LINUX.ORG.RU

Фильтры и действия для privoxy.

 , , , ,


0

3

Введение.

Многие сегодня пользуются разнообразными расширениями к бровзерам которые позволяют скрывать, используемые языки, временную зону, ОС и бровзер, размеры экрана и глубину цвета, IP адрес, режут JS скрипты, и прочие...

Privoxy!

Для всего этого разработаны фильтры и действия для прокси сервера Privoxy. К слову для https трафика необходимо сделать MitM чтобы работали фильтры Privoxy.

Privoxy разрешает НА ЛЕТУ сканировать html/xml страницы и очень гибко ИЗМЕНЯТЬ их содержимое! Резать можно не только рекламу, но и «счётчики», некоторые JS скрипты, вирусы и прочие.. Расширение no-script блокирует все скрипты на странице, а бывает некоторые из них необходимы для работы сайта, в тоже время другие скрипты на ЭТОЙ ЖЕ СТРАНИЦЕ есть вирусами. Только Privoxy может на лету вырезать зловредные скрипты!

Давайте сообща писать и обмениваться фильтрами и действиями для Privoxy!!!

Пользовательские фильтры и действия размещаются в файлах: /etc/privoxy/user.filter, /etc/privoxy/user.action соответственно.

бровзер

убейся

anonymous ()

Расширение no-script блокирует все скрипты на странице, а бывает некоторые из них необходимы для работы сайта

Ты мышкой пробовал тыкать в это расширение? Выключить все скрипты на домене можно было бы и без него.

anonymous ()
Ответ на: комментарий от jori

Это сработает в мозиле и на Линуксе! Скопируешь лишние в консоль...

По поводу фильтров и действий для privoxy есть предложения? Если на главной странице в html есть два JS скрипта, один необходим, а другой вирь только privoxy сможет вырезать виря.

У меня цепочка проксей ... -> privoxy -> havp+clamav -> ... если на странице есть вирус в мозилу и её дополнения он не попадает, блокируется havp+clamav, что бы страницу открыть пишу фильтр для privoxy который вырезает виря.

multihead ()

Вот держи - https://sites.google.com/site/rpfteam/conf Не благодари.

Этот privoxy так себе на самом деле. Лучше бы такой же набор фильтров кто-нибудь для нормального прокси-сервера (squid) сделал.

trupanka ()

Слишком много лишнего вырезается, по многим правилам блокируются целые домены, если конвертировать от adblock листы.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от trupanka

Вот держи

Спасибо.

В принципе необходимый минимум на pcre сам пишу, преимущественно вырезаю вирусы которые havp+clamav блокирует. Хотелось бы ручную работу, а не машинную...

Этот privoxy так себе на самом деле.

Скажи что лучше?

Лучше бы такой же набор фильтров кто-нибудь для нормального прокси-сервера (squid) сделал.

Squid - предназначен для кеширования, предоставлению доступа, +SquidGuard очень хорошо и гибко блокирует.

Privoxy - предназначен не для блокировки, а для изменения содержимого html страниц и скриптов на лету! Мне не надо блокировать сайт, мне надо вырезать только вредительские части кода без ущерба работы сайта в целом.

multihead ()
Ответ на: комментарий от anonymous_sama

Слишком много лишнего вырезается, по многим правилам блокируются целые домены, если конвертировать от adblock листы.

Пишу фильтры руками, вырезают только вредительский код без каких либо потерь в работе сайта. Мне не блокировать надо, а вырезать вредный код. для блокировки взял бы Squid+SquidGuard с обновляемыми чёрными и белыми списками.

multihead ()
Ответ на: комментарий от multihead

Ну все равно, прокси без мультитрединга, это как-то печально. Еще у него какие-то проблемы с hardened-ядром... Напрямую, все хорошо, а через privoxy виснет все и глючит, каждые 2 минуты. Я хотел бы найти замену, самому писать лень, и все равно будет хуже, чем privoxy.

trupanka ()
Ответ на: комментарий от trupanka

Может настроил криво просто. Ну еще прокси это +дырки в самом прокси. А y privoxy не особо активные разработчики. SquidGuard посмотрю... спсб.

trupanka ()
Ответ на: комментарий от multihead

Ну мне хватает ublock сейчас. Пробовал еще давно использовать privoxy вместо adblock, получился сабж:

Слишком много лишнего вырезается, по многим правилам блокируются целые домены, если конвертировать от adblock листы.

А вручную писать сильно много времени уйдет, плюс опять же иногда нужно просто скрывать элементы, а не блокировать. Ну и опять же

К слову для https трафика необходимо сделать MitM чтобы работали фильтры Privoxy.

Это большое зло перекрывает, все блага от фильтров к privoxy, потому-что практически все сайты сечас поддерживают https. А ublock летает даже в Firefox на нетбуке с Atom'ом.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от trupanka

Я лично, privoxy использую с hardened ядром уже более 10 лет. Проблем ни разу не замечал.

Наоборот, отмечу очень хорошее отношение к безопасности и качеству кода программистов privoxy!

multihead ()
Ответ на: комментарий от anonymous_sama

А вручную писать сильно много времени уйдет, плюс опять же иногда нужно просто скрывать элементы, а не блокировать.

Пишу вручную, не сильно уж много времени уходит. Преимущественно смотрю в /var/log/havp/accass.log какие вири на каких страницах и потом при желании их аккуратно фильтром вырезаю.

Это проблема антивируса clamav который не лечит и мне проходится privoxy лечить.

Это большое зло перекрывает, все блага от фильтров к privoxy, потому-что практически все сайты сечас поддерживают https. А ublock летает даже в Firefox на нетбуке с Atom'ом.

Как бы я не ругал АНБ и прочие *Б, но всё же приходится самому делать MitM — расшифровывать и проверять весь проходящий трафик ибо от этого зависит безопасность сети...

multihead ()
Ответ на: комментарий от multihead

ну ладно, рад за тебя, тут вспомнил, что у меня еще bitlbee иногда вылетает, но гораздо реже, чем privoxy. Наверное, я просто криворукий рукожоп, не умею в ядро

trupanka ()
Ответ на: комментарий от trupanka

не умею в ядро

Не знаю, какая там у тебя система. У меня самые жёсткие и параноидальные настройки hardened ядра и всё работает, включая privoxy. Может на пару процентов медленнее, я может и нет, за счёт оптимизации всего под инструкции проца.

multihead ()
Ответ на: комментарий от trupanka

Я и сам с первого раза не отвечу. Проблема в net/core/skbuff.c с ядром Линукс....

1. Стоит использовать стабильную ветку Hardened Gentoo где ядро чуть старше но лучше оттестировано.

2. Надо аккуратно настраивать ядро Линукс.

3. Есть подозрения также на процессор от AMD.

4. У тебя также должны падать другие сервисы, не только privoxy!

privoxy под непривилегированным пользователем запускаешь?

Также Желательно использовать chroot для изоляции: скопируй два скрипта privoxy-chroot.sh и privoxy, дай им права на исполнение. Гарантируй запись в /etc, /usr и запусти privoxy-chroot.sh

multihead ()
Ответ на: комментарий от multihead

Через иксовый буфер не работает. Через Ctrl-C/Ctrl-V - работает

Pinkbyte ★★★★★ ()
Ответ на: комментарий от trupanka

падение в проверке coalesce, privoxy тут лишь генератор трафика, падает что-то внутри ядра при работе с сетевухой. coalescing на сетевухе можно ЕМНИП отключить через ethtool, но не факт что поможет - отпишись на форум разработчиков PaX/Grsecurity, только убедись что не повторяется с обычным, не-hardened, ядром

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Через Ctrl-C/Ctrl-V - работает

Таких вирей на JS уже тьма развилась.

$ ls -l /var/lib/clamav/javascript.ndb 
-rw-r--r-- 1 clamav clamav 12519094 июн 17 14:40 /var/lib/clamav/javascript.ndb

растёт и пухнет.

multihead ()
Ответ на: комментарий от Pinkbyte

Похоже, все проще... этой ссаной карте нужна была фёрмварь. Жесть, конечно.

trupanka ()
Ответ на: комментарий от trupanka

да, извиняюсь, privoxy не при чем. нужно было добавить фёрмварь. причем эта карта до этого годами работала без нее... обложили блобами со всех сторон.

trupanka ()

Privoxy!

Он до сих пор однопоточный и проблем создаёт больше чем решает. Я им пользовался одно время, сейчас весь груз переложил на антивирусы на клиентах, всё равно куплены, так пусть работают и ublock. Firefox в моей конторе корпстандарт, причём люди получают его с терминал-сервера уже настроенным.

IMHO любая приблуда лезущая в трафик между сервером и клиентом - зло, ибо https. Надо проверять и лечить либо на одном, либо на другом конце тоннеля, всё остальное идеологически неправильно и может выйти боком однажды.

Jameson ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.