Jondofox / Firefox 33

Wenn mal was nicht funktioniert...
User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Jondofox / Firefox 33

Post by totentanz » Fri Oct 17, 2014 16:32

Wird jetzt nicht mehr der ESR mitgeliefert?
Was mir aufgefallen ist, Werte wie beacon.enabled --->> false im neuen JDF nicht berücksichtigt sind.
Ich würde da gerne noch mal rüberschauen, ob mir weitere Werte auffallen die im FF33 dringend berücksichtigt werden sollten.


beacon.enabled:
beim verlassen einer Webseite werden Daten an den Zielserver gesendet, die dzu Analysezwecken benutzt werden können.

cane

Re: Jondofox / Firefox 33

Post by cane » Fri Oct 17, 2014 21:22

Wird jetzt nicht mehr der ESR mitgeliefert?
Ja. Das Argument für den FF 33.0 ist z.B. das Zertificate Pinning, das nicht in den ESR portiert wird.

"beacon.enabled" ist auch im FF 31 ESR aktiviert (TRUE).

Ich denken, dass das Deaktivieren kein Problem löst. Man kann die gleiche Funktion auch ohne beacon implementieren oder wenn "beacon.enabled" auf FALSE gesetzt wurde, ein Beispiel aus der Mozilla Docu (sendet analyticsData beim Schließen/Verlassen der Webseite mit XMLHttpRequest):

Code: Select all

window.addEventListener('unload', logData, false);

function logData() {
    var client = new XMLHttpRequest();
    client.open("POST", "/log", false); 
    client.setRequestHeader("Content-Type", "text/plain;charset=UTF-8");
    client.send(analyticsData);
}
Mal Drüberschauen ist aber immer gut. ;-)

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: Jondofox / Firefox 33

Post by totentanz » Sat Oct 18, 2014 15:54

Ja. Das Argument für den FF 33.0 ist z.B. das Zertificate Pinning, das nicht in den ESR portiert wird.
Das ist natürlich ein Argument. :-) Bin ich immer mit dabei, wenn dadurch Sicherheitsaspekte berücksichtigt werden.
Ich denken, dass das Deaktivieren kein Problem löst. Man kann die gleiche Funktion auch ohne beacon implementieren oder wenn "beacon.enabled" auf FALSE gesetzt wurde, ein Beispiel aus der Mozilla Docu (sendet analyticsData beim Schließen/Verlassen der Webseite mit XMLHttpRequest)
Dann wäre die Deaktivierung allerdings nur ein Placebo, würde dennoch vorschlagen aus prinzipiellen Erwägungen es zu deaktivieren.
Mal Drüberschauen ist aber immer gut. ;-)
Mit FF34 kommt der größte Schwung an Änderungen, Loop, Tracking Protection ..... .
https://wiki.mozilla.org/Loop/Architecture

andy99
Posts: 49
Joined: Wed Aug 20, 2014 23:14

Re: Jondofox / Firefox 33

Post by andy99 » Sun Oct 19, 2014 1:59

Ist das Zertificate Pinning eigentlich wichtig?

Immerhin wird das Zertifikat durch SSL-Obsevatory verglichen.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: Jondofox / Firefox 33

Post by totentanz » Sun Oct 19, 2014 12:12

Beide Verfahren ergänzen sich. Am besten man vergleicht die Verfahrensweise:

CA Pinning
http://www.elektronik-kompendium.de/sit ... 906181.htm

Das im FF CA Pinning eingeführt wurde, längst überfällig. Gute entscheidung von JD hier sich vom ESR zu verabschieden. Wird nur komplexer mit den Mozilla Entwicklern Schritt zu halten, da diese mmer wieder in meinen Augen völlig überflüssige Eigenschaften einpflegen.


SSL Observatory
https://en.wikipedia.org/wiki/HTTPS_Everywhere


es gibt auch andere Ansätze:
https://en.wikipedia.org/wiki/Convergence_%28SSL%29

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: Jondofox / Firefox 33

Post by totentanz » Tue Oct 21, 2014 15:01

Folgende Werte sollten im FF33 noch Berücksichtigung finden:

Code: Select all

plugins.enumerable_names ---> leer
devtools.cache.disabled ---> true
media.video_stats.enabled ---> false
experiments.supported ---> false
experiments.enabled ---> false
media.getusermedia.browser.enabled ---> false
media.getusermedia.screensharing.enabled ---> false
loop.enabled ---> false (ab FF34)

cane

Re: Jondofox / Firefox 33

Post by cane » Tue Oct 21, 2014 18:57

Danke!

Kleine Bemerkungen:

"experiments" funktionieren nur, wenn "telemetry" enabled ist (im JDF disabled).

Bei "media.getusermedia...." fragt der Browser beim Nutzer nach, bevor Kamera, Mikrofon oder Screen freigegeben werden. Hmmm - muss man das wirklich deaktivieren?

"media.video_stats.enabled" muss unbedingt deaktiviert werden, da es zum Fingerprinting verwendet werden könnte. Upps. Dafür kommt ein Morgen ein Update des JonDoFox-XPI.

Plugins sind deaktiviert, es gibt also eigentlich nichts, was ausgelesen werden könnte. Aber man kann das problemlos setzen, keine Einschränkungen zu erwarten.

Nochmals Danke!

solo
Posts: 13
Joined: Tue Jan 29, 2013 22:13

Re: Jondofox / Firefox 33

Post by solo » Wed Oct 22, 2014 8:49

hallo,
1. wie lässt sich versehentliches schließen des gesammten Browsers verhindern wenn man zufällig das X beim letzten Tab erwischt.
Ist das ein Bug?

2: wie bekomme ich die Tabs wieder nach unten; war früher mit browser.tabs.onTop;false
möglich. Ist echt nervig.
Die Einstellung ist nicht mehr vorhanden.

cane

Re: Jondofox / Firefox 33

Post by cane » Wed Oct 22, 2014 9:59

Die Option "browser.tabs.onTop" wurde in Firefox 29 entfernt. Mit irgendwelchen Add-ons soll es möglich sein, die TAB Bar auf für aktuelle FF nach unter zu verschieben. Ich weiss aber nicht, mit welchen Add-ons man das für einen FF33 machen kann.

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: Jondofox / Firefox 33

Post by Ochnö » Wed Oct 22, 2014 10:49

Warum es nun nicht mehr der ESR sein soll-kapiere ich nicht?
Da koennte sich doch JonDo besser auf die kommenden Aenderungen vorbereiten?
Mann muss doch nicht alle 5min diese mittlerweile gaga Veraenderungen des FF mitmachen muessen?

Btw. Browser nicht schliessen mit letztem tab:

browser.tabs.closeWindowWithLastTab auf false

funktioniert


https://support.mozilla.org/en-US/kb/ho ... ld-firefox

?
https://addons.mozilla.org/en-US/firefo ... on-bottom/

Post Reply