Beiträge von Lusito

Die Reviews stammen leider von der gleichen Art Fehlinformation und Berichtende schauen sich in der Regel danach auch nicht mehr meine Antworten an. Ich bemühe mich, den Informationsfluss zu verbessern, aber ich bin halt auch nur eine Person an dem Projekt und alles läuft in meiner Freizeit.

Bitte nicht die "Storage" unter den Einstellungen mit "Local Storage" verwechseln. Dieser Begriff dort ist mehr als nur verwirrend gewählt und bezeichnet nicht nur den Local Storage, sondern fasst wesentlich mehr zusammen, siehe: https://github.com/Lusito/forget-…mment-526918057

Balob, kannst du bitte ein paar mehr Details geben, wie du die Cookies siehst, die gelöscht werden sollten?
So spontan wäre folgendes möglich:

- Du könntest die Fallback-Regel auf Niemals stehen haben (Säuberung wenn keine Regel greift, steht ganz unten unter allen Regeln).

- Du schaust dir "Cookies" beim CCleaner oder ähnlicher externer Software an, anstatt Firefox zum anschauen der Cookies zu nutzen. In dem Fall sind das was du siehst nicht zwingend Cookies. CCleaner zählt z.B. HSTS Supercookies als Cookies, dabei sind sie technisch gesehen keine. HSTS Supercookies können von Erweiterungen bisher nicht gelöscht werden.

Andernfalls versuch bitte mal, die manuelle Säuberung durchzuführen, um zu schauen, ob es da dann ggf. gelöscht wird.

> Hat sich zu beiden Punkten inzwischen eine Möglichkeit gefunden?

Nein, allerdings gibt es ein Bugzilla Ticket was dies ermöglichen würde. Du kannst ja dafür stimmen und hoffen, dass es bald angegangen wird:
https://bugzilla.mozilla.org/show_bug.cgi?id=1464895

zu Punkt zwei, Auflisten der Cookies bin ich noch nicht gekommen.. zu viele andere Dinge die wichtiger sind.

> Hattest du diesbzgl. eine Lösung gefunden, so dass man in einer neuen Version von VMN damit rechnen und die SiteSecurityServiceState.txt wieder entsperren kann?

Ich hatte die Idee, die HSTS Cookies aus dem HTTP Header zu löschen, so dass sie nie gesetzt werden, abseits von Seiten, die von einer Weissen (ggf. auch Grauen) Regel beschützt werden, hatte aber bisher keine Zeit das auszuprobieren.

> Woran könnte es eigentlich liegen, dass man auf einer Seite eingeloggt bleibt, obwohl man HTTP Cookies, DOM- Web- Local-Storage, Flash Cookies gelöscht und Supercookies blockiert hat?

Wenn du dir sicher bist, dass all diese Dinge wirklich gelöscht sind fällt mir lediglich noch indexed-db ein, worin daten gespeichert werden können.
Oder natürlich die klassisch alte cookie-freie Variante, wie sie hier im Forum z.B. auch genutzt wird, wenn in der url z.B. sid=<langer code> steht, dann wirst du darüber identifiziert.

Kurze Erklärung:

Cookies
Cookies sind Schlüssel-Wert paare, z.B. user=Lusito, login_token=sonstwas, etc..
Cookies werden bei einer Anfrage an einen Server mitgesendet und der Server kann diese auch beim senden der Antwort setzen/überschreiben (jeweils nur für ihm zugängliche Domänen).
Cookies können zudem von JavaScript aus gelesen und geschrieben werden.

Solche Cookies können bei simplen HTTP/S Anfragen gelesen und geschrieben werden. Also wenn eine Webseite aufgerufen wird, aber auch wenn die Webseite ein Bild oder einen Frame (z.B. ein Youtube Video oder eine Google Maps Karte) einbindet.

Supercookie ist ein Metabegriff, der für mehrere Dinge steht:

Flash Cookies
Die erste Möglichkeit, abseits von Cookies, cookie-ähnlich Daten zu speichern.
Flash Cookies können mit der Option "Plugin Daten" in VMN gelöscht werden.
Sofern ihr aber Flash abgeschaltet habt, ist das eh nicht mehr relevant.
Flash Cookies können dem Server nur bei aktiviertem Flash gesendet werden.

Web/Dom/Local Storage
Verschiedene Namen für das Gleiche. Es ist eine Möglichkeit im Browser für eine Webseite Cookie-Ähnliche Daten zu speichern.

Um diese Daten lesen oder speichern zu können müssen zwei Dinge zutreffen:

• JavaScript muss aktiviert sein.
• Ein Browserfenster oder Frame muss existieren, welcher das Ausführen von JavaScript ermöglicht. Es reicht also nicht mehr aus, einfach nur ein Bild einzubinden.

Nachtrag: Der Server kann diese Daten nur indirekt lesen.. JavaScript muss sie auslesen und an den Server zurücksenden.

Zum Löschen existiert eine gleichnamige Checkbox in VMN.

Indexed DB
Eine technisch umfangreichere Alternative zu Local Storage. Mit Details werde ich hier jetzt nicht quälen. Wichtig ist für euch lediglich, dass es sich genau so wie Local Storage verhält.

Zum Löschen existiert eine gleichnamige Checkbox in VMN. Leider lassen sich hier jedoch aufgrund der API von Firefox keine der Nutzerregeln anwenden.

HSTS Supercookies
Bei HSTS Supercookies wird es hässlich. Der Link beschreibt es recht gut. Die Kurzausführung:
HSTS Supercookies sind weder Cookies noch cookie-ähnliche Daten. Das Prinzip wurde nicht einmal für das Speichern von Daten konzipiert. Es war dafür gedacht, Webseiten sicherer zu machen, indem man sich merkt, welche Webseiten HTTPS unterstützen.
Es wurde pro domäne (http://www.google.de) sich gemerkt, dass die domäne HTTPS unterstützt (dazu sendet der Server ein entsprechendes Signal sobald eine Anfrage an ihn über HTTP gesendet wird simplifiziert "hallo, ich kann auch https.."). Dies hat sich der Browser gemerkt und bei nachfolgenden Anfragen dann HTTPS genutzt.

Als Trackingfirmen merkten, dass Leute cookies ausschalten, haben sie sich nach anderen Methoden umgeschaut und dieses Sicherheitsfeature gegen die Nutzer verwendet: Es werden Bilder von verschiedenen domänen eingebettet (z.B. a.track.com, b.track.com, c.track.com). Da hier nur eine 0 oder eine 1 gespeichert wird, werden meist eine handvoll Server verwendet um eine Tracking-ID zu erzeugen und die eigentlichen Tracking-Informationen nun auf dem Server zu speichern.

HSTS Supercookies können leider nicht von VMN gelöscht werden. CCleaner kann es. Man kann es auch manuell durch anpassen der SiteSecurityServiceState.txt Datei.
Hier ist jedoch vorsicht zu walten, da es wie gesagt ein Sicherheitsfeature ist um zu vermeiden, dass eine Man-In-The-Middle Attacke sonst leicht ausgeführt werden könnte (http://www.hello.de in die Browserleiste eingegeben würde ohne HSTS dafür sorgen, dass erst einmal http://www.hello.de aufgerufen wird (also unsicher). Erst nachdem das HSTS Flag gesetzt wurde werden folgende Eingaben von http://www.hello.de eine Anfrage auf https://www.hello.de stellen.

Ich recherchiere derzeit noch inwiefern man das setzen von HSTS Supercookies blockieren könnte ohne dabei die Sicherheit groß einzuschränken.

Sonstiges

Zitat

Das ist ja eine blöde Einschränkung. War das früher mal anders? Ich habe noch "Selective Cookie Delete" in meiner alten FF-Version, das macht das m.E.

Ja, früher war das Löschen beim Beenden möglich. Scheinbar haben es jedoch einige Extensions übertrieben, was zu sehr langen Beendungszeiten geführt hat, daher gibt es diese Möglichkeit nicht mehr in Firefox. Mozilla möchte vermeiden, dass Nutzer denken, dass Firefox langsam ist.

Zitat

Ist mit Löschen von
webappsstore.sqlite
storage\
%appdata%\Macromedia\
%appdata%\Adobe\
alles weg?

Nein. Mindestens die SiteSecurityServiceState.txt gibt es noch.. so genau habe ich mich mit den einzelnen Dateien bisher noch nicht beschäftigt, da ich sie mit meiner Extension auch nicht direkt verändern kann.

Zitat

Für mich würde "unabhängig" bedeuten, dass die in VMN erstellten Regeln unabhängig von den in Firefox erstellten Regeln gelten.

Stell es dir so vor: Firefox und VMN wohnen in einer WG. Die WG hat einen gemeinsamen Briefkasten, der Regelmäßig Werbung bekommt.
Firefox wirft diese gelegentlich weg und VMN wirft sie gelegentlich weg. Firefox und VMN haben aber unabhängig voneinander Regeln, wann was weggeworfen wird.

Dass Firefox und VMN miteinander kommunizieren und sich gegenseitig die Regeln erklären ist leider nicht möglich.

Zitat

Könntest du, wenn möglich, noch eine Änderung beim Lösch-Button vornehmen?
Damit man weiß, dass für die entsprechende Seite wirklich kein Cookie mehr vorhanden ist, wäre es hilfreich, wenn sich der Button, nachdem die Cookies gelöscht wurden, grau verfärben würde und bei vorhandenem Cookie schwarz erscheinen könnte.

Da dieser Button nicht nur für das Löschen von Cookies zuständig ist, und es derzeit keine performante Möglichkeit gibt, zu prüfen, ob localStorage in der aktuellen Webseite vorhanden ist, ist das derzeit leider keine Option.

Zitat

Ich war bisher davon ausgegangen, dass der sich auf das Löschen von Regeln bezieht.

Hmm, dann muss man hier wohl am UI noch etwas verbessern. Da das UI demnächst nochmal überarbeitet werden soll, werde ich versuchen das zu berücksichtigen.

Zitat

Mein ergänzende Frage dazu ist, ob dabei auch der local storage / Supercookies der entsprechenden Seite gelöscht werden.

Der Jetzt Löschen Button löscht cookies und localstorage. Supercookies können von Web-Extensions leider garnicht gelöscht werden. Dazu fehlt die Schnittstelle. Supercookies sind auch technisch gesehen keine Cookies, aber das ist ein anderes Thema.

Zitat

3. Kann man mit Vergiss Mein Nicht die gesetzten (vorhandenen) Cookies auf einfachem Weg auflisten, wie wenn man Cookies umständlich direkt unter Firefox in den Einstellungen anzeigen lässt?

Im Moment noch nicht. Es existiert jedoch schon eine Anfrage dies zu machen:
https://github.com/Lusito/forget-me-not/issues/9

Zitat

4. Welche Auswirkungen hat es überhaupt, die Vergiss Mein Nicht Einstellungen zu „Beim Browserstart löschen:“ zu verwenden, wenn man unter den Firefox Einstellungen die benutzerdefinierte Chronik verwendet und bestimmte Daten bei Beenden von Firefox löschen lässt?

Beide Löschaktionen geschehen unabhängig voneinander. Firefox löscht Dinge beim beenden, beachtet dabei aber nicht die Regeln von VMN.
VMN löscht Dinge beim Start des Browsers (leider kann man nichts beim beenden ausführen) und beachtet dabei die Regeln von VMN, kennt aber wie oben schon erwähnt nicht die Regeln von Firefox.

Hey, sorry.. ich bekomme scheinbar keine Benachrichtigungen von dem Forum über neue Antworten.

Zitat

Werden alle Arten von Regeln, Cookies bestimmter Seiten zu behalten, von der Fx Cookie-Einstellung „Behalten bis – Firefox geschlossen wird“ überschrieben?

Alle Firefox Cookie Einstellungen arbeiten unabhängig von VMN. Es findet keinerlei Wissensaustausch zwischen Firefox und VMN statt. Wenn du also Firefox anweist cookies zu löschen, so werden VMN Regeln dabei vollständig ignoriert, egal welche Firefox methode du nutzt. Andere Web-Extensions sind VMN genauso unbekannt, hier gilt das gleiche Prinzip.

Zitat

Gibt es inzwischen eine Möglichkeit der Einstellung, dass die „Manuelle Säuberung durchführen:“ nur für den aktiven Tab oder nur für eine bestimmte Webseite incl. Cookies Dritter durchgeführt wird?

Du kannst Cleanup für einen Tab durchführen (merke: nicht "Manuelle Säuberung", sondern der button im Tab mit dem Augesymbol).
Dies schließt jedoch nicht die Cookies dritter ein, die innerhalb dieses Tabs gesetzt wurden, da mir diese Info leider nicht zur Verfügung steht. Wenn also auf heise.de ein youtube.com video eingebettet wurde, sehe ich das cookie von youtube.com, aber nicht, dass es innerhalb von heise.de geladen wurde.

Ausnahme: Du kannst mit First Party Isolation dafür sorgen, dass Thirdparty Cookies nur innerhalb der Firstparty Domäne zugänglich sind (im obigen Beispiel also heise.de). Falls du FPI aktiviert hast, so werden bei der Säuberung einer domäne auch dessen Thirdparty cookies gelöscht.

Infos dazu:
https://www.ghacks.net/2017/11/22/how…ion-in-firefox/
https://www.kuketz-blog.de/firefox-first-…mpendium-teil4/

Vorsicht jedoch: Dies kann z.B. den Login über andere Webseiten (Login via Facebook oder Google) und ähnliche Features verhindern.

Steffen: Danke, werd es anpassen

Ja, man kann mit Firefox auch Cookies löschen und Ausnahmen konfigurieren. Jedoch sind hier die Möglichkeiten eingeschränkt. Z.B.
- Bei Ausnahmen sind keine Wildcards möglich (*=Sternchen als Platzhalter)
- Es gibt keine automatische Löschung beim Verlassen von Webseiten
- Die Einstellungen von Firefox sind nur für Cookies. Lokaler Speicher und andere können so nicht konfiguriert werden.

Einer der größten Vorteile der Extension ist jedoch meines Erachtens nach der Komfort. Die Firefox Einstellungen sind recht versteckt und umständlich zu bearbeiten. Mit der Extension kann man Einstellungen vornehmen ohne groß aus seinem eigentlichen Flow herausgerissen zu werden.

Ob du die Extension brauchst oder nicht musst du selber wissen.. jeder hat da unterschiedliche Bedürfnisse und für einige reicht sicherlich das aus was Firefox mit sich bringt.

Ich hoffe das klärt die Sache etwas auf

Kannst du machen, musst du aber nicht.. das Ticket wird so oder so umgesetzt.

Beschreibt dieses Ticket was du möchtest? https://github.com/Lusito/forget-me-not/issues/17

Zitat von Speravir

Ich hielte es für gut, wenn man abgelaufene Cookies automatisch löschen lassen könnte (ohne Unterscheidung zu Session-Cookies, aber die könnten meiner Ansicht nach immer bei Browserstart gelöscht werden).

Soweit ich das richtig sehe, werden abgelaufene Cookies nur dann gelöscht, wenn Firefox meint er hätte zu viele Cookies in der Datenbank. Sie werden dennoch nicht übertragen, also hat keine Webseite drauf zugriff.
Es gibt für Firefox ein Bugticket, welches die Thematik behandelt: https://bugzilla.mozilla.org/show_bug.cgi?id=576347

Es wär sicherlich möglich, dies mit der Extension umzusetzen. Da es jedoch eher eine Unschönheit als ein tatsächliches Problem (da die Cookies ja nicht weiter versendet werden) darstellt, würd ich das mal niedrig priorisieren.
Ich hab dennoch mal ein Ticket dafür erstellt, damit es nicht vergessen wird: https://github.com/Lusito/forget-me-not/issues/27

Zitat von Speravir

Das Addon funktioniert bisher auf (Sub-)Domainbasis. Wäre aber ein Modus möglich, dass (domainweise?) alle Cookies gelöscht werden, aber individuelle Ausnahmen festgelegt werden können? Deine Überlegungen wegen einer Blacklist habe ich schon gesehen.

Ich bin verwirrt, was genau du willst oder was dir fehlt. Individuelle Ausnahmen festlegen und den Rest löschen ist die Hauptfunktion der Erweiterung und sollte soweit auch möglich sein. Könntest du einen Anwendungsfall beschreiben, der deine Intention darstellt?

Hi Milupo, kannste gerne machen

Ich versuch derzeit die 500 User Marke zu knacken, damit ich es für die Featured Add-On Kategorie vorschlagen kann. 400 hab ich vor ein paar Tagen erreicht.

Ich hab eine Firefox Web-Extension namens "Vergiss Mein Nicht" zum Löschen von Cookies und Lokalem Speicher basierend auf konfigurierbaren Regeln erstellt. Die Extension kann mehr löschen, dabei jedoch nicht die Regeln beachten, da es bisher noch nicht von Firefox unterstützt wird. Es gibt ähnliche Extensions, aber diese sind limitierender und/oder nicht gewillt Anpassungen durchzuführen, daher habe ich diese Extension erstellt.

Probiert es mal aus: https://addons.mozilla.org/firefox/addon/forget_me_not/

Feedback ist immer gern gesehen. Entweder hier oder auf github: https://github.com/Lusito/forget-me-not

Danke.