Ein Addon um Firefox Fonts Fingerprinting zu hindern?

  • Danke für den Tipp ich werds mal testen mit der Whitelist aber ich nutze noch die Version 39 und upgraden will ich auch nicht
    alles oder nichts entweder es klappt oder nicht was solls egal.


    Es kommt mir halt echt komisch vor Das Mozilla auch die Portable sowie Thunderbird nach einer gewissen Zeit auf einmal
    alle Fonts ausliest was ich unnötig finde und dies scheint eine automatik zu sein von Mozilla unabhängig vom Server also glaube geschiet auch im Offline etwa einmal pro Windows Reboot.


  • Webseiten müssen nun einmal wissen, ob die Schriften, die eine Webseite nutzt, auf dem System verfügbar sind oder nicht.

    Nein Sören, da bin ich völlig anderer Ansicht. Webseiten geht es gar nichts an welche Fonts bei mir installiert sind. Entweder ich habe die gewünschte Schriftart, oder die 1. 2. 3. ... Ausweichschrift, oder eben nicht. Benutzen sollte der Fux schon alle installierten Schriften, nur nicht verraten.

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Nein wenn alles richtig gemacht wird werden nur dies Fonts geladen die auch wirklich gebraucht werden daran scheitert noch Mozilla

    Wieso sollte Mozilla daran bitte scheitern? Firefox lädt auf jeder Webseite nur die Schriftarten, die angefragt werden. Das war noch nie ein Problem für Firefox.

    Nein Sören, da bin ich völlig anderer Ansicht. Webseiten geht es gar nichts an welche Fonts bei mir installiert sind.

    Das ist nichts, worüber du eine andere Ansicht haben kannst, weil du die Realität nicht ändern kannst. Es ist technisch nicht möglich, Schriftarten zu verwenden, wenn die Webseite nicht weiß, dass es die Schriftart auf dem System gibt. Woher sollte die Webseite sonst wissen, welche Schriftart sie verwenden soll?

    Entweder ich habe die gewünschte Schriftart, oder die 1. 2. 3. ... Ausweichschrift, oder eben nicht. Benutzen sollte der Fux schon alle installierten Schriften, nur nicht verraten.

    Jetzt erkläre mir mal bitte, wie du dir das vorstellst. Um festzulegen, welche Schriftart verwendet wird, muss bekannt sein, welche Schriftart existiert.

  • Ich glaube wir reden aneinander vorbei. Der Browser, also auch der Fox, muß natürlich wissen welche Schriften installiert und damit benutzbar sind. Aber die Webseite bzw. deren "Macher" geht das nun wirklich überhaupt nichts an. Der kann vorschlagen welche Schrift er gerne hätte, und auch einige Alternativen und wenn ich diese nicht habe wird halt "meine" Standard-Schrift benutzt. Und welche Schrift letztendlich verwendet wird geht auch niemanden außer mir etwas an. Das ist doch schon ewig so und klappt auch ohne Scripte. Jede Abfragemöglichkeit dient doch ausschließlich zum Tracking.

    Ich finde es für "normale" Webseiten ohnehin besser dem Leser die Schrift zu gönnen die er als gut lesbar empfindet und keine vorzugeben. So halte ich es auch auf meiner Seite und äußere nur den Wunsch wo evt eine Serifenschrift oder eine serifenlose oder bei Tabellen eine monospace verwendet werden sollte. Da wird nichts abgefragt und deshalb kann auch nichts getrackt werden.

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Ich glaube wir reden aneinander vorbei. Der Browser, also auch der Fox, muß natürlich wissen welche Schriften installiert und damit benutzbar sind. Aber die Webseite bzw. deren "Macher" geht das nun wirklich überhaupt nichts an. Der kann vorschlagen welche Schrift er gerne hätte, und auch einige Alternativen und wenn ich diese nicht habe wird halt "meine" Standard-Schrift benutzt. Und welche Schrift letztendlich verwendet wird geht auch niemanden außer mir etwas an. Das ist doch schon ewig so und klappt auch ohne Scripte. Jede Abfragemöglichkeit dient doch ausschließlich zum Tracking.

    Was glaubst du denn, wieso, wenn du die Einstellung von Firefox gegen Font-Fingerprinting nutzt, plötzlich Webseiten nicht mehr in der Lage sind, auch nur eine einzige Schriftart zu benutzen, welche nicht auf der Whitelist steht? Weil es, wie ich bereits schrieb, technisch gar nicht anders möglich ist. Und ich weiß wirklich nicht, wie du dir das vorstellst. Nicht einmal der Tor-Browser kann das besser (de facto hat Mozilla die Einstellung aus dem Tor-Browser übernommen). Ich vermisse nach wie vor eine Erklärung, wie das deiner Meinung nach funktionieren soll.

    Ich glaube, du weißt auch gar nicht, wie Font-Fingerprinting im Jahr 2017 funktioniert. Glaubst du wirklich, dass Webseiten den Browser einfach um eine Liste aller installierten Schriftarten bitten würden und das dann schon komplettes Font-Fingerprinting ist? Nein, wir sind heute schon viel weiter. Das war damals zu Flash-Zeiten aktuell. Das Font-Rendering wird von ganz vielen Faktoren beeinflusst. Unterschiedliche Schriftarten bringen unterschiedliche Größenverhältnisse der einzelnen Buchstaben, Ligaturen, Kerning, … die Darstellung wird vom Betriebssystem und den verwendeten Bibliotheken beeinflusst, Unterschiede je nach Browser, … Heute wird ganz exakt gemessen, wie viel Fläche jedes einzelne Zeichen auf dem Bildschirm füllt und daraus eine Information generiert. So funktioniert Font-Fingerprinting heute.

    Ich finde es für "normale" Webseiten ohnehin besser dem Leser die Schrift zu gönnen die er als gut lesbar empfindet und keine vorzugeben.

    Ich habe zwar keine Ahnung, was eine "normale Webseite" sein soll, aber dafür gibt es in Firefox ja eine sichtbare Einstellung, um das zu regeln. Allerdings gehen auch hier die Meinungen extrem weit auseinander. Vergiss bitte nicht, dass Schrift ein elementares Design-Element ist. Und Design ist bekanntlich eine Geschmacksfrage. Was du als "gut lesbar" empfindest, empfinden andere vielleicht als "abgrundtief hässlich und unzumutbar". Darauf hast du keinen Einfluss. Der Webdesigner kann für ein stimmiges Gesamtbild, ein tolles Design sorgen, aber nicht dafür, dass es wirklich jeder angenehm findet.

    So halte ich es auch auf meiner Seite und äußere nur den Wunsch wo evt eine Serifenschrift oder eine serifenlose oder bei Tabellen eine monospace verwendet werden sollte.

    Damit hast du natürlich auf jeder Plattform eine unterschiedliche Webseitendarstellung. Im wenigstens halbwegs professionellen Webdesign wäre das vollkommen inakzeptabel. Ist für das Tracking-Thema aber auch vollkommen irrelevant, wie du deine Webseite gestaltest.

    Da wird nichts abgefragt und deshalb kann auch nichts getrackt werden.

    Ob getrackt wird oder nicht, ist auf deiner Webseite deine Entscheidung. Das trifft auf deine wie auf jede andere Webseite auf diesem Planeten zu, da stellt deine Webseite in keiner Weise eine Besonderheit dar. Tracking ist etwas, was aktiv getan wird, Tracking entsteht nicht von alleine. Aber es kann immer getrackt werden, wenn man das will.

  • Zitat

    Was glaubst du denn, wieso, wenn du die Einstellung von Firefox gegen Font-Fingerprinting nutzt, plötzlich Webseiten nicht mehr in der Lage sind, auch nur eine einzige Schriftart zu benutzen, welche nicht auf der Whitelist steht?

    Wei der Fux es falsch macht. Er soll doch nur nicht verraten, daß die Schrift installiert ist, benutzen soll er sie schon... Das war schon immer so (ich habe meine Webseite schon 15 Jahre) und das funktionier ganz ohne Scripte hervorragend.

    Zitat

    Vergiss bitte nicht, dass Schrift ein elementares Design-Element ist.

    Dann sollte man eine Grafik nehmen (z.B. für die Schrift des Firmenlogos), für alles Informatives muß es nur für den Besucher gut lesbar sein.

    Zitat

    Was du als "gut lesbar" empfindest, empfinden andere vielleicht als "abgrundtief hässlich und unzumutbar".

    Gerade deshalb überlasse ich die Wahl auch dem Besucher, der weiß am besten welche Schrift er gut lesen kann.

    Zitat

    Damit hast du natürlich auf jeder Plattform eine unterschiedliche Webseitendarstellung.

    Das ist doch unwichtig, wichtiger ist die Lesbarkeit.

    Eines ist jedoch sicher: Wo ganz normal mit HTML oder CSS die Schrift vorgegeben wird, kann nicht getrackt werden weil die übrigen Schriften nicht ausgelesen werden und die Webseite auch nicht darüber informiert wird. Und diese Information sollte der Fux auch bei der Anforderung mit Scripten nicht preisgeben. Das wäre ein weiterer (ganz großer) Pluspunkt für den Fux.

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Wei der Fux es falsch macht. Er soll doch nur nicht verraten, daß die Schrift installiert ist, benutzen soll er sie schon... Das war schon immer so (ich habe meine Webseite schon 15 Jahre) und das funktionier ganz ohne Scripte hervorragend.

    Firefox macht in Bezug darauf überhaupt nichts falsch, zumal sich ansonsten ausnahmslos jeder Browser falsch verhalten würde, was dir selbst ziemlich komisch vorkommen sollte. Da muss man doch spätestens merken, dass was an der eigenen Argumentation nicht stimmen kann. Ich habe dich nun außerdem bereits mehrfach (!) nach einer Erklärung gebeten, wie das deiner Meinung nach technisch funktionieren soll. Da von dir nichts kommt, muss davon ausgegangen werden, dass du keine Erklärung liefern kannst, was deine ganze Behauptung obsolet macht. Entweder du weißt, wovon du sprichst, dann musst du antworten können, oder du weißt es nicht.

    Ich wiederhole mich: sobald der Browser eine Schriftart nutzt, ist klar, dass die Schriftart vorhanden ist. Da kann kein Weg dran vorbei führen. Das muss einem doch mit ein bisschen logischem Denken klar sein.

    Und auch darin wiederhole ich mich: das Fingerprinting funktioniert NICHT, indem man den Browser nach einer Liste aller installierten Schriftarten fragt. Das ist grundsätzlich nur mittels Adobe Flash Player möglich. Deinstallier das Ding und die Gefahr besteht gar nicht erst. Mit JavaScript ist das vollkommen ausgeschlossen. Ohne Flash Player muss man explizit nach Schriftfamilien fragen und dann kann man testen, was dargestellt wird.

    Ich weiß auch nicht, wieso du schreibst, dass du deine Webseite seit 15 Jahren hast und diese ohne Scripte hervorragend funktioniert. Ich sehe die Relevanz dieser Aussage für das Thema nicht. Oder hat irgendjemand in diesem Forum geschrieben, dass man Scripts bräuchte, damit Webseiten funktionieren?


    Dann sollte man eine Grafik nehmen (z.B. für die Schrift des Firmenlogos), für alles Informatives muß es nur für den Besucher gut lesbar sein.

    Ich unterstelle dir an dieser Stelle mal zu deinen Gunsten, dass das ein Scherz sein sollte, denn ernst kann man sowas doch nicht meinen, dass man Texte als Grafiken einbinden soll… Vor allem widersprichst du dir damit selbst. Einerseits schreibst du was davon, dass Lesbarkeit das Wichtigste sei. Und dann kommst du mit sowas, was direkt mal mindestens alle Screenreader-Nutzer ausschließt, die das dann nicht mehr "lesen" können…

    Gerade deshalb überlasse ich die Wahl auch dem Besucher, der weiß am besten welche Schrift er gut lesen kann.

    Was für eine Wahl überlässt du dem Nutzer? Du fragst den Nutzer explizit, welche Schriftarten dieser angezeigt bekommen möchte? Das bezweifle ich. Zeig mir das. Wenn der Nutzer aber nur von den Browsereinstellungen abhängt, leistest du überhaupt nichts für deine Nutzer, diese Optiont steht den Nutzern für jede Webseite (!) zur Verfügung. Wie gesagt, da gibt es eine sichtbare Einstellung für in Firefox. Nur "serif", "sans-serif" oder "monospace" anzugeben, gibt dem Nutzer keine zusätzliche Wahl. Auch das ist eine Entscheidung von dir. Der einzige Unterschied ist, dass du auf unterschiedlichen Plattformen eine jeweils andere Schrift anforderst. Aber um deine Entscheidung zu ändern, muss der Nutzer in die Browsereinstellungen gehen. Das trifft aber für jede Webseite zu. Selbst mit expliziten Angaben von Schriftfamilien.

    Das ist doch unwichtig, wichtiger ist die Lesbarkeit.

    Kein Mensch hat in Frage gestellt, dass die Lesbarkeit von Texten wichtig ist. Das bedeutet im Umgekehrschluss allerdings nicht, dass Design unwichtig wäre. Für reine Textpräsentationen mag Design eine untergeordnete Rolle spielen, in der Realität spielt Design aber für die Masse der Webseiten eine Rolle und vor der Realität sollte man sich nicht verschließen. Hat aber immer noch nichts mit dem Thema zu tun.

    Eines ist jedoch sicher: Wo ganz normal mit HTML oder CSS die Schrift vorgegeben wird, kann nicht getrackt werden weil die übrigen Schriften nicht ausgelesen werden und die Webseite auch nicht darüber informiert wird.

    Ach, ist das sicher? Du bist mir ja ein Experte. Schrift wird immer per CSS festgelegt, das ist für das Tracking vollkommen irrelevant. Und seit wann sind Beacons (Zählpixel) keine Form von Tracking? Das ist ganz gewöhnliche Grafiken. Denen hängst du ein paar Parameter an die URL ran und das kannst du dann serverseitig loggen. Für diese Form des Trackings ist nicht einmal JavaScript erforderlich.

    Was ist mit Canvas-Tracking? Du kannst ein Canvas in HTML einbetten. Oh, und doch, sogar via CSS ist Tracking möglich. Funktioniert ganz ähnlich wie die Beacons, indem du mit einer Grafik arbeitest.

    Wieso erwähne ich diese Formen von Tracking? Ganz einfach: nur, weil du dich bei den Schriftarten beschränkst, heißt das nicht, dass kein Tracking möglich wäre. Auch das Font-Fingerprinting wird üblicherweise nicht alleine genutzt, sondern in Kombination mit anderen Informationen, die man hat. Du kannst auch komplett auf jede Form von Font-Fingerprinting verzichten und immer noch wunderbares Tracking betreiben.

    Und diese Information sollte der Fux auch bei der Anforderung mit Scripten nicht preisgeben. Das wäre ein weiterer (ganz großer) Pluspunkt für den Fux.

    Welcher Teil meines Beitrages war für dich nicht verständlich, dass du das Erkennen von Schriftarten nicht einschränken kannst, ohne die Möglichkeit zu verlieren, Schriftarten zu verwenden?

  • In der Überschrift ist nur die Rede von "Font-Fingerprinting", kein anderes. Wie das im Einzelnen funktioniert, weiß ich nicht, das gebe ich gern zu. Deshalb fällt mir auch manchmal eine Erklärung schwer. Aber wenn Webseiten eine bestimmte Schriftart abfragen können, dann tun sie es auch mit 500 Schriftarten um einen möglichst genauen Überblick zu bekommen. Und damit kann dann gut getrackt werden. Deshalb darf auf solcherlei Anfragen, egal mit welchen Mitteln sie gestellt werden, nie geantwortet werden. Den Adobe Flash Player habe ich natürlich nicht, und Canvas wird auch "behandelt". Und es gibt noch mehr Möglichkeiten zum tracken, das stimmt natürlich.

    Bei normaler (CSS) Angabe der gewünschten Schriftart(en) ist meiner Meinung nach kein Font-Fingerprinting (anderes natürlich schon) möglich, da die Webseite nicht darüber informiert wird ob diese Schrift auch vorhanden ist. Diese Schrift wird einfach benutzt oder kommentarlos eine (angegebene) Alternativschrift oder die Standardschrift des Betriebssystems oder des Browsers.

    Das mit der Grafik sollte kein Scherz sein, wenn z.B. ein Firmenlogo eine bestimmte Schrift beinhaltet, dann muß sie richtig angezeigt werden, und dann ist eine Grafik sicher angebracht. Die wird immer richtig angezeigt. Aber bei jedem Text bei dem es auf den Inhalt ankommt, sollte man dem Besucher "seine" Standardschrift gönnen. Da braucht man nichts abzufragen, das geht ganz automatisch. Und wenn er wirklich eine Standardschrift eingestellt hat die er selbst nicht lesen kann - dann ist ihm nicht zu helfen... Ich lese auch meine E-Mails nur als Reintext in "meiner" Standardschrift. Die kann ich am besten lesen. Aber das war nur am Rande mit erwähnt, und war nicht das Grundthema.

    Grundsätzlich ist es meiner Meinung nach so, das es eine Webeite überhaupt nichts angeht was auf meinem Rechner installiert ist. Weder Schriften noch Auflösungen noch sonstwas. Meine Webseite nutzt z.B. auch unterschiedliche Darstellungen je nach Fenstergröße, das entscheidet sich aber alles im Browser des Besuchers und wird nicht abgefragt und kann deshalb auch nicht für Tracking benutzt werden.

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Du verstehst es nicht. :( Du schreibst selbst, dass deine eigene Webseite auch unterschiedliche Darstellungen für unterschiedliche Fenstergrößen nutzt. Also ist diese Information bekannt und kann genutzt werden. Dass du diese Information nicht anders nutzt, ist ein vollkommen anderes Thema. Ich schrieb es bereits in einem vorherigen Beitrag: ob Tracking auf deiner Webseite betrieben wird oder nicht, ist eine Entscheidung von dir und keine Frage dessen, ob es möglich ist oder nicht. Denn möglich ist es natürlich. Das eine hat mit dem anderen nur sehr wenig zu tun. Aber selbstverständlich muss eine Webseite wissen, welche Dimensionen das Browserfenster hat oder ob die angefragte Schriftart auf dem System des Nutzers vorhanden ist, ansonsten könnte die Webseite darauf nicht reagieren. Ja, der Browser kümmert sich um die Darstellung. Und was ändert das? Denk mal drüber nach: Wenn sich der Browser unter bestimmten Voraussetzungen anders verhält, ist das natürlich eine auswertbare Information. Wenn du verhindern willst, dass dass die Existenz von Schriftarten überprüft werden kann, musst du natürlich die Unterstützung von Schriftarten komplett aus dem Browser entfernen. Wenn du nicht willst, dass die Dimensionen deines Browserfensters gelesen werden können, dann muss natürlich die Möglichkeit, Responsive Designs zu erstellen, komplett aus dem Browser entfernt werden. Wenn du alles verhindern willst, was zum Tracking mit genutzt werden kann, ist der Browser am Ende komplett unbrauchbar, weil er keine Webseiten mehr darstellen kann. Zumal ja in der Regel nicht nur eine Information genutzt wird, sondern möglichst viele Informationen kombiniert werden.