Config Policy einrichten

  • Hallo Firefox-Gemeinde!

    Ich versuche, meinen digitalen Finderabdruck (panopticlick.eff.org) zu verringern und anscheinend ist die grösste Quelle für Wiedererkennung von Nutzern die Auslesung der Plugin- und der Schriftarten- Details.

    Um diese (und andere Browser-Details wie Auflösung, Zeitzone, ...) zu verbergen, bin ich auf folgenden Vorschlag gestoßen:

    http://www.heise.de/newsticker/for…-18023719/read/

    Dabei ging es anscheinend früher, Änderungen an den Security Policies von Firefox vorzunhmen, indem mann in die datei " .../Mozilla
    Firefox/greprefs/all.js" programmbefehle wie

    Zitat

    pref("capability.policy.default.navigator.plugin", "noAccess");


    und andere (siehe link) einfügte, die firefox anscheinend dann beim Start ausführte.

    Inzwischen gibt es weder eine solche Datei noch das Verzeichniss. Ist es dennoch auf irgend eine Weise möglich, solche Änderungen vorzunehmen?

    Edit 2002Andreas
    Habe Deinen Beitrag mal nach Allgemein verschoben

  • Wenn man die Erscheinungsdatum von Firefox verfolgt hätte (dort), wüsste der Mitlesende, dass die von v3.x schreiben, Anfang 2012 kam Firefox 4 heraus, somit sind sämtliche Angaben dort nichtig

    https://support.mozilla.org/de/questions/868501

    Und zum Link wird hier beschrieben, warum Benutzer nicht (mehr) an der omni.ja fummeln sollte
    https://www.camp-firefox.de/forum/viewtopic.php?f=7&t=103578

    Du könntest stattdessen eine user.js verwenden
    http://kb.mozillazine.org/User.js_file

    Ob allerdings deinem Verfolgungswahn damit genüge getan wäre, sei mal dahingestellt. Die meisten Versuche, sich zu "tarnen" schlagen fehl oder ziehen Fehlfunktionen im Browser oder auf Webseiten nach sich. Wenn du unerkannt bleiben willst, nutze einen VPN.

  • Zitat von Fox2Fox

    Dein ISP weiß immer, wer du bist!


    Das ist schon richtig, aber der sieht zB bei VPN weder noch, welche Daten übertragen wird noch kann dieser als Endziel ermittelt werden, da ein VPN taktischerweise in einem Land stehen sollte, der keine sonderlichen Auslieferungsverträge für seine Daten hat. In Deutschland wäre das eher unsicher.

    Allerdings betrifft das nur die Daten an sich, nicht die Informationen, die der Themenstarter generell übermittel, damit Webseiten korrekt angezeigt werden können.

    Derzeit binich auf EFF einer von 35.400 gleichen Benutzern - ob mit oder ohne NoScript.

  • @ Bernd. Danke für den Link.

    Ich habe die user.js, wie beschrieben erzeugt und als "testfunktion" den Befehl pref("browser.chrome.site_icons", **true/false** ); getestet. Der Eintrag wird ordnungsgemäß bei about:config gesetzt und die icons dementsprechend angezeigt bzw. ausgeblendet.

    Der Befehl pref("capability.policy.default.navigator.plugin", "noAccess"); funktioniert aber immer noch nicht, d.h. Plugins sind bei panopticlick immer noch sichtbar.

    Ist der Befehl vielleicht veraltet? Und gäbe es dann Alternativen in der aktuellen Version?

  • Habe den aktuellen Befehl gefunden: Er heißt jetzt
    user_pref("capability.policy.default.Navigator.plugins.get", "noAccess");
    für die Sperrung der Plugin-Liste und
    user_pref("capability.policy.default.Navigator.mimeTypes.get", "noAccess");
    für die Sperrung der mimeTypen Liste.

    Das Wiedereinschalten geht mit "allAccess" als letztes argument.

    Gibt es vielleicht noch einen Befehl, mit dem man auch die Fonts Liste verbergen kann?

    PS: ist irgndwo die Variable/Eigenschaft/??? "...plugins.get" und ".mimeTypes.get"" erklärt? Werde bei google mit "plugin Object Javascript" nicht fündig.

  • Ich nutze übrigen kein Java, um deine ursprüngliche Frage zu beantworten. Und es ist mir völlig schnurz, ob ich einer aus einer Million, Tausend oder alleine bin. Ich fühle mich nicht überwacht, bedroht oder sonst was. Ich bin auch nicht sonderlich verwundbar im Web, man kann mir keinen shitstorm anhängen. Da haben kommende Besitzer einer Xbox One erheblich mehr Probleme in Zukunft. :roll: Was du da treibst ist im Prinzip nichts anderes, als sich Arme und Beine auf den Rücken zu schnallen und versuchen, so ein normales Auto zu fahren.

    capability.policy.default.Navigator.plugins.ge
    Und damit hast du dir schon die beste Arschkarte geholt, damit wirst du auf nahezu jeder Seite, die irgendein Plugin benötigt, auf die Schnauze fallen, um das mal bildlich auszulegen. Plugins werden heutzutage nicht mehr hardcoded aufgerufen, sondern per JavaScript überprüft - und rate mal, woran es bei dir scheitern wird?

    Dann kannst du auch gleich mit curl ö.ä. surfen. :roll:

  • Ich will keine Shitstürme losbrechen und auch kein Plutonium an die Taliban oder die Al-Qaida verkaufen (für letzteres sind schon unsere Freunde von der CIA zuständig), also nichts assoziales oder illegales tun. Und ich weiß auch, dass ich über den ISP und die VPN zur Not immer zurückverfolgt werden kann (auser, ich nutze einen VPN aus China oder Iran. Und selbst das könnte schief gehen).

    Grund für meine Paranoia ist die Vermeidbarkeit von Fingerprint-Trackinng (um cookies, trackerskripte und IP habe ich mich schon gekümmert) und ja, mir ist klar, dass diese "im prinpip" 1) nicht mit mir persöhnlich in Verbindung gebracht werden können und 2) zeitlich instabil sind.

    Dennoch könnte man rein technisch 1) aufheben, wenn ich mich irgendwo, wo ich als reale person registriert bin einlogge und 2) könnte man auch "überbrücken" wenn ich z.B. eine Internetseite (oder eingebettete Inhalte) zu oft aufrufe, , so dass der Tracker den sich langsam ändernden Fingerprint immer aktuallisieren kann. Ein Informatikstudent http://bfp.henning-tillmann.de/ will letzteres untersuchen. Bin gespannt auf das Ergebniss!

    Nun zurück zur Sache:

    Zitat von Bernd.

    capability.policy.default.Navigator.plugins.ge
    Und damit hast du dir schon die beste Arschkarte geholt, damit wirst du auf nahezu jeder Seite, die irgendein Plugin benötigt, auf die Schnauze fallen, um das mal bildlich auszulegen. Plugins werden heutzutage nicht mehr hardcoded aufgerufen, sondern per JavaScript überprüft - und rate mal, woran es bei dir scheitern wird?

    Das hast du leider recht :) . Es ist, wie ich inzwichen festgestellt habe, ohnehin die bessere Methode, Plugins einfach abzuschalten und nur bei Bedarf einzuschalten. Die Internetseite sagt in der Regel eh bescheid, welches Plugin in benötige (meistens flash). Es spricht aber auch nichts dagegen, brutale Alternativen anzusehen :lol: .

    Was meinst du mit "hardcoded"?
    Was mich an der Plugin-Liste auch stört, ist: Wozu braucht der Seitenbetreiber meine VOLLSTÄNDIGEN Plugins-, mime-, fonts- Listen? Es wurde doch ausrechen, einzeln zu prüfen, ob das benötigte Plugin (was meistens nur 1 Stück ist) und seine Version zu überprüfen?!

  • Zitat von Fajärfocks-Jüser

    Was mich an der Plugin-Liste auch stört, ist: Wozu braucht der Seitenbetreiber meine VOLLSTÄNDIGEN Plugins-, mime-, fonts- Listen? Es wurde doch ausrechen, einzeln zu prüfen, ob das benötigte Plugin (was meistens nur 1 Stück ist) und seine Version zu überprüfen?!

    Und wie soll ein Seitenbetreiber die Existenz eines Plugins o.ä. überprüfen, wenn er keine vollständige Liste aller hat? ;)

  • Zitat

    Wozu braucht der Seitenbetreiber


    Wozu wird er das schon benötigen?

    [paranoiamopdusein]jeder, der diese Informationen abfragt, will dir natürlich ans Leder[paranoiamopdusaus]

    Überspitzt ausgedrückt hast du doch einen an der Klatsche. Du möchtest wohl diese Tendenz nicht einschlagen, aber genau das bewirkst du damit. Du unterstellst per se allen Seitenbetreibern, die ein paar Informationen für ihre Seitengestaltung abfragen, dass sie dich ausspitzeln wollen. Dann zieh wirklich den Stecker, denn genau das wird als Verfolgungswahn interpretiert, und sorry, dafür ist dieses Forum nicht kompetent genug.

    Der Spagat zwischen mehr Privatsphäre und einer fehlerfreien Webseite ist nicht allzu groß, aber du willst über die eine grenze einfach hinaus und da wirst du deine ganz eigenen Erfahrungen machen müssen - und das mindestens ohne mich.

    PS in jeder größeren Einkaufszone gehst du an mindestens einer Überwachungskamera vorbei, die an einen Gesichtsscanner angeschlossen ist, am Flughafen sowieso. Du müsstest eigentlich beim Shoppen von Ecke zu Ecke huschen. Sammelst du eigentlich PAYBACK-Punkte?

    PPS hardcoded = embedded objects

  • Son Mist, erwischt :mrgreen:
    Da ist echt ein "p" zuviel, sollte eigentlichtlich "paranoia-modus-ein" "..aus" heissen


    :oops:

    Nein, Payback (und ähnliche) sind noch gemeiner als irgendwelche Technikdaten, die ein Browser übermittelt. Da wird mit realen Daten und Kundenbewegungen gehandelt, auf einer Basis, die 1984 näher ist als euch lieb ist. Selbst, wenn das nur intern in irgendeinem Rechenzentrum ohne Menschinteraktion ausgewertet wird - heraus kommt unerwünschte Postwurfsendungen oder telefonische Angebote, wenn Daten kombiniert werden können. Payback bedeutet nicht, dass bestimmte Produkte aufgezeichnet werden, aber wo und wann und wieviel.

    zB
    http://www.sueddeutsche.de/wirtschaft/dat…ayback-1.366984
    http://www.datenschutzbeauftragter-info.de/bonusprogramm-…sie-ihre-daten/
    http://www.datenschutzbeauftragter-info.de/was-weiss-payback-ueber-mich/

  • Zitat von Sören Hentzschel

    Und wie soll ein Seitenbetreiber die Existenz eines Plugins o.ä. überprüfen, wenn er keine vollständige Liste aller hat? ;)

    Zitat von Bernd.

    Wozu wird er das schon benötigen?


    Ich meine, man kann die Plugins ja mit Namen statt der Indexnummer, also assoziativ aus dem "array" plugins aufrufen: http://de.selfhtml.org/javascript/objekte/plugins.htm
    Wenn ich es richtig verstehe, kann man so das einzelne Plugin aufrufen, also benötigt man auch nicht das gesamte "array". Und die Abfrage läuft sogar schneller, da man keine for-schleife mit irgendwelchen vergleichen von plugin.name anstellen muss. In diesem Fall hätte man die Möglichkein mit dem ganzen Array und den Zahlen-Indizes auch ganz weglassen können. Also z.B. eine Funktion wie plugins.getPlugin( **name** ), um eine Referenz/Zeiger/?? auf das Plugin zu bekommen.
    Oder: Kann man in javascript ein array rein-assoziativ anlegen?

    Ich denke auch nicht, dass es in bösartiger Absicht so eingerichtet wurde. Es hat sich bisher nur weder jemand für Tracking über Browsereigenschaften, noch über die ewentuellen Folgen dieser Browser-Einzigartigkeit groß interresiert. Also haben die Entwickler das so eingerichtet, wie sie es eingerichtet haben. Tracker waren ja bisher auch mit cookies weitgehend zufrieden.

    Jetzt aber zurück zu meinem Verfolgungswahn:
    Ich habe meinen Fonts-Fingerprint mit dem eines "frischen" Systems (mit Flashplayer) verglichen, und: Die "frische" Fonts-Liste hat einen Fingerprint von nur 152.96. Meine alte Liste einen von 44322.92!

    Jetzt drangsaliere ich mal meine Paranoia und veröffentliche meine Fonts details, Muahahahaha!:
    Der Unterschied kommt von nur 2 Schriftarten: Calibri Light, Xirod (via flashplayer). Hat einer für mich einen Tipp, wie ich sie wieder los werde? Flash Plugin de- und neuinstallieren hat nix gebracht.

  • Zitat von Fajärfocks-Jüser

    Wenn ich es richtig verstehe, kann man so das einzelne Plugin aufrufen, also benötigt man auch nicht das gesamte "array". Und die Abfrage läuft sogar schneller, da man keine for-schleife mit irgendwelchen vergleichen von plugin.name anstellen muss. In diesem Fall hätte man die Möglichkein mit dem ganzen Array und den Zahlen-Indizes auch ganz weglassen können. Also z.B. eine Funktion wie plugins.getPlugin( **name** ), um eine Referenz/Zeiger/?? auf das Plugin zu bekommen.

    Ich kapier deine Logik ehrlich gesagt nicht und/oder verstehe nicht, worauf du hinaus möchtest. Soweit ich dich verstehe, störst du dich daran, dass ein Webseitenbetreiber Zugriff auf eine komplette Liste aller deiner aktivierten Plugins hat, er benötige ja nur Informationen über das Plugin, welches er benötigt. Sage mir mal bitte, wie man überprüfen soll, ob ein bestimmtes Plugin vorhanden ist, wenn man nicht Informationen über alle aktivierten Plugins hat? Natürlich musst du diese Informationen preisgeben, wenn eine Webseite die Chance haben soll, diese Information zu lesen. Und welche Plugins gelesen werden können, steuerst du, indem du Plugins aktivierst respektive deaktivierst.

    Zitat von Fajärfocks-Jüser

    Ich denke auch nicht, dass es in bösartiger Absicht so eingerichtet wurde. Es hat sich bisher nur weder jemand für Tracking über Browsereigenschaften, noch über die ewentuellen Folgen dieser Browser-Einzigartigkeit groß interresiert. Also haben die Entwickler das so eingerichtet, wie sie es eingerichtet haben. Tracker waren ja bisher auch mit cookies weitgehend zufrieden.

    Gehe mal davon aus, dass sich schon genug sowohl Experten als auch "Experten" mit diesem Thema befasst haben und wenn es ernsthafte Bedenken geben würde, Firefox der letzte Browser wäre, welcher auch heute noch Bedenken hervorrufen würde, Mozilla steht immerhin dafür, die Privatsphäre seiner Nutzer so ernst zu nehmen wie kein anderer Browserhersteller. Und tatsächlich zeigt Mozilla auch aktuell enorm viel Initiative pro Privatsphäre und steckt dafür heftige Kritik aus der Werbebranche ein. Ich denke da nur an die Meldungen alleine aus den letzten paar Wochen: Verbesserte Do-not-Track-Einstellungen, Standardmäßiges Blockieren von Drittanbieter Cookies, Add-on zur Visualisierung und Steuerung von Tracking, Collusion, in Version 1.0... Dass das, wovor du dich zu "schützen" versuchst, kein ernsthaftes Thema darstellt, liegt wirklich einzig und allein daran, dass es absolut keine Rolle spielt und nicht die geringste Mühe wert ist, daran auch nur irgendeinen Gedanken zu verschwenden.

    Ein gut gemeinter Ratschlag: Spare dir die Mühe. Das, was du vorhast, bringt dir keinen effektiven Vorteil. Ich kann beim allerbesten Willen keinen Sinn in dem Vorhaben entdecken. Wenn die Bedenken so dermaßen groß sind, hilft wirklich nur noch der Tipp von Seite 1 dieses Threads, den Stecker zu ziehen. Die Gefahren im realen Leben sind aber noch weit höher einzustufen, daher am besten gar nicht mehr das Haus verlassen. Aber auch das kann nicht ganz ungefährlich sein. Ein Nachbar könnte dich erkennen, wenn du zum Briefkasten gehst...

  • //

    Zitat von Bernd.

    Selbst, wenn das nur intern in irgendeinem Rechenzentrum ohne Menschinteraktion ausgewertet wird - heraus kommt unerwünschte Postwurfsendungen oder telefonische Angebote, wenn Daten kombiniert werden können.

    Genau dies ist hier nicht der Fall... am Briefkasten hängt ein Aufkleber, keine Werbung einwerfen (ausser IKEA); ich erhalte imho nicht mehr Postwurfsendungen als andere, von Firmen ohne Geschäftsbeziehung so gut wie gar keine, diese wandert schlussendlich mit dem Aufkleber "Unerwünscht! Zurück an Absender" direkt in den nächsten Postkasten...