Jondofox / Firefox 33
Jondofox / Firefox 33
Wird jetzt nicht mehr der ESR mitgeliefert?
Was mir aufgefallen ist, Werte wie beacon.enabled --->> false im neuen JDF nicht berücksichtigt sind.
Ich würde da gerne noch mal rüberschauen, ob mir weitere Werte auffallen die im FF33 dringend berücksichtigt werden sollten.
beacon.enabled:
beim verlassen einer Webseite werden Daten an den Zielserver gesendet, die dzu Analysezwecken benutzt werden können.
Was mir aufgefallen ist, Werte wie beacon.enabled --->> false im neuen JDF nicht berücksichtigt sind.
Ich würde da gerne noch mal rüberschauen, ob mir weitere Werte auffallen die im FF33 dringend berücksichtigt werden sollten.
beacon.enabled:
beim verlassen einer Webseite werden Daten an den Zielserver gesendet, die dzu Analysezwecken benutzt werden können.
Re: Jondofox / Firefox 33
Ja. Das Argument für den FF 33.0 ist z.B. das Zertificate Pinning, das nicht in den ESR portiert wird.Wird jetzt nicht mehr der ESR mitgeliefert?
"beacon.enabled" ist auch im FF 31 ESR aktiviert (TRUE).
Ich denken, dass das Deaktivieren kein Problem löst. Man kann die gleiche Funktion auch ohne beacon implementieren oder wenn "beacon.enabled" auf FALSE gesetzt wurde, ein Beispiel aus der Mozilla Docu (sendet analyticsData beim Schließen/Verlassen der Webseite mit XMLHttpRequest):
Code: Select all
window.addEventListener('unload', logData, false);
function logData() {
var client = new XMLHttpRequest();
client.open("POST", "/log", false);
client.setRequestHeader("Content-Type", "text/plain;charset=UTF-8");
client.send(analyticsData);
}

Re: Jondofox / Firefox 33
Das ist natürlich ein Argument.Ja. Das Argument für den FF 33.0 ist z.B. das Zertificate Pinning, das nicht in den ESR portiert wird.

Dann wäre die Deaktivierung allerdings nur ein Placebo, würde dennoch vorschlagen aus prinzipiellen Erwägungen es zu deaktivieren.Ich denken, dass das Deaktivieren kein Problem löst. Man kann die gleiche Funktion auch ohne beacon implementieren oder wenn "beacon.enabled" auf FALSE gesetzt wurde, ein Beispiel aus der Mozilla Docu (sendet analyticsData beim Schließen/Verlassen der Webseite mit XMLHttpRequest)
Mit FF34 kommt der größte Schwung an Änderungen, Loop, Tracking Protection ..... .Mal Drüberschauen ist aber immer gut.
https://wiki.mozilla.org/Loop/Architecture
Re: Jondofox / Firefox 33
Ist das Zertificate Pinning eigentlich wichtig?
Immerhin wird das Zertifikat durch SSL-Obsevatory verglichen.
Immerhin wird das Zertifikat durch SSL-Obsevatory verglichen.
Re: Jondofox / Firefox 33
Beide Verfahren ergänzen sich. Am besten man vergleicht die Verfahrensweise:
CA Pinning
http://www.elektronik-kompendium.de/sit ... 906181.htm
Das im FF CA Pinning eingeführt wurde, längst überfällig. Gute entscheidung von JD hier sich vom ESR zu verabschieden. Wird nur komplexer mit den Mozilla Entwicklern Schritt zu halten, da diese mmer wieder in meinen Augen völlig überflüssige Eigenschaften einpflegen.
SSL Observatory
https://en.wikipedia.org/wiki/HTTPS_Everywhere
es gibt auch andere Ansätze:
https://en.wikipedia.org/wiki/Convergence_%28SSL%29
CA Pinning
http://www.elektronik-kompendium.de/sit ... 906181.htm
Das im FF CA Pinning eingeführt wurde, längst überfällig. Gute entscheidung von JD hier sich vom ESR zu verabschieden. Wird nur komplexer mit den Mozilla Entwicklern Schritt zu halten, da diese mmer wieder in meinen Augen völlig überflüssige Eigenschaften einpflegen.
SSL Observatory
https://en.wikipedia.org/wiki/HTTPS_Everywhere
es gibt auch andere Ansätze:
https://en.wikipedia.org/wiki/Convergence_%28SSL%29
Re: Jondofox / Firefox 33
Folgende Werte sollten im FF33 noch Berücksichtigung finden:
Code: Select all
plugins.enumerable_names ---> leer
devtools.cache.disabled ---> true
media.video_stats.enabled ---> false
experiments.supported ---> false
experiments.enabled ---> false
media.getusermedia.browser.enabled ---> false
media.getusermedia.screensharing.enabled ---> false
loop.enabled ---> false (ab FF34)
Re: Jondofox / Firefox 33
Danke!
Kleine Bemerkungen:
"experiments" funktionieren nur, wenn "telemetry" enabled ist (im JDF disabled).
Bei "media.getusermedia...." fragt der Browser beim Nutzer nach, bevor Kamera, Mikrofon oder Screen freigegeben werden. Hmmm - muss man das wirklich deaktivieren?
"media.video_stats.enabled" muss unbedingt deaktiviert werden, da es zum Fingerprinting verwendet werden könnte. Upps. Dafür kommt ein Morgen ein Update des JonDoFox-XPI.
Plugins sind deaktiviert, es gibt also eigentlich nichts, was ausgelesen werden könnte. Aber man kann das problemlos setzen, keine Einschränkungen zu erwarten.
Nochmals Danke!
Kleine Bemerkungen:
"experiments" funktionieren nur, wenn "telemetry" enabled ist (im JDF disabled).
Bei "media.getusermedia...." fragt der Browser beim Nutzer nach, bevor Kamera, Mikrofon oder Screen freigegeben werden. Hmmm - muss man das wirklich deaktivieren?
"media.video_stats.enabled" muss unbedingt deaktiviert werden, da es zum Fingerprinting verwendet werden könnte. Upps. Dafür kommt ein Morgen ein Update des JonDoFox-XPI.
Plugins sind deaktiviert, es gibt also eigentlich nichts, was ausgelesen werden könnte. Aber man kann das problemlos setzen, keine Einschränkungen zu erwarten.
Nochmals Danke!
Re: Jondofox / Firefox 33
hallo,
1. wie lässt sich versehentliches schließen des gesammten Browsers verhindern wenn man zufällig das X beim letzten Tab erwischt.
Ist das ein Bug?
2: wie bekomme ich die Tabs wieder nach unten; war früher mit browser.tabs.onTop;false
möglich. Ist echt nervig.
Die Einstellung ist nicht mehr vorhanden.
1. wie lässt sich versehentliches schließen des gesammten Browsers verhindern wenn man zufällig das X beim letzten Tab erwischt.
Ist das ein Bug?
2: wie bekomme ich die Tabs wieder nach unten; war früher mit browser.tabs.onTop;false
möglich. Ist echt nervig.
Die Einstellung ist nicht mehr vorhanden.
Re: Jondofox / Firefox 33
Die Option "browser.tabs.onTop" wurde in Firefox 29 entfernt. Mit irgendwelchen Add-ons soll es möglich sein, die TAB Bar auf für aktuelle FF nach unter zu verschieben. Ich weiss aber nicht, mit welchen Add-ons man das für einen FF33 machen kann.
Re: Jondofox / Firefox 33
Warum es nun nicht mehr der ESR sein soll-kapiere ich nicht?
Da koennte sich doch JonDo besser auf die kommenden Aenderungen vorbereiten?
Mann muss doch nicht alle 5min diese mittlerweile gaga Veraenderungen des FF mitmachen muessen?
Btw. Browser nicht schliessen mit letztem tab:
browser.tabs.closeWindowWithLastTab auf false
funktioniert
https://support.mozilla.org/en-US/kb/ho ... ld-firefox
?
https://addons.mozilla.org/en-US/firefo ... on-bottom/
Da koennte sich doch JonDo besser auf die kommenden Aenderungen vorbereiten?
Mann muss doch nicht alle 5min diese mittlerweile gaga Veraenderungen des FF mitmachen muessen?
Btw. Browser nicht schliessen mit letztem tab:
browser.tabs.closeWindowWithLastTab auf false
funktioniert
https://support.mozilla.org/en-US/kb/ho ... ld-firefox
?
https://addons.mozilla.org/en-US/firefo ... on-bottom/