Firefox 69: Cryptomining-Blocker wird standardmäßig aktiviert

  • Mir gefällt, was Mozilla alles in diesem Bereich tut. Das sind alles echte Verbesserungen. Nur warum so kleine Schritte? Ich hätte schon bei der Einführung der Optionen Fingerprinter und Crypro-Minder in der Konfiguration "Streng" alle Checkboxen angehakelt, wie es bereits in der Developer-Edition gemacht wird.

    Oder übersehe ich etwas?

  • Du übersiehst Web-Kompatibiliät. ;) Man kann nicht einfach alles blockieren, man muss viel testen und ggfs. Webseiten-Betreiber / Dienstleister kontaktieren, falls viele Nutzer betroffen sind. Die meisten Probleme dieser Art werden erst bemerkt, wenn es echte Nutzer erreicht, daher aktiviert man sowas zunächst nur in Vorabversionen, bevor man es für alle Nutzer aktiviert. Denn wenn Webseiten nicht mehr funktionieren, ist das bei einem Browser nicht lustig. Da wechseln die Nutzer aber ganz schnell den Browser.

  • Also ich habe auch das Gefühl das man da ein wenig über-vorsichtig vor geht.

    Ja aus Entwicklersicht muss man vorsichtig sein was man an eine Masse an User raus gibt.

    Aber ich blockiere sehr viel über uMatrix, uBlock und per ghacks-user.js und außer das man x tausend CDN's und Drittquellen bei uMatrix freigeben muss, was mich immer kotzen lässt(weil js dort nichts zu suchen hat und lokal eingebunden sein sollte), habe ich noch nie Probleme mit Webseiten gehabt. Und ich glaub nicht das ich wenig unterwegs bin.

  • Also ich habe auch das Gefühl das man da ein wenig über-vorsichtig vor geht.

    […]

    habe ich noch nie Probleme mit Webseiten gehabt. Und ich glaub nicht das ich wenig unterwegs bin.

    Du befasst dich damit ja auch vermutlich nicht. Aber auf Bugzilla findet man wirklich viele Tickets dazu, die sich um Website-Probleme wegen aktivierter Content Blocking-Maßnahmen drehen. Deine persönliche Nutzung ist also nicht repräsentativ. Du bist halt nur einer, während Mozilla eine dreistellige Millionenzahl an Nutzern hat. Das hat also nichts mit "über-vorsichtig" zu tun, sondern ist eine Notwendigkeit. Idealismus (einfach alles blockieren) und Realismus (was tatsächlich blockiert werden kann) sind immer noch zwei Paar Schuhe und die müssen halt manchmal angepasst werden, bevor sie bequem sind. ;)

  • Website-Probleme wegen aktivierter Content Blocking-Maßnahmen drehen

    Ist die Frage ob das aufs Blocking zurückzuführen ist oder auf unsaubere Arbeit bei Webseiten, was ich für wahrscheinlicher halte. Was nicht heißt das das nicht trotzdem bei Bugzilla aufschlägt und eine Lösung gefunden werden muss.

  • Ist die Frage ob das aufs Blocking zurückzuführen ist oder auf unsaubere Arbeit bei Webseiten, was ich für wahrscheinlicher halte.

    Das ist vollkommen irrelevant in der Frage, wieso das vorher intensiv getestet werden muss. Und nur darum ging es.

    Abgesehen davon kann man das auch keineswegs pauschal sagen, dass das irgendetwas mit "unsauberer Arbeit" seitens der Webseiten zu tun hat. Ganz aktuelles Beispiel:

    https://bugzilla.mozilla.org/show_bug.cgi?id=1544159

    TinyMCE, einer der populärsten WYSIWYG-Editoren der Welt, via Hosting eingebunden, wurde vom Tracking-Schutz von Firefox blockiert, in dem Fall von der Fingerprinting-Liste. Das so an alle Firefox-Nutzer ausliefern geht einfach nicht und hat nichts mit unsauberer Arbeit zu tun. Im Gegenteil haben die Webseite-Betreiber überhaupt keine Möglichkeit, das zu beeinflussen. Solche Probleme werden bei Mozilla gesammelt und Mozilla nimmt dann Kontakt mit denen auf, wie auch dort geschehen. TinyMCE hat seinen Code angepasst, dann musste Disconnect informiert werden, damit TinyMCE von der Liste genommen wird, und Firefox musste dann seine Liste von Disconnect aktualisieren. Jetzt gibt es das Problem nicht mehr. Solche Dinge müssen zwingend passieren, bevor Mozilla solche Schutzmaßnahmen standardmäßig für alle aktiviert.

  • Ok wenn ich das aber gerade richtig verstehe hat der Fingerprint-Schutz genau das gemacht was er sollte?

    Es war zwar keine unsaubere aber eine unschöne Arbeit dann, weil User getrackt worden sind.

  • Ich habe auch nicht direkt die Webseitenbetreiber gemacht sondern die Entwickler. Aber in #8 ging es eher um eine Verständnisfrage. Denn dann war der block kein Bug sondern es hat Funktioniert "As designed" wie man so schön sagt.

    Und eine härtere schiene würde auch Entwickler mehr aufwecken. Wobei man da natürlich beachten muss das Chrome auch nach zieht, sonst hat man nur einen Abfluss von Usern. Und G braucht nun nicht wirklich noch mehr macht.

  • Ich habe auch nicht direkt die Webseitenbetreiber gemacht sondern die Entwickler.

    Auch von denen ist nichts "unsauber" oder "unschön" gemacht worden. Sie hatten eben eine bestimmte Methode, die Nutzung des Premium-Angebots zu messen. Und damit gab es überhaupt kein Problem, weil das bisher kein Browser blockiert hat. Dass das Firefox optional blockiert, ist neu. Nur die wenigsten Entwickler können in die Zukunft sehen.

    Aber in #8 ging es eher um eine Verständnisfrage. Denn dann war der block kein Bug sondern es hat Funktioniert "As designed" wie man so schön sagt.

    Richtig - aber das war erst einmal zu überprüfen und zweitens geht Mozillas Arbeit weit darüber hinaus, Fehler in Firefox zu beheben. Denn letztlich ist es egal, wessen "Schuld" das ist. Mozilla muss die Auswirkungen kennen und dann abwägen, was akzeptabel ist und was nicht. Web-Kompatibilität wird immer ziemlich weit oben in der Gewichtung eines Browserherstellers stehen.

    Und eine härtere schiene würde auch Entwickler mehr aufwecken.

    Ob du es glaubst oder nicht, Entwickler sind Menschen, mit denen man reden kann. Zumal die Entwickler selbst meistens nicht die Entscheidungen treffen, aber auch diejenigen, in deren Auftrag sie arbeiten, sind Menschen. Man kann mit Menschen arbeiten, man muss nicht gegen Menschen arbeiten. Insofern ist die Schiene, die Mozilla fährt, die absolut richtige - wie mein Beispiel ja auch gezeigt hat. Man hat freundlich und respektvoll miteinander kommuniziert, das Problem wurde behoben, alles gut. Es gibt keinen Grund, jemanden mit einer "harten Schiene" zu überfahren. Mozilla würde sich auch keinen Gefallen damit tun.

  • Die meisten Probleme dieser Art werden erst bemerkt, wenn es echte Nutzer erreicht, daher aktiviert man sowas zunächst nur in Vorabversionen, bevor man es für alle Nutzer aktiviert. Denn wenn Webseiten nicht mehr funktionieren, ist das bei einem Browser nicht lustig. Da wechseln die Nutzer aber ganz schnell den Browser.

    Ja, daran hätte ich auch denken können/sollen, geht ja mir in meiner Arbeit nicht anders. Andere Branche, aber bei Deinem zweiten Satz denke ich an unsere Vertriebsabteilung und unsere Hotline.

  • Aber ich blockiere sehr viel über uMatrix, uBlock und per ghacks-user.js und außer das man x tausend CDN's und Drittquellen bei uMatrix freigeben muss, was mich immer kotzen lässt(weil js dort nichts zu suchen hat und lokal eingebunden sein sollte), habe ich noch nie Probleme mit Webseiten gehabt. Und ich glaub nicht das ich wenig unterwegs bin.

    Ich bin mir nicht sicher, was ich von diesen und anderen user.js Erstellern halten soll. Teilweise werden Sicherheitseinstellungen abgedreht, die wirklich essentiell sind. Zwar gibt es hilfreiche Einstellungen, die man machen kann, auch auf offiziellen Mozilla-Seiten gibt es dazu Empfehlungen. Wenn aber praktisch der gesamte Browser umkonfiguriert wird, dann ist Skepsis angebracht. Wenn das Ergebnis eine stimmige Konfiguration eines Browsers ergeben sollte, dann würde mich das überraschen.

    Hier wird gerne mit FUD gearbeitet - fear, uncertainty and doubt. Es ist leider sehr einfach, sich davon beeindrucken zu lassen, denn das seitenübergreifende Tracking und die Datensammelwut sind reale Probleme, die Angst machen können, und einfache, mit voller Überzeugung vorgetragende Wahrheiten beindrucken leider viele stärker als Differenzierung, selbst wenn diese vermeintlichen Wahrheiten falsch sind.

    Ich kenne diese Add-Ons uMatrix und uBlock Origin, weil ich beide bereits lange genug verwendet habe. Ich selber verwende den integrierten Blocker von Firefox und dazu NoScript, das ich allerdings nicht im vollen Paranoia-Modus verwende, sodass ich kaum eingreifen muss. Auch ich empfinde solche Fälle nicht als Probleme. Der durchschnittliche Anwender würde jedoch wahrscheinlich keine Ahnung haben, wie er reagieren soll, wenn etwas nicht funktioniert. Ein derartig konfigurierter Browser würde als nicht funktionierend wahrgenommen und nicht mehr verwendet werden. Und ich würde das voll verstehen.

    Aus Interesse habe ich ca. zwei Wochen lang Firefox ohne Add-Ons, aber mit einer strengeren Konfiguration (mit Blockierliste Level 1) verwendet, soweit es ohne Eingriffe mit about:config geht. Also nur über die normalen Einstellungen. In dieser Zeit hatte ich keine Probleme, weshalb ich Mozilla als zu vorsichtig empfunden habe. Aber Sören hat in diesem Thread überzeugend gezeigt, dass andere damit ernste Probleme haben. Die Default-Konfiguration muss funktionieren.

  • Ich bin mir nicht sicher, was ich von diesen und anderen user.js Erstellern halten soll. Teilweise werden Sicherheitseinstellungen abgedreht, die wirklich essentiell sind. Zwar gibt es hilfreiche Einstellungen, die man machen kann, auch auf offiziellen Mozilla-Seiten gibt es dazu Empfehlungen. Wenn aber praktisch der gesamte Browser umkonfiguriert wird, dann ist Skepsis angebracht. Wenn das Ergebnis eine stimmige Konfiguration eines Browsers ergeben sollte, dann würde mich das überraschen.

    Ja klar einfach einfügen und spaß haben ist das natürlich nicht, Ich bin jedes teil durchgegangen und habe mir angesehen was die Option macht und dann für mich entschieden. Aber im großen und ganzen muss ich sagen ist diese schon sehr gut. Paar sachen hab ich eher noch verschärft.

    Der durchschnittliche Anwender würde jedoch wahrscheinlich keine Ahnung haben, wie er reagieren soll, wenn etwas nicht funktioniert.

    Darum meinte ich ja, von Anfang an ein easy Mode aber mit Möglichkeit auf advanced Mode.

    Ja das Beispiel war schon Interessant, ich mach auch immer mal wieder Beta und Nightly mit hatte aber noch nie so ein Problem erlebt obwohl ich schon wie angedeutet sehr Strenge Einstellungen habe.