Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Für die Darstellung von Inhalten, die nicht im HTML-Standard definiert sind, kann Firefox Plug-ins nutzen. Sie werden in der Add-on Verwaltung in der Sektion "Plugins" aktiviert. Um zu verhindern, das bei der Installation von irgendwelchen Software­paketen ungewollt Browser Plug-ins automatisch aktiviert werden, kann man folgende Variable setzen: plugin.default.state = 0 Für das Flash Plug-in von Adobe gibt es eine extra Variable unter "about:config": plugin.state.flash = 0 (Niemals aktivieren)
plugin.state.flash = 1 (Fragen, bevor es aktiviert wird)
plugin.state.flash = 2 (Immer aktivieren)
Um unter Windows das automatische Scannen der Registry nach neuen Plug-ins zu deaktivieren, ist unter "about:config" folgende Variable zu setzen: plugin.scan.plid.all = false Außerdem kann man die Gefahr durch Plug-ins reduzieren, indem man sie erst nach Bestätigung laufen lässt. Dann werden Plug-ins nur aktiviert, wenn der Nutzer es wirklich per Mausklick erlaubt und Drive-By-Download Angriffe im Hintergrund sind nicht mehr möglich. plugins.click_to_play = true Das automatische Abspielen von Videos kann man ebenfalls blockieren. Man kann das Add-on NoScript dafür nutzen oder folgende Variable unter "about:config" setzen: media.autoplay.enabled = false (Firefox 60 ESR)
media.autoplay.default = 1 (Firefox 63+)
Außerdem kann man die Videowiedergabe deaktivieren, wenn der Audioausgabe auf "Stumm" geschaltet ist: media.autoplay.allow-muted = false
Standardmäßig werden von Firefox zwei Media Plug-ins verwaltet:
  1. Der OpenH264 Videocodec von Cisco wird für einige HTML5 Videos und WebRTC benötigt. Da der moderne Surfer nicht ohne Videos im Web auskommen möchte, wird das Plug-in für Flash-freien Video Konsum auf einigen Video Plattformen benötigt.
  2. Das Widevine Content Decryption Module von Google zur Wiedergabe von DRM geschützten Videos ist unter Windows standardmäßig aktiviert, bei den meisten Linux Distributionen aber standardmäßig deaktiviert. Man braucht es nicht notwendigerweise.

    Mit folgendem Wert unter "about:config" kann man es komplett deinstallieren: media.eme.enabled = false

Anzeige von PDF Dokumenten

Adobes Acrobat Plug-ins für die Anzeige von PDF-Dokumenten im Browser war über viele Jahre ein erhebliches Sicherheitsrisiko. 2008 gelang es dem Ghostnet, mit bös­artigen PDF Dokumenten die Computer­netze westlicher Regierungen, der US-Regierung und des Dalai Lama zu infizieren, dem Trojaner MiniDuke gelang es 2012, mit bösartigen PDFs in die Computer von Regierungsorganisationen in Deutschland, Israel, Russland, Belgien, Irland, Großbritannien, Portugal, Rumänien, Tschechien und der Ukraine einzudringen, und der Wurm Win32/Auraax wurde ebenfalls mit bösartigen PDF-Dokumenten verteilt.

Aktuelle Firefox Versionen verwenden die Javascript Bibliothek PDF.js für die Anzeige von PDF-Dokumenten. Auch diese Bibliothek hatte schon kritische Sicherheits­lücken, die von Angreifern aktiv ausgenutzt genutzt wurden (z.B. CVE-2015-0802 / -0816 oder CVE-2015-4495). Für hohe Sicherheits­anforderungen kann man die Anzeige von PDF-Dokumenten im Browser deaktivieren und damit die Angriffsfläche für Drive-By-Download Angriffe verringern.  pdfjs.disabled = true Für die Anzeige von PDF-Dokumenten kann man statt funktionsüberladener Monster wie den Adobe Reader einen simplen PDF Viewer nutzen. Die FSFE stellt auf PDFreaders.org einige Alternativen vor. QubesOS bietet für potentielle "Landesverräter" und andere Risikogruppen, die als Target für den Einsatz der neuen Bundestrojaner in Frage kommen, einige besondere Sicherheits­features. Dazu gehört die Anzeige von PDFs in einer Wegwerf-VM oder die Umwandlung von PDF Dokumenten aus unbekannten Quellen in Trusted PDFs, die man risikolos weitergeben kann. Die Funktionen kann man nach dem Download mit einem Rechtsklick auf ein PDF Dokument im Dateimanager aufrufen.
PDF säubern in QubesOS
Für die Umwandlung in Trusted PDFs wird qubes-app-linux-pdf-converter gestartet, das Rendering des (möglicherweise bösartigen) PDF Dokumentes erfolgt in einer Wegwerf-VM, die danach gelöscht wird. Die gerenderten Bitmaps werden zu einem neuen, ganz harmlosen PDF zusammengesetzt. Wie bei QubesOS üblich, dauert der Vorgang insbesondere bei großen PDF Dokumenten einige Zeit. (Eile ist ein Feind der Sicherheit!)
PDF säubern in QubesOS
Lizenz: Public Domain