セキュリティ更新系の通信を無効化

[dynamis]

ブラウザー本体の更新確認とアドオンブロックリストの更新確認は無効化する

こちらのサポートページ: https://support.mozilla.org/ja/kb/how-stop-firefox-automatically-making-connections で説明されている中で次の項目

• [x] 自動更新の確認
• [x] ブロックリストの更新
• [x] フィッシング詐欺対策とマルウェア保護リストの更新
• [x] トラッキング保護リストの更新
• [x] 安全なウェブサイトの証明書
• [x] アドオンのメタデータの更新

Firefox プライバシーポリシーの該当項目はこちら:

• すべてのユーザーのためにセキュリティを強化する
  • 更新用の技術情報: デスクトップ版の Firefox は、Mozilla のサーバーに接続して、ブラウザーの更新の有無を定期的に確認します。正しい更新を適用するために、お使いの Firefox のバージョン、言語、端末のオペレーティングシステムが使用されます。モバイル版の Firefox は、その Firefox のダウンロードおよびインストールに別のサービスが利用された場合、当該サービスに接続することがあります。詳細はこちら。
  • アドオンブロックリスト用の技術情報: デスクトップ版および Android 版の Firefox は、あなたおよび他の人々を悪意のあるアドオンから守るために、Mozilla に定期的に接続します。アドオンブロックリストを適用および更新するには、お使いの Firefox のバージョンと言語、端末のオペレーティングシステム、およびインストールされているアドオンのリストが必要です。詳細はこちら。
  • Google のセーフブラウジングサービスへのウェブページおよび技術情報: Firefox は、あなたを悪意のあるダウンロードから守るために、認識されなかったダウンロードに関する基本的な情報を Google のセーフブラウジングサービスに送信します。これには、ファイル名やダウンロード元の URL が含まれます。 こちら で詳細をご覧になるか、Google のプライバシーポリシー をお読みください。オプトアウトすると、違法または悪意があるかもしれないウェブサイトやダウンロードファイルに関する Firefox からの警告が表示されなくなります。
  • 認証局へのウェブページおよび技術情報: あなたが安全なウェブサイト (通常、URL が「HTTPS」から始まるサイト) を訪問するとき、Firefox はそのウェブサイトの 証明書 を検証します。この検証は、Firefox がそのウェブサイトの特定の情報を、そのウェブサイトに関係している認証局に送信することによって行われます。

[dynamis]

Application Update Service Helper システムアドオンも忘れずに

[hATrayflood]

https://github.com/webdino/amethyst/commit/e00cb6e6f04ae12919a86bf70bbca32e06c18231 ブラウザー本体の更新機能を無効にする対応をしました。 ビルドオプションに関係なく常に無効になるようにしました。 about:support の更新履歴の行が残るバグがあったので解消しました。 @dynamis

[hATrayflood]

https://github.com/webdino/amethyst/commit/11833efc7e4295981cf352fdcddb5c5c8d471edc アドオンブロックリストの更新を無効にしました。 アドオンのメタデータの更新は、そもそもこれがなんのことを指すのかちょっと不明です。 @dynamis @kou029w

[hATrayflood]

https://github.com/webdino/amethyst/commit/19344db219efc809a33de86fcf0f5a5f48d80b44 安全なウェブサイトの証明書の更新を無効にしました。 実際にリクエスト飛ばしてる部分がすぐにわからなかったので、設定に関係なく常に無効になるようにしてます。 @dynamis @kou029w

[hATrayflood]

https://github.com/webdino/amethyst/commit/ebe23f8ccb9a174f8f33095e89836e7d155a4ea7 フィッシング詐欺対策とマルウェア保護リストの更新とトラッキング保護リストの更新を無効にしました。 @dynamis @kou029w

[hATrayflood]

https://github.com/webdino/amethyst/commit/c319cdb78cd85748ce0322ddc614089ac3c2e0dc extensions.getAddons.cache.enabledの値自体はすでに強制無効化していましたが、送信部分も見つけたので削除しました。 @dynamis @kou029w

[hATrayflood]

https://github.com/webdino/amethyst/commit/56f23ae6d2e78974b8adb0b2bdd9060763202b5d ocsp通信部分が見つかったので削除しました。 @dynamis @kou029w

[kou029w]

メモ: 前回起動時から一定時間経過後起動時に通信が無いことを確認する

[kou029w]

dateコマンドにてLinuxのウォールクロックを1年後のものに変更後、about:blankを指定し再び起動した際、外部へのリクエストが発生しないことを確認しました

ログを取得する際に実際に使用したコマンド:

# date -s '2019/09/20 00:00:00'
# webviewer about:blank
^C
# date -s '2020/09/20 00:00:00'
# export NSPR_LOG_MODULES=nsHttp:5,nsSocketTransport:5,nsHostResolver:5
# webviewer about:blank 2>1yearlater.log
^C

アクセスする回数を計測するために使用したコマンド:

grep -E 'Host:[[:space:]]+[^[:space:]]+' 1yearlater.log | wc -l

結果の一覧:

環境	結果	アクセス先
RZ/G2E Firefox 60.1.0	11	detectportal.firefox.com normandy.cdn.mozilla.net ocsp.digicert.com search.services.mozilla.com shavar.services.mozilla.com tiles.services.mozilla.com tracking-protection.cdn.mozilla.net
RG/G2E webviewer	0