dom.storage enabled als default

Wenn mal was nicht funktioniert...
Post Reply
hannon
Posts: 64
Joined: Wed Dec 05, 2012 22:07

dom.storage enabled als default

Post by hannon » Wed Dec 03, 2014 11:47

Hallo,

erstaunlicherweise ist dom.storage trotz JondoFox-Profil true. Das führt zur Speicherfreigabe und Erkennbarkeit der eindeutigen ID lt. ip-check.info. - natürlich nur, wenn die Cookies freigegeben sind. O.K., Cookie-Controller kann so eingestellt werden, dass nach der Sitzung alle Cookies entfernt werden - und eben das Supercookie.

Trotzdem bleibt die Frage, warum dom.storage auf true gesetzt ist/wird.

cane

Re: dom.storage enabled als default

Post by cane » Wed Dec 03, 2014 17:01

Weil es nur genutzt werden kann, wenn Cookies freigegeben sind und DOMStorage nichts weiter als ein super großes Cookie ist. Es ergeben sich keine Vorteile durch die generelle Blockierung von DOMStorage.

Wenn man Cookies freigibt, dann kann man mit Cookies markiert werden. Ob zusätzlich eione Markierung mit einem DOMStorage Element möglich ist oder nicht - das ist als Schutz gegen Tracking belanglos.

Der DOMStorage wird zusammen mit den Cookies gelöscht.

Es gibt aber auf einige Webseiten Nachteile, wenn DOMStorage generell blockiert wird.

Da es keine grundsätzlichen Vorteile und keinen verbesserten Trackingschutz gibt aber einige Nachteile, hat JonDos im JonDoFox den DOMStorage freigegeben.

Propagandapanda
Posts: 24
Joined: Sat Nov 29, 2014 0:55

Re: dom.storage enabled als default

Post by Propagandapanda » Wed Dec 03, 2014 22:09

Schaut man sich den Auszug aus diesem Bugreport [1] an, scheint es
früher wirklich möglich gewesen zu sein, über den DOMStorage die
Cookie-Präferenzen des Nutzers zu umgehen:
If cookies are disabled, session storage should be disabled too, for example. Otherwise, there's really no point to having the cookie prefs -- sites can just use storage instead of cookies to circumvent the user's wishes
Allerdings können im DOMStorage wohl weitaus mehr Informationen abgelegt werden als in einem simplen
Browser-Cookie [2]:
DOM Storage is useful because no good browser-only methods exist for persisting reasonable amounts of data for any period of time. Browser cookies have limited capacity and provide no support for organizing persisted data [...]
@ Cane: Weisst du wie sich diese Nachteile äußern? Bzw. kriege ich es als Nutzer mit, wenn aufgrund von gesperrtem DOMSotrage Funktionalitätseinbußen auftreten?

[1] https://bugzilla.mozilla.org/show_bug.cgi?id=341524
[2] https://developer.mozilla.org/en-US/doc ... OM/Storage

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: dom.storage enabled als default

Post by totentanz » Thu Dec 04, 2014 16:32

Beipiele für Angebote wo es zu Funktionseinschränkung kommt:

https://mega.co.nz/
https://app.tutanota.de/

f09j300
Posts: 58
Joined: Sun Aug 31, 2014 22:22

Re: dom.storage enabled als default

Post by f09j300 » Sun Dec 07, 2014 18:07

> Wenn man Cookies freigibt, dann kann man mit Cookies markiert werden. Ob zusätzlich eione Markierung mit einem DOMStorage Element möglich ist oder nicht - das ist als Schutz gegen Tracking belanglos.

Quatsch. Lern mal Sicherheitsgrundlagen! Wenn DomStorage freigegeben ist, kann man damit markiert werden. Wenn man Cookies freigibt, was man manchmal muss, und DomStorage aktiviert ist, kann man mit Cookies und DOMStorage markiert werden. Wenn man Cookies freigibt und DOMStorage deaktiviert ist, kann man nur mit Cookies markiert werden, nicht mit DOMStorage. Das hilft gegen Angreifer, die Markierungen mit Cookies machen, jedoch keine Markierung mit DOMStorage. Den Denkfehler alle Angriffe zuzulassen, wenn ein Teilangriff unter bestimmten Bedingungen möglich ist macht Jondo an einigen Stellen. Das mit dem ID-Infos beim schließen senden ist das selbe. Die Verwendung von immer dem neusten FF auch. Die älteren haben diesen Müll garnicht.

Post Reply