Das Add-on JShelter kann Zugriffe auf Javascript-APIs faken (geringfügig modifizieren), um ein Fingerprinting des Browser für Trackingzwecke zu verhindern.
Nach der Installation findet man in der Symbolleiste von Firefox ein neues Icon. Mit einem Klick auf das Icon "Modify"kann man den Sicherheitslevel für die aktuelle Webseite auswählen oder mit einem Klick auf "Global settings" die Einstellungen von JShelter anpassen:
Das Add-on bietet mehrere vorbereitet Level. Wenn man JShelter ohne CanvasBlocker verwendet, ist der Level "Recommended" eine sinnvolle Konfiguration und keine Änderungen nötig.
Wenn man JShelter in Kombination mit dem Add-on CanvasBlocker einsetzt, um eine größere Abdeckung zu erreichen, sollte man einen eigenen Level definieren, der auf die Kombination mit CanvasBlocker abgestimmt ist. Jeweils ein Add-on sollte sich um eine Javascript API kümmern. Ein Vorschlag für die aktivierten Einstellungen in JShelter bei der Kombination mit CanvasBlocker:
CanvasBlocker | JShelter | |
Bildschirm API | minimale Größe vortäuschen | |
Canvas API | aktiviert (ohne WebGL) | Localy generated Images unprotected |
DOMRect API | aktiviert | |
TextMetrix API | aktiviert | |
SVG API | aktiviert | |
WebGL | WebGL API Funktionen deaktiviert | aktiviert (Little lies) |
Timer APIs | 1/10 sec mit zus. Rauschen |
|
Audio API | Amplitude variieren (Little lies) |
|
Multimedia Devices | keine Geräte anzeigen |
|
Schutz der Webworker | deaktiviert (viele Probleme) |
|
Gamepad-API | keine Geräte anzeigen |
|
VR-Displays | keine Geräte anzeigen |
|
Sensor-API | aktiviert (high) | History API | aktiviert max. 2 Einträge |
Geolocation API | Long Distance Obfuscation |
|
Hardware Informationen | Zufällige Werte zwischen min...8.0 |
|
Beacon API schützen | aktiviert (nichts senden aber "ok" zurückgeben) |
|
window.name löschen | aktiviert, aber nicht in iFrames |
Nachdem man einen neuen Level definiert hat, muss man ihn noch zum Default Level machen. Dafür klickt man in der Übersicht einfach den gewünschten Level an. Die standardmäßig verwendeten Einstellungen sind in der Übersicht orange markiert:
Mit einem Klick auf den Button "Overwrite configuration" werden die Einstellungen aktiviert:
Für Webseiten zum Onlinebanking (mit Flickercode), Javascript-lastige Webfrontends der E-Mail Provider oder für Videokonferenzen kann man im Add-on JShelter den Javascript Shield deaktivieren (früher Level "0") und sie funktionieren dann i.d.R wieder problemlos. Die Auswahl für eine Webseite wird gespeichert und ist beim nächsten Aufruf der Webseite wieder aktiv.