Aktualisierungen als RSS-Feed

Privacy-Handbuch

Geolocation API abschalten

Mit Hilfe der Geolocation API kann die geografische Position des Surfer relativ genau bestimmt werden. Zur Ortsbestimmung können je nach vorhandener Hardware im Rechner die WLANs in der Umgebung genutzt werden oder GPS-Hardware... Im ungünstigsten Fall kann der Standort nur anhand der IP-Adresse bestimmt werden. Die Nutzung der API erfolgt mit Javascript.

Aktuelle Firefox Versionen fragen nach, bevor der Zugriff auf die Geolocation API erlaubt wird. Trotzdem habe ich ein besseres Gefühl, wenn man es komplett deaktiviert. Dafür muss man unter "about:config" die folgende Variable setzen:
geo.enabled false
geo.wifi.uri (leerer String)
browser.search.geoip.timeout   1
Diese Einstellung ist wichtig, wenn man die eigene IP-Adresse mit Anonymisierungsdiensten oder VPNs versteckt.

WebGL deaktivieren

WebGL stellt eine Javascript-API für das Rendering von 3D-Objekten bereit. Es kann für das Fingerprinting der Performance der Grafikhardware und OpenGL Implementierung genutzt werden, wie die Studie Perfect Pixel: Fingerprinting Canvas in HTML5 zeigt. Das Finger­printing via WebGL kann mit folgenden Einstellungen verhindert werden:
webgl.disable-extensionstrue
webgl.min_capability_modetrue
webgl.disable-fail-if-major-performance-caveat  true
Außerdem ist WebGL ein (unnötiges) Sicherheitsrisiko, weil damit Angriffe auf das Betriebs­system möglich werden. Durch nachgeladene Schriften können Bugs in den Font Rendering Bibliotheken ausgenutzt werden, das gab es für Linux (CVE-2010-3855), Windows (ms11-087) oder OpenBSD (CVE-2013-6462). Die WebGL Shader Engines haben auch gelegentlich Bugs, wie z.B. MFSA 2016-53. Deshalb empfehlen wir, WebGL komplett zu deaktivieren, um das Risiko zu reduzieren: webgl.disabled = true

WebRTC deaktivieren

WebRTC ist eine Technologie, die direkte Telefonie ud Videochats zwischen Surfern im Browser ermöglichen soll. Derzeit gibt es wenig sinnvolle Anwendungen für diese Technologie und ich würde ein spezialisiertes Programm wie Jitsi bevorzugen. Wer es einmal ausprobieren möchte, kann sich Palava.tv oder browser meeting anschauen.

Mit WebRTC kann die lokale IP Adresse des Rechners im LAN und die öffentliche IP Adresse ermittelt werden, wie eine Demonstration von D. Roesler zeigt. Auch VPN-Verbindungen können damit ausgetrickst werden. Außerdem kann das Vorhandensein von Kamera und Mikrofon als Feature im Browser Fingerprint genutzt werden.

Bei Firefox kann man WebRTC unter "about:config" deaktivieren: media.peerconnection.enabled = false
loop.enabled = false
loop.facebook.enabled = false

Timing APIs deaktivieren

Die hochgenauen Timing APIs können von Webanwendungen zur Analyse des Ladens von Resourcen oder des Nutzerverhaltens missbraucht werden (Timing Attacks on Web Privacy, PDF). Wenn man seinen Browser zum Lesen von Webseiten und nicht vorrangig für Games verwendet, sollte man die APIs deaktivieren: dom.enable_resource_timing = false
dom.enable_user_timing = false
dom.enable_performance = false

Clipboard Events deaktivieren

Mit den Clipboard Events informiert Firefox eine Webseite, dass der Surfer einen Ausschnitt in die Zwischenablage kopiert hat oder den Inhalt der Zwischenablage in ein Formularfeld eingefügt hat. Es werden die Events oncopy, oncut and onpaste ausgelöst, auf die die Webseite reagieren könnte. Man kann diese Events unter "about:config" deaktivieren: dom.event.clipboardevents.enabled = false Außer bei Google Docs und ähnliche Javascript-lastigen GUIs zur Dokumenten­bearbeitung in der Cloud ist mir keine sinnvolle Anwendung dieses Features bekannt.

Spekulatives Laden von Webseiten

Firefox beginnt in einigen Situationen bereits mit dem Laden von Webseiten, wenn sich der Mauszeiger über einem Link befindet, also bevor man wirklich klickt. Damit soll das Laden von Webseiten einige Millisekunden beschleunigt werden. Wenn man Verbindungen mit unerwünschten Webservern vermeiden möchte, kann man das Feature unter "about:config" abschalten: network.http.speculative-parallel-limit = 0

WebIDE deaktivieren

TorProject.org empfiehlt für Firefox 38.0 aus Sicherheitsgründen, die WebIDE unter "about:config" zu deaktivieren: devtools.webide.enabled = false
devtools.webide.autoinstallADBHelper = false
devtools.webide.autoinstallFxdtAdapters = false

Kill Switch für Add-ons abschalten

Die Extension blocklist kann Mozilla nutzen, um einzelne Add-ons im Browser zu deaktivieren. Es ist praktisch ein kill switch für Firefox Add-ons und Plug-ins. Beim Aktualisieren der Blockliste werden detaillierte Informationen zum realen Browser und Betriebssystem an Mozilla übertragen. https://addons.mozilla.org/blocklist/3/%7Bec8030f7-c20a
-464f-9b0e-13a3a9e97384%7D/10.0.5/Firefox/20120608001639
/Linux_x86-gcc3/en-US/default/Linux%202.6.37.6-smp%20
(GTK%202.24.4)/default/default/20/20/3/
Ich mag es nicht, wenn jemand remote irgendetwas auf meinem Rechner deaktiviert oder deaktivieren könnte. Unter "about:config" kann man dieses Feature abschalten: extensions.blocklist.enabled = false

Update der Metadaten für Add-ons deaktivieren

Seit Firefox 4.0 kontaktiert der Browser täglich den AMO-Server von Mozilla und sendet eine genaue Liste der installierten Add-ons und die Zeit, die Firefox zum Start braucht. Als Antwort sendet der Server Statusupdates für die installierten Add-ons. Diese Funktion ist unabhägig vom Update Check für Add-ons, es ist nur eine zusätzliche Datensammlung von Mozilla. Unter "about:config" kann man diese Funktion abschalten: extensions.getAddons.cache.enabled = false

HTML5 Beacons deaktivieren

Mit Beacons kann ein Browser beim Verlassen/Schließen einer Webseite Daten zur Analyse an den Webserver senden, die via Javascript gesammelte wurden. Eine sinnvolle Anwendung außerhalb von "Analyse des Surfverhaltens" (aka Tracking) fällt mir dafür nicht ein. Unter "about:config" kann man dieses Feature abschalten: beacon.enabled = false

Safebrowsing deaktivieren

Ab Firefox 34 reicht es nicht mehr, die Nutzung von Googles Safebrowsing Datenbank im Einstellungsdialog zu deaktivieren. Zusätzlich muss man den Download der Datenbank unter "about:config" abschalten, wenn man keine Verbindungen zu Google herstellen will.
browser.safebrowsing.enabled  false (bis Firefox 49)
browser.safebrowsing.phishing.enabled  false (ab Firefox 50)
browser.safebrowsing.malware.enabled  false
browser.safebrowsing.blockedURIs.enabled  false
browser.safebrowsing.downloads.enabledfalse
browser.safebrowsing.downloads.remote.enabled  false
browser.safebrowsing.updateURL(leerer String)
browser.safebrowsing.appRepURL(leerer String, bis FF 45)
browser.safebrowsing.downloads.remote.url(leerer String, ab FF 46)
Gegen Phishing Angriffe schützen keine technische Maßnahmen vollständig sondern in erster Linie das eigene Verhalten. Und gegen Malware schützen regelmäßige Updates des Systems besser als Virenscanner und URL-Listen.

Healthreport deaktivieren

Der Healthreport wird an Mozilla gesendet, kann man unter "about:config" deaktivieren: datareporting.healthreport.service.enabled = false
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false

Heartbeat User Rating deaktivieren  

Mit Firefox 37.0 hat Mozilla das heartbeat user rating system eingeführt. Der User soll Firefox bewerten und wird gelegentlich zur Teilnahme an der Community eingeladen. Mozilla hat selbst erkannt, dass dieses Feature nerven könnte:
We understand that any interruption of your time on the internet can be annoying.
Unter "about:config" kann man das Feature deaktivieren, indem man die folgende URL auf einen leeren String setzt:  browser.selfsupport.url = ""

Wi-Fi Hotspot Portalerkennung deaktivieren

Firefox 52 erkennt die Portalseiten von Wi-Fi Hotspots und öffnet sie in einem neuen Tab (Release Notes). Für die Wi-Fi Hotspot Portalerkennung kontaktiert Firefox bei jedem(!) Start folgende Webseite: http://detectportal.firefox.com/success.txt Unter about:config kann man Firefox dieses Verhalten abgewöhnen, indem man die Portalerkennung deaktiviert (man wird es kaum vermissen): network.captive-portal-service.enabled = false

Microsoft Family Safety deaktivieren  

Microsoft Family Safety ist ein lokaler man-in-the-middle Proxy in Windows 10, der die Zugriffsrechte auf Webseiten steuern kann und damit per Definition ein Zensur­tool ist. Ab Firefox 52 ist die Verwendung von Microsoft Family Safety standardmäßig aktiviert. Mit folgender Option kann man unter "about:config" die Nutzung von Microsoft Family Safety abschalten: security.family_safety.mode = 0
Lizenz: Public Domain