Jondofox / Firefox 33

[totentanz]

Wird jetzt nicht mehr der ESR mitgeliefert?
Was mir aufgefallen ist, Werte wie beacon.enabled --->> false im neuen JDF nicht berücksichtigt sind.
Ich würde da gerne noch mal rüberschauen, ob mir weitere Werte auffallen die im FF33 dringend berücksichtigt werden sollten.


beacon.enabled:
beim verlassen einer Webseite werden Daten an den Zielserver gesendet, die dzu Analysezwecken benutzt werden können.

[cane]

Wird jetzt nicht mehr der ESR mitgeliefert?

Ja. Das Argument für den FF 33.0 ist z.B. das Zertificate Pinning, das nicht in den ESR portiert wird.

"beacon.enabled" ist auch im FF 31 ESR aktiviert (TRUE).

Ich denken, dass das Deaktivieren kein Problem löst. Man kann die gleiche Funktion auch ohne beacon implementieren oder wenn "beacon.enabled" auf FALSE gesetzt wurde, ein Beispiel aus der Mozilla Docu (sendet analyticsData beim Schließen/Verlassen der Webseite mit XMLHttpRequest):

Code: Select all

window.addEventListener('unload', logData, false);

function logData() {
    var client = new XMLHttpRequest();
    client.open("POST", "/log", false); 
    client.setRequestHeader("Content-Type", "text/plain;charset=UTF-8");
    client.send(analyticsData);
}

Mal Drüberschauen ist aber immer gut.

[totentanz]

Ja. Das Argument für den FF 33.0 ist z.B. das Zertificate Pinning, das nicht in den ESR portiert wird.

Das ist natürlich ein Argument. Bin ich immer mit dabei, wenn dadurch Sicherheitsaspekte berücksichtigt werden.

Ich denken, dass das Deaktivieren kein Problem löst. Man kann die gleiche Funktion auch ohne beacon implementieren oder wenn "beacon.enabled" auf FALSE gesetzt wurde, ein Beispiel aus der Mozilla Docu (sendet analyticsData beim Schließen/Verlassen der Webseite mit XMLHttpRequest)

Dann wäre die Deaktivierung allerdings nur ein Placebo, würde dennoch vorschlagen aus prinzipiellen Erwägungen es zu deaktivieren.

Mal Drüberschauen ist aber immer gut.

Mit FF34 kommt der größte Schwung an Änderungen, Loop, Tracking Protection ..... .
https://wiki.mozilla.org/Loop/Architecture

[andy99]

Ist das Zertificate Pinning eigentlich wichtig?

Immerhin wird das Zertifikat durch SSL-Obsevatory verglichen.

[totentanz]

Beide Verfahren ergänzen sich. Am besten man vergleicht die Verfahrensweise:

CA Pinning
http://www.elektronik-kompendium.de/sit ... 906181.htm

Das im FF CA Pinning eingeführt wurde, längst überfällig. Gute entscheidung von JD hier sich vom ESR zu verabschieden. Wird nur komplexer mit den Mozilla Entwicklern Schritt zu halten, da diese mmer wieder in meinen Augen völlig überflüssige Eigenschaften einpflegen.


SSL Observatory
https://en.wikipedia.org/wiki/HTTPS_Everywhere


es gibt auch andere Ansätze:
https://en.wikipedia.org/wiki/Convergence_%28SSL%29

[totentanz]

Folgende Werte sollten im FF33 noch Berücksichtigung finden:

Code: Select all

plugins.enumerable_names ---> leer
devtools.cache.disabled ---> true
media.video_stats.enabled ---> false
experiments.supported ---> false
experiments.enabled ---> false
media.getusermedia.browser.enabled ---> false
media.getusermedia.screensharing.enabled ---> false
loop.enabled ---> false (ab FF34)

[cane]

Danke!

Kleine Bemerkungen:

"experiments" funktionieren nur, wenn "telemetry" enabled ist (im JDF disabled).

Bei "media.getusermedia...." fragt der Browser beim Nutzer nach, bevor Kamera, Mikrofon oder Screen freigegeben werden. Hmmm - muss man das wirklich deaktivieren?

"media.video_stats.enabled" muss unbedingt deaktiviert werden, da es zum Fingerprinting verwendet werden könnte. Upps. Dafür kommt ein Morgen ein Update des JonDoFox-XPI.

Plugins sind deaktiviert, es gibt also eigentlich nichts, was ausgelesen werden könnte. Aber man kann das problemlos setzen, keine Einschränkungen zu erwarten.

Nochmals Danke!

[solo]

hallo,
1. wie lässt sich versehentliches schließen des gesammten Browsers verhindern wenn man zufällig das X beim letzten Tab erwischt.
Ist das ein Bug?

2: wie bekomme ich die Tabs wieder nach unten; war früher mit browser.tabs.onTop;false
möglich. Ist echt nervig.
Die Einstellung ist nicht mehr vorhanden.

[cane]

Die Option "browser.tabs.onTop" wurde in Firefox 29 entfernt. Mit irgendwelchen Add-ons soll es möglich sein, die TAB Bar auf für aktuelle FF nach unter zu verschieben. Ich weiss aber nicht, mit welchen Add-ons man das für einen FF33 machen kann.

[Ochnö]

Warum es nun nicht mehr der ESR sein soll-kapiere ich nicht?
Da koennte sich doch JonDo besser auf die kommenden Aenderungen vorbereiten?
Mann muss doch nicht alle 5min diese mittlerweile gaga Veraenderungen des FF mitmachen muessen?

Btw. Browser nicht schliessen mit letztem tab:

browser.tabs.closeWindowWithLastTab auf false

funktioniert


https://support.mozilla.org/en-US/kb/ho ... ld-firefox

?
https://addons.mozilla.org/en-US/firefo ... on-bottom/