Fragen zu Addons für den JonDoFox

[JD-FoxUser]

Hallo werte Gemeinde!

1) Ich habe hier eine Liste von Sicherheits-Addons, bei denen ich gern gewusst hätte, ob sie euch bzw. den Programmieren von JDF schon bekannt sind und ihr sie aus gutem Grund ausgeschlossen habt oder würdet (zB. weil das JDF-Profil die Aufgaben schon erfüllt).
-BrowserProtect
-CanvasBlocker
-Calomel SSL Validation
-Extended DNSSEC Validator
-IP Flood (bei Nutzung des JDF ohne JonDo)
-Perspectives
-Referrer Control
-RequestPolicy
-Smart Referer
-Self-Destructing Cookies
-User Agent Switcher
-WOT

2) Bezüglich folgender nicht-Sicherheits-Addons hätte ich gerne gewusst, ob sie euch ebenfalls bekannt sind und ihr sie als Sicherheitsrisiko einschätzt/ einschätzen würdet:
-Classic Theme Restorer
-Lightbeam
-Open With
-Profile Switcher
-Sitzungs-Manager
-Tab Mix Plus
-TextArea Cache

[cane]

-CanvasBlocker im JonDoFox-Profil enthalten
-Calomel SSL Validation funktioniert mit JDF
-Extended DNSSEC Validator funktioniert nicht mit JDF, Leaks!
-Referrer Control: das macht JonDoFox selbst besser
-Smart Referer: das macht JonDoFox selbst besser
-Self-Destructing: das macht JonDoFox selbst besser
-User Agent Switcher nicht mit JDF verwenden!
-Profile Switcher im JonDoFox-Profil enthalten
-Sitzungs-Manager nicht mit JDF verwenden!

(soweit mir bekannt)

[JD-FoxUser]

Danke schonmal cane, für die hilfreichen Antworten! Habe die Addons, die zu risikoreich sind oder die JDF besser kann, entfernt.
3 Fragen dazu:
-Profile Switcher: Ja, beim Start kann ich zwischen den Profilen wählen, im laufenden Betrieb jedoch nicht, daher bräuchte ich dieses Addon: Möchte ich nach meinem ersten FF mit JDF-Profil, einen zweiten installierten FF ohne JDF-Profil starten, wird lediglich ein neuer Tab geöffnet im schon gestarteten ersten FF - anstelle des Profilmanagers. (Das zweite FF-Profil dient zu Testzwecken). Gibt es vll. eine problembehebende Einstellung? Und ist das Addon sicherheitskritisch?

-Self Destructing Cookies: Soweit ich bemerkt habe, werden Cookies im JDF beim Schließen des Browsers entfernt. Self Destructing Cookies (SDC) kann diese jedoch bereits nach dem Schließen der betreffenden Seite löschen. Leider funktioniert dies nicht, wenn man das Addon Cookie Controller aktiviert hat, da dieses anscheinend den Cookie-Gültigkeitswert (auf den SDC auch zugreift) immer auf "Sitzungsdauer" setzt. Ich möchte nicht nach jedem Schließen einer Cookie-Setz-Seite den/die Cookies manuell löschen oder gar jedes Mal den Browser neu starten. Weis hier einer eine Lösung dazu?

-Sitzungs-Manager: nicht verwenden. - Ich nehme an, auch wegen Leaks? Wissen Sie zufällig auch, wie es dahingehend beim integrierten Sitzungs-Manager von Tab Mix Plus aussieht?


@all: Weis jmd. noch, wie es mit den übrigen Addons aussieht?

[cane]

Möchte ich nach meinem ersten FF mit JDF-Profil, einen zweiten installierten FF ohne JDF-Profil starten, wird lediglich ein neuer Tab geöffnet im schon gestarteten

Im JonDoFox ist das Add-on Profilmanager enthalten.

"Datei -> anderes Profil öffnen -> ...."

Dann öffnet sich ein neues Fenster mit dem anderen Profil.

Ich möchte nicht nach jedem Schließen einer Cookie-Setz-Seite den/die Cookies manuell löschen oder gar jedes Mal den Browser neu starten.

Nach dem Logout: SHIT-STRG-ENTF + ENTER -> Cookies gelöscht.

[andy99]

Statt Requestpolicy empfehle ich Policeman. Dort kann man per Inhalt (CSS, Javascript, Image, Websockets etc.) entscheiden.

Das hat der Vorteil, dass man z.B. CSS und Frames generell erlauben kann, da ungefährlich und viele Seiten besser funktionieren.

Iframes kann man wie gehabt via NoScript blockieren.

Auf der anderen Seite kann man (anders als bei Requestpolicy) für eine erwünschte Drittseite bloß bestimmte Inhalte freigeben.

Außerdem kann Policeman eine hosts Datei wie z.B. die von http://winhelp2002.mvps.org/hosts.txt einlesen.

Und natürlich kann man zwischen temporär, persistent und Domainleveln unterscheiden.

[JD-FoxUser]

@cane: Stimmt. Ich hatte nur im portablen JDF & in einer älteren Full-JDF-Version geschaut, da ist das Addon ja nicht drin.
Ihre Tastenkombi SHIFT-STRG-ENTF + ENTER ist super, danke für den Hinweis!


@andy99: Das Addon Policeman werde ich mal ausprobieren, danke!

Iframes kann man wie gehabt via NoScript blockieren.

Ja das stimmt.

Und natürlich kann man zwischen temporär, persistent und Domainleveln unterscheiden.

Na mal sehen ob ich damit klar komme.


@all: Hat sonst noch jemand Meinungen/ Einwände/ nützliche Sicherheitsinfos über meine aufgezählten Addons, insbesondere über die noch nichts geschrieben wurde?

[xg27]

@all: Hat sonst noch jemand Meinungen/ Einwände/ nützliche Sicherheitsinfos über meine aufgezählten Addons, insbesondere über die noch nichts geschrieben wurde?

Um irgend ein add-on etc als sicher einzustufen muesste man den code evaluieren, und das nach jedem update, bei jeder neuen Version. Aber das macht kaum jemand.

Jedes Programm kann Schwachstellen oder sogar Schadcode enthalten; und damit ist jedes Programm ein potenzielles Sicherheitsrisiko. Und jedes Programm verbraucht auch Resourcen.

Weniger ist besser.
So wenig wie moeglich, anstatt so viel wie moeglich.

Just my2cents.

[Propagandapanda]

Zu Lightbeam kann ich nur sagen, dass ich nebenbei
immer mal wieder mit Wireshark den ausgehenden Traffic
beim Surfen angeschaut habe, und das Add-On meines
Wissens zumindest nicht "am Proxy vorbei" leakt.

Für eine inhaltliche Analyse der Pakete bin ich leider noch
nicht tief genug drin

[disposab]

Hängs mal hier dran:

bei linux-mint 17.2 aktuell aufgefallen, dass beim JonDoFox (Basis ist da der normale ff) seit ff40 Fehlermeldungen bei nicht von mozilla signierten addons auflaufen:
"HTTPS-Everywhere konnte nicht für die Verwendung in firefox verifiziert werden. Fahren sie mit Vorsicht fort."
dito addons JonDoFox + Mint Search Enhancer

Unterm JdF-win, der portabel installiert wurd (esr 38.2.0), keine derartigen "Meldungen".

Warum und wie abstellen?
+ kann man unter mint JdF auch portabel installieren mit ff-esr als Grundlage?

[disposab]

Ergänzung:

Deaktivierung (und nicht mehr nur Info) nicht signierter Addons ist bereits in der beta41 enthalten:
Neuerungen in Firefox 41 Beta
Bildchen dazu

zwar via about:config noch abstellbar, aber nimmer lang...