Flash-Cookies und WebExtensions

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.
  • Die Erweiterung wurde damals, als die Geschichte mit Fx57 begann, hier schon mal vorgestellt, als BetterPrivacy gesperrt wurde.


    Bist du denn auf Flash Cookies angewiesen?


    Sonst kannst du Flash Cookies auch ohne Erweiterung sperren.

    Firefox Quantum als Testversion und Firefox 56
    Ich nutze 2 Versionen von Firefox, die ich in meiner Signatur mitgeteilt habe.
    Mit welcher Version oder Browser ich Beiträge schreibe, spielt für den Inhalt meiner Beiträge keine Rolle.
    Wenn ich eine Frage habe, teile ich im Text zusätzlich mit, um welche Version es geht.


  • Bist du denn auf Flash Cookies angewiesen?


    Nöö, aber ich habe hier einen flash-basierten Bildschirmschoner, der seine Einstellungen als LSO ablegt. Wenn ich den regelmäßig nutzen wollte, dürften diese also nicht gelöscht werden.


    Bei Interesse: Siehe Fliqlo - The Flip Clock Screensaver.


    Zitat


    Sonst kannst du Flash Cookies auch ohne Erweiterung sperren.


    Erzähl mal.


  • Erzähl mal.


    Ich meinte das, was hier im 4. Beitrag zur Datei "SiteSecurityServiceState" steht:
    http://forums.mozillazine.org/viewtopic.php?f=23&t=2919581

    Firefox Quantum als Testversion und Firefox 56
    Ich nutze 2 Versionen von Firefox, die ich in meiner Signatur mitgeteilt habe.
    Mit welcher Version oder Browser ich Beiträge schreibe, spielt für den Inhalt meiner Beiträge keine Rolle.
    Wenn ich eine Frage habe, teile ich im Text zusätzlich mit, um welche Version es geht.

  • SiteSecurityServiceState.txt gehört zum Sicherheits-Standard HSTS, welcher vor Downgrading-Attacken und Cookie-Hijacking schützt. Das hat mit Flash Cookies überhaupt nichts zu tun.


    Man hat es schon geschafft, HSTS als weiteren Vektor für Tracking zu missbrauchen, das ist der einzige Zusammenhang, den ich mir zum Thema vorstellen kann. Und ja, man kann HSTS in Firefox in der im verlinkten Forum beschriebenen Weise aushebeln. Dann kann es auch nicht mehr zum Tracking missbraucht werden. Gleichzeitig reduziert man aber die Sicherheit von Firefox.


    Ich lass das mal so im Raum stehen. Das sollte jeder für sich persönlich abwägen.


  • Gleichzeitig reduziert man aber die Sicherheit von Firefox

    Du meinst wenn man die Datei SiteSecurityServiceState.txt auf schreibgeschützt setzt? Wenn ja, warum reduziert man damit die Sicherheit? Das ist doch das Gleiche, als ob man Firefox erstmalig benutzt.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • Weil der Schutz durch HSTS dann wegfällt:
    https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security


    Und ja, bei erstmaliger Benutzung hat Firefox noch keine HSTS-Informationen von Webseiten erhalten. Dieser Schutz-Mechanismus setzt mindestens einen Besuch voraus*.


    *) Für gewisse Seiten wird kein Besuch vorausgesetzt, weil Firefox eine HSTS-Preload-Liste integriert hat, so dass es für diese Seiten sofort funktioniert. Details dazu hier:


    https://blog.mozilla.org/secur…12/11/01/preloading-hsts/

  • Du meinst, es setzt mindestens einen Besuch einer HTTPS Seite voraus.
    Trotzdem ist mir das ganze nicht ganz klar, denn im privaten Modus wird doch auch nix gespeichert, oder? Nach deiner Argumentation wäre dann sogar die Sicherheit reduziert wenn man den privaten Modus nutzt?


    Wenn ich es richtig verstehe müssen Seitenbetreiber für ihre Seite auch den Strict-Transport-Security Header setzen, damit wenn man einmal auf https://example.org war und danach http://example.org ansurft, trotzdem automatisch wieder auf https landet.


    Genau das haben aber auch nicht alle Seiten. Wenn ich das richtig verstanden habe, dann überzeugt mich das bis jetzt noch nicht.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • Trotzdem ist mir das ganze nicht ganz klar, denn im privaten Modus wird doch auch nix gespeichert, oder? Nach deiner Argumentation wäre dann sogar die Sicherheit reduziert wenn man den privaten Modus nutzt?


    In privaten Fenstern gibt es keinen HSTS-Schutz, weil es dem Konzept dieses Modus widerspricht, dass Daten über besuchte Webseiten gespeichert weden. Der zusätzliche Schutz entfällt dadurch natürlich.


    Wenn ich es richtig verstehe müssen Seitenbetreiber für ihre Seite auch den Strict-Transport-Security Header setzen, damit wenn man einmal auf https://example.org war und danach http://example.org ansurft, trotzdem automatisch wieder auf https landet.


    Genau das haben aber auch nicht alle Seiten.


    Viele Sicherheits-Mechanismen setzen eine Implementierung seitens Webseite voraus, HSTS ist nicht der einzige. Es war noch nie jede Webseite gleich sicher. Aber für praktisch jede größere Seite ist es eine Selbstverständlichkeit, solche Sicherheits-Features zu nutzen. Es ist natürlich auch klar, dass je größer und bekannter die Seite ist, tendenziell mehr Absicherung betrieben werden muss, weil entsprechend mehr versucht wird, Schwachstellen auszunutzen.


  • Aber für praktisch jede größere Seite ist es eine Selbstverständlichkeit

    Schön wärs...
    http://www.ard.de/ und https://www.ard.de/
    http://bayern.de/ und https://bayern.de/ (inklusive ungültiges Sicherheitszertifikat.) :D
    ok da muss man dann (wenn man es denn weiß)
    http://www.bayern.de/ bzw. https://www.bayern.de/ aufrufen

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • Ich hab mal in meinen Unterlagen Zahlen zur Verbreitung von HSTS gesucht. Stand Februar 2018 wurde auf 6,03 Prozenz der Top-Millionen Webseiten weltweit (Alexa) HSTS genutzt. Das ist schon nicht so schlecht, vor allem weil es eine Steigerung von 38 Prozent gegenüber Juni 2017 und eine Steigerung von 245 Prozent gegenüber April 2016 ist. Das ist also ein deutlicher Aufwärts-Trend. Vor allem wenn man es mal mit anderen Sicherheits-Standards vergleicht. Public Key Pinning wurde im Februar 2018 von nur 1,07 Prozent verwendet und Content Security Policy von nur 0,112 Prozent der Webseiten.


    Was ich mit großen Seiten meinte, waren wirklich die ganz großen Seiten, in die Dimension Facebook, Google, Twitter, Github, PayPal etc. gedacht. In dieser Größenordnung findet man kaum eine Seite, die kein HSTS einsetzt.


    Und ja, HSTS betrifft nur einen Teil der Webseiten. Durch die verlinkte Maßnahme verschlechtert man seine Sicherheit nicht für jede Webseite, sondern nur für die Webseiten, die das einsetzen. Und HSTS ist auch kein Wundermittel, welches alleine für sichere Webseiten sorgen kann.


    Auch mit HSTS sind Angriffe möglich, auch ohne HSTS ist Tracking möglich. Es ist nur ein Puzzle-Teil von vielen, sowohl in Bezug auf Sicherheit als auch auf Tracking.


    Ich hoffe, das ist nun etwas klarer. Was in jedem Fall meine Kernaussage in Bezug auf dieses Thema sein sollte: HSTS hat nichts mit Flash Cookies zu tun. ;)

  • In diesem Zusammenhang sollte auch noch gesagt werden das HPKP eigentlich wieder auf dem absteigenden Ast ist, einfach weil es so unglaublich heikel ist es zu implementieren. Da ist CAA sinnvoller.