Firefox nach Neustart mit google Cookies

Steht da irgendwas von "Pref" oder "Safebrowsing"?

Siehe hier:
https://www.camp-firefox.de/forum/viewtopi…=959311#p959311

Da liegst du aber gewaltig daneben. Affinität zu Dingen, das Internet betreffend, schützt einen nur teilweise. Das wäre so eine Annahme wie wenn man sagt, man müsse einfach nur aufpassen, worauf man klickt, dann passiert schon nichts. Die Realität sieht aber ein bisschen anders aus.

"Ich will keine Google Dinge bei mir haben" ist überhaupt so eine Aussage, die bei mir Zweifel auslöst, ob die Funktionsweise überhaupt bekannt ist. Hast du dich denn mal damit befasst, wie SafeBrowsing funktioniert? Dann wüsstest du nämlich, dass Firefox eine Liste herunterlädt und mit der lokalen Liste vergleicht, es werden keinerlei sensible Daten zu Google übertragen. Vielleicht hast du unabhängig davon ja berechtige Einwände, das würde ich gerne verstehen, oder ob es nur eine grundsätzliche "Google ist böse"-Einstellung ist.

Ich bin auch kein Fan von Google aufgrund gewisser Unternehmensstrategien, aber ich denke, man sollte jede Sache für sich einzeln betrachten und abwägen, was das beste ist, statt pauschal alles zu verteufeln, womit Unternehmen XY zu tun hat. Hinterher kann man immer noch dagegen sein.

Du hast mich missverstanden: ich wollte dich nicht davon überzeugen, deine Meinung zu ändern, ich wollte wissen, auf welcher Grundlage deine Ablehnung basiert.

In deinem zweiten Absatz steckt etwas, was so nicht funktionieren kann: du beurteilst, ob Cookies notwendig sind, hast im Satz vorher aber geschrieben, dass du dich überhaupt nicht damit auseinandergesetzt hast, ergo das überhaupt nicht beurteilen kannst. Wo siehst du denn das konkrete Problem mit dem Cookie? Ich kläre dich gerne über die Tatsache auf, dass das SafeBrowsing-Cookie vollkommen isoliert von allen Webseiten-Cookies ist und technisch kein seitenübergreifendes Tracking darüber möglich ist.

Und ja, Google ist ein marktwirtschaftlich orientiertes Unternehmen und daran ist überhaupt nichts schlecht, denn das sagt überhaupt nichts aus. Auch die Mozilla Corporation, Entwicklerin von Firefox, ist ein solches. Non-Profit ist die Mutterorganisation Mozilla Foundation, die Foundation stellt aber nicht Firefox her. Es geht außerdem überhaupt nicht darum, Google zu vertrauen, du musst für SafeBrowsing einzig und allein Mozilla vertrauen. Google liefert nur die Daten, es besteht aber keinerlei Interaktion zwischen dir und Google, das findet vollständig im Browser statt. Google erfährt überhaupt nichts durch SafeBrowsing und es besteht keine technische Möglichkeit, dass von Google etwas durch dieses Sicherheitsfeature ausgenutzt werden könnte, da Firefox dafür ja nicht mit den Google-Servern kommuniziert, sondern wie gesagt, nur von Google eine Liste herunterlädt.

Es findet keine Kommunikation zwischen dir als Firefox-Nutzer und Google statt, das heißt: Firefox überträgt die URLs, die du besuchst, _nicht_ an Google. Stattdessen lädt Firefox in regelmäßigen Abständen eine Liste von Google herunter und nutzt ausschließlich die lokale Liste, um dich zu schützen. Die einzige Kommunikation zwischen Firefox und Google hierfür ist also das Herunterladen der Liste und darin bist du als Nutzer nicht involviert.

Das Cookie selbst ist wiederum notwendig, um die Sicherheit des Sicherheit-Features zu gewährleisten, siehe:
https://code.google.com/p/chromium/issues/detail?id=103243

Seit Firefox 27 ist das SafeBrowsing-Cookie isoliert von allen anderen Cookies:
https://bugzilla.mozilla.org/show_bug.cgi?id=897516

Die Liste kann nicht von Mozilla kommen, weil Mozilla überhaupt nicht dazu in der Lage wäre, eine qualitativ gleichwertige Liste bereitzustellen. Mozilla bietet einen solchen Dienst nicht an und hätte auch gar nicht die Ressourcen. Mozilla arbeitet beispielsweise auch an einem Tracking-Schutz. Auch hierfür kann Mozilla die Daten nicht selbst bereitstellen, hier bedient man sich bei Disconnect. Mal zur Größeneinordnung, wie klein Mozilla eigentlich ist: Facebook beschäftigt diesen Sommer mehr Praktikanten (!) als Mozilla Angestellte hat. Und Google dürfte meiner Einschätzung nach nochmal größer als Facebook sein.

Was die mögliche Manipulation der Liste betrifft: ich kenne die Kontrollstrukturen nicht, aber das Schlimmste, was passieren kann, ist dass du eine Seite, die eigentlich ungefährlich ist, nicht besuchen kannst. Damit entsteht höchstens der jeweiligen Webseite ein Schaden, wenn dadurch Benutzer und dadurch Einnahmen verloren gehen, aber deinem System passiert so oder so nichts - und im Idealfall schützt es dich vor einer manipulierten Webseite.

Zitat von kevlar

[...]
Eher präferiere ich WOT. Klar, das hat nicht die Ressourcen von Google.

Du vertraust also lieber einem Service, der tatsächlich deine besuchten Webseiten erhält?
Einem Service, dessen Webseiten-Reputation auf den Rankings normaler Nutzer basiert?

Zitat

[...]
When loading reputations for the websites you visit, the add-on sends our service the encrypted hostname and any ratings you may choose to give. The information about the domains visited is stored only temporarily for computing ratings. However, WOT Services may retain statistical and background information (containing no personal information).
[...]

Quelle: Auszug aus der Privacy Policy von WOT

Da vertraue ich lieber auf Mozilla und eine von einem großen Unternehmen wie Google erstellten Liste tatsächlich gefährlicher Webseiten, als der Laune normaler Nutzer, die aus persönlichem Frust eine Webseite wie https://www.gema.de/ (Webseite der GEMA) runter voten, welche laut WOT nun folgende Wertung hat: "Diese Seite hat einen schlechten Ruf auf Basis der Nutzerwertungen und ist nicht für Kinder geeignet."

Zitat von kevlar

Das macht mir gerade mehr sorgen, als die Cookies, die ja angeblich isoliert werden

Angeblich? Dir wurde bereits ein Nachweis geliefert und du stellst das immer noch in Frage?

Zitat von kevlar

Schützen kann man sich aus meiner Sicht selbst (warum du das anders siehst, verstehe ich nicht)

Genau das ist ein ganz offensichtlicher Irrglaube deinerseits (was mich über deine Aussage in Klammern stark wundern lässt). Woher weißt du vor dem Besuch einer Webseite, ob von dieser keine Gefahr ausgeht? Selbst die vertrauenswürdigste Seite kann manipuliert worden sein. Der Schutz, den SafeBrowsing bietet, kann kein Mensch selbst leisten. Auch SafeBrowsing macht deinen Schutz selbstverständlich nicht perfekt, es gibt keine garantierte Sicherheit, nichtsdestominder bist du als Nutzer ohne Hilfsmittel nicht dazu in der Lage, diesen Sicherheitsaspekt zu leisten.

Zitat von kevlar

und natürlich kann Google auch immer nur reagieren, es ist also keine Immunisierung.

Und? Gerade wenn es bekannt ist, dass von einer Webseite Gefahr ausgeht, ist es wichtig, davor zu schützen. Dass man keine Seiten sperren kann, bevor es einen Grund dazu gibt, versteht sich ja von selbst. Aber für dich als Nutzer ist das sehr wohl ein proaktiver Schutz und keine reaktive Maßnahme. Wenn du auf eine Schadsoftware verteilende Webseite kommst, bevor sie gesperrt worden ist, dann ist das Pech. Wie ich schon sagte: einen garantierte Sicherheit gibt es nicht. Aber SafeBrowsing verbessert zumindest die Sicherheit.

Zitat von kevlar

Und dass ein Unternehmen unkontrolliert bestimmen kann, welche Seiten ich besuchen kann und welche nicht, macht mir Bauchschmerzen.

"Unkontrolliert" basiert wie der Rest deiner Aussagen auf Vermutungen? Da du bislang gar nichts geprüft hast, gehe ich nicht davon aus, dass diese Aussage vorher geprüft worden ist.

Zitat von kevlar

Eher präferiere ich WOT. Klar, das hat nicht die Ressourcen von Google.

Das erfüllt einen vollkommen anderen Zweck. Weder ist WOT ein Ersatz für SafeBrowsing noch vice versa.

Zitat von kevlar

> Angeblich? Dir wurde bereits ein Nachweis geliefert und du stellst das immer noch in Frage?

Einen Nachweis habe ich nicht gesehen. Du vertraust also irgendwelchen Leuten?

Ich vertraue nicht irgendwelchen Leuten, ich vertraue Mozilla. Könnte ich Mozilla nicht vertrauen, würde ich Firefox nicht nutzen, so einfach ist das nämlich. Abgesehen davon gelangst du über meinen Link zum Quelltext von Firefox und kannst das selbst überprüfen. Wenn du den Nachweis nicht gesehen hast, liegt es an dir. Ich hab ihn dir angeboten.

Zitat von kevlar

> Auch SafeBrowsing macht deinen Schutz selbstverständlich nicht perfekt, es gibt keine garantierte Sicherheit, nichtsdestominder bist du als Nutzer ohne Hilfsmittel nicht dazu in der Lage, diesen Sicherheitsaspekt zu leisten.

Wie kommst du drauf, dass SafeBrowsing das leisten kann? Worauf basiert dein großes Vertrauen in die Qualität davon?

Deine Frage ergibt nicht den geringsten Sinn. Du fragst, wie ich darauf kommen kann, dass SafeBrowsing das leisten kann, was es leistet. Äh, ja. Spätestens an dieser Stelle wird es Zeit, dass du dich mal damit befasst, was SafeBrowsing ist, denn ganz offensichtlich hast du nicht die geringste Vorstellung, was es zur Zeitverschwendung macht, diese Diskussion fortzuführen.

Zitat von kevlar

Wie du schon sagst, auch normale vertrauenswürdige Seiten kann man nicht mehr vertrauen, wenn Werbeserver manipuliert wurden.

Ja. Und deswegen ist es gut, dass es etwas wie SafeBrowsing gibt, denn sobald die Manipulation bekannt wird, kann es alle Nutzer schützen, die nichts davon wissen.

Zitat von kevlar

> "Unkontrolliert" basiert wie der Rest deiner Aussagen auf Vermutungen? Da du bislang gar nichts geprüft hast, gehe ich nicht davon aus, dass diese Aussage vorher geprüft worden ist.

Bis mich keiner vom Gegenteil überzeugen kann, und das tust du nicht, ist das so. Auch du vermutest nur, dass es eine Art Kontrolle gibt. Wie sieht diese aus? Weißt du das?

Ich habe nicht eine einzige Vermutung in diese Richtung geäußert. Leg mir nicht irgendwelche Aussagen in den Mund, die ich nie getroffen habe. Ich hab sogar ganz deutlich geschrieben, dass ich nicht weiß, welche Kontrollinstanzen es gibt. Und es ist mir auch egal, weil mir als Anwender auf keinen Fall ein Schaden dadurch entstehen kann.

Zitat von kevlar

Bisher sehe ich von euch beiden nur Vermutungen.

Vermutungen? Ich habe dir Fakten geliefert. Ich habe dir erklärt, wie SafeBrowsing funktioniert und dir sogar weiterführende Links und die Möglichkeit zur Kontrolle gegeben.

Zitat von kevlar

Und ihr habt euch beide nur den Cookies angenommen. Wie ist es mit dem Download selbst?

Was soll damit sein? Du musst deine Frage schon präzisieren. Ich habe keine Ahnung, was du wissen willst.

Zitat von kevlar

Wie ich bereits sagte, lassen sich auch darüber Daten von Google sammeln. Das kann man nicht verhindern. Und das kann Google jetzt dank dem "Feature" von allen Firefox Nutzern. Super.

Hast du eigentlich einen einzigen meiner Beiträge wirklich gelesen und auch verstanden? Was für Daten sollen das bitte sein?

Ehrlich gesagt bin ich jetzt an dem Punkt, an dem ich glaube, dass du uns verarschen willst. Keine einzige meiner Antworten in diesem Beitrag wäre notwendig gewesen, hättest du zur Kenntnis genommen, was dir bereits gesagt worden ist.

Zitat von kevlar

Wie kommst du darauf mir einen Security Audit zuzutrauen? Nein, kann ich nicht

Als ob dich ein Security Audit interessieren würde, du hast dich ja nicht einmal mit der grundsätzlichen Funktionsweise beschäftigt.

Zitat von kevlar

Diese Links haben nur auf Bugtrackingseiten geführt, wem soll das helfen außer hoch professionellen Programmierern?

Ein "hoch professioneller Programmierer" muss man nicht sein, ein grundlegendes Verständnis ist schon sehr hilfreich. Programmiersprachen sind letzten Endes auch nur Englisch mit einer speziellen Grammatik und speziellen Vokabeln. Davon abgesehen ist das nicht der Punkt. Du hast unterstellt, ich würde nur vermuten, aber ich habe überprüfbare Fakten geliefert. Wenn du nicht in der Lage bist, die Überprüfung durchzuführen, ist das dein Problem, das macht meinen Beitrag nicht zur Vermutung.

Zitat von kevlar

> Was soll damit sein? Du musst deine Frage schon präzisieren. Ich habe keine Ahnung, was du wissen willst.

Habe ich doch bereits deutlicher ausgeführt. Jeder Kontakt zu einem Server, ob es nun nur Download ist, erzeugt dort Daten darüber, welchen Browser du verwendest und vieles mehr.

Ja, und? Was ist nun deine Frage? Firefox als bekannter Nutzer des Dienstes wird als Firefox erkannt, weiter? Bei 500 Millionen Nutzern hat das wohl kaum eine datenschutztechnische Relevanz. Und was soll das "vieles mehr" sein?

Zitat von kevlar

Was soll das? Ich habe deine/eure Aussagen zur Kenntnis genommen. Nur sie belegen gar nichts

Doch, tun sie, ob du willst oder nicht.

Zitat von kevlar

nur euren Glauben an eine Technik, die von Google kommt und Mozilla implementiert hat.

Das hat nichts mit Glauben zu tun.

Zitat von kevlar

Wir alle haben einen Glauben ohne echte Ahnung.

Wenn du sagst, dass du keine Ahnung hast, glaub ich dir das. Wieso solltest du das auch über dich sagen, wenn es nicht so ist. Aber unterlasse es, für andere zu sprechen, denn auf mich trifft das nicht zu.

Zitat von kevlar

Und meiner inkl. dem was so über Google berichtet wird und ich erlebe führt dazu, dass ich das nicht nutzen will da mir der Gewinn zum Risiko in keinem Verhältnis steht, während dir dein Wissen ausreicht es zu nutzen. Das ist deine Entscheidung.

Wie du meinst. Dann verzichte eben auf der Grundlage von 1. Nichtwissen, 2. fehlendem Verrauen a) in Mozilla b) in Nutzer, die es besser wissen und c) die weltweite Community (es ist ja nun wirklich so sicher wie das Amen in der Kirche, dass die IT-Medien voll mit Meldungen wären, wenn es hier ein Problem geben würde, Mozilla könnte sich das gar nicht leisten, die Sicherheit oder Privatsphäre zu verletzen, Mozilla lebt von seinem guten Ruf. Und als so populäres Open Source Projekt kann man niemandem etwas vormachen, das wird quasi ständig von Menschen mit Ahnung überprüft) und 3. Selbstüberschätzung, was die Sicherheit betrifft (du glaubst ja wirklich, du könntest ohne Hilfsmittel selbst auf dich aufpassen) auf eine Sicherheitsfunktion.

Zitat von kevlar

Dort werden z.B. per Standard Cookies und der Cache einfach nach jedem Browserstart behalten,

Betreibe den Firefox im Privatmodus. Stimmt deine Behauptung-/en immer noch?

Zitat von kevlar

Du hast meine Beiträge nicht gelesen. Ich habe Browserfingerprinting angeführt und IPs.

IPs werden bei jeder Anfrage gesendet, so funktioniert das Internet, um es mal salopp zu formulieren. Und was soll Google bitte mit dieser Information anfangen? Sie können keinen Zusammenhang zu irgendwelchen Daten herstellen, weil keine Daten damit verknüpft sind. Schön, dann haben sie deine IP und wissen am Ende von einigen Millionen Nutzern, nein, von den IP-Adressen, dass sie Firefox wenigstens einmal genutzt haben. Feste IP-Adressen sind in Deutschland und Österreich nicht der Standard. Das ist eine Information, die Google wirklich weit bringt. Nicht.

Zitat von kevlar

> 3. Selbstüberschätzung, was die Sicherheit betrifft (du glaubst ja wirklich, du könntest ohne Hilfsmittel selbst auf dich aufpassen) auf eine Sicherheitsfunktion.

Hat in den letzten Jahrzehnten zu 100% funktioniert. Warum also Selbstüberschätzung?

Das ist einfach nur naiv. Du kannst das überhaupt nicht wissen. Du müsstest SafeBrowsing ja erst einmal nutzen, um zu wissen, ob dich SafeBrowsing vor irgendetwas geschützt hätte, worauf du von ganz alleine gekommen bist - bevor du die jeweilige Webseite besucht hast, wohlgemerkt.

Zitat von kevlar

Und du hast auch nicht beantwortet, ob du den Code lesen und die Qualität beurteilen kannst

Ja, kann ich. Als Entwickler, der zudem gut in seinem Job ist, habe ich das notwendige Verständnis.

Zitat von kevlar

Ich verstehe gar nicht wie die mit der Argumentation von einfacher Grammatik behaupten kannst, dass jeder den Code einfach mal so lesen kann. Es geht dabei nicht um irgendwelche kleinen Schleifen. Kannst du das nun, oder nicht? Hast du es selbst getan? Das wollte ich wissen.

Ich habe nie behauptet, dass jeder den Code einfach lesen kann. In meinem Beitrag steht doch deutlich, dass man ein grundlegendes Verständnis benötigt - aber eben nicht wirklich viel mehr als das, man muss nicht der tollste Programmierer der Welt sein, weil Programmiersprachen nun einmal englische Dialekte sind, wenn man so will, und verstanden werden können, wenn man dieses Verständnis hat. Wer halbwegs programmieren kann, sollte zumindest solche Code-Änderungen nachvollziehen können. Auf die Einzelheiten der jeweiligen Sprache kommt es da nicht wirklich an.

Zitat von kevlar

Dass du das ganze Konzept verstanden hast, das kam jedenfalls bei mir nicht an. Nur, dass du weißt wo es stehen könnte. Alles was du kommuniziert hast verstanden zu haben ist, dass die Cookies isoliert sind.

Ich habe ein paar Dinge mehr als das geschrieben.

Zitat von kevlar

Zur Qualität der Liste, die mir wichtiger erscheint, konntest du keine Aussagen treffen. Warum überzeugt dich das Konzept dann so?

Ich habe eine Aussage zur Qualität getroffen. Und ich verstehe nicht, wieso du versuchst, etwas in Frage zu stellen, was als etablierte Lösung anerkannt ist. Wenn du es nicht besser weißt, solltest du denen vertrauen, die es besser wissen. Beispielsweise Mozilla.

Ich verstehe auch deine Frage "Warm überzeugt dich das Konzept so?" nicht. SafeBrowsing erfüllt einen ganz bestimmten Zweck. Dieser Zweck liegt auf der Hand. Das ist doch überhaupt keine Frage, dass dieser Schutz besser ist als ihn nicht zu haben. Zumal dir kein Schaden durch die Verwendung entstehen kann. Nicht einmal Tracking ist darüber möglich. Wenn du meinst, darauf verzichten zu können, dann verzichte darauf, das ist deine Entscheidung. Aber die Frage an sich lässt darauf schließen, dass du immer noch nicht weißt, was Sinn und Zweck dieses Features ist.

Zitat von kevlar

Und Mozilla tut sich wie die meisten Browserhersteller nicht gerade durch Einsatz in Datenschutz hervor.

Wie bitte? Das ist ja wohl ein Scherz. Gerade Mozillas Datenschutz-Bestrebungen sind einer der Punkte, die Mozilla überhaupt groß gemacht haben. Du beschäftigst dich offensichtlich wirklich überhaupt nicht mit den Dingen, über die du urteilst.

Zitat von kevlar

Dort werden z.B. per Standard Cookies und der Cache einfach nach jedem Browserstart behalten, obwohl damit Tracking ermöglicht wird

Und beides ist absolut sinnvoll. Oder isst du mit den Fingern, nur weil du mit einem Messer jemanden verletzen kannst statt es zum Essen zu benutzen? Man kann so ziemlich jedes Werkzeug für verschiedenste Dinge nutzen. Cookies werden beispielsweise für den dauerhaften Login auf Webseiten benötigt. Wäre ziemlich mies, wenn Firefox hier standardmäßig versagen würde. Und wo du das Problem mit dem Cache siehst, dürfte dein Geheimnis sein. Gerade war dir die Anfrage für die SafeBrowsing-Liste bereits zu viel, jetzt willst du auf einmal ein Vielfaches mehr Anfragen an jeden Server, weil jede Ressource neu vom Server geholt werden soll statt sie von deiner lokalen Festplatte zu lesen?

Zitat von kevlar

auch allgemein, gibt es keine Trackingschutzmaßnahmen. Das muss man alles irgendwie nachrüsten.

Doch, gibt es. Tracking geschieht überlicherweise über Drittanbieter-Cookies. Diese kannst du in Firefox deaktivieren, ohne Cookies allgemein zu deaktivieren. Beschäftige dich halt mit den Dingen. Darüber hinaus bietet Firefox einen integrierten Tracking-Schutz an. Der ist zwar noch experimentell und versteckt, aber existent und ab Firefox 42 eine prominent angebote Option für den Privaten Modus.

Zitat von kevlar

Somit erwarte ich da von Mozilla nicht so viel

Wer nichts erwartet, kann zumindest nicht enttäuscht werden. Insofern ist das in deinem Fall vielleicht das beste, wenn du dich schon nicht befassen willst.