Anpassungen hinsichtlich Privatsphäre/Sicherheit/Tracking

  • Der Firefox verwendet mit der strengen Aktivitätenverfolgung den "Do Not Track" Mechanismus, dass dieser auch funktionieren kann, kann man z.B. an geizhals.de sehen.

    Dort wird mir dann folgendes angezeigt.

    Zitat

    "Do not Track"-Modus erkannt! Es werden nur technisch notwendige Cookies verwendet.

    Quelle

    Mit den Addons kann man sich sicherlich auch weitere Lücken aufmachen.

    In uBlock Origin gab es einmal zum Beispiel solche Lücken, die für mich doch recht kritisch aussehen.

    Zitat

    Version 1.39.0

    Veröffentlicht 22. Nov. 2021 – 2,79 MB

    ....
    [discovered by @hackvertor] Security: Smuggle arbitrary CSS inside cosmetic uBlock filters

    [discovered by @hackvertor] Security: JavaScript URL injection allowed in query string parameter and redirection to uBlock origin urls

    Quelle

    Einmal editiert, zuletzt von Pucky (8. August 2022 um 17:30)

  • Der Firefox verwendet mit der strengen Aktivitätenverfolgung den "Do Not Track" Mechanismus, dass dieser auch funktionieren kann, kann man z.B. an geizhals.de sehen.

    Do not Track kann in Firefox aber auch unabhängig von der Stufe des Schutzes vor Aktivitätenverfolgung aktiviert werden. Dafür gibt es direkt darunter eine entsprechende Einstellung in Firefox.

    Aber auch hier wieder Achtung an Nutzer, die ihren Fingerabdruck reduzieren wollen: DNT begünstigt Fingerprinting! Vor allem sollte einem bewusst sein, dass Do not Track komplett auf Freiwilligkeit basiert. Entsprechend gering ist der Anteil an Websites, wo das etwas bewirkt.

    Do not Track wird immer noch von manchen Seiten berücksichtigt, ist de facto aber ein gescheiterter Standard. Die Zukunft (und der indirekte Nachfolger von Do not Track) ist die Global Privacy Control:

    Global Privacy Control — Take Control Of Your Privacy
    Exercise your privacy rights in one step via the “Global Privacy Control” (GPC) signal, a proposed specification backed by over a dozen organizations.
    globalprivacycontrol.org

    Mozilla ist eines der Gründungsmitglieder der GPC, wohinter auch andere Datenschutz-Größen wie die EFF, DuckDuckGo, Disconnect und Brave stehen. In Firefox (ab Version 95, Firefox ESR 91 unterstützt das noch nicht) müssen dafür aktuell noch privacy.globalprivacycontrol.enabled sowie privacy.globalprivacycontrol.functionality.enabled via about:config auf true gesetzt werden. GPC hat deutlich realistischere Chancen als DNT, sich durchzusetzen, insbesondere weil der California’s Consumer Privacy Act (CCPA) für Unternehmen, welche an die CCPA gebunden sind, das Respektieren der GPC bereits gesetzlich bindend macht. In Europa tut man gegenüber den USA immer so überlegen in Datenschutz-Fragen, aber die Amerikaner sind uns voraus. Das lässt andererseits aber eben auch hoffen, dass Europa dem Beispiel folgt.

  • Danke für die Erklärung und den Tipp.

    Ich werde dann testweise den Browser mit nur einem AdBlock Addon und wenigen Anpassungen verwenden. Mit uBlock Origin und NoScript hatte ich ein paar Probleme, die bei mir ein paar Fragezeichen hinterlassen haben. Ich werde jetzt nicht genauer darauf eingehen.

    Wie sieht es denn bei euch aus, gab es ein paar Probleme oder irgendwelche Auffälligkeiten mit manchen Addons?

  • Ich nutze keine speziellen Privatsphäre- oder Sicherheits-Erweiterungen. Daher habe ich aus der Richtung her auch keine Probleme oder Auffälligkeiten. Wenn man Content-Blocker wie uBlock Origin (oder Adblock Plus, was ich nutze) mit dazu nimmt, dann kann es natürlich das Thema geben, dass eine Website mal den Content verweigert. Das lässt sich in der Regel über temporäre Ausnahmen regeln. Ebenfalls verursachen Blocker für Cookie-Dialoge gerne mal Probleme, aber sowas widerspricht von meiner Betrachung her sowieso eher dem Datenschutz-Gedanken als etwas dafür zu tun. Spätestens seit dem vollständigen Cookie-Schutz in Firefox sehe ich auch für das Verweigern von Cookies kein Argument mehr. Ansonsten: Finger weg von Script-Blockern wie NoScript. Das verbessert weder die Sicherheit noch die Privatsphäre in irgendeiner nennenswerten Weise. Wir haben das Jahr 2022. JavaScript gehört zur Webplattform wie HTML und CSS. Man verursacht mit der Blockierung von JavaScript mehr Probleme als alles andere.

  • wird doch aber vom Mozilla empfohlen

    Zitat

    Empfohlene Erweiterungen sind redaktionell sorgfältig ausgesuchte (kuratierte) Erweiterungen, die den höchsten Standards bezüglich Sicherheit, Funktionalität und Benutzererfahrung entsprechen. Firefox-Mitarbeiter wählen zusammen mit der Gemeinschaft freiwilliger Helfer jede Erweiterung aus und überprüfen sie manuell auf Sicherheit und Richtlinienkonformität, bevor sie den Status „Empfohlen“ mit dem entsprechenden Badge (Abzeichen) erhalten. Empfohlene Erweiterungen können auch auf der Startseite von addons.mozilla.org (AMO) und an anderen prominenten Orten beworben werden. Die Entwickler der Erweiterungen haben keinen Einfluss auf die Aufnahme ihrer Erweiterung in dieses Programm, sie kann auch nicht erkauft werden.

    Add-on-Badges (Abzeichen) | Hilfe zu Firefox

  • Ich sehe halt durchaus eine Diskrepanz zwischen Sörens Aussage und der Empfehlung von NoScript.. Ich nutze dieses Add-on selbst und kann bestätigen, das es bisweilen Probleme damit gibt, weil bestimmte Dinge ohne NoScript einfach funktionieren wie sie sollen. Komme ich aber klar mit....

  • Die Kennzeichnung als „empfohlen“ bedeutet nicht, dass Mozilla grundsätzlich empfiehlt, diese Erweiterung zu installieren. Wäre Mozilla wirklich der Meinung, dass etwas für die Masse sinnvoll ist, wäre das wohl im Standard-Auslieferungszustand von Firefox enthalten. Vor allem gibt es aktuell mehr als 110 (!) sogenannter empfohlener Erweiterungen. Die sollen natürlich nicht alle von jedem installiert werden.

    Die Kennzeichnung bedeutet genau das, worauf Andreas bereits hingewiesen hat. Nicht weniger, aber auch nicht mehr als das. Diese Auszeichnung macht eine Erweiterung nicht automatisch sinnvoll für den durchschnittlichen Nutzer. Ich sehe daher auch keine Diskrepanz zwischen dieser Auszeichnung und meiner Aussage. Das, was die Erweiterung machen soll, macht sie technisch betrachtet sehr gut und hat diese Auszeichnung sicherlich auch verdient. Das ändert aber nichts daran, dass es im Jahr 2022 nicht mehr argumentierbar ist, einen so elementaren Teil der Webplattform abzuschalten, der auf einer Stufe mit HTML und CSS steht.

  • Das ändert aber nichts daran, dass es im Jahr 2022 nicht mehr argumentierbar ist, einen so elementaren Teil der Webplattform abzuschalten, der auf einer Stufe mit HTML und CSS steht.

    Aber ist es nicht so, dass grade über JScript auch unschöne Dinge, wie bspw. Fingerprinting ausgeführt werden können?

  • Gegenfrage: Was ist das konkrete Problem, welches du zu lösen versuchst? Ja, über diverse Web-APIs lassen sich Merkmale ableiten - und diese APIs werden naturgemäß über JavaScript genutzt, weil HTML und CSS technisch dazu nicht in der Lage sind, JavaScript ist also alternativlos. Du kannst praktisch alles in irgendeiner Weise missbräuchlich nutzen. Schaltest du etwa auch CSS und Bilder ab? Ich denke nicht. Selbst ein Sicherheits-Mechanismus wie HSTS wurde schon für Tracking missbraucht. Das ist die logische Folge, wenn die dafür vorgesehenen Wege eingeschränkt werden.

    Websites erfordern JavaScript, manche weniger, sehr viele zwingend. Das ist eine Tatsache, die man akzeptieren sollte. Es ist ein Märchen, dass JavaScript etwas Böses sei. Das hat sich eingeprägt, weil das vor vielen, vielen Jahren so propagiert worden war. Aber seit dem hat sich das Web grundlegend verändert. Heute ist JavaScript notwendig.

    PS: Wenn du JavaScript abkürzen möchtest, dann bitte JS, nicht JScript. JScript war eine proprietäre JavaScript-Variante von Microsoft. Basierend auf dem heutigen Stand der Browser wäre sogar das deutlich anders klingende ECMAScript treffender als JScript für JavaScript. ;)

  • Was ist das konkrete Problem, welches du zu lösen versuchst?

    Mir geht es vor allem darum, nach Möglichkeit zu viel Angriffsfläche zu vermeiden. Es ist unbestreitbar, dass Webseiten, auf denen nicht wenige Elemente geblockt werden, gnadenlos verstümmelt dargestellt werden. Ich staune allerdings auch immer wieder, dass es kein Problem ist, auf solchen Seiten einen Text zu lesen, an dem man interessiert ist.

    PS: Wenn du JavaScript abkürzen möchtest, dann bitte JS

    Okay, merk ich mir. :thumbup:

  • Reguläre Webseiten greifen dich nicht an, das ist deinerseits eine Tatsachenverdrehung. Es gibt wohl zwielichte Seiten, aber die zu besuchen, hat einen eindeutigen Zweck, aber sowas machst du ja nicht. Viel zu viel Hysterie hier im Thema.

    Cookie-Consent kann man umgehen, das ist wiederholt nichts schlechtes, aber dann sollte man auch mit den Nebenwirkungen selbst zurechtkommen!

    Und, es gibt kein pauschales Rezept, das muss jeder für sich erarbeiten, wie strikt oder locker es sein soll. Strikter bedeutet dann auch mehr Arbeit, kann nur nicht jeder. Sollte man dann auch nicht krampfhaft umsetzen wollen, bringt nur jede Menge Kopfschmerzen.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Und, es gibt kein pauschales Rezept, das muss jeder für sich erarbeiten,

    Genau, das gilt im Prinzip ja für jedes Thema des täglichen Irrsins Lebens. Sich informieren und die passendste Entscheidung fällen.

    Reguläre Webseiten greifen dich nicht an, das ist deinerseits eine Tatsachenverdrehung

    Ich dachte eher an Seiten, auf die man bspw. aus einem Forum, Chat o.ä. heraus kommt und die mir unbekannt sind. Da bin ich grundsätzlich recht froh, wenn erst mal nicht alles geladen wird, bis ich einen ersten Eindruck habe.

  • Reguläre Webseiten greifen dich nicht an [...]. Es gibt wohl zwielichte Seiten, [...] aber sowas machst du ja nicht.

    Hallo :)

    auch chip.de ist für mich eine unseriöse und zwielichtige Seite, die ich zwar normalerweise nicht besuche. Ab und zu schau ich aber zu Recherchezwecken mal rein. Da möchte ich nicht, dass irgendwelche Skripte ausgeführt werden. Für so etwas nutze ich NoScript.

    Gruß Ingo