Firefox, was soll das?

03. Aug. 2018 00:20 Uhr - Mac@Night

Einst ein absolutes Vorzeige-Projekt in der Open-Source-Community, jetzt fehlen einem zunehmend die Worte.

Erst schmeisst man die bewährten Addons raus, jetzt werden RSS-Reader und dynamische Lesezeichen entfernt. Angeblich nutzen 99% der User diese Features nicht. Das Web sagt was anderes, #shitstorm. Welchen Mist erzählt Mozilla da?

Und nicht vergessen: Letztes Jahr wurde Nutzern ungefragt (!) bei der Installation ein Datensammel-Plugin (Cliqz) untergejubelt.

Was ist nur aus Mozilla geworden?

Der Browser trotz Versprechen langsamer als die Konkurrenz. Mac-Verzahnung weiterhin mangelhaft, Marktanteil drastisch gesunken.

Schade schade - ein freies Web bräuchte eigentlich ein Firefox in Topform! Aber so.... nein danke.

Schmidt oder Strauss? Pest oder Kohl-Ära? Daran erinnert die Debatte um die Vertrauenswürdigkeit von Browsern. Vermute, die sind auf ihre Art alle gleich übel, nur Firefox kann man in Maßen erziehen: https://github.com/pyllyukko/user.js

Skripte von Cliqz alias Burda scheinen in sämtlichen mozillahaltigen Produkten wie Firefox, Thunderbird und Seamonkey gewhitelisted zu sein. In about:config via Suchbegriff 'cliqz' zu finden und die ungewollte 'Funktionalität' abzustellen ist leicht. Wer dort bei der Gelegenheit gleich nach dem Wort 'Google' sucht, wird ebenso fündig wie bei Firefox im Menü 'Hilfe/Informationen zur Fehlerbehebung'. Dort steht unter dem Punkt ' Allgemeine Informationen ': Google-Schlüssel Gefunden.

Anfragen bei Suchmaschinen diesbezüglich brachten nur wenig Erfolg. Ist das eine eindeutige ID? Dazu gibt es im sonst so informativen Netz recht wenig Substantielles.

Last, but not least:  Digitale Rechteverwaltung, alias Encrypted Media Extensions in FF: https://de.wikipedia.org/wiki/HTML5#Digitale_Rechteverwaltung

Daher, wenn Firefox, vielleicht eher die EME-free Version in Betracht ziehen
https://ftp.mozilla.org/pub/firefox/releases/61.0.1/mac-EME-free/de/
und das Mitgliedern der Peergroup mit Windows evtl. auch stecken:
https://ftp.mozilla.org/pub/firefox/releases/61.0.1/win64-EME-free/de/

Weshalb Safari auch keine Alternative ist? Zu tolerant gegenüber grottigem TLS, seit Jahr und Tag. Schaut mal mit Safari da vorbei:

https://www.ssllabs.com/ssltest/viewMyClient.html
oder da
https://www.howsmyssl.com/

Fest eingebaute Lesezeichen der Sponsoren, die nach jedem Löschversuch neu auftauchen. Die Fans von Safari bevorzugen den Account mit Admin Rechten, in dem sie ständig eingeloggt sind, weil Macs so sicher sind.

Bleibt noch Chromium, die Entwicklerversion von Chrome, angeblich googlereduziert.
Kontaktiert Google Server, auch wenn man Save Browing und die Übersetzungsfunktion in den Einstellungen deaktiviert hat. Das kann man mit Little Snitch aber abstellen. Benutze ich als Kompatibilitätsschicht für teure, schlecht programmierte Webseiten wie Elster, die mit Firefox nicht funktionieren und für TYPO3.

_______

SUMME= Leider keine wirklichen Alternativen around – oder doch?

Test: Opera VPN – ist kein VPN, sondern ein Web-Proxy! Das Geschäftsmodell braucht Deine Daten.

https://vpn-anbieter-vergleich-test.de/opera-vpn/

"...Opera ist ein börsennotiertes Unternehmen und verdient Geld, indem es Werbeeinnahmen generiert. Dies erfolgt darüber, dass Benutzerdaten verwendet werden um Werbepartnern exakte Daten über die Benutzer zu ermöglichen und dann gezielte Werbung zu platzieren. Also Opera ist Teil der weltweiten “Wir erfassen die Nutzeraktivitäten und verkaufen dann Werbung die gezielt auf diese abzielt” Wirtschaft. Man sollte sich da keine anderen Illusionen machen."

Abgesehen davon, die haben es im April eingestellt.

@Hannes, Jan: "Erstens" kann ich bestätigen, der Dienst ist nicht eingestellt. Es erscheinen laufend Updates, zuletzt vor wenigen Tagen. Bei "zweitens" muss ich passen, ich verstehe zu wenig von der Sache. SurfEasy wird im von Jan verlinkten Artikel jedenfalls kritisiert.

Es wurde im April der "VPN" Dienst für Android und iOS eingestellt. Die Desktopvariante existiert noch.

Zu Opera VPN :

Es scheint dass SurfEasy VPN und Opera VPN über SurfEasy zwei Paar Schuhe sind.

 

„Nachdem die Funktion im Browser aktiviert wurde, sendet Opera eine API-Anfrage an https://api.surfeasy.com, um die proxy IPs und Zugangsdaten zu erhalten. Der Browser verbindet sich dann mit einem Proxy-Server wie de0.opera-proxy.net dessen IP-Adresse nur innerhalb Operas mit aktiviertem „VPN“ erreichbar ist. Es ist ein HTTP/S-Proxy, der Authetifizierung erfordert.“

Sicherheitsexperten warnen vor Datenschutzrisiko

https://www.perfect-privacy.com/german/2016/06/03/opera-vpn-ist-kein-ec…

Opera sagt selbst, dass es sich um kein richtiges VPN handelt, sie nennen es "Browser VPN", was für eine Nummer...

"The head engineer of Opera for computers Krystian Kolondra reached out to us with a comment.

https://www.helpnetsecurity.com/2016/04/22/opera-browser-vpn-proxy/

Fazit für mich: Opera und SurfEasy sind keine seriösen Anbieter.

Von kostenlosen VPNs sollte man die Finger lassen, denn dort ist man selber das Produkt.

Gute Dinge haben ihren Preis.

Wenn VPN, dann richtig. Meine persönliche Empfehlung ist Perfect Privacy.

Übrigens: SurfEasy gehört jetzt Symantec, das genügt mir schon als Info... ;-)

 

[Hinweis der Redaktion: Bitte aus Gründen des Urheberrechts keine längeren Textpassagen reinkopieren, danke!]

Der Torbrowser, zwar auf FF Basis, kann auch eine Alternative sein.

Allerdings ist das etwas nur für einige wenige "Sicherheits-Nerds".  ;-)

Man kann nämlich den Torbrowser vom Tornetzwerk abschalten und in Verbindung mit einem (richtigen) VPN Anbieter zum "sicheren" Surfen benutzen.

Die Geschwindigkeit wird dadurch gewährleistet und das Fingerprinting reduziert.

Hier die Anleitung:

https://restoreprivacy.com/browser-fingerprinting/

installierte ich gestern auf dem betagten Mini 2.1 meiner Liebsten und bin beeindruckt, wie flott der im Vergleich zu Firefox 48 ESR läuft. Newmoon wäre dann meines Wissens der einzige Browser für Snow Leopard, der noch Updates erhält, quasi TenSixFox... Vielen Dank für den Tipp, darauf habe ich lange gehofft.

Unter El Capitan probierte ich Deine anderen Vorschläge:

Der Chromium Fork Brave 'vergisst' die Einstellungen beim nächsten Start und crasht kommentarlos auf dieser Seite:
http://ip-check.info/?lang=en

Das passiert dem zweiten Chromium Fork Epic zwar nicht, dafür ist auf der Seite viel Rot und Orange zu sehen...

Insgesamt ist Newmoon für mich der Sieger dieses kleinen Vergleichs, da man ihm als Firefox Fork via about:config einiges Google-Heimtelefonieren und die Verwendung antiker Chipher Suites abgewöhnen kann.

 

@Planet2:

...da man ihm als Firefox Fork via about:config einiges Google-Heimtelefonieren und die Verwendung antiker Chipher Suites abgewöhnen kann.

Kannst du dazu etwas schreiben, welche Einstellungen sind das?

Danke im voraus.

PS: Roccat (für PPC und ab macOS 10.5) wird auch noch weiterentwickelt, das letzte Update (8.2) kam im Juli raus.

Der Browser ist aber sehr minimalistisch und gewöhnungsbedürftig, wenn man vom FF kommt. Eher ein Notnagel.

Kannst du dazu etwas schreiben, welche Einstellungen sind das?

Eine gute Einleitung, was man in about:config machen kann, gibt das Privacy Handbuch: https://www.privacy-handbuch.de/handbuch_21l.htm

Legt man in den Profilordner von Firefox eine zweite Preferences Datei namens user.js, werden die darin gespeicherten, oft mühsam erarbeiteten Einstellungen bei jedem Start neu geladen und AddOns können in der eigentlichen Preferences Datei namens prefs.js nichts überschreiben. Diese Möglichkeit des Einflusses ist ein positives Alleinstellungsmerkmal von Mozilla Produkten. Es empfiehlt sich, vor dem Testen ein neues Profil anzulegen, indem man via Terminal den Profile Manager startet.

/Applications/Firefox.app/Contents/MacOS/firefox-bin -P

Eine user.js kann z.B. so aussehen. Die Einträge sind kommentiert, man sieht also, was weshalb geändert wird:

https://raw.githubusercontent.com/pyllyukko/user.js/master/user.js

Was Ciphersuites anbelangt, sehen meine Einstellungen in about:config bei Firefox, Thunderbird und nun NewMoon so aus (gekürzt):

Hintergrund:
https://de.wikipedia.org/wiki/Secure_Hash_Algorithm#SHA-1

security.ssl3.dhe_dss_aes_128_sha    false
security.ssl3.dhe_dss_aes_256_sha    false
security.ssl3.dhe_dss_camellia_128_sha    false
security.ssl3.dhe_dss_camellia_256_sha    false
security.ssl3.dhe_dss_des_ede3_sha    false
security.ssl3.dhe_rsa_aes_128_sha    false
security.ssl3.dhe_rsa_aes_256_sha    false
security.ssl3.dhe_rsa_camellia_128_sha    false
security.ssl3.dhe_rsa_camellia_256_sha    false
security.ssl3.dhe_rsa_des_ede3_sha    false
security.ssl3.ecdh_ecdsa_aes_128_sha    false
security.ssl3.ecdh_ecdsa_aes_256_sha    false
security.ssl3.ecdh_ecdsa_des_ede3_sha    false
security.ssl3.ecdh_ecdsa_null_sha    false
security.ssl3.ecdh_ecdsa_rc4_128_sha    false
security.ssl3.ecdh_rsa_aes_128_sha    false
security.ssl3.ecdh_rsa_aes_256_sha    false
security.ssl3.ecdh_rsa_des_ede3_sha    false
security.ssl3.ecdh_rsa_null_sha    false
security.ssl3.ecdh_rsa_rc4_128_sha    false
security.ssl3.ecdhe_ecdsa_aes_128_sha    false
security.ssl3.ecdhe_ecdsa_aes_256_sha    false
security.ssl3.ecdhe_ecdsa_chacha20_poly1305_sha256    true
security.ssl3.ecdhe_ecdsa_des_ede3_sha    false
security.ssl3.ecdhe_ecdsa_null_sha    false
security.ssl3.ecdhe_ecdsa_rc4_128_sha    false
security.ssl3.ecdhe_rsa_aes_128_sha    false
security.ssl3.ecdhe_rsa_aes_256_sha    false
security.ssl3.ecdhe_rsa_chacha20_poly1305_sha256    true
security.ssl3.ecdhe_rsa_des_ede3_sha    false
security.ssl3.ecdhe_rsa_null_sha    false
security.ssl3.ecdhe_rsa_rc4_128_sha    false
security.ssl3.rsa_1024_rc4_56_sha    false
security.ssl3.rsa_aes_128_sha    false
security.ssl3.rsa_aes_256_gcm_sha384    false
security.ssl3.rsa_aes_256_sha    false
security.ssl3.rsa_aes_256_sha256    false
security.ssl3.rsa_camellia_128_sha    false
security.ssl3.rsa_camellia_256_sha    false
security.ssl3.rsa_des_ede3_sha    false
security.ssl3.rsa_fips_des_ede3_sha    false
security.ssl3.rsa_null_md5    false
security.ssl3.rsa_null_sha    false
security.ssl3.rsa_rc2_40_md5    false
security.ssl3.rsa_rc4_128_md5    false
security.ssl3.rsa_rc4_128_sha    false
security.ssl3.rsa_rc4_40_md5    false
security.ssl3.rsa_seed_sha    false
security.tls.unrestricted_rc4_fallback    false

Google Einträge lösche ich einfach, da ich weder Save Browsing verwende, noch denen gerne Daten spende...

Das ist ja wirklich eine Menge, die Frage ist ob danach der Browser noch alltagstauglich bleibt, wenn man all dies das oben Beschriebene ändert.

Hier
https://www.privacy-handbuch.de/handbuch_21u.htm
und hier
https://ffprofile.com/
gibt es eine moderate user.js, die nicht so tief greift.

Alle Einstellungen, die man in FF über den gleichnamigen Menüpunkt vornimmt, werden in die Datei Benutzer/Library/Application Support/Firefox/Profiles/Profilname/prefs.js geschrieben. Das hat Nachteile, denn auch kurz getestete AddOns hinterlassen in dieser Datei ihre Spuren.Ergo ist es besser, man lagert alle mühsam ergatterten Tweaks in die user.js aus, sicher ist sicher.

Der Tipp mit dem Profile Manager ist essentiell, man entscheidet beim Start von Firefox, ob man im moderaten oder im strengen Profil arbeitet, oder in einem völlig unmodifizierten wie nach einer Neuinstallation, etwa um Webseiten zu testen. Oder in seinem seit jeher bewährten Profil. Eine eierlegene Wollmilchsau. Hat sich ein Profil im Alltag bewährt, wird es nur noch geringfügig modifiziert, etwa deswegen:
https://www.kuketz-blog.de/firefox-uebermittlung-besuchter-domains-an-c…

Was bringt es alte Sicherheitsalgorhythmen zu löschen?

Die lassen sich nur deaktivieren, nicht löschen, zum Löschen müsste man den Quellcode bearbeiten und FF neu kompilieren.

Bei Thunderbird merkt man von der neuen Strenge i.d.R. gar nichts, bei Firefox kann es vorkommen, dass deswegen eine Seite nicht lädt, die veraltete Cypher Suites verwendet. Dann bietet einem Firefox je nach user.js an, die Einstellungen für die Seite vorübergehend auf die Standardeinstellung zurückzusetzen (security.tls.version.fallback-limit) – oder die Seite wird eben nicht geladen. In jedem Fall sieht der Admin im Serverlog die Statusmeldungen und kann den Fehler korrigieren, sofern er fit und gewissenhaft ist. Dadurch werden manche Seiten peu á peu sicherer. Jedenfalls zünde ich nachher eine Kerze dafür an.

Welche Google Einträge meinst Du?

Zum einen die ganzen 'Save Browsing' URLs. Jeder Firefox (aber kein Seamonkey oder Newmoon) hat eine eigene Google ID, also einen Fingerabdruck (Hash) und z.B. der Malwarescan von Firefox sendet diese ID an Google. Ich vertraue daher eher der Malware-Blacklist von uBlock Origin.

Zum anderen das Nachladen von externen Schriften via Googlefonts (fonts.googleapis). Ich rufe Deine Webseite auf und bei Google tickt ein Zähler, weil da die Schriften herkommen. Eine weit verbreitete Unsitte.

Cookies deaktivieren reicht heute nicht mehr, um der lückenlosen Überwachung des Internets durch Privatfirmen zu entkommen, es erinnert zunehmend an Don Quijote.

 

Google Einträge lösche ich einfach, da ich weder Save Browsing verwende, noch denen gerne Daten spende...

Welche Einträge sind das und wie löscht Du Sie?

Meinst du etwa Suchanfragen über das Google Konto?

...

Wenn jeder FF seinen Hashwert hat, der an Google bei Suchanfragen weitergegeben wird, im Zusammenwirken mit einem System- und Browserfingerprint, na dann ist Polen offen... Dann nützt VPN auch nicht mehr viel. Wenn man dann noch Skype benutzt, bekommen die eine schöne Akte von jedem Internetuser zusammen. FB, Twitter etc. braucht es dann nicht mehr...

...dieser FF Profilemaker ist echt eine coole Sache, statt sich durch den config -Dschungel durchzukämpfen, einfach ein paar mal Klicken. Danke.

Welche Einträge sind das und wie löscht Du Sie?

Man öffnet einen Browsertab, gibt als Adresse about:config ein und tippt 'google' in die Suchmaske. Fundstellen gibt es reichlich. Wenn man einen Wert doppelklickt, ist er aktiv und kann bearbeitet oder gelöscht werden.

Dann nützt VPN auch nicht mehr viel.

VPN ist gut geeignet, um z.B. in einer Pension in Frankreich ein WM-Spiel zu schauen, das sonst dem Geoblocking zum Opfer gefallen wäre. Dabei gebe ich nur wenige private Daten preis.

Es ist weniger bis gar nicht geeignet, um im Internet anonym zu sein, auch wenn das gerne von den Anbietern behauptet wird.

Lesestoff:
https://www.kuketz-blog.de/vpn-anbieter-ip-und-dns-leaks/

Hier noch die user.js Einträge zu Google bzw. Yahoo. Die Gänsefüßchen markieren die gelöschten URLs. Das bedeutet aber noch lange nicht, dass FF nun googlefrei ist, wegen der ID. Er ist nur etwas befreiter...

user_pref("browser.safebrowsing.provider.google.advisoryName", "");
user_pref("browser.safebrowsing.provider.google.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google.gethashURL", "");
user_pref("browser.safebrowsing.provider.google.lists", ""); user_pref("browser.safebrowsing.provider.google.reportMalwareMistakeURL", ""); user_pref("browser.safebrowsing.provider.google.reportPhishMistakeURL", ""); user_pref("browser.safebrowsing.provider.google.reportURL", "");
user_pref("browser.safebrowsing.provider.google.updateURL", "");
user_pref("browser.safebrowsing.provider.google4.advisoryName", ""); user_pref("browser.safebrowsing.provider.google4.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google4.gethashURL", ""); user_pref("browser.safebrowsing.provider.google4.lastupdatetime", "");
user_pref("browser.safebrowsing.provider.google4.lists", "");
user_pref("browser.safebrowsing.provider.google4.nextupdatetime", ""); user_pref("browser.safebrowsing.provider.google4.reportMalwareMistakeURL", ""); user_pref("browser.safebrowsing.provider.google4.reportPhishMistakeURL", ""); user_pref("browser.safebrowsing.provider.google4.reportURL", "");
user_pref("browser.safebrowsing.provider.google4.updateURL", "");
user_pref("browser.search.defaultenginename", "");
user_pref("browser.search.defaultenginename.US", "");
user_pref("browser.search.geoip.url", "");
user_pref("browser.search.order.1", "");
user_pref("browser.search.order.2", "");
user_pref("browser.search.order.US.1", "");
user_pref("browser.search.order.US.2", "");
user_pref("browser.search.order.US.3", "");

VPN ist nützlich bei WLAN Verbindungen in öffentlichen Bereichen.

Aber wir müssen uns schon im klaren sein: Das Internet ist eine militärische Erfindung/Einrichtung seit Arpanet und Google ist ein Teil davon, auch wenn es sich so schön bunt präsentiert, muss ja nicht immer Flecktarn sein.

https://de.wikipedia.org/wiki/Internet#

Da kann man noch so rumwurschteln an configs etc. wie man will.

Alle Daten werden im Net ( oder "web" dem Spinnennetz) beobachtet, analysiert und gespeichert.

Und JEDER hat seine Karteikarte.

Tor ist auch kontrolliert.

Also am besten den Stecker ziehen und sich wieder dem realen Leben zuwenden.

Torbrowser mit VPN kann einem das Gefühl von Sicherheit geben, aber auch an das glaube ich nicht mehr.

Aber wenn man unschuldig im Geiste ist, dann kann das einem egal sein.

Wenn dann irgendwann mal der Strom global ausfällt, dann ist diese Matrix beendet.

Wir müssen das Internet wieder an eine organische Stelle in unserem Leben bringen.

...ich kann zwar mit euren Ausführungen nicht viel anfangen (man kann es mit Vorsichtsmaßnahmen auch übertreiben), aber dennoch schön, dass aus "meinem" Thread so eine schöne Diskussion entstanden ist. :)

Vielleicht wieder zurück zum ursprünglichen Thema: Firefox und RSS. Bis heute kein Statement von Mozilla, trotz vieler User-Beschwerden.

Dann heißt es Abschied nehmen von Firefox.

Vivaldi wird immer besser.