Eine Verständnisfrage zum Profilordner "storage"

Ich wäre da auch an einer Erklärung interessiert

Zitat von HT-Frogger

Ist es notwendig oder kann man das auch ruhig durch Schreibschutz verhindern?

Gegenfrage: wieso solltest du das tun? Was bringt dir das, außer Potential für Probleme? Das Firefox-Profil ist nichts, wo man dran rumspielen sollte. Ganz im Gegenteil: Probleme mit Firefox lassen sich ganz oft auf individuelle Probleme im Profil zurückführen. Man sieht es ja, wie häufig Profil-Restaurationen Probleme lösen. Man muss Probleme nicht auch noch provozieren, indem man Schreibrechte verändert. Im schlechtesten Fall führt das zu Abstürzen von Firefox. Ich will es nicht hoffen, aber vorstellbar wäre das durchaus bei unerwartet fehlenden Schreibrechten.

Zitat von HT-Frogger

Aber was befindet sich in dem Ordner "permanent"? 2 weitere Ordner, "chrome" und "indexeddb+++fx-devtools". Das wird beim FF-Start gleich wieder angelegt, 2 sqlite-Datenbanken je 48 kB? Ist das vom FF selbst? Oder von AddOns?

Wenn dich der exakte Inhalt interessiert, öffne die Dateien mit einem geeigneten Programm. Ich nutze dafür "DB Browser for SQLite", das gibt es auch für Windows [1].

Der Name "indexeddb+++fx-devtools" dürfte selbsterklärend sein: die Datenbanken darin hängen mit den Entwicklerwerkzeugen von Firefox zusammen, z.B. die Projekte der WebIDE werden hier gespeichert. Öffnet man die Datenbank im chrome-Verzeichnis erkennt man, dass diese einen Zusammenhang zur Push-API hat (das ist ein Webstandard).

[1] http://sqlitebrowser.org/

Solange du bei Problemen weißt, welche Änderungen du rückgängig machen musst, kannst du es ja da genauso mit dem Schreibschutz versuchen. Ich kann nicht sagen, ob das Probleme gibt. Ich stelle nur den vermeintlichen Vorteil in Frage und hebe hervor, dass das Profil nichts ist, von dem vorgesehen ist, dass man von außerhalb Änderungen vornimmt.

Wenn ich mich recht gelesen habe, konnte man es mit dem about:config Wert dom.indexedDB.enabled auf false verhindern. Aber das scheint wohl nicht mehr zu gehen. Es werden trotzdem Einträge angelegt.

Der Schalter klappt bei mir einwandfrei, getestet hier:

http://www.onlywebpro.com/demo/jquery/indexeddb.html

Mit dom.indexedDB.enabled;false erscheint in der Konsole: "TypeError: db is undefined" und nichts wird gespeichert / kann gelesen werden. Aber: der Name "dom.indexedDB.enabled" deutet es bereits an, du deaktivierst damit eine DOM-API, es geht dabei also vorrangig um Webseiten. Das muss nicht verhindern, dass Firefox intern für eigene Funktionen IndexedDB verwendet, erklärt also, wieso im chrome-Verzeichnis trotzdem eine Datenbank angelegt wird.

habs auf false gesetzt in einem frischen Profil und dann youtube aufgerufen und unter storage/default wird der Unterordner "https+++http://www.youtube.com" angelegt

Das ist etwas anderes. Das storage-Verzeichnis dienst nicht nur für IndexedDB-Datenbanken. Du erkennst IndexedDB-Datenbanken daran, dass es im jeweiligen Verzeichnis einen Unterordner mit dem Namen "idb" gibt. Im Falle von YouTube trifft das nicht zu. Dort findest du stattdessen einen Unterordner mit dem Namen "cache". Ergo fällt das nicht unter den Schalter für IndexedDB. IndexedDB ist immer "idb".

Guten Morgen

Mmh, insgesamt finde ich die Erklärungen etwas unbefriedigend.
Das Thema hatten wir hier im Dez. 16 und hier Anfang Jan. 17 schon mal auf dem Radar.
Sören erklärt zwar dankenswerter Weise die technische Struktur, also die Form, aber der Inhalt, sprich, was genau und zu welchem Zweck dort gespeichert wird, bleibt zumindest mir in Teilen ein Rätsel.
Hier lese ich dann u.a.:

Zitat

The first is designed for scenarios where the user is carrying out a single transaction, but could be carrying out multiple transactions in different windows at the same time.

Gut, das verstehe ich.
Hellhörig werde ich beim lesen von sowas:

Zitat

The second storage mechanism is designed for storage that spans multiple windows, and lasts beyond the current session. In particular, Web applications may wish to store megabytes of user data, such as entire user-authored documents or a user's mailbox, on the client side for performance reasons.

Bei "to store megabytes of user data" bekomme ich Pickel und andere feuchte Hände. In den verlinkten Beiträgen finden sich ja u.a. Einträge von gmx und google. Gut, die speichern (vermutlich) lokal Daten aus den Mailboxen. Ob und inwieweit das ein Sicherheitsrisiko darstellt kann ich nicht einschätzen. Unschön finde ich das allemal.
Weiterhin tauchen ja auch bild, mydealz und giga auf. Mmmh, was die wohl auf meinem Rechner speichern wollen?

Und auch wenn Sören natürlich völlig zu Recht fragt:

Zitat von Sören Hentzschel

Gegenfrage: wieso solltest du das tun? Was bringt dir das, außer Potential für Probleme?

halte ich das Hinterfragen solcher Einträge nicht nur für sinnvoll, sondern wichtig. Und da das nun schon mindestens die dritte Anfrage diesbezüglich ist, kann man von einer gewissen Relevanz ausgehen.
Sörens Argumentation klingt mir ein wenig nach: "tu' mal die Finger davon wech, das hat schon seine Richtigkeit".
Man korrigiere mich wenn ich falsch liege: Stand derzeit ist es mit hauseigenen Mitteln nicht möglich diese Daten sauber vom Rechner zu bekommen. Oder gar zu verhindern das diese angelegt werden, Stichwort: Datensparsamkeit.

Zitat von Stoiker

Mmh, insgesamt finde ich die Erklärungen etwas unbefriedigend.

Wenn die Erklärungen für dich unbefriedigend sind, dann liegt das einzig und alleine daran, dass du etwas wissen möchtest, nach dem in diesem Thread kein Mensch gefragt hatte, nämlich was das für Webstandards sind. Meine Erklärungen gehen nur auf das ein, wonach gefragt wurde.

Zitat von Stoiker

Sören erklärt zwar dankenswerter Weise die technische Struktur, also die Form, aber der Inhalt, sprich, was genau und zu welchem Zweck dort gespeichert wird, bleibt zumindest mir in Teilen ein Rätsel.

Was genau zu welchem Zweck gespeichert wird, ist pauschal zu beantworten ja auch gar nicht möglich. Es hängt von der jeweiligen Webseite ab, was sie speichern möchte.

Zitat von Stoiker

Ob und inwieweit das ein Sicherheitsrisiko darstellt kann ich nicht einschätzen.

Aus welchem Grund sollte das ein besonderes Sicherheitsrisiko darstellen? Es handelt sich um gewöhnliche Webstandards und diese können dementsprechend, wie die Implementierungen sämtlicher Webstandards, grundsätzlich natürlich Lücken aufweisen. Sollte dies der Fall sein, werden diese aber nach Bekanntwerden umgehend behoben. Mir fällt kein Grund ein, wieso hier ein höheres Risikopotential bestehen sollte als beispielsweise, wenn es um die Darstellung von simplen Grafiken geht. Ich nenne dieses Beispiel, weil das nach der vermeintlich einfachsten Aufgabe eines Browsers klingt und das nie in Frage gestellt wird. Tatsächlich haben die dafür verwendeten Bibliotheken auch immer wieder neue Sicherheitslücken - die natürlich auch immer schnell geschlossen werden. Und Bilder betreffen fast ausnahmslos alle Webseiten, die existieren. Die Nutzung von IndexedDB oder dem Local Storage ist verglichen damit selten.

Zitat von Stoiker

Weiterhin tauchen ja auch bild, mydealz und giga auf. Mmmh, was die wohl auf meinem Rechner speichern wollen?

Die Frage stellt sich genauso viel oder wenig für jede andere Webseite. Es gibt keinen Grund, ausgerechnet diese Seiten hervorzuheben, außer du möchtest Spekulationen anregen, was ziemlich sinnlos wäre, weil Spekulationen keine Fakten darstellen. Und nachdem du in deinem Beitrag bereits eine Spezifikation verlinkt hast, gehe ich mal davon aus, dass dich Fakten interessieren. Fakt heißt: öffne die Datenbank, schau dir an, was darin gespeichert ist, und triff dein Urteil. Aber wenn du Vorbehalte gegen bestimmte Webseiten hast, dann besuche diese doch erst gar nicht.

Zitat von Stoiker

Und da das nun schon mindestens die dritte Anfrage diesbezüglich ist, kann man von einer gewissen Relevanz ausgehen.

Wegen dreier Anfragen innerhalb eines Vierteljahres etwas ableiten? Mal abgesehen davon, dass Firefox knapp 500 Millionen Nutzer hat, diese Standards existieren bereits seit einigen Jahren und selbst, wenn man nur die Nutzer in Betracht zieht, die in diesem Forum in Form von mindestens einem Beitrag aktiv wurden, gab es über den Zeitraum all dieser Jahre wirklich sehr wenige Anfragen dazu. Ich kann mich nicht daran erinnern, dass es in all den Jahren jemals so "viele" Anfragen in so kurzer Zeit dazu gab, und das sind immer noch wenige Anfragen. Es sind halt Anfragen aus Interesse und das ist auch absolut in Ordnung so. Nur kann man daraus keine besondere Bedeutung ableiten, dafür ist die Menge einfach viel zu gering. Für eine statistische Relevanz braucht es mehr.

Zitat von Stoiker

Sörens Argumentation klingt mir ein wenig nach: "tu' mal die Finger davon wech, das hat schon seine Richtigkeit".

Es hat auch seine Richtigkeit. Das Firefox-Profil ist nun einmal kein Ort, an dem man von Hand irgendetwas löschen oder den Zugriff sperren möchte. Es gibt nicht ohne Grund Einstellungen in about:config, um die Standards ordnungsgemäß zu deaktivieren. Dies ist der einzige Weg, der offiziell unterstützt wird. Alles andere bietet nur unnötiges Potential für Probleme, denn Mozilla testet ganz bestimmt nicht das Verhalten von Firefox mit veränderten Schreibrechten, wie sie bei 99,9999 Prozent der Nutzer nicht vorkommen.

Zitat von Stoiker

Man korrigiere mich wenn ich falsch liege: Stand derzeit ist es mit hauseigenen Mitteln nicht möglich diese Daten sauber vom Rechner zu bekommen. Oder gar zu verhindern das diese angelegt werden, Stichwort: Datensparsamkeit.

Der Local Storage oder auch Web Storage wird gemeinsam mit dem Löschen aller Cookies gelöscht. Local Storage und IndexedDB können via about:config deaktiviert werden. Einzelne Einträge aus Local Storage und IndexedDB lassen sich über die Entwicklerwerkzeuge betrachten sowie löschen. All das trifft ohne Add-ons zu.

Ergänzend: Mozilla arbeitet darüber hinaus an einem verbesserten Storage-Management:
https://mozilla.invisionapp.com/share/4Y87EJO39#/screens/179635747

Zitat von HT-Frogger

Wenn eine Webseite ein Cookie setzt um spezielle Einstellungen zu speichern (die ICH gemacht habe), dann ist es nachvollziehbar und ich erlaube es natürlich, weil ich es nicht jedes mal wieder einstellen möchte.

Du widersprichst dir damit in deiner eigenen Argumentation, weil das keine Frage der verwendeten Technologie ist. Nimm die Einstellungen von meinem Blog:

https://www.soeren-hentzschel.at/oberflaeche-anpassen/

Diese Einstellungen werden nicht als Cookies gespeichert, sondern im Local Storage. Würdest du Einstellungen auf meinem Blog vornehmen, würdest du diese auch nicht jedes Mal wieder neu einstellen wollen. Du siehst also, dass die Unterscheidung zwischen Cookies und anderen Technologien für dieses Argument nicht geeignet ist.

Ich habe mich übrigens ganz bewusst für den Local Storage und gegen Cookies entschieden, weil Cookies mit jeder Anfrage an den Server gesendet werden, der Local Storage bleibt im Client und wird nicht automatisch an meinen Server gesendet.

Zitat von HT-Frogger

You Tube und andere Seiten funktionieren aber beim ersten Aufruf genau so gut wie später mit den gespeicherten Daten. Also sind diese überflüssig, jedenfalls für MICH. Deshalb bleiben die Verzeichnisse "storage/default" und "storage/temporary" auch solange es geht schreibgeschützt.

Wenn es dir doch nur darum geht, wieso deaktivierst du die entsprechenden Standards dann nicht einfach per about:config, wie es der korrekte und vor allem risikolosere Weg wäre, weil du damit einen Weg gehen würdest, der von Mozilla unterstützt wird?

Zitat von HT-Frogger

Die nächste große Gefahr die irgendwann kommen wird mit unnötig erhobenen Daten ist es, wenn auch der FF in Zukunft mit Hirn-Anschluß ohne zu tippen funktioniert und zusätzliche Daten von skrupellosen Webseiten ungefragt aus meinem Gehirn abgegriffen und dann meistbietend weiter verkauft werden, z.B. die Bank-PIN... man braucht ja nur mal daran zu denken... siehe auch: https://www.heise.de/newsticker/mel…rn-3613672.html

Du trägst also einen Sensor an deinem Kopf, wenn du Firefox benutzt? Ansonsten weiß ich nicht, wie Firefox an deine Hirnströme gelangen sollte. Falls du darauf spekulieren solltest, dass das *irgendwann* einmal per Luft übertragbar und von jeder Software auslesbar sein wird, ich bin nicht an Hollywood-Phantasien interessiert, sondern würde gerne ernsthaft beim Thema bleiben…

Zitat von Sören Hentzschel

Der Local Storage oder auch Web Storage wird gemeinsam mit dem Löschen aller Cookies gelöscht.

Das kann ich so nicht bestätigen.

Sehe diese beiden Einträge, obwohl die entsprechenden Cookies gelöscht wurden. Firefox wurde neu gestartet.

C:\Users\xxxxx\AppData\Roaming\Mozilla\Firefox\Profiles\5okfto26.Aktuell\storage\default

[attachment=0]A1.png[/attachment]

Und die dazugehörigen Cookies werden auch nicht als Ausnahme dauerhaft gespeichert.

Aber ich habe für mich eine Lösung gefunden. Inhalte des Ordners storage werden nach jeder Sitzung gelöscht. Nachteile diesbezgl. sind nicht aufgetaucht.

Dein Screenshot zeigt doch nur Ordner. Ordner können keine Daten speichern. Die Daten werden in Datenbanken gespeichert. Deren Inhalt musst du überprüfen. Man kann es auch einfach auf einer Seite, die den Local Storage verwendet, testen. Nach dem Löschen aller Cookies sind die vorgenommen Änderungen weg. Eine Demoseite habe ich wenige Beiträge vorher genannt, ich habe es gerade auch noch einmal erfolgreich getestet.

Zitat von HT-Frogger

@Sören:
Ich glaube wir reden mitunter aneinander vorbei. Wenn es sich um Daten für die interne Verwendung von FF oder den AddOns handelt, dann möchte ich diese natürlich behalten um es dem FF (und damit auch dem User) so einfach und bequem wie möglich zu machen.

Du hast meinen Beitrag nicht verstanden. Weder in deinem letzten Beitrag noch in meiner Antwort darauf ging es um die interne Verwendung einer dieser Technologien, sondern um Webseiten. Ich zitiere dich noch mal:

"Wenn eine Webseite ein Cookie setzt um spezielle Einstellungen zu speichern (die ICH gemacht habe), dann ist es nachvollziehbar und ich erlaube es natürlich, weil ich es nicht jedes mal wieder einstellen möchte."

Genau das, was du hier für Cookies beschreibst, gilt am Beispiel meiner Webseite für den Local Storage. Deswegen funktioniert dein Argument nicht, weil es absolut gar nichts mit der verwendeten Technologie zu tun hat, sondern ausschließlich mit der Absicht des Entwicklers, wozu die Technologie genutzt wird. Ob nun Cookies genutzt werden oder Local Storage macht keinen Unterschied in Hinblick auf deine oben zitierte Motivation.

Zitat von HT-Frogger

Wenn die Daten aber beim nächsten Besuch zurück an den Server gehen (können), dann möchte ich diese Daten vorher weg haben.

Können tun sie das immer, ein Entwickler einer Webseite kann natürlich ein Script geschrieben haben, welches im Hintergrund die Daten sendet. Aber wenn es dir darum geht, was der Browser standardmäßig macht, dann ist die Antwort, dass Cookies immer an den Server übertragen werden, der Local Storage nie.

Zitat von HT-Frogger

Und mit Cookies löschen habe ich leider auch nicht alles aus "storage" weg bekommen. Meinst Du denn, daß zumindest alle Daten die zum Server zurückgeschickt werden können damit weg sind? Man kann das sehr schwer nachvollziehen.

Du machst den gleichen Denkfehler wie Fox2Fox, du schaust nur auf Ordnernamen, nicht darauf, ob sich der Inhalt geändert hat. Firefox löscht die Ordner nicht, das würde auch keinerlei zusätzlichen Vorteil bringen. Die Daten, auf welche die Webseite zugreifen können, werden in Datenbanken gespeichert. Und da das Erstellen und Löschen von ganzen Verzeichnissen und Dateien weitaus teurer ist (aus Performance-Sicht), ergibt es Sinn, einfach nur die Datenbank zu leeren, denn das Profil ist sowieso nichts Nutzer-Sichtbares (lies: nicht dafür gedacht).

Zitat von HT-Frogger

Eigentlich müßten es getrennte Verzeichnisse sein, z.B. "Storage-intern" und "storage-websites" oder so ähnlich... das wäre klar erkennbar.

Wozu denn das? Davon hätte doch niemand was. Nochmal: das Firefox-Profil ist kein Ort zum Rumspielen, das sind Interna von Firefox, die den Endanwender nichts angehen müssen. Hier eine Trennung zu implementieren, wäre nur kontraproduktiv, denn es müsste unnötige Komplexität in Firefox implementiert werden, was nur die Wartbarkeit von Firefox erschwert und das Fehlerpotential erhöht.

Zitat von HT-Frogger

Das mit dem Sensor am Kopf kommt automatisch wenn die Spieler es alle gut befinden, dann haben die Rechner in ferner Zukunft gar keine Tastatur mehr und man kann sich dann nicht mehr dagegen wehren. Deshalb muß man vorher aufschreien...

Diese Phantasie ist genau das: eine Phantasie von dir. Sehr wahrscheinlich ist das nicht. Und selbst, wenn du gegen alle Erwartungen Recht behalten solltest und das in 20 Jahren so ist, was interessiert mich das heute? Über die langfristige Zukunft kann man nur spekulieren und wie ich zu solchen Spekulationen stehe, habe ich schon häufig in diesem Forum deutlich gemacht: ich halte sie für sinnlos. Denn es kommt sowieso meistens alles ganz anders, als man es sich fünf Jahre vorher ausgemalt hat.

Zitat von Sören Hentzschel

Dein Screenshot zeigt doch nur Ordner.

Natürlich haben diese Ordner auch Inhalte, wie du weißt.
Obwohl das jeder nachvollziehen kann, mache ich mir mal die Mühe.

[attachment=1]A1.png[/attachment]

Inhalt idb:

[attachment=0]A2.png[/attachment]