GuiGui's Show

En janvier 2024, je rencontrais quelques désagréments avec Firefox, notamment sur YouTube. De plus, j'ai fait évoluer quelques-unes de mes pratiques, notamment mon filtrage des traceurs, transferts de données à caractère personnel et des autres merdes qui composent le web aujourd'hui (je suis passé d'une politique « bloquer tout ce qui est tierce partie » à « bloquer les ressources web bien connues pour apparaître partout et qui ne sont pas pris en charge par une liste de filtrage uBlock Origin »). Enfin, les ajouts et retraits successifs, car les paramètres de Firefox changent, rendent mon dernier article sur le sujet difficile à lire (d'autant qu'il date d'avant le formatage Markdown dans Shaarli).

Évacuons la question toute de suite : pourquoi pas un clone de Firefox spécialisé dans la vie privée, comme Waterfox, Librefox, Librewolf, Floorp, etc. ? D'abord, car aucun n'a, par défaut, les paramètres que je veux. Ensuite, je recherche trois choses : pérennité, suivi et facilité de mise à jour. Par définition, un navigateur web est exposé sur l'extérieur, et des failles de sécurité sont corrigées tous les mois, donc il faut que les mises à jour soient rapides et automatisées via un canal de distribution de confiance (sans suivi, mutualisé avec d'autres logiciels, comme les dépôts d'un système Debian, par ex.). Bref, je fuis les logiciels qui ne sont pas empaquetés dans Debian, c'est toujours la galère pour les mettre à jour (on parle du dépôt Debian de Librewolf qui a changé d'adresse ?). Un paquet de clones de Firefox n'ont pas survécus, donc j'évite de me précipiter sur le dernier venu. À titre subsidiaire : Floorp et Waterfox sont derrière Cloudflare. Librewolf derrière Amazon. Respectueux de la vie privée, disions-nous ? (Oui, je sais, Mozilla, Debian, OpenStreetMap, le RIPE, et tant d'autres, sont aussi derrière ces géants, ce qui me désole au plus haut point).

La configuration consignée ci-dessous est destinée à des utilisateurs avancés de Firefox. Je n'appliquerai pas les mêmes paramétrages chez un utilisateur lambda.

Étape 1 : installer le dictionnaire français (sinon de nombreux mots sont marqués, à tort, comme des erreurs par le correcteur).

Étape 2 : retrouver la barre de menus (clic droit, barre de menus) et la barre de titre (clic droit, personnaliser la barre d'outils, cocher « barre de titre » tout en bas à gauche). Personnaliser la barre d'outils (ajouter l'outil de capture d'écran, supprimer les icônes Pocket et compte / synchronisation).

Étape 3 : modifier les paramètres accessibles depuis le menu (édition, paramètres) :

• Général

  • Ouvrir les fenêtres et onglets précédents
    
    
  • Apparence : sombre
    
    

  • Polices, avancé, décocher Autoriser les pages web à utiliser leurs propres polices

  • Fichiers et applications

    • Toujours demander où enregistrer les fichiers
      
      
    • Demander s'il faut ouvrir ou enregistrer les fichiers

  • Navigation

    • Décocher Activer les contrôles pour l'incrustation vidéo
      
      
    • Décocher Contrôler la lecture des médias via le clavier, un casque ou l’interface virtuelle
      
      
    • Décocher Recommander des extensions
      
      
    • Décocher Recommander des fonctionnalités
  • Paramètres réseaux : Utiliser un DNS distant lorsque SOCKS v5 est actif

• Accueil

  • Page d'accueil et nouvelle fenêtre : page vide
    
    
  • Nouveaux onglets : page vide

• Recherche

  • Décocher Afficher les suggestions de recherche
    
    
  • Ce n'est pas dans ce menu, mais ajouter la barre de recherche à la barre d'outils (clic droit, personnaliser la barre d'outils)
    
    
  • Ce n'est pas dans ce menu, mais ajouter les différents moteurs de recherche désirés à la barre de recherche (Startpage, DuckDuckGo, Qwant, Google, Wikipedia FR, Wikipedia EN, Wiktionnaire, Larousse, Robert, Bescherelle, Urban dictionary, OpenStreetMap, Nitter, Sepia search, YouTube, packages.debian.org, etc.). Soit en allant sur le site web, soit, pour ceux qui n'ont pas ajouté la balise opensearch qui convient à leur site web, en utilisant ce générateur. Dans le menu : trier les moteurs, indiquer celui par défaut, etc.

• Vie privée et sécurité

  • Protection stricte
    
    
  • Demander aux sites web de ne pas vendre ni partager mes données (GPC) / Ne pas me pister (DNT). Ce n'est pas respecté par les éditeurs de sites web, et ça contribue à créer une empreinte unique (donc facilement reconnaissable) du navigateur web, donc à chacun de choisir…
    
    
  • Supprimer les cookies et les données des sites à la fermeture. Ajouter des exceptions si besoin. Dans mon cas : eu.startpage.org, duckduckgo.com, et www.qwant.com afin qu'ils conservent mes paramètres (thème sombre, pas de filtrage des résultats pour me protéger, pas de suggestions, pas d'IA, etc.).
    
    
  • Décocher Proposer d'enregistrer les identifiants et les mots de passe
    
    
  • Décocher Enregistrer et renseigner les moyens de paiement
    
    
  • Décocher Afficher des alertes pour les mots de passe de sites concernés par des fuites de données
    
    

  • Décocher Compléter le champ des cartes bancaires automatiquement

  • Historique

    • Règles de conservation : utiliser les paramètres personnalisés
      
      
    • Conserver l'historique des recherches et des formulaires
      
      
    • Vider l'historique lors de la fermeture. Dans les paramètres : cocher cookies et données de sites, fichiers et pages en cache temporaire

  • Permissions :

    • Localisation : bloquer les nouvelles demandes
      
      
    • Caméra : idem
      
      
    • Micro : idem
      
      
    • Notifications : idem
      
      
    • Lecture auto : par défaut = bloquer l'audio et la vidéo
      
      
    • Réalité virtuelle : bloquer
  • Collecte de données par Firefox : tout est décoché par défaut dans Debian, et c'est ce qu'il faut
    
    
  • Les préférences publicitaires des sites web, c'est-à-dire la Privacy preserving attribution, soit la même merde que Google Privacy sandbox, sont désactivées par défaut dans Debian, et c'est ce qu'il faut
    
    
  • Décocher Bloquer les contenus dangereux ou trompeur (Google Safebrowsing)
    
    
  • Certificats : décocher Interroger le répondeur OCSP (explication) ; Dans Afficher les certificats, Autorités, désactiver les autorités x509 inutiles
    
    
  • Activer le mode HTTPS uniquement dans toutes les fenêtres
    
    
  • Désactiver le DNS via HTTPS (j'utilise un VPN vers un FAI associatif, les serveurs DNS récursifs sont à l'autre bout de ce VPN, et je veux que Firefox ait le même comportement que mes outils de diagnostic DNS en ligne de commande

Étape 4 : on installe et configure des extensions

D'abord, les indispensables :

• uBlock Origin

  • Paramètres : cocher Je suis un utilisateur/une utilisatrice avancé(e)

  • Listes de filtres :

    • uBlock filters : toutes (Ads, badware risks, privacy, quick fixes, unbreak)
      
      
    • Publicités : toutes (EasyList, AdGuard Ads, AdGuard Mobile Ads)
      
      
    • Confidentialité : EasyPrivacy, AdGuard Tracking Protection, AdGuard URL Tracking Protection
      
      
    • Protection anti-malware et sécurité : toutes (Online Malicious URL Blocklist, Phishing URL Blocklist)
      
      
    • Tout usage : Peter Lowe's Ad and tracking server list (Dan Pollock's hosts file contient des sites web dérangeants, crades, etc. genre 2girl1cup, ce qui ne constitue pas un motif de filtrage à mes yeux)
      
      
    • Bannières de cookie : toutes (EasyList/uBO - Cookie Notices et sous-listes, AdGuard/uBO - Cookie Notices et sous-listes)
      
      
    • Widgets de réseaux sociaux : toutes (EasyList - Social Widgets, AdGuard - Social Widgets, Fanboy - Anti-Facebook)
      
      
    • Nuisances : toutes (EasyList - Annoyances et sous-listes, AdGuard - Annoyances et sous-listes, uBlock filters - Annoyances
      
      
    • Régions, langues : AdGuard Français
      
      
    • Mes propres listes :
      • Actually Legitimate URL Shortener Tool ( https://raw.githubusercontent.com/DandelionSprout/adfilt/refs/heads/master/LegitimateURLShortener.txt )
        
        
      • Fanboy's Annoyance List ( https://secure.fanboy.co.nz/fanboy-annoyance.txt )
        
        
      • AdGuard Spyware ( https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt
        
        
      • EasyList FR ( https://raw.githubusercontent.com/easylist/listefr/refs/heads/master/liste_fr.txt )
  • Mes filtres :

# Merdes chez Microsoft Azure
blob.core.windows.net

# Tout script nommé ads.js
/ads.js

# # Sentry via un sous-domaine
://sentry.

# Polices de caractères en tierce partie
*$font,third-party

# Liens externes sur Bluesky ont ce param
$removeparam=at_platform

# TLD .dev
*.dev

• (Cette puce ne sert à rien, mais Shaarli oblige sa présence.)
  • Mon filtrage dynamique. L'objectif est de filtrer les ressources web que l'on retrouve sur de nombreux sites (bootstrapCDN, fonts Google, jsdelivr.net, etc.). Attention : ça casse de nombreux sites, mais ça évite des transferts de données à caractère personnel dans tous les sens.

* addtoany.com * block
* adobedtm.com * block
* ajax.googleapis.com * block
* akamai.net * block
* akamaiedge.net * block
* algolia.net * block
* algolianet.com * block
* amazon.com * block
* amazonaws.com * block
* appconsent.io * block
* aticdn.net * block
* bootstrapcdn.com * block
* cachefly.net * block
* cdn-apple.com * block
* cdnfonts.com * block
* cdninstagram.com * block
* chartbeat.com * block
* cdnjs.cloudflare.com * block
* cloudflare.net * block
* cloudfront.net * block
* cookielaw.org * block
* coralproject.net * block
* i.creativecommons.org * block
* dailymotion.com * block
* disqus.com * block
* dmcdn.net * block
* donorbox.org * block
* doubleclick.net * block
* edgecastcdn.net * block
* edgio.net * block
* embed.ly * block
* embedly.com * block
* facebook.com * block
* fastly.net * block
* firestore.googleapis.com * block
* fontawesome.com * block
* fonts.googleapis.com * block
* fonts.net * block
* google.com * block
* google.fr * block
* googletagmanager.com * block
* googleusercontent.com * block
* gravatar.com * block
* gstatic.com * block
* hcaptcha.com * block
* herokuapp.com * block
* herokudns.com * block
* hsappstatic.net * block
* hsforms.net * block
* hubspot.com * block
* hubspot.net * block
* imasdk.googleapis.com * block
* impervadns.net * block
* inbenta.io * block
* incapdns.net * block
* instagram.com * block
* code.jquery.com * block
* jsdelivr.map.fastly.net * block
* jsdelivr.net * block
* jwplayer.com * block
* kameleoon.eu * block
* kxcdn.com * block
* mailchimp.com * block
* mailjet.com * block
* mapbox.com * block
* maps.googleapis.com * block
* maze.co * block
* myfeelback.com * block
* paypal.com * block
* piano.io * block
* polyfill-fastly.io * block
* polyfill-fastly.net * block
* polyfill.io * block
* privacy-center.org * block
* privacy-mgmt.com * block
* ravenjs.com * block
* rechargecdn.com * block
* rosselcdn.net * block
* sentry-cdn.com * block
* skeepers.io * block
* smile.io * block
* soundcloud.com * block
* storage.googleapis.com * block
* stripe.com * block
* tagcommander.com * block
* tiktok.com * block
* tiqcdn.com * block
* transcend-cdn.com * block
* twimg.com * block
* twitch.tv * block
* twitter.com * block
* platform.twitter.com * block
* typeform.com * block
* typekit.net * block
* typography.com * block
* ultimedia.com * block
* unpkg.com * block
* usercentrics.eu * block
* metrics.video-dns.com * block
* vercel-dns.com * block
* vimeo.com * block
* wordpress.com * block
* wp.com * block
* youtube-nocookie.com * block
* youtube.com * block
* ytimg.com * block
* zdassets.com * block
* zencdn.net * block
* zendesk.com * block
www.amazon.fr amazon.com * noop
www.amazon.fr amazon.map.fastly.net * noop
www.amazon.fr amazonaws.com * noop
www.dailymotion.com dailymotion.com * noop
www.dailymotion.com dmcdn.net * noop
www.dailymotion.com privacy-mgmt.com * noop
images.google.com google.com * noop
images.google.com gstatic.com * noop
lens.google.com google.com * noop
lens.google.com gstatic.com * noop
news.google.com google.com * noop
news.google.com googleusercontent.com * noop
news.google.com gstatic.com * noop
play.google.com google.com * noop
play.google.com play.google.com * noop
play.google.com googleusercontent.com * noop
play.google.com gstatic.com * noop
support.google.com google.com * noop
translate.google.com google.com * noop
translate.google.com gstatic.com * noop
www.google.com google.com * noop
www.google.com gstatic.com * noop
www.google.fr google.fr * noop
www.google.fr gstatic.com * noop
www.instagram.com cdninstagram.com * noop
www.instagram.com facebook.com * noop
www.instagram.com instagram.com * noop
www.instagram.com www.instagram.com * noop
meteofrance.com * 3p block
meteofrance.com cloudflare.com * noop
meteofrance.com cdnjs.cloudflare.com * noop
meteofrance.com cloudflare.net * noop
meteofrance.com jsdelivr.map.fastly.net * noop
meteofrance.com jsdelivr.net * noop
meteofrance.com unpkg.com * noop
www.openstreetmap.org dualstack.n.sni.global.fastly.net * noop
www.openstreetmap.org jsdelivr.map.fastly.net * noop
www.openstreetmap.org jsdelivr.net * noop
www.openstreetmap.org cdn.jsdelivr.net.cdn.cloudflare.net * noop
twitter.com edgecastcdn.net * noop
twitter.com twimg.com * noop
twitter.com twitter.com * noop
vimeo.com com.cdn.cloudflare.net * noop
vimeo.com api.vimeo.com.cdn.cloudflare.net * noop
vimeo.com vimeo-video.map.fastly.net * noop
vimeo.com vimeo.com * noop
vimeo.com vimeo.map.fastly.net * noop
x.com edgecastcdn.net * noop
x.com twimg.com * noop
x.com twitter.com * noop
x.com twitter.map.fastly.net * noop
www.youtube.com google.com * noop
www.youtube.com googleusercontent.com * noop
www.youtube.com gstatic.com * noop
www.youtube.com youtube.com * noop
www.youtube.com ytimg.com * noop

• NoScript (Security Suite)

  • Général : cocher Définir temporairement les sites de haut niveau comme FIABLES
    
    
  • Apparence : cocher Lister les adresses complètes dans la fenêtre contextuelle des autorisations (https://www.noscript.net)
• Smart Referer. Dans les préférences : choisir Strict pour le Domain name matching
  
  
• LocalCDN
  
  

• I still don't care about cookies

• Cookie Autodelete

  • Paramètres des CAD

    • Activer le nettoyage automatique
      
      
    • 30 secondes avant le nettoyage automatique (après la fermeture d'un onglet ou le changement de domaine)
      
      
    • Activer le nettoyage des onglets abandonnés / non chargés
      
      
    • Activer le nettoyage lors d'un changement de domaine
      
      
    • Nettoyer tous les cookies expirés
      
      
    • Décocher Afficher la notification après le nettoyage automatique
      
      
    • Décocher Afficher les notifications de nettoyage manuel des données de site
  • Liste d'expressions : ajouter les domaines pour lesquels il ne faut pas supprimer les cookies (dans mon cas : eu.startpage.org, duckduckgo.com, et www.qwant.com afin qu'ils conservent mes paramètres (thème sombre, pas de filtrage des résultats pour me protéger, pas de suggestions, pas d'IA, etc.).

Ensuite, en fonction des usages et des goûts :

• PassFF (dans les préférences, section « Entrées », ajouter « ,account, identification » dans « Noms des champs d'identifiant »)
  
  
• Dark Reader
  
  
• Anchors Reveal
  
  
• Cookie Quick Manager
  
  
• Bypass Paywalls Clean (rêve pas, ça fonctionne sur très peu de site)

Étape 5 : modifier les paramètres avancés dans about:config.

D'abord, pour mes besoins persos et d'après mes expériences persos :

• browser.cache.disk.enable => false
  
  
• browser.download.start_downloads_in_tmp_dir => true
  
  
• browser.formfill.enable => false
  
  
• browser.pagethumbnails.capturing_disabled => true
  
  
• browser.region.network.url => ""
  
  
• browser.region.update.enabled => false
  
  
• browser.search.openintab => true
  
  
• browser.urlbar.trimURLs => false (aucun effet sur le schéma https://, mais, si true, http:// est bien supprimé)
  
  
• device.sensors.enabled => false
  
  
• dom.battery.enabled => false
  
  
• dom.block_download_insecure => false
  
  
• dom.disable_beforeunload => true (évite les messages JavaScript du type « Êtes-vous sûr de vouloir quitter ? » ;
  
  
• dom.event.clipboardevents.enabled => true. Attention : le copier-coller dans deepl.com ou OnlyOffice dysfonctionne. C'est vraiment relou au quotidien. À l'inverse, très peu de sites web tentent d'interdire le copier-coller. Donc je ne désactive plus ce paramètre en le mettant à false.
  
  
• dom.popup_allowed_events -> "click dblclick mousedown pointerdown"
  
  
• dom.webnotifications.enabled => false
  
  
• entity.fxaccounts.enabled => false
  
  
• extensions.formautofill.addresses.enabled
  
  
• extensions.pocket.enabled => false
  
  
• geo.enabled => false
  
  
• keyword.enabled => false
  
  
• layout.spellcheckDefault => 2
  
  
• media.autoplay.blocking_policy => 2
  
  
• media.gmp-manager.url => ""
  
  
• media.gmp-provider.enabled => false
  
  
• media.peerconnection.ice.force_interface => tun0
  
  
• permissions.default.shortcuts => 2. Explication.

Ensuite, selon Arkenfox :

• accessibility.force_disabled => 1
  
  
• app.normandy.api_url => ""
  
  
• app.normandy.enabled => false
  
  
• breakpad.reportURL => ""
  
  
• browser.download.alwaysOpenPanel => false
  
  
• browser.download.manager.addToRecentDocs => false
  
  
• browser.link.open_newwindow.restriction => 0
  
  
• browser.newtabpage.activity-stream.feeds.telemetry => false
  
  
• browser.newtabpage.activity-stream.telemetry => false
  
  
• browser.places.speculativeConnect.enabled => false
  
  
• browser.safebrowsing.allowOverride => false
  
  
• browser.safebrowsing.downloads.enabled => false
  
  
• browser.safebrowsing.downloads.remote.block_potentially_unwanted => false
  
  
• browser.safebrowsing.downloads.remote.block_uncommon => false
  
  
• browser.safebrowsing.downloads.remote.enabled => false (les paramètres proposés dans le menu ne suffisent pas)
  
  
• browser.safebrowsing.downloads.remote.url => ""
  
  
• browser.sessionstore.privacy_level => 2
  
  
• browser.tabs.crashReporting.sendReport => false
  
  
• browser.tabs.searchclipboardfor.middleclick => false
  
  
• browser.uitour.enabled => false
  
  
• browser.urlbar.addons.featureGate => false
  
  
• browser.urlbar.mdn.featureGate => false
  
  
• browser.urlbar.pocket.featureGate => false
  
  
• browser.urlbar.quicksuggest.enabled => false
  
  
• browser.urlbar.speculativeConnect.enabled => false
  
  
• browser.urlbar.trending.featureGate => false
  
  
• browser.urlbar.weather.featureGate => false
  
  
• browser.urlbar.yelp.featureGate => false
  
  
• browser.xul.error_pages.expert_bad_cert => true
  
  
• captivedetect.canonicalURL => ""
  
  
• datareporting.policy.dataSubmissionEnabled => false
  
  
• dom.disable_window_move_resize => true
  
  
• dom.security.https_only_mode_send_http_background_request => false
  
  
• extensions.autoDisableScopes => 15
  
  
• extensions.enabledScopes => 5
  
  
• extensions.getAddons.showPane => false
  
  
• extensions.htmlaboutaddons.recommendations.enabled => false
  
  
• extensions.postDownloadThirdPartyPrompt => false
  
  
• extensions.quarantinedDomains.enabled => false
  
  
• geo.provider.use_geoclue => false
  
  
• geo.provider.use_gpsd => false
  
  
• media.memory_cache_max_size => 65536
  
  
• network.auth.subresource-http-auth-allow => 1
  
  
• network.captive-portal-service.enabled => false
  
  
• network.connectivity-service.enabled => false
  
  
• network.dns.disablePrefetchFromHTTPS => true
  
  
• network.dns.disablePrefetch => true
  
  
• network.file.disable_unc_paths => true
  
  
• network.gio.supported-protocols => ""
  
  
• network.http.speculative-parallel-limit => 0
  
  
• network.IDN_show_punycode => true
  
  
• network.predictor.enabled => false
  
  
• network.prefetch-next => false
  
  
• pdfjs.disabled => true
  
  
• permissions.manager.defaultsUrl => ""
  
  
• privacy.cpd.cookies => false
  
  
• privacy.cpd.offlineApps => false
  
  
• privacy.resistFingerprinting
  
  
• privacy.resistFingerprinting.block_mozAddonManager => true
  
  
• privacy.resistFingerprinting.pbmode => true
  
  
• privacy.userContext.enabled => true
  
  
• privacy.userContext.ui.enabled => true
  
  
• privacy.window.maxInnerHeight", 900);
  
  
• privacy.window.maxInnerWidth", 1600);
  
  
• security.pki.crlite_mode => 0
  
  
• security.ssl.require_safe_negotiation => true
  
  
• security.ssl.treat_unsafe_negotiation_as_broken => true
  
  
• security.tls.enable_0rtt_data => false
  
  
• signon.autofillForms => false
  
  
• signon.formlessCapture.enabled => false
  
  
• toolkit.coverage.endpoint.base => ""
  
  
• toolkit.coverage.opt-out => true
  
  
• toolkit.telemetry.archive.enabled => false
  
  
• toolkit.telemetry.bhrPing.enabled => false
  
  
• toolkit.telemetry.coverage.opt-out => true
  
  
• toolkit.telemetry.firstShutdownPing.enabled => false
  
  
• toolkit.telemetry.newProfilePing.enabled => false
  
  
• toolkit.telemetry.server => data:
  
  
• toolkit.telemetry.shutdownPingSender.enabled => false
  
  
• toolkit.telemetry.unified => false
  
  
• toolkit.telemetry.updatePing.enabled => false
  
  
• webchannel.allowObject.urlWhitelist => ""

Casse des choses sans être utile :

• gfx.font_rendering.opentype_svg.enabled