Konfiguration von Firefox & Firefox-esr, per Enterprise Policy Generator und policies.json

    Firefox-Version
    >=140
    Betriebssystem
    Linux

    Folgendes Thema bezieht sich auf ein Linux Debian 13 (LMDE7), 64 Bit, mit Cinnamon Desktop. Nutzer von Windows oder MAC OS, müssten vmtl. ein paar Pfade und Befehle bei der Nutzung von unten stehendem anpassen.

    Mit den nicht nur per Hand, sondern auch komfortabel per Enterprise Policy Generator erstellbaren policies.json Dateien, lassen sich eine ganze Reihe von Einstellungen beim Firefox und Firefox-esr vornehmen.

    An dieser Stelle herzlichen Dank an Sören Hentzschel, für die neue 8.0 Version des Enterprise Policy Genenerators.

    Bekanntmachung über Erscheinen der 8.0 Version:
    * https://www.camp-firefox.de/artikel/1182-g…-zwischenablage

    Downloadmöglichkeit:
    * https://addons.mozilla.org/en-US/firefox/…licy-generator/

    Potentieller Vorteil:
    * Konfiguration ist für alle Nutzer eines Rechners über eine Datei pro Rechner möglich
    * Bei entsprechendem Anmeldescript, kann man das als Admin auch auf alle Rechner eines Netzwerks verteilen
    * Es kann auch unterbinden, das bestimmte Einstellungen vom Nutzer, Programmupdates als auch manchen Schadroutinen verändert werden können
    * usw.

    Links zu Dokus:
    * https://firefox-admin-docs.mozilla.org/reference/policies/
    * https://mozilla.github.io/policy-templates/

    Bedienungsanleitung:
    * https://www.soeren-hentzschel.at/firefox-webext…term=enterprise

    Firefox Support:
    * https://support.mozilla.org/en-US/products/firefox

    Ablageort der policies.json Datei (Ist anders als man vermuten könnte, für Firefox und Firefox-esr identisch !!!)
    * /etc/firefox/policies/policies.json # bei gewünschter systemweiter Anwendung.

    Entfernen einer alten Datei, wenn gewünscht:

    Code
    sudo rm /etc/firefox/policies/policies.json

    Anlage des Ordners (wenn nicht vorhanden), mit den mutmaßlich richtigen Verzeichnisrechten:

    Code
    sudo mkdir -p /etc/firefox/policies

    Anlage der policies.json (mit den mutmaßlich richtigen Dateirechten:

    Code
    sudo touch /etc/firefox/policies/policies.json

    Editieren von policies.json mit Systemtechten per xed Editor (man kann auch einen anderen nehmen):

    • die folgende Variante lässt einem die policies.json mit Systemrechten editieren, ohne dabei den Editor mit Systemrechte auszuführen und ohne die Systemrechte der zu editierenden Datei zu ändern.
    Code
    xed admin:///etc/firefox/policies/policies.json

    Beispiel für eine einfache policies.json:

    Code
    {
  "policies": {
    "SSLVersionMin": "tls1.2",
    "SSLVersionMax": "tls1.3"
  }
}

    Anwendung der policies.json einleiten:
    * den Firefox neu starten

    Kontrolle ob die Datei policies.json tatsächlich verwendet wird:
    Zumindest eine Einstellung vor und nach der Änderung per policies.json auf geänderte Anwendung überprüfen, in dem man sich den zu überprüfenden Wert per folgende Einstiegspunkt per Eingabe in der Adresszeile heraus sucht:
    about:config

    Bsp. für potentiell sinnvolle Konfigurationsmöglichkeiten per policies.json:
    * erwägen Cipher Suites zu deaktivieren, die nicht einmal TLS 1.2 unterstützen und Chiper Suiten die zwar wenigstens TLS 1.2 unterstützen, jedoch kein PFS (Perfekt Forward Security). Hierzu z.B. auf der folgenden Seite vor dem deaktivieren irgend welcher Cipher Suiten anzeigen lassen, welche der Cipher suiten dort als Recommend angezeigt werden und dann erwägen alle anderen Cipher Suiten per policies.json zu deaktivieren:
    * https://browserleaks.com/tls
    * usw., usw.

    Ablageort der policies.json:
    In meinem Fall lautet der richtige systemweite Ablageort wie folgt. Bei anderen Linux Versionen, und anderen Art und Weisen den Thunderbird zu installieren, mag das anders sein.
    /etc/firefox/policies/policies.json

    Vmtl. Ablageort für Nutzer abhängige Konfigurationen (ungetestet):
    /usr/lib/firefox/distribution/policies.json

    Verwandte Diskussion zur Konfigurierbarkeit von Thunderbird per policies.json:
    * Konfiguration von Thunderbird, per Enterprise Policy policies.json

    Nachtrag:
    Anregungen und Beispiel zur Auswahl und Sperrung von Cipher:
    * RE: Konfiguration von Firefox & Firefox-esr, per Enterprise Policy Generator und policies.json
    * RE: Konfiguration von Firefox & Firefox-esr, per Enterprise Policy Generator und policies.json

    20 Mal editiert, zuletzt von Alfredo534 (5. April 2026 um 14:45)

    Zitat von Sören Hentzschel

    Was ist …

    a) … der Unterschied zu deinem letzten Thema?
    b) … deine Frage?

    a) Das Letzte Thema bezog sich auf die Konfigurierung des Thunderbird. Dieses Thema bezieht sich auf den Firefox.
    b) Ich habe aktuell keine Fragen zu dem Thema. Das Thema dient dazu das es etwas im Internet gibt, was sich mit der Anwendung beschäftigt und vltl. somit einen kleinen Beitrag zur Bekanntheit des für mich hilfreichen Tools Enterprise Policy Generator leistet.

    3 Mal editiert, zuletzt von Alfredo534 (3. April 2026 um 17:06)

  • Alfredo534 3. April 2026 um 16:09

    Hat den Titel des Themas von „Konfiguration von Firefox & Firefox-esr, per Enterprise Policy Lolicies Generator und policies.json“ zu „Konfiguration von Firefox & Firefox-esr, per Enterprise Policy Generator und policies.json“ geändert.

    TLS schon wieder besseren Wissens? Tja, was soll man zu solchen Dummheiten nur sagen? "lernresistent", oder "beratungsresistent"?

    Firefox, als auch Thunderbird, sind sehr wohl in der Lage, mit SSL/TLS sehr verantwortungsbewusst umzugehen. Sowas abermals zu propagieren und ignorieren, erachte ich als ... mangelhaft. Hat schon was von nicht verstandenen Funktionen/Features.

    PS wer eine Erweiterung als Erweiterung seines Kenntnisstands nutzt, sollte sich ernsthaft zurückhalten mit Tipps. Keine Herabwürdigung vom Policy Generator, aber dessen Nutzen als "Wissenbasis".

    Manchmal ist Windows dahingehend echt im Vorteil.

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Zitat von .DeJaVu

    TLS schon wieder besseren Wissens? Tja, was soll man zu solchen Dummheiten nur sagen? "lernresistent", oder "beratungsresistent"?

    Ich weiß nicht, worauf genau du hinausmöchtest. Das gezeigte Beispiel entspricht der Standard-Konfiguration und verhindert durch das Setzen per Richtlinie, dass der Benutzer die Sicherheit reduziert.

    TLS min/max ist ggf. nutzbar, sind aber in Firefox und Thunderbird nicht gesetzt, aus gutem Grund. Aber wie ich im Thema zu Thunderbird schon schrieb, ist das eher kontraproduktiv. Im Detail muss das jeder für sich selbst ausmachen - und dann auch selbst mit Fehlermeldungen klarkommen, zB auf mega. Ja, mega war einst einer der Server, die sich verweigerten deshalb. Dahingehend sollte man schon ein gewisses Vertrauen gegenüber Mozilla und Firefox entgegenbringen, oder es gänzlich sein lassen - sprich, einen anderen Browser nutzen. Aber selbst bei Chrome/Edge lese ich solche merkwürdigen, sinnbefreite, Einstellungen - und die sind in Windows hinterlegt, bzw. im OS, also auch Linux.

    Ich war mal toleranter, aber auch meine Erfahrungen enthalten mehr Stoff und schwarz/weiss, als solche Tipps wie oben wertvoll sind.

    Hier hat sich jemand ohne weitere Kenntnisse auf ein Thema gestürzt, dass vergleichbar dem "privacy-handbuch" agiert, aber von realem Nutzen Universen weit entfernt sind. Ugs. nennt man solche Nutzer auch "Troll", weil sie permanent auf Unwissen basierend Tipps verbreiten, die keiner Allgemeinheit standhalten würden. Daher sind die Beiträge jenes Mitglied aus meiner Sicht zu ignorieren, in allem.

    Wer Policies wirklich nutzen will, oder muss, benötigt solche trivialen Tipps nicht!

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Zitat von .DeJaVu

    sind aber in Firefox und Thunderbird nicht gesetzt, aus gutem Grund. Aber wie ich im Thema zu Thunderbird schon schrieb, ist das eher kontraproduktiv.

    Keine Ahnung, was du damit meinst. Wie gesagt: Firefox ist von Haus aus exakt so konfiguriert, wie das Beispiel zeigt. Die Konfiguration via Unternehmensrichtlinie verhindert damit lediglich, dass der Anwender den Schutz schwächt. Was auch immer daran „kontraproduktiv” sein soll.

    Zitat von .DeJaVu

    Im Detail muss das jeder für sich selbst ausmachen - und dann auch selbst mit Fehlermeldungen klarkommen, zB auf mega. Ja, mega war einst einer der Server, die sich verweigerten deshalb.

    Was für Fehlermeldungen und was ist mit Mega? Nochmal: Das ist die Standard-Konfiguration von Firefox. Wenn diese Seite einen TLS-bedingten Fehler wirft, kann das nichts mit der Beispiel-Konfiguration aus diesem Thema zu tun haben. Und damit ist das ein für dieses Thema vollkommen irrelevantes Beispiel.

    Zitat von .DeJaVu

    Dahingehend sollte man schon ein gewisses Vertrauen gegenüber Mozilla und Firefox entgegenbringen, oder es gänzlich sein lassen - sprich, einen anderen Browser nutzen.

    Vielleicht hast du den Zweck von Unternehmensrichtlinien nicht verstanden. Wenn du Firefox nur für dich alleine konfigurierst, ist es egal, über welchen Mechanismus du das machst. Darüber hinaus schützt das aber auch davor, dass andere Anwender die Konfiguration verändern. Das hat nichts mit Vertrauen in den Browser zu tun, sondern damit, eine definierte Richtlinie durchzusetzen. Das kannst du nicht über about:config machen.

    Zitat von .DeJaVu

    Hier hat sich jemand ohne weitere Kenntnisse auf ein Thema gestürzt

    Wie kommst zu der Behauptung, der Themenstarter hätte keine Kenntnisse? Vor allem, nachdem deine Beiträge in diesem Thema eher Zweifel aufkommen lassen, was dein Verständnis der Thematik betrifft.

    Zitat von .DeJaVu

    dass vergleichbar dem "privacy-handbuch" agiert

    Nein, das „Privacy Handbuch” empfiehlt eine andere Konfiguration.

    Zitat von .DeJaVu

    Ugs. nennt man solche Nutzer auch "Troll", weil sie permanent auf Unwissen basierend Tipps verbreiten, die keiner Allgemeinheit standhalten würden. Daher sind die Beiträge jenes Mitglied aus meiner Sicht zu ignorieren, in allem.

    Spiegel? In diesem Thema zeigt ehrlich gesagt nur einer „Troll”-Verhalten und das bist du. Deine Aussagen haben keine Wissens-Grundlage und auf dieser Basis wertest du den Themenstarter ab, ohne auch nur eine einzige Sache konstruktiv zum Thema beizutragen. Mit Verlaub, aber genau das macht ein „Troll”. Der Themenstarter hat so etwas nicht getan.

    Zitat von Sören Hentzschel

    Die Konfiguration via Unternehmensrichtlinie verhindert damit lediglich, dass der Anwender den Schutz schwächt.

    Ja - genau da, aber nicht im privaten Umfeld. Die frage im Raum ist: wie viele Nutzer sind als Dmin in so einem Umfeld aktiv und können da nutzen? Und wie viele davon sind sich der policies bewusst, vor allem: unter Windows bewusst, wo es andere Möglichkeiten gibt (zB AD), als auf jedem Client eine JSON zu manifestieren? Man kann Linux auch in einem Active Directors einbinden, das dürfe wohl einfacher sein, als auf jedem Client zu wirken. Auf meinem Tablet gibt es "zscaler" als Überwachung, aber keine Policies, die ich selbst auf meinen Nutzer anwenden kann.

    Zitat von Sören Hentzschel

    und was ist mit Mega

    mega hat einst TLS/SSL genutzt, dass bestimmte Kriterien nicht erfüllt hat - was nicht die einzigen Server sein dürften - ohne weitere Recherche. Daher schrieb ich auch, dass solche Tweaks jeder für sich erfahren muss, die ich generell nicht befürworte.

    Siniere auf "vergleichbar". Es muss nicht das PH sein, hat aber ähnliche Züge.

    Mir ist das persönlich ziemlich egal, wer sich Firefox so oder so verstellt, sei es about:config oder policies, ohne offizielle Einstellungen, dazu gibt es Problemanfragen zuhauf hier im Forum. Nur darf man sich dann nicht wundern, wenn genau solche Einstellungen kritisiert werden.

    Was den Spiegel angeht, so wurde hier unreflektiert 1:1 von Thunderbird auf Firefox gemünzt, ungeachtet der Kritiken/Hinweise. Das nenne ich nun mal "lernresistent". Das privacy-handbuch ist da kaum anders, so der Vergleich. Und nein, ich kenne den Inhalt des privacy-handbuch nicht, nicht mal ansatzweise, so dumm ist mir diese Seite untergekommen. Aber ich maße mir an, Einstellungen, wie aufgelistet zu bemängeln, weil sie jeglicher Grundlage im realen Gebrauch entbehren.

    Und ja, wer wiederholt damit hausieren geht, ohne vorherige Hinweise einwirken zu lassen, ja, das hat was. Es wirkt befremdlich auf mich, dass solche Einstellungen und Möglichkeiten beschrieben werden können - nichts dagegen - aber jegliche Kritik dazu zerredet wird, vor allem im Wiederholungsfall. Sehr schade.

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Sorry für die Einmischung, aber hin und wieder läuft das Fass über ...

    Zitat von .DeJaVu

    aber nicht im privaten Umfeld.

    Der Threadstarter bezog sich nicht aufs private Umfeld, er teilte lediglich seine Erkenntnisse mit.
    Es wäre erfreulich, wenn du dich mehr auf die Sachverhalte konzentrieren könntest und nicht wieder und wieder und wieder ..... gegen die Personen schießen würdest.

    Zitat von .DeJaVu

    Und ja, wer wiederholt damit hausieren geht, ohne vorherige Hinweise einwirken zu lassen, ja, das hat was.

    Dann befolge doch endlich deinen Rat: Lass Hinweise wie von Sören auf dich einwirken, statt praktisch jedes Mal noch einen drauf zu setzen und - gegen die Personen - nachzutreten.

    Mir ist das egal, wer es schreibt. Nur die Ausführung und die Beispiele nicht. Ich denke, es tummeln sich hier auch etliche Admins, die sich so noch nie mit Firefox in der Form beschäftigt haben. Die gibt es auch bei uns, leider.

    Zu TLS.

    Bzgl PFS
    Perfect Forward Secrecy – Wikipedia

    Zitat

    Im April 2019 empfahl das deutsche Bundesamt für Sicherheit in der Informationstechnik in seinen Sicherheitsanforderungen für den Einsatz von TLS bei der Übertragung von Daten die Version TLS 1.2 oder TLS 1.3 in Kombination mit Perfect Forward Secrecy zu nutzen.[2]

    Wenn Nutzer hingegen die Aktivierung von TLS 1.2 oder älter pauschal deaktivieren möchte, weil diese in den prefs -> Benutzerprofil verstellt werden können, dann ja. Aber dazu müsste die Schadsoftware schon auf dem System vorhanden sein und entsprechend Eingriffe auf Firefox vornehmen. Wäre ich Malware-Autor, würde mich sowas überhaupt nicht interessieren, lediglich auf einfache Nutzerrechte zurückzugreifen. Zudem wäre die Schadsoftware dann eh schon auf dem Rechner, Firefox wäre so oder so ein Opfer.

    Und so viele Schalter zu TLS hat Firefox bzgl Cipher gar nicht, im Vergleich zu Chrome oder Edge.
    How can I disable arbitrary SSL/TLS cipher suites in Firefox? | Firefox Support Forum | Mozilla Support

    Allerdings noch etliche für SSL/SSL3 im about:config -> security.ssl
    Ob Firefox dahingehend noch angreifbar ist, kann ich dir nicht sagen. Ob das o.g. Beispiel mit TLS min/max auch SSL3 betrifft, vielleicht?
    Jedenfalls bietet der Generator die Option, bestimmte Chiffren abzuschalten, da steht zwar TLS vor, im about:config jedoch unter security.ssl. Da frage ich aber anderweitig nach.

    Sören hat etliche Fallbeispiele im Forum geschrieben, die ich für geeigneter halte, zB die Installation/Deinstallation von Erweiterungen oder die Ablehnung von bestimmten Erweiterungen, die Vorgabe von Aktion für bestimmte Dateitypen, ggf bestimmte Daten von Firefox /zB Telemetrie) in einem Unternehmensnetzwerk zu unterbinden.

    Beitrag

    RE: wie das Deaktivieren eines Add-ons verhindern?

    Erweiterungen können auch ohne Zugriff auf about:addons deinstalliert werden. Außerdem war die Anforderung ja nicht, die Installation und Deinstallation anderer Add-ons zu verhindern.

    janpr : Das Ganze funktioniert über eine Unternehmensrichtlinie. So sieht der Inhalt für die Datei policies.json aus:

    (Quelltext, 10 Zeilen)

    Die Datei gehört in ein Unterverzeichnis distribution im Installationsordner von Firefox.

    Damit ist weder eine Deinstallation noch Deaktivierung möglich:

    Sören Hentzschel
    24. Juni 2023 um 21:40

    Bei uns zB ist in Edge der Copilot aufrufbar, aber nicht nutzbar, so auch in Firefox - die KI bzw GPT-Seiten sind allesamt gesperrt. Dafür eignete sich der Generator ideal, um es direkt im Browser abzuschalten statt in irgendeinem Proxy/Gateway. Es beinhaltet diese Punkte, und vieles mehr.

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.

    Ich habe es so konfiguriert das min. TLS 1.2 und max 1.3 und TLS chlipher die als inzwischen als nicht mehr sicher gelten deaktiviert, und das.man die sicherheitsanfragen nicht umgehen kann.

    Mir ist schon bewusst das das vielleicht eine oder andere Webseite nicht funktioniert, aber damit.muss ich leben., ich sags mal so 97% funktionieren und das die paar wo ich weiß die gehen nicht ist mir egal, irgendwann stellen die auch um.

    Was eine Webseite im konkreten Fall für eine Cipher mit einem bei einem Aufruf per Firefox verwendet, kann man sich vermeintlich wie folgt ansehen:
    FF Adressleiste--Schlossymbol--Connection secure--More information

    Eine teils völlig anderes Bild erhält an jedoch, wenn man einen Blick auf folgendes wirft. Ich will nicht sagen das an dieser Stelle Chipher genannt werden, jedoch Protokolle. Und wenn man weiß welche Cipher welche Protokolle eben nicht unterstützen, kann man vermuten das das was unter obiger Quelle zu sehen bekommt, eben nur ein Teil der Wahrheit ist.
    about:networking

    Aus meiner Sicht hat man im Jahr 2026 keine Einschränkungen im täglichen Gebrauch bei , wenn man die 9 neuesten Cipher verwendet (drei pro Kategorie). Wie man diese aussuchen könnte ohne sich in das Thema einarbeiten zu müssen, steht im Eingangspost. Wer gerne etwas lesen möchte um das auf Plausibilität zu prüfen oder einen Einstiegspunkt sucht um zu wissen wonach er suchen muss, wenn er sich tiefer mit dem Thema tiefer zu befassen will, kann einen Blick in z.B. folgendes werfen:
    * https://www.zi.uzh.ch/dam/jcr:3bf073…uites_V_1_1.pdf

    4 Mal editiert, zuletzt von Alfredo534 (4. April 2026 um 13:55)

    Zitat von .DeJaVu

    Ja - genau da, aber nicht im privaten Umfeld. Die frage im Raum ist: wie viele Nutzer sind als Dmin in so einem Umfeld aktiv und können da nutzen? Und wie viele davon sind sich der policies bewusst, vor allem: unter Windows bewusst, wo es andere Möglichkeiten gibt (zB AD), als auf jedem Client eine JSON zu manifestieren? Man kann Linux auch in einem Active Directors einbinden, das dürfe wohl einfacher sein, als auf jedem Client zu wirken. Auf meinem Tablet gibt es "zscaler" als Überwachung, aber keine Policies, die ich selbst auf meinen Nutzer anwenden kann.

    Ich weiß nicht, wie du auf privates Umfeld kommst, da niemand in diesem Thema das Umfeld definiert hat. Und es ist auch egal, weil ungeachtet des Namens dieser Methode grundsätzlich jeder Unternehmensrichtlinien nutzen darf und dieses Forum unabhängig vom Umfeld für alle da ist. Alles, was du danach in diesem zitierten Absatz fragst und sagst, ist vollkommen irrelveant für dieses Thema.

    Zitat von .DeJaVu

    mega hat einst TLS/SSL genutzt, dass bestimmte Kriterien nicht erfüllt hat - was nicht die einzigen Server sein dürften - ohne weitere Recherche.

    Du hast meinen Einwand nicht verstanden: Wenn es auf Mega ein solches Problem gab, dann hatte das mit nichts zu tun, was hier Thema ist. Wenn eine Unternehmensrichtlinie lediglich fixiert, was sowieso Standard in Firefox ist, kann die Unternehmensrichtlinie unmöglich die Ursache für ein Problem auf einer Website sein.

    Zitat von .DeJaVu

    Daher schrieb ich auch, dass solche Tweaks jeder für sich erfahren muss, die ich generell nicht befürworte.

    Mit Verlaub, ob du das „befürwortest” oder nicht, interessiert an dieser Stelle nicht. Wenn du zu einer bestimmten Sache einen konstruktiven Input hast, bitte, du darfst gerne alles teilen, was dieser Diskussion hilft. Aber schiebe keine Probleme vor, die nichts damit zu tun haben, und vor allem unterlasse es, anderen Inkompetenz, Lernresistenz und Troll-Verhalten zu unterstellen, nur weil du persönlich eine bestimmte Konfiguration nicht vornehmen würdest. Wir können gerne in einem separaten Thema deine Konfiguration diskutieren.

    Zitat von .DeJaVu

    Mir ist das persönlich ziemlich egal, wer sich Firefox so oder so verstellt, sei es about:config oder policies, ohne offizielle Einstellungen, dazu gibt es Problemanfragen zuhauf hier im Forum. Nur darf man sich dann nicht wundern, wenn genau solche Einstellungen kritisiert werden.

    Nochmal: Die hier gezeigte Konfiguration verursacht kein Problem, welches es nicht auch ohne diese Konfiguration geben würde. Und nein, mir ist aus den letzten Jahren keine einzige Anfrage in diesem Forum für ein Problem in Erinnerung geblieben, welches durch die Standard-TLS-Konfiguration von Firefox verursacht worden ist. Aber selbst, wenn es mal etwas gab, dann mit Sicherheit nicht „zuhauf”.

    Zitat von .DeJaVu

    Nur darf man sich dann nicht wundern, wenn genau solche Einstellungen kritisiert werden.

    Nochmal: Das ist die Standard-Einstellung von Firefox, die festgesetzt wurde, womit niemand die Sicherheits-Stufe herabsetzen kann – was unter normalen Umständen sowieso niemand tun sollte. Das sollte nun wirklich keine Angriffsfläche auf persönlicher Ebene bieten.

    Zitat von .DeJaVu

    Was den Spiegel angeht, so wurde hier unreflektiert 1:1 von Thunderbird auf Firefox gemünzt, ungeachtet der Kritiken/Hinweise.

    Was für Kritiken / Hinweise? Beziehst du das auf dein Gemecker? Denn dann wiederhole ich mich: Ich kann in deinen Beiträgen zu diesem Thema keine Wissensgrundlage erkennen, die hier zu berücksichtigen wäre. Und der „Spiegel” hat sich im Übrigen darauf bezogen, dass du den Themenstarter als Troll beschimpft hast, in Wahrheit du aber derjenige bist, der ein Troll-Verhalten zeigt.

    Zitat von .DeJaVu

    Das nenne ich nun mal "lernresistent".

    Von „Lernresistenz” könnte man höchstens sprechen, wenn es konstruktive und vor allem richtige Hinweise gegeben hätte, die nicht beachtet werden, obwohl es gute Gründe dafür geben würde, diese zu beachten. Das ist hier ganz klar nicht der Fall. Und nebenbei bemerkt, würde es dir tatsächlich um einen Lerneffekt gehen, müsstest du dafür eine andere Tonart wählen. Wenn du von Anfang an auf einem Angriffskurs bist, dann geht es dir auch nicht darum, dass andere etaws lernen. Das passt nicht zusammen.

    Zitat von .DeJaVu

    Das privacy-handbuch ist da kaum anders, so der Vergleich.

    Wie gesagt, das „Privacy Handbuch” empfiehlt eine andere Konfiguration. Und damit zweifle ich die Sinnhaftigkeit dieses Vergleichs an.

    Zitat von .DeJaVu

    Aber ich maße mir an, Einstellungen, wie aufgelistet zu bemängeln, weil sie jeglicher Grundlage im realen Gebrauch entbehren.

    Und erneut: Das ist die Standard-Konfiguration von Firefox. Dass das „jeglicher Grundlage im realen Gebrauch entbehrt”, kann also gar nicht stimmen.

    Zitat von .DeJaVu

    Und ja, wer wiederholt damit hausieren geht, ohne vorherige Hinweise einwirken zu lassen, ja, das hat was. Es wirkt befremdlich auf mich, dass solche Einstellungen und Möglichkeiten beschrieben werden können - nichts dagegen - aber jegliche Kritik dazu zerredet wird, vor allem im Wiederholungsfall. Sehr schade.

    Das hat nichts damit zu tun, dass Kritik „zerredet” wird. Deine „Kritik” in diesem Thema hat schlicht und ergreifend keine berechtigte Grundlage und deine „Hinweise” sind angreifend bis beleidigend – ohne, dass dir irgendjemand zuvor einen Anlass gegeben hätte. Und das wirkt auf mich befremdlich, um es freundlich zu formulieren.

    Zitat von .DeJaVu

    Zu TLS.

    Ich habe keine Ahnung, was uns das jetzt sagen soll.

    Zitat von .DeJaVu

    Bzgl PFS
    https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy

    Zitat

    Im April 2019 empfahl das deutsche Bundesamt für Sicherheit in der Informationstechnik in seinen Sicherheitsanforderungen für den Einsatz von TLS bei der Übertragung von Daten die Version TLS 1.2 oder TLS 1.3 in Kombination mit Perfect Forward Secrecy zu nutzen.[2]

    Ebenso. Der Begriff „Perfect Forward Secrecy" ist bislang in diesem Thema kein einziges Mal gefallen und du wirfst jetzt auch nur einfach blind ohne Erklärung ein Zitat in den Raum.

    Zitat von .DeJaVu

    Wenn Nutzer hingegen die Aktivierung von TLS 1.2 oder älter pauschal deaktivieren möchte

    Wer will das? Niemand in diesem Thema hat das geschrieben.

    Zitat von .DeJaVu

    Aber dazu müsste die Schadsoftware schon auf dem System vorhanden sein und entsprechend Eingriffe auf Firefox vornehmen. Wäre ich Malware-Autor, würde mich sowas überhaupt nicht interessieren, lediglich auf einfache Nutzerrechte zurückzugreifen. Zudem wäre die Schadsoftware dann eh schon auf dem Rechner, Firefox wäre so oder so ein Opfer.

    Erneut: Völlig unklar, wovon du sprichst. Wieso geht es jetzt plötzlich um Schadsoftware, die auf dem System sein müsste und irgendwelche Eingriffe in Firefox vornehmen möchte?

    Zitat von .DeJaVu

    Allerdings noch etliche für SSL/SSL3 im about:config -> security.ssl
    Ob Firefox dahingehend noch angreifbar ist, kann ich dir nicht sagen. Ob das o.g. Beispiel mit TLS min/max auch SSL3 betrifft, vielleicht?

    SSL und TLS sind das Gleiche. Lediglich der Name hat sich im Verlauf der Internet-Geschichte geändert. Firefox unterstützt seit vielen Jahren kein SSL3 mehr. Wie die Optionen in about:config benannt sind, ist lediglich ein Implementierungsdetail: Mozilla wollte nicht ohne Grund sämtliche Einstellungen umbenennen.

    Zitat von Sören Hentzschel

    Ebenso. Der Begriff „Perfect Forward Secrecy" ist bislang in diesem Thema kein einziges Mal gefallen und du wirfst jetzt auch nur einfach blind ohne Erklärung ein Zitat in den Raum.

    Da steht in der aktuellen Version des Eingangsbeitrags die folgende etwas unscharfe Formulierung zu:

    Zitat

    Bsp. für potentiell sinnvolle Konfigurationsmöglichkeiten per policies.json:
    * erwägen Cipher Suites zu deaktivieren, die nicht einmal TLS 1.2 unterstützen und die kein PFS unterstützen.
    ...

    Habe die Passage soeben durch folgende eindeutigere ersetzt:

    Zitat

    Bsp. für potentiell sinnvolle Konfigurationsmöglichkeiten per policies.json:
    * erwägen Cipher Suites zu deaktivieren, die nicht einmal TLS 1.2 unterstützen und Chiper Suiten die zwar wenigstens TLS 1.2 unterstützen, jedoch kein PFS (Perfekt Forward Security).
    ...

    3 Mal editiert, zuletzt von Alfredo534 (4. April 2026 um 15:04)

    Zitat von Chris23tr

    cipher die als inzwischen als nicht mehr sicher gelten deaktiviert

    Könnte man erfahren, welche Cipher du abgeschaltet hast? Ich hatte vorhin beim Einkaufen etwas Zeit, über TLS und Cipher nachzudenken, weil sich das ja separat schalten lässt. Die Frage bei mir wäre, ob ein Nutzer wie zB ich das überhaupt merkt, womit eine sichere Verbindung verschlüsselt wird. Und dann die Frage, ob ich bei einem unbekannten Server mit einer bekannten unsicheren Verschlüsselung wirklich Credentials nutzen will?

    Einst bei mega(.)nz war das Login bzw die Startseiten allesamt sauber verfügbar, nur später, wo es um Dateien ging, sei es Anzeige oder Download, wurde wegen abgeschalteten Cipher nichts mehr angezeigt. Über die Netzwerkanalyse bin ich dran drauf gekommen, wenn auch spät, nachdem ich andere Möglichkeiten ausgeschlossen hatte.

    Im Ergebnis, selbst, wenn ich TLS beschränken würde, wären immer noch unsichere Cipher nutzbar, ich sehe da keinen wirklichen Gewinn.https://browserleaks.com/tls zeigt ja schwache Cipher an. So gesehen müsste ich TLS 1.2 auch abschalten, um schwache Cipher abzuschalten. Das sehe ich als nicht zielführend.

    Frei nach Einstein: „Zwei Dinge sind unendlich, Marketing und die menschliche Gutgläubigkeit, bei einem bin ich mir noch nicht ganz sicher.“

    Meine Glückszahl hier: 98.