Beiträge von geminus

Zitat von macko

[META] Breakage bugs of Dynamic First Party Isolation

Interessant! Und ich sehe gerade, da funktioniert eine Seite noch nicht, die ich beruflich benötige (Microsoft Teams).

Zitat von Sören Hentzschel

Geplant ist Firefox 83. Aber wie immer bei Planungen so weit im Voraus: Am Ende kann es anders kommen.

Danke für die Info! Also gegen Ende des Jahres, wenn alles gut geht.

Ich habe mich nur gewundert, dass sich vor ein oder zwei Versionen der Text unter dem Bereich "Verbesserter Schutz vor Aktivitätenverfolgung" geändert hat und dann das Feature dazu nicht gekommen ist: "Das Blockieren von Skripten zur Aktivitätenverfolgung und das Isolieren von Cookies kann Auswirkungen auf das Funktionieren einiger Websites haben." Das hat mich etwas irritiert.

Zitat von Sören Hentzschel

Das ist die sogenannte Dynamic first party isolation, kurz: dFPI.

Weißt Du, wann ungefähr diese Funktionalität in den Release kommen soll? Im Nightly ist diese Funktion ja schon länger aktiv. Im Bugzilla gibt es zwar mehrere interessante Einträge dazu (so soll diese Funktion langfristik standardmäßig aktiviert werden, habe ich erst gestern dort gelesen), ich habe aber nicht entdeckt für wann die Freischaltung anvisiert ist.

Zitat von djmatti

jetzt sind dort Seiten drin, die ich garnicht brauche.

Was genau meinst du damit?

Meinst Du die sogenannten Wichtigen Seiten? Die kannst Du in den Einstellungen unter Datenschutz und Sicherheit im Abschnitt Adressleiste deaktivieren.

Wenn Du nur die im Firefox defaultmäßig angezeigten wichtigen Seiten meinst, dann kannst du sie in about:config löschen, indem du die Einstellung browser.newtabpage.activity-stream.default.sites leereditierst.

Zitat von Dharkness

im Testprofil zeigt die Pref ihre Wirkung

Interessant. Tatsächlich habe ich nach der Installation von Firefox 76 das bisherige Profil durch ein neues ersetzt. Ich habe meinen Tipp sicherheitshalber vor dem Posten ausprobiert, weil ich diese Option schon lange nicht mehr verwendet habe, und sie hat funktioniert.

Die Empfehlungen im Reiter "Erweiterungen" von about:addons kann man in about:config mit

extensions.htmlaboutaddons.recommendations.enabled=false

ausblenden. Und den eigenen Reiter "Empfehlungen" mit

extensions.getAddons.showPane=false

Letzteres ist eine versteckte Option, die man erst anlegen muss.

Ich habe gerade beide Optionen im Firefox 76 ausprobiert. Momentan funktionieren sie. Ob die versteckte Option irgendwann einmal entfernt wird, weiß ich nicht.

Zitat von BrokenHeart

https://docs.microsoft.com/de-…ser-account-control-works

Dazu wollte ich noch etwas schreiben. Danke für Deinen Link, er ist wirklich interessant. Ein Zitat aus dem von Dir verlinkten Artikel (unter der Überschrift "Die UAC-Benutzeroberfläche"; die Hervorhebungen sind von mir):

Zitat

Wenn UAC aktiviert ist, unterscheidet sich die Benutzeroberfläche für Standardbenutzer von den Administratoren im Administratorgenehmigungsmodus. Die empfohlene und sicherere Methode zum Ausführen von Windows10 besteht darin, das primäre Benutzerkonto zu einem Standardbenutzerkonto zu machen. Die Ausführung als Standardbenutzer hilft, die Sicherheit für eine verwaltete Umgebung zu maximieren. Mit der integrierten UAC-Erweiterungskomponente können Standardbenutzer problemlos eine administrative Aufgabe durchführen, indem Sie gültige Anmeldeinformationen für ein lokales Administratorkonto eingeben. Die standardmäßig integrierte UAC-Erweiterungskomponente für Standardbenutzer ist die Eingabeaufforderung für Anmeldeinformationen.

Bedenke, dass das die Empfehlung von Microsoft ist. Sie bestätigt Deine Argumentation nicht, dass die Trennung zwischen primären Standardbenutzerkonto und Administratorkonto durch UAC überflüssig wäre.

Zitat von .DeJaVu

privacy.resistFingerprinting ruft kein Captcha hervor, allenfalls die Frage, ob ich das Ergebnis in Englisch oder meiner Sprache lesen möchte.

Für die Spracheinstellung ist diese Option allerdings nicht gedacht, sondern dient den Herausgebern des Tor-Browser als Arbeitserleichterung. Entsprechend werden damit viele Werte auf eine sehr offensichtliche Weise verfälscht, worauf einige Seiten mit solchen Captchas reagieren. Die eigentlich Absicht dieser Seiten ist vermutlich, Leute zu blockieren, die den Tor-Browser verwenden. Da diese Option die Daten auf dieselbe Weise wie der Tor-Browser verfälscht, greifen die Kriterien einiger dieser Seiten auch schon mit dieser Option allein. Kannst Du gerne selber ausprobieren.

Zitat von carlo22

danke was sollte ich denn deaktivieren bei den einstellungen?

Wenn Du nicht irgendwelchen dubiosen Ratschlägen gefolgt bist und einfach nur normal den Browser konfiguriert hast, würde ich diese Einstellungen nicht global abschwächen. Sprich: hin und wieder einmal Captchas zu lösen ist doch wirklich nicht schlimmer als sich der Aktivitätenverfolgung auszusetzen, vor der Dich Firefox schützt. Wenn es schon sein muss, kannst Du mal versuchen, diesen Schutz nur für Google zu deaktivieren (das Schild links in der Adressleiste).

Ich verwende Google als Suchmaschine nicht, aber YouTube kommt vor, denn invidio.us spielt nicht alle YouTube-Videos ab. Die Captchas kommen bei mir an manchen Tagen ein paar mal, dann aber wieder für längere Zeit nicht. Vielleicht ist es bei Dir ja auch so.

Zitat von BrokenHeart

Ich würde niemals behaupten, dass es absolut unmöglich ist, dass dieses System auf Grund fehlerhafter Implementation zu kompromittieren ist, aber, wie ich schon weiter oben geschrieben habe, ist mir nichts dergleichen bekannt...und Win10 gibt es schon seit ca. 5 Jahren. Wenn du schreibst "Meines Wissens...", dann hätte ich von dir gerne einen Hinweis, wie man dies bewerkstelligen kann oder einen Link zu deiner Quelle.

How to bypass UAC in newer Windows versions

Diese Captchas und diese Meldungen kommen vermehrt, wenn jemand Maßnahmen gegen Aktivitätenverfolgung setzt. Dazu ist nicht viel nötig. Schon wenn jemand nur den Schutz vor Aktivitätenverfolgung des Firefox verwendet (ich habe benutzerdefiniert, alles aktiviert, alle Fenster, alle Third-Party-Cookies deaktiviert), gibt es diese Captchas auf Google-Seiten (inkl. YouTube) vermehrt zu lösen mit exakt dieser Meldung. Mich persönlich stört das nicht, ich interpretiere das eher als Bestätigung, dass diese Funktionalität des Firefox funktioniert.

Wenn Du bestimmte Einstellungen aktiviert hast, die Tracking und Fingerprinting erschweren sollen, so wie das von einigen nicht so seriösen Seiten beschrieben wird, dann kommen von Google noch ganz andere Captchas, die absichtlich nicht mehr lösbar sind, wie in dem folgenden Patent beschrieben: US9407661B2 - Blocking via an unsolvable CAPTCHA. Das passiert zum Beispiel, wenn jemand die Einstellung privacy.resistFingerprinting aktiviert. Ich rate von der Verwendung dieser Einstellung und von den teils absurden Behauptungen solcher Seiten ausdrücklich ab, weil sie weder die Sicherheit noch die Privatsphäre erhöhen, sondern eher verschlechtern.

Zitat von uwe51

Einige grundsätzliche Fragen dazu

Die erhobenen Telemetrie-Daten sind unter about:telemetry einsehbar.

Die Telemetrie-Option im Firefox bestimmt übrigens nur, ob die Daten gesendet werden sollen oder nicht. Das heißt also, dass es nicht nötig ist, die Telemetrie-Option zu aktivieren, um die Telemetrie-Daten kontrollieren zu können. Das erlaubt eine auf Fakten basierende Entscheidung, ob man Mozilla die Telemetrie-Daten zur Verfügung stellen möchte oder nicht.

Es folgt auch für die erfahrendsten, besten und sich gründlich Gedanken machenden Produktmanagern und Entwicklern nicht zwingend, weil selbst denen nicht alles gleich gut gelingt. Aber wie gesagt, weder mache ich ihnen einen Vorwurf, noch halte ich trotz der (meiner Meinung nach) kleinen ästhetischen Schwäche die Sache für ein Problem von Bedeutung.

Ich finde aber, dass es eine Art der Verteidigung gibt, die der Sache mehr schadet als nützt. Und dazu gehört nun einmal die Strategie, die erfahrendsten, besten und sich gründlich Gedanken machenden Produktmanagern und Entwicklern so hinzustellen, als ob sie in der Praxis grundsätzlich nie weniger als das theoretisch mögliche Optimum erreichen würden. Wir haben es immer noch mit Menschen zu tun und nicht mit Göttern.

Naja, nur weil etwas beabsichtigt ist, muss es noch lange nicht zu Ende gedacht sein. Mich irritiert das Vergrößern bei einem neuen Tab auch, allerdings ohne dass es für mich ein relevantes Problem ist. Speziell wenn jemand wie ich die Dichte auf "kompakt" einstellt, sollte die Vergrößerung meiner Meinung nach etwas schwächer und die Liste etwas kompakter ausfallen. Abgesehen davon gefällt mir die neue Adressleiste.

Vor ein paar Jahren habe ich NoScript tatsächlich in Kombination mit AdBlock Plus verwendet, aber damals war JavaScript sicher problematischer als heute. Obwohl man sicher heute noch mit JavaScript bösere Sachen anstellen kann als ohne, sind die Browser heute viel sicherer geworden und daher bezweifle ich die Relevanz von NoScript beim normalen Surfen. Den Aufwand, der nötig ist, um Seiten zum Funktionieren zu bringen, halte ich nicht mehr für gerechtfertigt und außerdem konterkariert das nötige Herumprobieren den behaupteten Schutz total.

Was die Werbung betrifft, da halte ich persönlich den eingebauten Tracking Blocker von Firefox für völlig ausreichend. Jedenfalls bin ich zu diesem Schluss gekommen, nachdem ich testweise Firefox eine Weile völlig ohne Add-ons verwendet habe, wobei ich den eingebauten Blocker eher streng konfiguriert habe. Wenn ein Seitenbetreiber, der ja auch Rechnungen bezahlen muss, dezent Werbung schaltet, die nicht seitenübergreifendes Tracking bedeutet, dann ist das für mich völlig ok.

Vielen Dank für Deine Einschätzung, Sören!

Ich war mir gar nicht bewusst, dass NoScript so hohe Nutzerzahlen hat, weil es doch ein sehr spezielles Add-on ist, welches beim normalen Surfen Webseiten de facto bis zum Nicht-Funktionieren beeinträchtigt und wohl nur dann wirklich sinnvoll ist, wenn man damit als Teil eines Gesamtkonzepts durch das Abschalten aller aktiven Inhalte ein bestimmtes Ziel erreichen möchte (Beispiel Tor-Browser).

Zumindest von den ersten beiden der Liste scheinst Du nicht viel zu halten, soweit ich Deine Meinungsäußerungen dazu gelesen habe. Mozilla scheint das anders anders zu sehen bzw. scheint nach anderen Kriterien vorzugehen.

Warum gerade diese Add-ons? Ist Dir bezüglich der Auswahl durch Mozilla etwas bekannt?

Die XSS-Regeln kannst Du Dir nicht auf der Oberfläche ansehen und bearbeiten, Du kannst dort nur alle XSS-Regeln löschen.

Die im Moment einzige Methode, einzelne XSS-Regeln zu löschen ohne gleich alle anderen auch zu löschen besteht darin, die NoScript-Einstellungen zu exportieren, in der Export-Datei die betroffene XSS-Regel zu löschen und anschließend die Einstellungen wieder zu importieren.

Anders funktionieren die Zuordnungen von Domains zu Presets: Eine Zuordnung einer Domain zu einem Preset wie VERTRAUEN oder MISSTRAUEN kannst Du zurücksetzen, indem Du die Domain wieder auf STANDARD setzt.

Zitat von Sören Hentzschel

Firefox ist Open Source.

Meinem Verständnis nach kommt es mehr auf die Lizenz an. MariaDB ist zum Beispiel ebenfalls Open Source, trotzdem ist die kommerzielle Verwendung meines Wissens nach nicht frei. Allerdings bezweifle ich beim Firefox auch in der Lizenzfrage, dass Mozilla dafür die Hand aufhalten kann.

Wer damit umgehen kann, ist sicher in der Lage, in about:config die richtigen Einstellungen zu setzen oder die passende Erweiterung zu installieren. Das stimmt schon. Die oben erwähnte Erweiterung und "Temporary Containers" zum Beispiel verfolgen ja wirklich völlig unterschiedliche Ansätze. Ich selber nutze nur die native Funktionalität (ohne Erweiterung).

Obwohl ich das Argument der Komplexität, insofern es tatsächlich eine Rolle spielt (was wahrscheinlich ist), nachvollziehen kann, bin ich mir in solchen Fällen oft nicht sicher, ob Mozilla nicht mehr daraus machen könnte. Vielleicht in Form einer prominenteren Vorstellung der Funktion inklusive Erklärung.

Auf der anderen Seite, wenn ich manchmal als Entwickler erlebe, was Anwender alles nicht oder überraschend kreativ verstehen...

Diese Tab-Umgebungen sind eine sehr nützliche Sache. Mich wundert nur, dass sie nicht standardmäßig verfügbar sind bzw. die Funktionalität dieser Erweiterung nicht fester Bestandteil des Firefox ist. Warum ist das so? Ist der Umgang mit Tab-Umgebungen zu komplex?