Eine Verständnisfrage zum Profilordner "storage"

  • In diesem Ordner befinden sich 3 weitere Ordner, "default", "permanent" und "temporary". In "default" und "temporary" hatten diverse Webseiten etwas gespeichert was auch mit Cookies löschen nicht verschwand (Cookies werden beim Beenden ohnehin gelöscht). Ich habe sie von Hand geleert und mit Schreibschutz versehen, jetzt ist da Ruhe.

    Aber was befindet sich in dem Ordner "permanent"? 2 weitere Ordner, "chrome" und "indexeddb+++fx-devtools". Das wird beim FF-Start gleich wieder angelegt, 2 sqlite-Datenbanken je 48 kB? Ist das vom FF selbst? Oder von AddOns? Ist es notwendig oder kann man das auch ruhig durch Schreibschutz verhindern?

    Kann mir das jemand erklären? Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Ist es notwendig oder kann man das auch ruhig durch Schreibschutz verhindern?

    Gegenfrage: wieso solltest du das tun? Was bringt dir das, außer Potential für Probleme? Das Firefox-Profil ist nichts, wo man dran rumspielen sollte. Ganz im Gegenteil: Probleme mit Firefox lassen sich ganz oft auf individuelle Probleme im Profil zurückführen. Man sieht es ja, wie häufig Profil-Restaurationen Probleme lösen. Man muss Probleme nicht auch noch provozieren, indem man Schreibrechte verändert. Im schlechtesten Fall führt das zu Abstürzen von Firefox. Ich will es nicht hoffen, aber vorstellbar wäre das durchaus bei unerwartet fehlenden Schreibrechten.

    Aber was befindet sich in dem Ordner "permanent"? 2 weitere Ordner, "chrome" und "indexeddb+++fx-devtools". Das wird beim FF-Start gleich wieder angelegt, 2 sqlite-Datenbanken je 48 kB? Ist das vom FF selbst? Oder von AddOns?

    Wenn dich der exakte Inhalt interessiert, öffne die Dateien mit einem geeigneten Programm. Ich nutze dafür "DB Browser for SQLite", das gibt es auch für Windows [1].

    Der Name "indexeddb+++fx-devtools" dürfte selbsterklärend sein: die Datenbanken darin hängen mit den Entwicklerwerkzeugen von Firefox zusammen, z.B. die Projekte der WebIDE werden hier gespeichert. Öffnet man die Datenbank im chrome-Verzeichnis erkennt man, dass diese einen Zusammenhang zur Push-API hat (das ist ein Webstandard).

    [1] http://sqlitebrowser.org/

  • Danke Sören für die Erklärungen.

    Dann werde ich den Ordner "permanent" ohne Schreibschutz lassen. Bei den anderen stand ich vor der Frage entweder den FF per Script starten und nach getaner Arbeit diese Ordner aufräumen, oder die brutale Art mit dem Schreibschutz. Bisher hat der FF noch nicht darüber gemeckert. Und wenn es dadurch Probleme gibt - ich weiß dann auch was ich verbrochen habe... Solche Änderungen werden bei mir sogar dokumentiert, besser ist das...

    Gruß (der neugierige) Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Solange du bei Problemen weißt, welche Änderungen du rückgängig machen musst, kannst du es ja da genauso mit dem Schreibschutz versuchen. Ich kann nicht sagen, ob das Probleme gibt. Ich stelle nur den vermeintlichen Vorteil in Frage und hebe hervor, dass das Profil nichts ist, von dem vorgesehen ist, dass man von außerhalb Änderungen vornimmt. ;)

  • Wenn das vom FF selbst oder von den AddOns angegt ist, soll es ja bleiben. Nur was mir Webseiten anlegen wollen möchte ich verhindern. Das ist immer noch mein Rechner, und da schreibt nur der, dem ich es erlaube ;-).

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Wenn ich mich recht gelesen habe, konnte man es mit dem about:config Wert dom.indexedDB.enabled auf false verhindern. Aber das scheint wohl nicht mehr zu gehen. Es werden trotzdem Einträge angelegt.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Der Schalter klappt bei mir einwandfrei, getestet hier:

    http://www.onlywebpro.com/demo/jquery/indexeddb.html

    Mit dom.indexedDB.enabled;false erscheint in der Konsole: "TypeError: db is undefined" und nichts wird gespeichert / kann gelesen werden. Aber: der Name "dom.indexedDB.enabled" deutet es bereits an, du deaktivierst damit eine DOM-API, es geht dabei also vorrangig um Webseiten. Das muss nicht verhindern, dass Firefox intern für eigene Funktionen IndexedDB verwendet, erklärt also, wieso im chrome-Verzeichnis trotzdem eine Datenbank angelegt wird.

  • Das ist etwas anderes. ;) Das storage-Verzeichnis dienst nicht nur für IndexedDB-Datenbanken. Du erkennst IndexedDB-Datenbanken daran, dass es im jeweiligen Verzeichnis einen Unterordner mit dem Namen "idb" gibt. Im Falle von YouTube trifft das nicht zu. Dort findest du stattdessen einen Unterordner mit dem Namen "cache". Ergo fällt das nicht unter den Schalter für IndexedDB. IndexedDB ist immer "idb".

  • Guten Morgen

    Mmh, insgesamt finde ich die Erklärungen etwas unbefriedigend.
    Das Thema hatten wir hier im Dez. 16 und hier Anfang Jan. 17 schon mal auf dem Radar.
    Sören erklärt zwar dankenswerter Weise die technische Struktur, also die Form, aber der Inhalt, sprich, was genau und zu welchem Zweck dort gespeichert wird, bleibt zumindest mir in Teilen ein Rätsel.
    Hier lese ich dann u.a.:

    Zitat

    The first is designed for scenarios where the user is carrying out a single transaction, but could be carrying out multiple transactions in different windows at the same time.


    Gut, das verstehe ich.
    Hellhörig werde ich beim lesen von sowas:

    Zitat

    The second storage mechanism is designed for storage that spans multiple windows, and lasts beyond the current session. In particular, Web applications may wish to store megabytes of user data, such as entire user-authored documents or a user's mailbox, on the client side for performance reasons.


    Bei "to store megabytes of user data" bekomme ich Pickel und andere feuchte Hände. In den verlinkten Beiträgen finden sich ja u.a. Einträge von gmx und google. Gut, die speichern (vermutlich) lokal Daten aus den Mailboxen. Ob und inwieweit das ein Sicherheitsrisiko darstellt kann ich nicht einschätzen. Unschön finde ich das allemal.
    Weiterhin tauchen ja auch bild, mydealz und giga auf. Mmmh, was die wohl auf meinem Rechner speichern wollen?

    Und auch wenn Sören natürlich völlig zu Recht fragt:

    Gegenfrage: wieso solltest du das tun? Was bringt dir das, außer Potential für Probleme?

    halte ich das Hinterfragen solcher Einträge nicht nur für sinnvoll, sondern wichtig. Und da das nun schon mindestens die dritte Anfrage diesbezüglich ist, kann man von einer gewissen Relevanz ausgehen.
    Sörens Argumentation klingt mir ein wenig nach: "tu' mal die Finger davon wech, das hat schon seine Richtigkeit".
    Man korrigiere mich wenn ich falsch liege: Stand derzeit ist es mit hauseigenen Mitteln nicht möglich diese Daten sauber vom Rechner zu bekommen. Oder gar zu verhindern das diese angelegt werden, Stichwort: Datensparsamkeit.

  • Mmh, insgesamt finde ich die Erklärungen etwas unbefriedigend.

    Wenn die Erklärungen für dich unbefriedigend sind, dann liegt das einzig und alleine daran, dass du etwas wissen möchtest, nach dem in diesem Thread kein Mensch gefragt hatte, nämlich was das für Webstandards sind. Meine Erklärungen gehen nur auf das ein, wonach gefragt wurde.

    Sören erklärt zwar dankenswerter Weise die technische Struktur, also die Form, aber der Inhalt, sprich, was genau und zu welchem Zweck dort gespeichert wird, bleibt zumindest mir in Teilen ein Rätsel.

    Was genau zu welchem Zweck gespeichert wird, ist pauschal zu beantworten ja auch gar nicht möglich. Es hängt von der jeweiligen Webseite ab, was sie speichern möchte.

    Ob und inwieweit das ein Sicherheitsrisiko darstellt kann ich nicht einschätzen.

    Aus welchem Grund sollte das ein besonderes Sicherheitsrisiko darstellen? Es handelt sich um gewöhnliche Webstandards und diese können dementsprechend, wie die Implementierungen sämtlicher Webstandards, grundsätzlich natürlich Lücken aufweisen. Sollte dies der Fall sein, werden diese aber nach Bekanntwerden umgehend behoben. Mir fällt kein Grund ein, wieso hier ein höheres Risikopotential bestehen sollte als beispielsweise, wenn es um die Darstellung von simplen Grafiken geht. Ich nenne dieses Beispiel, weil das nach der vermeintlich einfachsten Aufgabe eines Browsers klingt und das nie in Frage gestellt wird. Tatsächlich haben die dafür verwendeten Bibliotheken auch immer wieder neue Sicherheitslücken - die natürlich auch immer schnell geschlossen werden. Und Bilder betreffen fast ausnahmslos alle Webseiten, die existieren. Die Nutzung von IndexedDB oder dem Local Storage ist verglichen damit selten.

    Weiterhin tauchen ja auch bild, mydealz und giga auf. Mmmh, was die wohl auf meinem Rechner speichern wollen?

    Die Frage stellt sich genauso viel oder wenig für jede andere Webseite. Es gibt keinen Grund, ausgerechnet diese Seiten hervorzuheben, außer du möchtest Spekulationen anregen, was ziemlich sinnlos wäre, weil Spekulationen keine Fakten darstellen. Und nachdem du in deinem Beitrag bereits eine Spezifikation verlinkt hast, gehe ich mal davon aus, dass dich Fakten interessieren. Fakt heißt: öffne die Datenbank, schau dir an, was darin gespeichert ist, und triff dein Urteil. Aber wenn du Vorbehalte gegen bestimmte Webseiten hast, dann besuche diese doch erst gar nicht.

    Und da das nun schon mindestens die dritte Anfrage diesbezüglich ist, kann man von einer gewissen Relevanz ausgehen.

    Wegen dreier Anfragen innerhalb eines Vierteljahres etwas ableiten? Mal abgesehen davon, dass Firefox knapp 500 Millionen Nutzer hat, diese Standards existieren bereits seit einigen Jahren und selbst, wenn man nur die Nutzer in Betracht zieht, die in diesem Forum in Form von mindestens einem Beitrag aktiv wurden, gab es über den Zeitraum all dieser Jahre wirklich sehr wenige Anfragen dazu. Ich kann mich nicht daran erinnern, dass es in all den Jahren jemals so "viele" Anfragen in so kurzer Zeit dazu gab, und das sind immer noch wenige Anfragen. Es sind halt Anfragen aus Interesse und das ist auch absolut in Ordnung so. Nur kann man daraus keine besondere Bedeutung ableiten, dafür ist die Menge einfach viel zu gering. Für eine statistische Relevanz braucht es mehr.

    Sörens Argumentation klingt mir ein wenig nach: "tu' mal die Finger davon wech, das hat schon seine Richtigkeit".

    Es hat auch seine Richtigkeit. Das Firefox-Profil ist nun einmal kein Ort, an dem man von Hand irgendetwas löschen oder den Zugriff sperren möchte. Es gibt nicht ohne Grund Einstellungen in about:config, um die Standards ordnungsgemäß zu deaktivieren. Dies ist der einzige Weg, der offiziell unterstützt wird. Alles andere bietet nur unnötiges Potential für Probleme, denn Mozilla testet ganz bestimmt nicht das Verhalten von Firefox mit veränderten Schreibrechten, wie sie bei 99,9999 Prozent der Nutzer nicht vorkommen.

    Man korrigiere mich wenn ich falsch liege: Stand derzeit ist es mit hauseigenen Mitteln nicht möglich diese Daten sauber vom Rechner zu bekommen. Oder gar zu verhindern das diese angelegt werden, Stichwort: Datensparsamkeit.

    Der Local Storage oder auch Web Storage wird gemeinsam mit dem Löschen aller Cookies gelöscht. Local Storage und IndexedDB können via about:config deaktiviert werden. Einzelne Einträge aus Local Storage und IndexedDB lassen sich über die Entwicklerwerkzeuge betrachten sowie löschen. All das trifft ohne Add-ons zu.


  • Stichwort: Datensparsamkeit.

    Ganz genau, so sehe ich das auch. Wenn eine Webseite ein Cookie setzt um spezielle Einstellungen zu speichern (die ICH gemacht habe), dann ist es nachvollziehbar und ich erlaube es natürlich, weil ich es nicht jedes mal wieder einstellen möchte.

    Auch die Einstellungen die der FF selbst oder AddOns für bestimmte Webseiten machen (z.B. Vergrößerung etc). müssen natürlich irgendwo gespeichert sein.

    You Tube und andere Seiten funktionieren aber beim ersten Aufruf genau so gut wie später mit den gespeicherten Daten. Also sind diese überflüssig, jedenfalls für MICH. Deshalb bleiben die Verzeichnisse "storage/default" und "storage/temporary" auch solange es geht schreibgeschützt.

    Die nächste große Gefahr die irgendwann kommen wird mit unnötig erhobenen Daten ist es, wenn auch der FF in Zukunft mit Hirn-Anschluß ohne zu tippen funktioniert und zusätzliche Daten von skrupellosen Webseiten ungefragt aus meinem Gehirn abgegriffen und dann meistbietend weiter verkauft werden, z.B. die Bank-PIN... man braucht ja nur mal daran zu denken... siehe auch: https://www.heise.de/newsticker/mel…rn-3613672.html.

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Wenn eine Webseite ein Cookie setzt um spezielle Einstellungen zu speichern (die ICH gemacht habe), dann ist es nachvollziehbar und ich erlaube es natürlich, weil ich es nicht jedes mal wieder einstellen möchte.

    Du widersprichst dir damit in deiner eigenen Argumentation, weil das keine Frage der verwendeten Technologie ist. Nimm die Einstellungen von meinem Blog:

    https://www.soeren-hentzschel.at/oberflaeche-anpassen/

    Diese Einstellungen werden nicht als Cookies gespeichert, sondern im Local Storage. Würdest du Einstellungen auf meinem Blog vornehmen, würdest du diese auch nicht jedes Mal wieder neu einstellen wollen. Du siehst also, dass die Unterscheidung zwischen Cookies und anderen Technologien für dieses Argument nicht geeignet ist.

    Ich habe mich übrigens ganz bewusst für den Local Storage und gegen Cookies entschieden, weil Cookies mit jeder Anfrage an den Server gesendet werden, der Local Storage bleibt im Client und wird nicht automatisch an meinen Server gesendet.

    You Tube und andere Seiten funktionieren aber beim ersten Aufruf genau so gut wie später mit den gespeicherten Daten. Also sind diese überflüssig, jedenfalls für MICH. Deshalb bleiben die Verzeichnisse "storage/default" und "storage/temporary" auch solange es geht schreibgeschützt.

    Wenn es dir doch nur darum geht, wieso deaktivierst du die entsprechenden Standards dann nicht einfach per about:config, wie es der korrekte und vor allem risikolosere Weg wäre, weil du damit einen Weg gehen würdest, der von Mozilla unterstützt wird?

    Die nächste große Gefahr die irgendwann kommen wird mit unnötig erhobenen Daten ist es, wenn auch der FF in Zukunft mit Hirn-Anschluß ohne zu tippen funktioniert und zusätzliche Daten von skrupellosen Webseiten ungefragt aus meinem Gehirn abgegriffen und dann meistbietend weiter verkauft werden, z.B. die Bank-PIN... man braucht ja nur mal daran zu denken... siehe auch: https://www.heise.de/newsticker/mel…rn-3613672.html

    Du trägst also einen Sensor an deinem Kopf, wenn du Firefox benutzt? Ansonsten weiß ich nicht, wie Firefox an deine Hirnströme gelangen sollte. Falls du darauf spekulieren solltest, dass das *irgendwann* einmal per Luft übertragbar und von jeder Software auslesbar sein wird, ich bin nicht an Hollywood-Phantasien interessiert, sondern würde gerne ernsthaft beim Thema bleiben…


  • Der Local Storage oder auch Web Storage wird gemeinsam mit dem Löschen aller Cookies gelöscht.


    Das kann ich so nicht bestätigen.

    Sehe diese beiden Einträge, obwohl die entsprechenden Cookies gelöscht wurden. Firefox wurde neu gestartet.

    C:\Users\xxxxx\AppData\Roaming\Mozilla\Firefox\Profiles\5okfto26.Aktuell\storage\default


    [attachment=0]A1.png[/attachment]


    Und die dazugehörigen Cookies werden auch nicht als Ausnahme dauerhaft gespeichert.

    Aber ich habe für mich eine Lösung gefunden. Inhalte des Ordners storage werden nach jeder Sitzung gelöscht. Nachteile diesbezgl. sind nicht aufgetaucht.

  • Dein Screenshot zeigt doch nur Ordner. Ordner können keine Daten speichern. Die Daten werden in Datenbanken gespeichert. Deren Inhalt musst du überprüfen. Man kann es auch einfach auf einer Seite, die den Local Storage verwendet, testen. Nach dem Löschen aller Cookies sind die vorgenommen Änderungen weg. Eine Demoseite habe ich wenige Beiträge vorher genannt, ich habe es gerade auch noch einmal erfolgreich getestet.

  • @Sören:
    Ich glaube wir reden mitunter aneinander vorbei. Wenn es sich um Daten für die interne Verwendung von FF oder den AddOns handelt, dann möchte ich diese natürlich behalten um es dem FF (und damit auch dem User) so einfach und bequem wie möglich zu machen.

    Wenn die Daten aber beim nächsten Besuch zurück an den Server gehen (können), dann möchte ich diese Daten vorher weg haben.

    Das z.B. Startpage einige Sucheinstellungen im Cookie speichert ist für mich nachvollziehbar (ich kann mir den Keks ja ansehen) und gewünscht. Genauso sollen die Einstellungen vom FF slbst für die Webseiten möglichst erhalten bleiben. Das ist aber nur bei mir (Rentner) so. Wenn der Chef aus diesen Daten das Surfverhalten der Mitarbeiter nachvollziehen kann, müssen auch diese gelöscht werden.

    Und mit Cookies löschen habe ich leider auch nicht alles aus "storage" weg bekommen. Meinst Du denn, daß zumindest alle Daten die zum Server zurückgeschickt werden können damit weg sind? Man kann das sehr schwer nachvollziehen.

    Eigentlich müßten es getrennte Verzeichnisse sein, z.B. "Storage-intern" und "storage-websites" oder so ähnlich... das wäre klar erkennbar.

    Das mit dem Sensor am Kopf kommt automatisch wenn die Spieler es alle gut befinden, dann haben die Rechner in ferner Zukunft gar keine Tastatur mehr und man kann sich dann nicht mehr dagegen wehren. Deshalb muß man vorher aufschreien...

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE


  • @Sören:
    Ich glaube wir reden mitunter aneinander vorbei. Wenn es sich um Daten für die interne Verwendung von FF oder den AddOns handelt, dann möchte ich diese natürlich behalten um es dem FF (und damit auch dem User) so einfach und bequem wie möglich zu machen.

    Du hast meinen Beitrag nicht verstanden. ;) Weder in deinem letzten Beitrag noch in meiner Antwort darauf ging es um die interne Verwendung einer dieser Technologien, sondern um Webseiten. Ich zitiere dich noch mal:

    "Wenn eine Webseite ein Cookie setzt um spezielle Einstellungen zu speichern (die ICH gemacht habe), dann ist es nachvollziehbar und ich erlaube es natürlich, weil ich es nicht jedes mal wieder einstellen möchte."

    Genau das, was du hier für Cookies beschreibst, gilt am Beispiel meiner Webseite für den Local Storage. Deswegen funktioniert dein Argument nicht, weil es absolut gar nichts mit der verwendeten Technologie zu tun hat, sondern ausschließlich mit der Absicht des Entwicklers, wozu die Technologie genutzt wird. Ob nun Cookies genutzt werden oder Local Storage macht keinen Unterschied in Hinblick auf deine oben zitierte Motivation.

    Wenn die Daten aber beim nächsten Besuch zurück an den Server gehen (können), dann möchte ich diese Daten vorher weg haben.

    Können tun sie das immer, ein Entwickler einer Webseite kann natürlich ein Script geschrieben haben, welches im Hintergrund die Daten sendet. Aber wenn es dir darum geht, was der Browser standardmäßig macht, dann ist die Antwort, dass Cookies immer an den Server übertragen werden, der Local Storage nie.

    Und mit Cookies löschen habe ich leider auch nicht alles aus "storage" weg bekommen. Meinst Du denn, daß zumindest alle Daten die zum Server zurückgeschickt werden können damit weg sind? Man kann das sehr schwer nachvollziehen.

    Du machst den gleichen Denkfehler wie Fox2Fox, du schaust nur auf Ordnernamen, nicht darauf, ob sich der Inhalt geändert hat. Firefox löscht die Ordner nicht, das würde auch keinerlei zusätzlichen Vorteil bringen. Die Daten, auf welche die Webseite zugreifen können, werden in Datenbanken gespeichert. Und da das Erstellen und Löschen von ganzen Verzeichnissen und Dateien weitaus teurer ist (aus Performance-Sicht), ergibt es Sinn, einfach nur die Datenbank zu leeren, denn das Profil ist sowieso nichts Nutzer-Sichtbares (lies: nicht dafür gedacht).

    Eigentlich müßten es getrennte Verzeichnisse sein, z.B. "Storage-intern" und "storage-websites" oder so ähnlich... das wäre klar erkennbar.

    Wozu denn das? Davon hätte doch niemand was. Nochmal: das Firefox-Profil ist kein Ort zum Rumspielen, das sind Interna von Firefox, die den Endanwender nichts angehen müssen. Hier eine Trennung zu implementieren, wäre nur kontraproduktiv, denn es müsste unnötige Komplexität in Firefox implementiert werden, was nur die Wartbarkeit von Firefox erschwert und das Fehlerpotential erhöht.

    Das mit dem Sensor am Kopf kommt automatisch wenn die Spieler es alle gut befinden, dann haben die Rechner in ferner Zukunft gar keine Tastatur mehr und man kann sich dann nicht mehr dagegen wehren. Deshalb muß man vorher aufschreien...

    Diese Phantasie ist genau das: eine Phantasie von dir. Sehr wahrscheinlich ist das nicht. Und selbst, wenn du gegen alle Erwartungen Recht behalten solltest und das in 20 Jahren so ist, was interessiert mich das heute? Über die langfristige Zukunft kann man nur spekulieren und wie ich zu solchen Spekulationen stehe, habe ich schon häufig in diesem Forum deutlich gemacht: ich halte sie für sinnlos. Denn es kommt sowieso meistens alles ganz anders, als man es sich fünf Jahre vorher ausgemalt hat.