Beiträge von Lurtz

Er versteht darunter die Zeit, bis die Seite geladen wurde, durch den Blocker ging und dann final angezeigt wurde, falls das technisch präziser ist. Die ist bei der WebExt wohl höher als bei der Legacy und insgesamt sind beide höher als bei Chromium + WebEx.

Ich habe die WebEx-Version schon getestet und zumindest in about:performance zeigt sie sich deutlich performanter als die Legacy-Version. Allerdings weiß ich nicht ob about:performance das richtig misst? Gorhill meinte zuletzt, die WebEx hätte mehr Overhead als die Legacy... Was aber wohl eher an Firefox als an uBlock Origin liegt.

Kann man das jetzt schon einschätzen? Vielleicht verschiebt man WebExtensions ja auch auf Firefox 58.

Freut mich Firefox kann zwar gut damit umgehen, manchmal sorgt es aber doch für Fehler. Ist immer meine erste Anlaufstelle bei seltsamen optischen Vorkomnissen.

Verwendest du die Windows-Displayskalierung?

Hat hier eigentlich schon jemand die WebExtensions-Version im Einsatz? Funktioniert die bereits brauchbar?

TMP an sich ist einwandfrei e10s-fähig. Ist ja vom Entwickler auch als kompatibel markiert.
Ich denke der Deaktivierungsgrund ist vor allem die Performance. e10s ist generell eher langsamer, was das Öffnen vieler Tabs gleichzeitig angeht und die Fixes, die zuletzt bei TMP so implementiert wurden, bezogen sich vor allem auf Workarounds für das Öffnen vieler Tabs.
Man möchte bei Mozilla sicher nicht, dass Leute mit e10s heftige Performancenachteile gegenüber dem Zustand vorher feststellen.

Mea culpa, da habe ich vorhin wohl zu unaufmerksam gelesen.
Jedenfalls lobenswert die Einstellung. Der Chrome-Store ist da einfach eine Unsitte. Da wird Sicherheit durch ein von Google kontrolliertes Ökosystem mit Addonsigning etc. suggeriert, und dann kann jedes Update ohne vorherigen Hinweis plötzlich deine Daten absaugen. Und diese Addons sind selbst nach wiederholter Meldung oft noch Monate im Store...

Zitat von Sören Hentzschel

Im Gegensatz zu Chrome werden bei Firefox ausnahmslos alle Erweiterungen vor Veröffentlichung von Menschen kontrolliert, dies gilt auch für Updates. Werden Daten gesammelt, muss es eine Datenschutzerklärung geben. Sowas mit einem Update nachzuschieben, ohne die Nutzer zu informieren, kann theoretisch passieren, da die Überprüfung durch Menschen erfolgt und Menschen Fehler machen, aber es ist nicht erlaubt. Wahrscheinlich muss es sogar eine Opt-In-Einstellung dafür geben. Die aktuellen Richtlinien hab ich nicht im Kopf.

Solange die Entwickler von Stylish transparent gegenüber den Nutzern sind, sehe ich da kein Problem. Es geht darum, dass man die Nutzer mit sowas nicht überraschen darf. Wenn der Nutzer ausdrücklich zustimmt, ist das was anderes als wenn das mit einem Update ganz plötzlich ohne explizite Nutzereinwilligung passiert.

Wie konnte bei dem Verfahren das "Web of Trust" durchrutschen?

Schöne Übersicht, bei der die Sicherheit aber etwas kurz kommt. Gibt es einen Fahrplan für weitere Sandboxing-Maßnahmen?

TMP macht Firefox mit e10s aber gefühlt auch immer noch merklich langsamer.

Youtube-Video abspielen, Rechtsklick, Statistiken für Nerds. Schauen ob unter codec=vp9 steht.
Über den Schalter media.mediasource.webm.enabled;true lässt sich VP9 aktivieren, auch wenn Firefox es standardmäßig sperrt.

Ist VP9 aktiv?

Zitat von Sören Hentzschel

Die h.264-Zeile wurde im Rahmen von https://bugzilla.mozilla.org/show_bug.cgi?id=1314803 entfernt.

Siehe Kommentar 10:

Das korreliert in irgendeiner Weise auch mit meinen vorhin geschilderten Performanceproblemen. Habe das erste Mal mozregression benutzt, das ist ja mal ein cooles Tool

Zitat von Sören Hentzschel

Kannst du vielleicht mittels mozregression [1] die Ursache feststellen? Du sagst ja, dass es in der Developer Edition noch funktioniert.

[1] http://mozilla.github.io/mozregression/

Da es in der 53.0a2 immer noch so ist, habe ich nochmal gesucht.

Es liegt am GPU-Prozess. Setze ich layers.gpu-process.enabled=false, wird D3D11 wieder genutzt.

Völlig unbrauchbar jedenfalls mit D3D9, viele Videos ruckeln, selbst das Scrollen in anderen Tabs ist betroffen, solange ein Video läuft, wie in schlimmsten alten Zeiten. Mit D3D11 ist alles stets superweich.

Sören nutzt ABP? Etwas in meiner Welt ist gerade gestorben

uBlock Origin ist quelloffen, performanter und lässt sich nicht von der Werbeindustrie bezahlen (meines Wissens). Ich wechsle regelmäßig Addons, wenn es bessere Alternativen gibt. Bin auch von All-in-one-Sidebar zur Omnisidebar gewechselt.

Zitat von Sören Hentzschel

Das ist eine Frage der Perspektive, ich sehe mich auf gar keinen Fall auf der Verliererseite. Ich für meinen Teil bin nämlich zum Beispiel kein Gegner kontextbezogener Werbung, was nun einmal mittels Tracking-Methoden umgesetzt wird. Ich denke mir ganz einfach: wenn ich schon Werbung sehe, dann will ich wenigstens Werbung sehen, die meinen Interessen entspricht und nicht vollkommen irrelevante Werbung. Da hat die werbenede Firma mehr davon und da habe ich selbst mehr davon, das ist eine Win-Win-Situation.

Ich bin auch niemand der Werbung immer wegblockt, aber ich habe auch kein gutes Gefühl dabei, wenn ich gar keine Kontrolle darüber habe was mich alles so mittrackt.
Privatsphäre endet ja nicht bei der Werbung.

Zitat

Ist das nicht eher unwahrscheinlich? Ich meine das vor dem Hintergrund der folgenden Frage: Wie können dir Scripts denn etwas Böses tun? Ich sehe da die folgenden Möglichkeiten:

1. Die Webseite will dir absichtlich schaden. Dann hast du sowieso verloren. Da gibt es dann noch ganz andere Möglichkeiten, um dir zu schaden.
2. Die Webseite wurde kompromittiert. Aber auch dann gilt wieder: dann hast du sowieso verloren, denn wenn das gelingt, können auch andere Aspekte der Webseite manipuliert worden sein. Das ist genau gleich zur ersten Option, mit dem einzigen Unterschied, dass der Täter jemand anderes ist.
3. Schadhafter Code wird per Werbung durch einen Drittanbieter eingeschleust. Kann vorkommen, der Fall wird aber, wenn du eh schon Werbung blockierst, eh durch den Werbeblocker vollständig abgedeckt.

Da die meisten Websitenbetreiber heute standardmäßig nicht mehr in der Kontrolle ihrer Website sind, da oft über die Hälfte der Quellen auf anderen Servern liegt, halte ich das nicht für unwahrscheinlich.
Kommt selbst auf seriösen Websiten häufiger mal vor, dass man plötzlich mit einem ungewünschten Mobilfunkabo dasteht, die Website gigabitweise Daten nachlädt (besonders schön bei Volumentarifen) oder eben Malware verteilt. Allein das ist alles schon bei gamestar.de passiert.

Zitat

Oder übersehe ich da etwas, was diesen doch eher hohen Preis rechtfertigt, Scripts zu blockieren? Mit hohen Preis meine ich, dass die Auswirkungen davon sehr deutlich im Web spürbar sind.

Damit meinte ich nicht dass ich Javascript etc. blocke. Ich nehme eben diverse Filterlisten, die so im Internet kursieren und das Nachladen aus anderen Quellen blockieren.

Zitat

Da vertraue ich lieber auf die Sicherheitsmechnismen des Browsers, wie Erkennung schadhafter Downloads per SafeBrowsing, Sandboxing usw. Eine Webseite sollte normalerweise gar nicht in der Lage sein, dem System zu schaden. Ein Einfallstor hierfür waren ja auch NPAPI-Plugins, was nun wegfällt (optional noch Adobe Flash, andere Plugins gibt es gar nicht mehr für mich als Nightly-Nutzer).

Bei mindestens zwei der obigen Fälle kann der Browser gar nichts machen, da er meist nicht mal erkennt dass was ungewünschtes passiert.

Man sollte bedenken dass man als Enduser im Grunde immer auf der Verliererseite sitzt, dementsprechend muss man überlegen wie sehr man sich das Surferlebnis einschränken will.

Bei solchen Fingerprinting-Methoden, und da irgendwelche privaten Firmen und Geheimdienste direkt an den Internetknoten sitzen und sich nehmen können, was sie wollen, ist der Kampf ohne möglichst weltweit bessere Gesetze eh verloren:
https://www.heise.de/newsticker/mel…ie-3597078.html

Einen Scriptblocker halte ich für sinnvoll, allein um Malware zu blocken (dürfte mehr bringen als jeder Virenscanner), alles andere ist aus meiner Sicht ziemlich beliebig. Da würde ich uBlock Origin empfehlen, das ist performant und quelloffen.

Der PrivacyBadger soll eine identifizierbare ID verschicken. Lässt sich evtl. deaktivieren.

Ist eigentlich geplant, die Sonderbehandlung von e10s in der Developer Edition zu beenden? Sprich kein separater Umschalter mehr und keine Trennung zwischen e10s- und normalen Tabs? Immerhin ist e10s jetzt für wohl über 50% der Final-User verfügbar.

Zitat von Sören Hentzschel

Und als Nutzer eines HiDPI-Bildschirms bin ich auch sehr froh über die neue Version der Forensoftware, weil ich damit endlich deutlich weniger Pixelmatsch sehe (siehe Screenshot; anklicken und auf Original-Größe bringen, um den deutlichen Unterschied zu sehen).

Da sage ich als User mit HiDPI-Bildschirm schonmal danke.

Sind Code-Executions nicht so ziemlich der Super-GAU sicherheitstechnisch? Da sind die Exploits bei Chrome vielleicht relativ gesehen harmloser.

Aber Chrome scheint ja wie so ziemlich alle Browser in C++ geschrieben, meines Wissens nach. Weiß man ob es bei Chrome eine Initiative für eine weiterentwickelte Sprache wie Rust gibt?