Темная темаСветлая тема

Безопасный серфинг в интернете

или Мой браузер — моя крепость

 Марк АГАНИН 
 05.12.2020  15 фото  11 мин.  13104   На главную

Предлагаемая конфигурация системы Windows и браузера Google Chrome призвана сделать серфинг в интернете максимально чистым и безопасным, свободным от рекламы, отслеживания и различных видов атак. В статье идет речь о версии браузера 87.0.4280.88, актуальной на момент последней редакции.

Статья рассчитана на более продвинутых пользователей, которые понимают, для чего именно они делают то или иное изменение. Поэтому не все из предлагаемых советов можно (нужно) применять в конкретном случае.

1. DNS-шифрование и фильтрация

DNS-сервер — это «записная книжка», в которой доменному имени сайта (например, aganin.org) соответствует его IP-адрес (например, 185.93.108.104). К DNS-серверу ваш браузер обращается всякий раз, когда получает команду перехода по некоторому доменному имени (или ссылке).

Ваш провайдер тоже имеет свой сервер DNS, которым вы пользуетесь по умолчанию. Как правило, DNS-сервер провайдера является самым быстрым.

Но нас интересует прежде всего безопасность, поэтому нам нужен сервер DNS, шифрующий DNS-запросы (например, DNS-over-HTTPS ), и который, желательно, имеет черные списки рекламных, фишинговых и прочих вредоносных доменов. Я предпочитаю пользоваться одним из следующих вариантов:

Cloudflare DNS

1.1.1.1

1.0.0.1

Поддерживается политика «без логов». Одинн из самых быстрых DNS. Фильтрации нет (но фильтрацию DNS-запросов мы организуем позже).

Пропишите эту пару IP-адресов в роутер, или в настройки соединения Windows.

DNS-сервера в параметрах соединения Windows. | Безопасный серфинг в интернете
DNS-сервера в параметрах соединения Windows.
Cloudflare DNS+WARP

На мой взгляд, это более предпочтительный вариант, чем предыдущий, поскольку он обеспечивает шифрование и трафика и DNS-запросов, и, как бонус, обход большинства блокировок (хотя он для этого и не предназначен).

WARP — это собственный VPN-сервис + DNS от Cloudflare. Для использования установите специальное приложение , включите тумблер — и готово.

Безопасный серфинг в интернете

В настройках выберите один из трех вариантов шифрования DNS-запросов (DNS Protocol): DNS-over-HTTPS, DNS-over-TLS или DNS-over-WARP. Семейный фильтр можно отключить. В дальнейшем программа будет стоять в автозапуске.

WARP не скрывает ваш реальный IP-адрес.

Безопасный серфинг в интернете
Google Public DNS

8.8.8.8

8.8.4.4

Быстрый, логи есть, фильтрации нет.

OpenDNS

208.67.222.222

208.67.220.220

Логи есть, фильтрации нет.

AdGuard DNS

94.140.14.14

94.140.15.15

Поддерживается политика «без логов». Блокирует системы отслеживания, рекламы, известные фишинговые и другие опасные домены.

Quad9

9.9.9.9

149.112.112.112

Логи есть. Блокирует известные фишинговые и другие опасные домены.

CleanBrowsing

185.228.168.168

185.228.169.168

Логи есть. Блокирует взрослый контент. Подходит родителям, школам, религиозным организациям и т.п.

OpennicDNS

Это решение менее надежно, ибо поддерживаются DNS-сервера от OpenNIC неизвестно кем, но зато они позволят нам заходить на сайты.lib . Разделегировать домены.lib решением суда нельзя, поэтому некоторые из заблокированных путем разделегирования доменов сайты доступны в зоне.lib.

Идем в каталог серверов OpennicDNS , и выбираем побольше DNS-серверов, удовлетворяющих следующим требованиям: а) есть есть оранжевый значок «DoH», б) возле которых указан черный флаг «Blocklist», в) желательно, есть лиловый значок «No logs kept», т.е. логов нет и г) они не российские (но географически расположены поближе к вам):

Безопасный серфинг в интернете

Добавляем их адреса в программу DNS Benchmark :

Безопасный серфинг в интернете

Узнав таким образом DNS-сервера с самым малым временем отклика и выкинув нерабочие, прописываем их в роутер или настройки соединения Windows.

Не лишним было бы раз в полгода обновлять список альтернативных DNS-серверов, проверяя их в программе DNSBenchmark, выбрасывая нерабочие и включая наиболее быстрые из них.

Включение DNS-over-HTTPS в браузере Chrome

Традиционно DNS-запросы отправляются на DNS-сервер в виде открытого текста. Любой может видеть, к каким веб-сайтам вы подключаетесь. Чтобы ваши DNS-запросы оставались не доступными для стороннего наблюдателя (например, провайдера), вы должны использовать сервер, который поддерживает безопасную передачу DNS, например DNS-over-HTTPS. Список этих серверов приведен выше.

Включение DNSSEC в браузере Chrome

DNSSEC позволяет пользователю или приложению или рекурсивному распознавателю понять, что ответ на их DNS-запрос — это то, чем он и является. Другими словами, DNSSEC подтверждает подлинность и целостность (хотя и не конфиденциальность) ответа от DNS-сервера.

Перейдите на флаг chrome://flags/#dns-httpssvc. Откройте выпадающее меню справа от «Support for HTTPSSVC records in DNS» и выберите «Enabled».

Вы можете проверить, работает ли DNS через HTTPS в Chrome, выполнив проверку безопасности просмотра веб-страниц Cloudflare . Запустите тест, нажав кнопку, и посмотрите, включен ли «Sequre DNS» и «DNSSEC» или нет.

2. Очистка системы

Если у вас Windows 7 или 8.1, удалите «шпионские» обновления KB3080149 и KB3075249. Если Windows 10, то ее нужно пролечить программой Destroy Windows Spying (или тут , это сайт в домене.lib, он ведь у вас открылся? поскольку гитхаб автора и его сайт уже не отвечают.)

3. Уборка мусора

Установите CCleaner и расширение к нему — CCEnhancer . Запустите CCleaner, во вкладке приложений отметьте все галки, запустите очистку. Такая очистка уберет из системы все, что можно — кэши, куки, сохраненные пароли, временные файлы, истории посещений и прочее подобное. В идеале, проводите такую очистку после каждого сеанса работы в интернете. В версии CCleaner Professional в настройках можно активировать функцию слежения за браузерами, в этом случае программа сама будет очищать мусор после их (браузеров) закрытия.

4. Установка расширений безопасности

uBlock Origin

Безопасный серфинг в интернете

Блокировщик рекламы (и не только) по черным спискам (подпискам).

Это дополнение блокирует практически всю рекламу, кнопки соцсетей, счетчики и прочее, потребляя при этом мало памяти, и после его установки можно «вздохнуть свободно» в безрекламном интернете. Черные списки обновляются автоматически. По умолчанию установлен набор фильтров, но его можно модифицировать.

Вкладка «Списки фильтров»

Здесь предлагается мой личный список фильтров. Для других пользователей, возможно, он будет другим.

Базовый фильтр AdGuard

https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_2_English/filter.txt

Представляет из себя основной фильтр Easy list + английский фильтр AdGuard.

Easylist — это основной список фильтров, который удаляет большую часть рекламы с веб-страниц, включая нежелательные рамки, изображения и объекты. Это самый популярный список, используемый многими блокировщиками рекламы.

RU Adlist

RU Adlist является региональным дополнением к фильтру Easylist.

https://easylist-downloads.adblockplus.org/advblock.txt

ИЛИ

RU Adlist + CSS Fixes для uBlock Origin

https://easylist-downloads.adblockplus.org/advblock+cssfixes.txt

Комбинированная версия списков фильтров RU Adlist против рекламы и экспериментального списка косметических стилей CSS Fixes. На данный момент нормально работает только в uBlock Origin.

RU Adlist: Counters

https://easylist-downloads.adblockplus.org/cntblock.txt

Дополнение к RuAdlist. Блокирует малополезные для пользователей сети Интернет ресурсы, предназначенные для сбора статистики о посещаемости сайтов и параметрах компьютеров посетителей. Ранее они были в основном списке, но были выделены в отдельный.

RU Adlist: BitBlock + Fanboy's General

https://easylist-downloads.adblockplus.org/bitblock.txt

Дополнение к RuAdlist. Подписка для блокировки элементов соцсетей (типа кнопок «Мне нравится» и пр.) и скрытия лишних элементов сайтов (таких, как линеечки-счетчики и юзербары в подписях пользователей на форумах; интеграция с социальными сетями и некоторыми сервисами вроде Google Translate (за исключением возможности логина через соцсети); чатики, встроенные в морду форумов; внешние новостные информеры; и прочий подобный мусор, который не относится к основному содержимому сайта.

Cписок фильтров содержит практически целиком Fanboy's Annoyance list (и входящий туда Fanboy-Social соответственно), за исключением некоторых правил для англоязычных сайтов. В связи с тем, что фильтры Fanboy не всегда корректно работают в рунете, в BitBlock содержатся правила для нейтрализации ложных скрытий и блокировок, возникающих при работе фильтров Fanboy.

AdGuard Russian filter

https://filters.adtidy.org/windows/filters/1.txt

Фильтр для блокировки рекламы на сайтах на русском языке. Изначально за основу был взят RuAdlist, затем развивался самостоятельно и в данный момент содержит в том числе фильтры, отсутствующие в RuAdlist.

EasyPrivacy

https://easylist.to/easylist/easyprivacy.txt

EasyPrivacy — это дополнительный список фильтров, который полностью удаляет все формы отслеживания со страниц, тем самым защищая ваши личные данные.

Adblock Warning Removal list

https://easylist-downloads.adblockplus.org/antiadblockfilters.txt

Cкрывает сообщения, предупреждающие об использовании блокирующих расширений и предлагающие их отключить.

Aaklist (Anti-Adblock Killer)

https://raw.githubusercontent.com/reek/anti-adblock-killer/master/anti-adblock-killer-filters.txt

Совместно с пользовательским скриптом Anti-Adblock Killer блокирует большую часть anti-adblock скриптов.

I don't care about cookies

http://www.kiboke-studio.hr/i-dont-care-about-cookies/abp/

Набор фильтров, скрывающих всплывающие окошки и уведомления на многих сайтах, предлагающие ознакомиться с политикой cookie-файлов.

uBlock Filters Plus

https://raw.githubusercontent.com/IDKwhattoputhere/uBlock-Filters-Plus/master/uBlock-Filters-Plus.txt

Для блокировки всплывающих окон и некоторых других неприятных вещей.

Владка «Мои фильтры»

Для блокировки визуального мусора на YouTube можно скопировать и вставить на вкладке «Мои фильтры»:

youtube.com##.ytp-ce-covering-overlay

youtube.com##.ytp-ce-element-shadow

youtube.com##.ytp-ce-covering-image

youtube.com##.ytp-ce-expanding-image

youtube.com##.ytp-pause-overlay

youtube.com##.ytp-scroll-min.ytp-pause-overlay

youtube.com##.iv-click-target

youtube.com##.ytp-cards-button

youtube.com##.ytp-cards-teaser

youtube.com##.ytp-ce-covering-image

youtube.com##.ytp-ce-covering-overlay

youtube.com##.ytp-ce-element

youtube.com##.ytp-ce-element-shadow

youtube.com##.ytp-ce-element.ytp-ce-channel.ytp-ce-channel-this

youtube.com##.ytp-ce-element.ytp-ce-video.ytp-ce-element-show

youtube.com##.ytp-ce-element.ytp-ce-bottom-right-quad.ytp-ce-size-640

uMatrix

Блокировщик скриптов, фреймов, межсайтовых запросов, XHR, левых куки, медиа и css.

Безопасный серфинг в интернете

Имеет настройки по умолчанию, но они могут снижать удобство пользования браузером, поэтому вам придется время от времени давать сайтам разрешения (зеленые поля на карте). Только это нужно делать в меру, с пониманием, что за повышение удобства придется платить снижением безопасности.

Вкладка «Настройки»

У меня вот так:

Безопасный серфинг в интернете

Вы же можете сделать по своему разумению.

Вкладка «Сторонние правила»

Здесь я предлагаю включить фильтрацию доменов, о которой мы говорили раньше, импортировав host-файлы. Host-файл — это просто список нежелательных доменов для блокировки рекламы, баннеров, сторонних файлов cookie, счетчиков сторонних страниц, веб-ошибок, большинства угонщиков и нежелательных программ. Можно использовать собственные, а можно и сторонние файлы, например:

StevenBlack hosts list

Фильтр, представляющий комбинацию из нескольких доменных фильтров.

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

Фильтр нужно сначала импортировать на этой же странице.

Безопасный серфинг в интернете

Но если хочется, то можно использовать и другие фильтры, в том числе и одновременно (но это будет потенциально замедлять соединение):

Dan Pollock’s hosts file

https://someonewhocares.org/hosts/

DNS-BH

https://mirror.cedia.org.ec/malwaredomains/domains.hosts

Peter Lowe’s Ad and tracking server list

https://pgl.yoyo.org/as/serverlist.php?showintro=0;hostformat=hosts

OISD Blocklist

Огромный тяжелый фильтр, больше миллиона доменов.

https://dbl.oisd.nl/

AdAway Blocklist

https://raw.githubusercontent.com/AdAway/adaway.github.io/master/hosts.txt

MVPS HOSTS

https://winhelp2002.mvps.org/hosts.txt

remoteshaman.com

https://raw.githubusercontent.com/remotehelp/hosts/master/hosts

The Hosts File Project

https://hostsfile.mine.nu/Hosts

«Как сделать так, чтобы интернет не был таким отстойным»

https://someonewhocares.org/hosts/hosts

Pixel Pirate HOSTS Blocker

https://lab.deep.bg/hosts.txt

My own blocklist

Мой собственный небольшой фильтр.

https://aganin.org/hosts.txt

Cookie AutoDelete

Удаляет куки после определенного времени или при закрытии вкладки. Не забудьте включить автоочистку куки и параметр «Очистка локального хранилища» в настройках расширения.

Безопасный серфинг в интернете

Учтите, что некоторые сайты не работают полноценно без установки кук, поэтому добавляйте в белый список домены, которым вы доверяете.

Google search link fix

Убирает на страницах поиска Google и Яндекс редиректы при переходе по внешним ссылкам — например, в поисковых системах или соцсетях переход на нужную страницу происходит через редирект на адрес-посредник. Переход осуществляется достаточно быстро, что незаметно на широком канале. А между тем, в поисковик/соцсеть попадает статистика с информацией, что вы искали и куда, в результате, пошли.

Violentmonkey

Дает возможность подключения пользовательских яваскриптов. Нас прежде всего интересуют скрипты безопасности:

RU Adlist JS Fixes

Дополняет возможности Adblock Plus по удалению рекламы, например, в поисковой выдаче Яндекса.

Anti-Adblock Killer | Reek

Борется со скриптами — антиблокировщиками рекламы. Скрипт

Безопасный серфинг в интернете

Fingerprint Spoofing

Элемент canvas генерирует случайный идентификационный ключ для защиты конфиденциальности пользователя. Таким образом, элемент canvas нельзя использовать для снятия «отпечатков пальцев» вашего браузера.

Отметьте все галочки. | Безопасный серфинг в интернете
Отметьте все галочки.

HTTPS Everywhere

Принудительно включает доступ по защищенному протоколу HTTPS на тех сайтах, которые его поддерживают.

Neat URL

Удаляет из URL «мусорные» составляющие, типа utm_source=*, yclid=*, fref=* и прочее подобное.

Hello, Goodbye

Убирает вплывающие окна онлайн-чатов.

7. Резюме

Теперь результаты наших усилий надо проверить. Для этого существуют разные сервисы, например сайт с рекламой .

Безопасный серфинг в интернете

Наш результат 100%, что и было целью почти всех настроек.

Далее, испытаем броню на https://panopticlick.eff.org/

Разрешите сервисы проверок в Umatrix. | Безопасный серфинг в интернете
Разрешите сервисы проверок в Umatrix.
Безопасный серфинг в интернете

Хороший уровень защиты. Отпечатки пальцев даже не подменяются, а вовсе не читаются. Но, видимо, Chrome теперь нельзя заставить посылать заголовки «Do Not Track».

Logo