Ist es prinzipiell so, dass jedes zusätzlich bei JonDoFox installierte add - on eine Gefahr für die Anonymität darstellt, beispielsweise weil man so die Angriffsfläche erhöht?

Für den Fall, dass man dieses Frage mit " nein " beantworten kann: Wäre es dann nicht vielleicht nützlich, eine Liste von Erweiterungen aufzustellen, welche man gefahrlos auf JonDoFox installieren kann bzw. von denen man auf jeden Fall besser die Finger lässt? Natürlich nur so weit bekannt: dass man nicht alle Erweiterungen auf diese Frage hin untersuchen kann, versteht sich von selbst.

Oder wäre das Aufstellen einer solchen Liste angesichts der riesigen Kombinationsmöglichkeiten illusorisch?

Im Vergleich zu meiner gelegentlich genutzten nicht anonymisierten Firefox - Version habe ich bei JonDoFox die Zahl der add - ons massiv reduziert. Bestimmte Erweiterungen sind ja nicht notwendig ( z.B. RefControl oder CookieCuller ), ausserdem sollen es evtl. Angreifer ja möglichst schwer haben. Von einigen Erweiterungen möchte ich aber nicht lassen, weniger aus zwingender Notwendigkeit sondern mehr aus vertrauter Gewohnheit und auch aus Bequemlichkeit. Nur dass dann jedes Mal die obige Frage auftaucht.

Die Liste der von mir bei JonDoFox zusätzlich installierten Erweiterungen ist kurz: Add to Search Bar, Bookmark Autohider, Deutsches Wörterbuch, Lazarus & TrashMail.net. Sollte jemand eine dezidierte Meinung zu einem dieser add - ons haben, würde ich mich freuen, davon zu hören.

Nein, nicht prinzipiell.
Ja, in der Tat das wäre nützlich. Ein zusätzliches Problem ist, dass man die Liste pflegen muss (was bei einem 6-wöchigen Releasezyklus von Firefox/den Add-Ons das Ganze nicht gerade erleichtert).
Alle wird man nicht untersuchen können, was aber kein Hindernis sein sollte, mit einigen anzufangen.

Eins der Add-ons sollte Convergence sein:

http://convergence.io/

Die Entwicklung ist bereits weit fortgeschritten.
Und die Funktion ist Zukunftsweisend.
Auch sind die Notar-Institutionen voll funktionsfähig.
Das Anonymisieren der Kommunikation zu des Notar-Stellen funktioniert ebenfalls zuverlässig.

Auch ist eine zukünftige Erweiterung der Funktionen angedacht:

Sicher. Das ist aber auch gleichzeitig eins der komplexeren Add-ons (ganz zu schweigen von der Serverkomponente, die man sich vielleicht auch noch anschauen muss). Mal sehen, ob ich demnächst in einer meiner freien Stunden dazu komme, mir das gründlich anzuschauen. Auf meiner internen ToDo-Liste ist es schon eine ganze Weile.

Ich habe das Add-on vor einiger Zeit als Option für den JonDoFox getestet und rate derzeit davon ab, es zu nutzen.

Convergence ist noch nicht ausgereift. Da es das bisherige Zertifikatssystem vollständig ersetzt kann es nicht mit anderen Methoden zur Verbesserung der Sicherheit von Zertifikaten kombiniert werden. Weder Certificate Patrol (auch im JonDoFox enthalten) noch Perspectives funktionieren zusammen mit Convergence.io sinnvoll.

Wenn man auf Convergence setzt, dann vollständig. Das setzt voraus, dass es hohe Anforderungen an Qualität erfüllt und von unabhängiger Seite evaluiert ist. Bisher ist das meiner Meinung nach noch nicht gegeben.

Ob man später auf Convergence.io setzt oder lieber Konzepte nutzt, die das bisherige System erweitern und verbessern (z.B. Sovereign Keys, Client Anbindung an SSL Observiatory) ist aus meiner Sicht noch nicht so ganz sicher.

Sovereign Keys: https://www.eff.org/deeplinks/2011/11/s ... ore-secure

Seit Qualys 4 der 6 Notar Stellen bereitstellt sehe ich keine Probleme.

https://www.ssllabs.com/ssldb/index.html

Mit dem Konzept von Perspectives/Convergence gibt es einiges an Problemen. Siehe z.B.: http://www.thesecuritypractice.com/the_ ... tives.html

Hier eine Notary Liste von Convergence:

https://github.com/moxie0/Convergence/w ... fd456e6998

Blog Eintrag:
https://community.qualys.com/blogs/qual ... e-notaries

Perspective ist doch gar nicht mehr kompatibel mit dem Firefox ?

Wieso nicht? Siehe: https://addons.mozilla.org/en-US/firefo ... spectives/ Dort steht 3.0-10.*

Ich hatte vor kurzem Probleme wegen Inkompatibilität.
Um so besser.
Dann kann ich Perspektive im anderen Profil testen.