs kept», т.е. логов нет и г) они не российские (но географически расположены поближе к вам):
Добавляем их адреса в программу DNS Benchmark:
Узнав, таким образом, DNS-сервера с самым малым временем отклика, и выкинув нерабочие, прописываем в роутер или настройки соединения Windows.
Не лишним было бы раз в полгода обновлять список альтернативных DNS-серверов, проверяя их в программе DNSBenchmark, выбрасывая нерабочие и включая наиболее быстрые из них.
Включение DNS-over-HTTPS в браузере Chrome
Традиционно DNS-запросы отправляются на DNS-сервер в виде открытого текста. Любой может видеть, к каким веб-сайтам вы подключаетесь. Чтобы ваши DNS-запросы оставались не доступными для стороннего наблюдателя (например, провайдера), вы должны использовать сервер, который поддерживает безопасную передачу DNS, например DNS-over-HTTPS. Список этих серверов приведен выше.
chrome://flags/#dns-over-https (скопируйте это и вставьте в адресную строку). Откройте выпадающее меню справа от «Secure DNS Lookups» и выберите «Enabled».Включение DNSSEC в браузере Chrome
DNSSEC позволяет пользователю или приложению или рекурсивному распознавателю понять, что ответ на их DNS-запрос - это то, чем он и является. Другими словами, DNSSEC подтверждает подлинность и целостность (хотя и не конфиденциальность) ответа от DNS-сервера.
chrome://flags/#dns-httpssvc. Откройте выпадающее меню справа от «Support for HTTPSSVC records in DNS» и выберите «Enabled».Вы можете проверить, работает ли DNS через HTTPS в Chrome, выполнив проверку безопасности просмотра веб-страниц Cloudflare. Запустите тест, нажав кнопку, и посмотрите, включен ли «Sequre DNS» и «DNSSEC» или нет.
2. Очистка системы
Если у вас Windows 7 или 8.1, удалите «шпионские» обновления KB3080149 и KB3075249. Если Windows 10, то ее нужно пролечить программой Destroy Windows Spying (или тут, это сайт в домене.lib, он ведь у вас открылся? поскольку гитхаб автора и его сайт уже не отвечают.)
3. Уборка мусора
Установите CCleaner и расширение к нему — CCEnhancer. Запустите CCleaner, во вкладке приложений отметьте все галки, запустите очистку. Такая очистка уберет из системы все, что можно — кэши, куки, сохраненные пароли, временные файлы, истории посещений и прочее подобное. В идеале, проводите такую очистку после каждого сеанса работы в интернете. В версии CCleaner Professional в настройках можно активировать функцию слежения за браузерами, в этом случае программа сама будет очищать мусор после их (браузеров) закрытия.
4. Установка расширений безопасности
uBlock Origin
Блокировщик рекламы (и не только) по черным спискам (подпискам).
Это дополнение блокирует практически всю рекламу, кнопки соцсетей, счетчики и прочее, потребляя при этом мало памяти, и после его установки можно «вздохнуть свободно» в безрекламном интернете. Черные списки обновляются автоматически. Стоит добавить следующие дополнительные подписки (если их еще нет или они не отмечены):
Антиреклама
- Базовый фильтр AdGuard
- RU AdList
- RU AdList + CSS Fixes для uBlock Origin
- AdGuard Russian filter
https://filters.adtidy.org/extensions/chromium/filters/2.txtПредставляет из себя основной фильтр Easy List + английский фильтр AdGuard.
EasyList — это основной список фильтров, который удаляет большую часть рекламы с веб-страниц, включая нежелательные рамки, изображения и объекты. Это самый популярный список, используемый многими блокировщиками рекламы.
RU AdList является региональным дополнением к фильтру EasyList.
https://easylist-downloads.adblockplus.org/advblock.txthttps://easylist-downloads.adblockplus.org/advblock+cssfixes.txtКомбинированная версия списков фильтров RU AdList против рекламы и экспериментального списка косметических стилей CSS Fixes. На данный момент нормально работает только в uBlock Origin.
https://filters.adtidy.org/windows/filters/1.txtФильтр для блокировки рекламы на сайтах на русском языке. Изначально за основу был взят RuAdList, затем развивался самостоятельно и в данный момент содержит в том числе фильтры, отсутствующие в RuAdList.
Для блокировки визуального мусора на YouTube можно скопировать и вставить на вкладке "Мои фильтры":
youtube.com##.ytp-ce-covering-overlay
youtube.com##.ytp-ce-element-shadow
youtube.com##.ytp-ce-covering-image
youtube.com##.ytp-ce-expanding-image
youtube.com##.ytp-pause-overlay
youtube.com##.ytp-scroll-min.ytp-pause-overlay
youtube.com##.iv-click-target
youtube.com##.ytp-cards-button
youtube.com##.ytp-cards-teaser
youtube.com##.ytp-ce-covering-image
youtube.com##.ytp-ce-covering-overlay
youtube.com##.ytp-ce-element
youtube.com##.ytp-ce-element-shadow
youtube.com##.ytp-ce-element.ytp-ce-channel.ytp-ce-channel-this
youtube.com##.ytp-ce-element.ytp-ce-video.ytp-ce-element-show
youtube.com##.ytp-ce-element.ytp-ce-bottom-right-quad.ytp-ce-size-640
Антитрекинг
- EasyPrivacy
- RU AdList: Counters
https://easylist.to/easylist/easyprivacy.txtEasyPrivacy — это дополнительный список фильтров, который полностью удаляет все формы отслеживания со страниц, тем самым защищая ваши личные данные.
https://easylist-downloads.adblockplus.org/cntblock.txtДополнение к RuAdList. Блокирует малополезные для пользователей сети Интернет ресурсы, предназначенные для сбора статистики о посещаемости сайтов и параметрах компьютеров посетителей. Ранее они были в основном списке, но были выделены в отдельный.
Раздражители
- RU AdList: BitBlock + Fanboy's General
- Adblock Warning Removal List
- AakList (Anti-Adblock Killer)
- I don't care about cookies
- uBlock Filters Plus
https://easylist-downloads.adblockplus.org/bitblock.txtДополнение к RuAdList. Подписка для блокировки элементов соцсетей (типа кнопок «Мне нравится» и пр.) и скрытия лишних элементов сайтов (таких, как линеечки-счетчики и юзербары в подписях пользователей на форумах; интеграция с социальными сетями и некоторыми сервисами вроде Google Translate (за исключением возможности логина через соцсети); чатики, встроенные в морду форумов; внешние новостные информеры; и прочий подобный мусор, который не относится к основному содержимому сайта.
Cписок фильтров содержит практически целиком Fanboy's Annoyance List (и входящий туда Fanboy-Social соответственно), за исключением некоторых правил для англоязычных сайтов. В связи с тем, что фильтры Fanboy не всегда корректно работают в рунете, в BitBlock содержатся правила для нейтрализации ложных скрытий и блокировок, возникающих при работе фильтров Fanboy.
https://easylist-downloads.adblockplus.org/antiadblockfilters.txtCкрывает сообщения, предупреждающие об использовании блокирующих расширений и предлагающие их отключить.
https://raw.github.com/reek/anti-adblock-killer/master/anti-adblock-killer-filters.txtСовместно с пользовательским скриптом Anti-Adblock Killer блокирует большую часть anti-adblock скриптов.
http://www.kiboke-studio.hr/i-dont-care-about-cookies/abp/Набор фильтров, скрывающих всплывающие окошки и уведомления на многих сайтах, предлагающие ознакомиться с политикой cookie-файлов.
https://raw.githubusercontent.com/IDKwhattoputhere/uBlock-Filters-Plus/master/uBlock-Filters-Plus.txtДля блокировки всплывающих окон и некоторых других неприятных вещей.
uMatrix
Блокировщик любых типов запросов браузера. Позволяет запретить межсайтовые запросы, загрузку скриптов, фреймов, плагинов и т.д. Заменяет рекомендовавшиеся мной ранее плагины NoScript и RequestPolicy.
вкладка «Настройки»
Настройки uMatrix
вкладка «Мои правила»
uMatrix может вызвать проблемы на тех сайтах, которые вы будете посещать — не будут отображаться часть картинок и фонов, работать скрипты, формы и т.д. Поэтому разрешайте запросы с/на те сайты, которым вы доверяете.
Например, я в своих настройках прописал следующие разрешения:
* ajax.googleapis.com * allow
* ajax.googleapis.com frame allow
* api-maps.yandex.ru frame allow
* api-maps.yandex.ru script allow
* bootstrapcdn.com * allow
* bootstrapcdn.com frame allow
* cdn-apple.com * allow
* cdn-apple.com frame allow
* cdn.jsdelivr.net * allow
* fonts.googleapis.com * allow
* fonts.gstatic.com * allow
* ggpht.com * allow
* google.com * allow
* google.com frame allow
* googleusercontent.com * allow
* googlevideo.com * allow
* gstatic.com * allow
* gstatic.com frame allow
* jquery.com * allow
* jsdelivr.net * allow
* maps.googleapis.com * allow
* maps.yandex.net * allow
* translate.google.com * allow
* translate.googleapis.com * allow
* translate.googleusercontent.com frame allow
* www.google.com * allow
* www.google.com frame allow
* www.googleapis.com * allow
* www.youtube.com frame allow
* yastatic.net * allow
* yastatic.net script allow
* youtube.com * allow
* youtube.com frame allow
* ytimg.com * allow
* ytimg.com frame allow
Вкладка «Сторонние правила»
Правила фильтрации DNS запросов (доменов), о которых уже писалось выше, можно расширить в uMatrix. В него уже встроены списки правил, но я предпочитаю использовать один, представляющий комбинацию из нескольких фильтров.
- StevenBlack hosts list
- Dan Pollock’s hosts file
- DNS-BH
- Peter Lowe’s Ad and tracking server list
- OISD Blocklist
- AdAway Blocklist
- MVPS HOSTS
- RU AdList JS Fixes — дополняет возможности Adblock Plus по удалению рекламы, например, в поисковой выдаче Яндекса.
- Anti-Adblock Killer | Reek — борется со скриптами — антиблокировщиками рекламы.
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
Настройки блокировки мусора по DNS
Но можно, если хочется, использовать и другие фильтры доменов для блокировки рекламы, баннеров, сторонних файлов cookie, счетчиков сторонних страниц, веб-ошибок, большинства угонщиков и нежелательных программ:
https://someonewhocares.org/hosts/https://mirror.cedia.org.ec/malwaredomains/domains.hostshttps://pgl.yoyo.org/as/serverlist.php?showintro=0;hostformat=hostshttps://dbl.oisd.nl/http://adaway.org/hosts.txthttps://winhelp2002.mvps.org/hosts.txtCookie AutoDelete
Удаляет куки после определенного времени или при закрытии вкладки. Не забудьте включить автоочистку куки и параметр «Очистка локального хранилища» в настройках расширения.
Учтите, что некоторые сайты не работают полноценно без установки кук, поэтому добавляйте в белый список домены, которым вы доверяете.
Google search link fix
Убирает на страницах поиска Google и Яндекс редиректы при переходе по внешним ссылкам — например, в поисковых системах или соцсетях переход на нужную страницу происходит через редирект на адрес-посредник. Переход осуществляется достаточно быстро, что незаметно на широком канале. А между тем, в поисковик/соцсеть попадает статистика с информацией, что вы искали и куда, в результате, пошли.
Violentmonkey
Дает возможность подключения пользовательских яваскриптов. Нас прежде всего интересуют скрипты безопасности:
Canvas Blocker (Fingerprint protect)
Запрещещает элементу canvas генерировать уникальный идентификационный ключ для защиты конфиденциальности пользователя. Таким образом, элемент canvas нельзя использовать для снятия «отпечатков пальцев» вашего браузера.
HTTPS Everywhere
Принудительно включает доступ по защищенному протоколу HTTPS на тех сайтах, которые его поддерживают.
Neat URL
Удаляет из URL «мусорные» составляющие, типа utm_source=*, yclid=*, fref=* и прочее подобное.
Hello, Goodbye
Убирает вплывающие окна онлайн-чатов.
7. Резюме
Теперь результаты наших усилий надо проверить. Для этого существуют разные сервисы, например сайт с рекламой.
Наш результат 100%, что и было целью всех настроек.
