Privacy Handbuch

Autoplay von Audio und Video deaktivieren

Die Einstellungen zum Deaktivieren des automatischen Abspielens von Audiodateien und Videos hat Mozilla immer wieder mal geändert. Mit folgenden Einstellungen unter "about:config" deaktiviert man das automatische Abspielen von Videos und Audio:
media.autoplay.default= 5
media.autoplay.blocking_policy  = 2

Das Deaktivieren des automatischen Abspielens von Videos und Audiodateien ist auch ein Sicherheitsfeature, das den Start eines bösartigen Videos im Hintergrund verhindert und die Angriffsfläche für Drive-by-Download Angriffe verringert.

Nach Beobachtung des Google Sicherheitsteams nimmt seit 2021 die Bedrohung durch Zero-Day-Exploits, die Schwachstellen in Media-Codecs ausnutzen, kontinuierlich zu.

Media Plug-ins

Standardmäßig werden von Firefox zwei Media Plug-ins verwaltet:
  1. Der OpenH264 Videocodec von Cisco wird für WebRTC benötigt und die Wiedergabe einige Medien in Mediatheken. Wenn man WebRTC abschaltet und, kann man aus Sicherheitserwägungen auch den Videocodec und das Update deaktivieren:
    media.gmp-gmpopenh264.autoupdate  = false
    media.gmp-gmpopenh264.enabled = false
    Außerdem kann das OpenH264 Plugin in der Add-on Verwaltung unsichtbar machen: media.gmp-gmpopenh264.visible = false

    Bei einige Linux Distributionen wie Fedora ist OpenH264 im Firefox standardmäßig deaktiviert und ausgeblendet. Der Codec kann dann über die Paketverwaltung installiert werden:

    > sudo dnf install mozilla-openh264
  2. Das Widevine Content Decryption Module von Google zur Wiedergabe von DRM geschützten Videos ist unter Windows standardmäßig aktiviert, bei den meisten Linux Distributionen deaktiviert. Man braucht es nicht unbedingt und eine Deaktivierung verringert die Angriffsfläche.

    Mit folgendem Wert unter "about:config" kann man es deinstallieren: media.eme.enabled = false

    Wenn es wirklich nicht verwenden will und auch nicht von irgendwelchen Webseiten immer wieder mit Hinweisen "Bitte den DRM Kopierschutz freischalten" genervt werden will, kann man die Warnungen und Konfigurationsoption mit folgender Einstellung verstecken: browser.eme.ui.enabled = false

Anzeige von PDF Dokumenten

Das Acrobat Reader Plug-ins für die Anzeige von PDFs war über Jahre ein Sicherheits­risiko:

Aktuelle Firefox Versionen verwenden die Javascript Bibliothek PDF.js für die Anzeige von PDF-Dokumenten. Auch diese Bibliothek hatte schon kritische Sicherheits­lücken, die von Angreifern ausgenutzt genutzt wurden (z.B. CVE-2015-0802/-0816 oder -4495).Wenn man die Ausführung von Scripting Code in PDF-Dokumenten verbietet, kann man die Angriffsfläche deutlich verringern:

pdfjs.enableScripting = false

Für hohe Sicherheits­anforderungen kann man die Anzeige von PDF-Dokumenten im Browser deaktivieren und einen externen PDF-Viewer zum Lesen der Dokumente verwenden:

pdfjs.disabled = true Für die Anzeige von PDF-Dokumenten kann man statt funktionsüberladener Monster wie Adobe Reader einen simplen PDF Viewer nutzen. Die FSFE stellt auf PDFreaders.org Alternativen vor. QubesOS bietet für potentielle "Landesverräter" und Risikogruppen, die als Target für den Einsatz des Bundestrojaner in Frage kommen, einige Sicherheits­features. Dazu gehört die Anzeige von PDFs in einer Wegwerf-VM oder die Umwandlung von PDF Dokumenten aus unbekannten Quellen in Trusted PDFs, die man risikolos weitergeben kann. Die Funktionen kann man nach dem Download mit einem Rechtsklick auf ein PDF Dokument im Dateimanager aufrufen. Für die Umwandlung in Trusted PDFs wird qubes-app-linux-pdf-converter gestartet, das Rendering des (möglicherweise bösartigen) PDF Dokumentes erfolgt in einer Wegwerf-VM, die danach gelöscht wird. Die gerenderten Bitmaps werden zu einem neuen, ganz harmlosen PDF zusammen­gesetzt. Wie bei QubesOS üblich, dauert der Vorgang besonders bei großen PDFs einige Zeit.
Lizenz: Public Domain