Firefox Absicherung & Anonymisierung - Seite 1

Hier werden Einstellungen für die aktuelle Firefox ESR Version aufgeführt, die grafisch über den Menüpunkt Einstellungen, manuell über Richtlinien, Autokonfiguration, erweiterte Konfiguration oder mittels WebExtensions vorgenommen werden können. Die Einstellungen betreffen die Absicherung und Anonymisierung der Browsernutzung, die bestmögliche Nutzung von Datenschutzfunktionen und die mögliche Begrenzung der Firefox-Funktionen auf seine Kernaufgabe: Webinhalte anzuzeigen. Will man Firefox anpassen und Richtlinien einsetzen, startet man am besten mit den Richtlinien.

Leider wird die Realisierung dieser Ziele mit jeder neuen Firefox-Version schwieriger, weil Mozilla Foundation und Entwicklergemeinde jede neue Firefox-Version mit speziellen „Features“ und Funktionen überfrachten, bis der Firefox Browser völlig zur unbenutzbaren, nicht mehr regulierbaren BLOATWARE verkommt. Hinzu kommt eine für Benutzer unzureichende, oberflächliche oder unverständliche Dokumentation, während Möglichkeiten, mit denen der Benutzer modifizerend eingreifen kann, schrittweise immer weiter reduziert werden. U. a. werden auch Einstellungen, die zuvor über die erweiterte Konfiguration vorgenommen werden konnten, entfernt bzw. in Dateien verborgen, um den Benutzer von Änderungen abzuhalten, die sich negativ auf die Funktionalität des Browsers auswirken könnten. Deshalb empfehle ich die Verwendung der aktuellen Firefox ESR (Extended Support Release) Version, für die das vorher Gesagte ebenfalls immer mehr zutrifft. Siehe dazu auch den Artikel The web browser I'm dreaming of auf Artificial truth.

Die Einstellungen bewirken, dass Layouts und Funktionen einzelner Webseiten und -dienste u. U. nur noch eingeschänkt, nach erneuten Eingriffen oder im Extremfall überhaupt nicht mehr benutzbar sind. Für die betroffenen Webseiten und -dienste kann man z. B. Firefox in einer zweiten Instanz mit anderem Browserprofil oder einen anderen Browser starten, die „offener“ eingestellt sind. Die Einstellungen können auch bewirken, dass einzelne WebExtensions nicht funktionieren. Deshalb ist vor Änderungen ggf. ein Backup des Profilverzeichnisses anzuraten – zumindest der prefs.js Datei, in der Änderungen gespeichert werden.

Zum Verhältnis zwischen Absicherung und Anonymisierung eine Anmerkung: Ich denke nicht, dass sich die eindeutige Wiedererkennung bzw. ein eindeutiger Fingerprint 100% verhindern lässt, aber der gleiche Fingerprint sitzungs- und seitenübergreifend. Insofern kommt es letztendlich darauf an, dass ein Browserprofil nicht mit der Identität einer realen Person verknüpft und die Identität indirekt ermittelt werden kann, weil ein Browser-Benutzer mit seiner realen IP-Adresse in Erscheinung tritt bzw. diese aufgrund der Nutzung und Konfiguration von Betriebssystem und Browser zu ermitteln ist. Für mich ist der sichere Einsatz des Browsers primär, seine „Anonymisierung“ sekundär relevant.

Zur Anonymisierung kann man vorab den gesamten Netzwerktraffic inklusive DNS-Anfragen über einen vertrauenswürdigen VPN-Dienst und/oder Tor leiten. Zur Erschwerung von Browser-Fingerprinting kann man vorab die privacy.fingerprintingProtection und privacy.resistFingerprinting Einstellung mit true aktivieren, womit Patches aktiv werden, die im Rahmen des Tor Uplift bzw. Fusion Projekts für Firefox entwickelt wurden. Siehe dazu Web fingerprinting is worse than I thought oder Fashion Faux Pas: Implicit Stylistic Fingerprints for Bypassing Browsers’ Anti-Fingerprinting Defenses.

Sofern neue bzw. zusätzliche Einstellungsnamen mit entsprechenden Werten selbst angelegt werden müssen, wird das mit (anlegen) gekennzeichnet. Die Einstellungsnamen unterscheiden sich im Wert-Typ nach:

• String: Zeichenkette, Begriff
• Integer: positive oder negative Zahl
• Boolean: true oder false

Die manuellen Einstellungen sind so weit wie möglich den verschiedenen Themen zugeordnet und in Form von Tabellen aufgeführt:

Anstatt über die Mozilla Website oder Nutzung der automatischen Update-Funktion nur das Programm herunterzuladen, kann die jeweils aktuelle Firefox Version zusammen mit einer SHA-512 Prüfsummen-Datei heruntergeladen und nach Überprüfung der Prüfsummen manuell installiert werden.

Download aus Verzeichnis der aktuellen Version:

• KEY „Mozilla Software Releases“ GnuPG-Schlüsseldatei
  Updated GPG key for signing Firefox Releases
• SHA512SUMS.asc Prüfsummendatei GnuPG-Signaturdatei
• SHA512SUMS Prüfsummendatei
• firefox-version.ext Firefox-Archivdatei und firefox-version.ext.asc GnuPG-Signaturdatei (alternativ zu den SHA-512 Dateien) aus dem Betriebssystem-Unterverzeichnis

Vorgehen:

1. Import „Mozilla Software Releases“ GnuPG-Schlüsseldatei: gpg --import KEY
2. Import Mozilla OpSec/InfoSec GnuPG Schlüssel (mit dem der „Mozilla Software Releases“ Schlüssel zertifiziert sein muss)
3. Überprüfung der Firefox-Archivdatei mit GnuPG-Signaturdatei: gpg --verify firefox-version.ext.asc
   oder
4. Überprüfung der Prüfsummendatei mit GnuPG-Signaturdatei: gpg --verify SHA512SUMS.asc
5. Überprüfung der Firefox-Archivdatei mit SHA-512 Prüfsummen: sha512sum firefox-version.ext
   und Vergleich des Werts mit der entsprechenden Zeile aus der SHA512SUMS Datei
6. Installation von firefox-version.ext
7. im Installationsverzeichnis Ausführungsberechtigungen der Dateien crashreporter, minidump-analyzer, pingsender und updater entfernen
8. siehe Profile, MACs & Sandboxen

Ergeben die Überprüfungen Unstimmigkeiten oder negative Statuswerte, kann es sich entweder um Übertragungsfehler handeln, so dass der Download wiederholt werden muss oder um manipulierte Firefox Versionen.

Informationen zu neu eingeführten Funktionen, behobenen Sicherheits- und Funktionsbugs zur aktuellen Firefoxversion finden sich in Sicherheits-Hinweisen zu behobenen Schwachstellen, Firefox Roadmap, Anmerkungen für Entwickler und den Release Notes über die URL https://www.mozilla.org/firefox/version-einsetzen/releasenotes/.

Siehe auch Startseite.

[X] Tab-Umgebungen aktivieren [Einstellungen]

Über den Einstellungen Button kann man Namen, Farben und Icons existierender Tab-Umgebungen ändern und neue Tab-Umgebungen anlegen. Außerdem kann mit [X] Wählen Sie für jede neue Registerkarte einen Container aus festgelegt werden, dass beim Öffnen eines neuen Tabs immer eine Tab-Umgebung ausgewählt wird.

Container-Tabs, kurz Container oder Contextual Identity Container sind Begriffe für Tab-Umgebungen, die Funktionen zur Isolierung von Websites anwenden. Der Begriff der Contextual Identities bezieht sich auf die Hauptfunktion von Tab-Umgebungen, verschiedene Online-Identitäten parallel aber separiert voneinander in einer Browser-Sitzung zu „leben“ bzw. zu nutzen. Tab-Umgebungen können nicht im aktivierten Privaten Modus verwendet werden.

Zunächst gibt es eine Standard bzw. die Keine Umgebung genannte Tab-Umgebung, die für alle Websites bzw. eingegebene URLs in der Adressleiste gilt, für die keine eigene Tab-Umgebung eingerichtet wurde. D. h. die Websites bzw. Adressen befinden sich in einem gemeinsamen Container ohne spezielle Isolierungen voneinander, die mit eigenen Tab-Umgebungen einhergehen. Alle Websites bzw. URLs in einer eigenen Tab-Umgebung sind isoliert von denen in der Standard Tab-Umgebung und in anderen Tab-Umgebungen. Weitere Informationen finden sich im Abschnitt zu den Details der Implementierung von Containern des Contextual Identity Projekts.

Tab-Umgebungen ergänzen den Strengem Modus des Erweiterten Schutzes vor Aktivitätenverfolgung bzw. State Partitioning und Network Partitioning. Siehe dazu auch How Firefox’s Total Cookie Protection and container extensions work together. Manche WebExtensions setzen Tab-Umgebungen voraus bzw. aktivieren sie automatisch.

Für weitere Funktionen und das Management der Tab-Umgebungen nutzt man besser die Temporary Containers WebExtension. Mit ihr kann man den Idealfall realisieren, dass automatisch für jede Website temporär ein eigener Website-spezifischer Container eingerichtet wird, der solange existiert, wie ein Tab geöffnet ist. Weitere Informationen zu Anwendung und Einrichtung stehen auf der Add-ons Seite und im Wiki der Erweiterung.

URLs der Domains addons.mozilla.org und accounts.firefox.com werden ebenfalls in eigene Tab-Umgebungen geladen, aber als priviligierte und nicht als normale Webinhalt-Prozesse. Zur Deaktivierung des Verhaltens setzt man folgende Einstellungen:

Für das Surfen zu besonderen Websites (z. B. Bank für Online-Banking) oder Websites, die aufgrund der Absicherung nicht mehr zugänglich sind, kann neben Tab-Umgebungen oder dem Privaten Modus auch eine neue, isolierte Browser-Instanz mit einem eigenen Profil gestartet werden.

Dafür wird zuerst das Firefox Installationsverzeichnis bzw. -profil dupliziert. Für jede Installation wird ein eigenes Profil mit /pfad/firefox --ProfileManager --no-remote und /pfad2/firefox --ProfileManager --no-remote erstellt. In der profiles.ini Datei im Firefox Benutzerverzeichnis sieht das so aus:

~/.mozilla/firefox/profiles.ini

[Profile1]
Name=profilname2
IsRelative=1
Path=profilname2
 
[Profile0]
Name=profilname1
IsRelative=1
Path=profilname1
Default=1
 
[General]
StartWithLastProfile=0
Version=2

Für den Start beider Instanzen:

Zusätzlich wird jede installierte Firefox-Instanz neben den Anpassungen und der Firefox Security Sandbox mit Mandatory Access Control (MAC) Implementationen wie AppArmor, SELinux und/oder Sandbox Lösungen wie Firejail (Firejail Firefox Sandboxing Guide) reguliert, eingeschränkt und sowohl voneinander, als auch vom Rest der Benutzerumgebung (Dateien und Verzeichnisse, Anwendungen) isoliert.

Schreibberechtigungen für einzelne Verzeichnisse oder Dateien kann man auch über eine entsprechende Rechtevergabe oder sudo chattr +i einschränken.

Richtlinie: BlockAboutProfiles, DisableProfileImport, DisableProfileRefresh

Im Rahmen des Fission Projekt hat Mozilla als Weiterentwicklung der Firefox Security Sandbox die Fission Site Isolierung in Firefox implementiert, in die im Mozilla Hacks Beitrag Introducing Firefox’s new Site Isolation Security Architecture eingeführt wird. Siehe auch New CPU side-channel attack takes aim at Chrome’s Site Isolation feature v. 07.09.21 bzw. Spook.js.

Mit Fission werden die Webseiten jeder Website bzw. Domain, die nicht "same-site" ist, also der Hostname in einer URL nicht die gleiche eTLD+1 (effektive Top-Level Domain plus Subdomain davor) aufweist und dabei das gleiche Schema (http: oder https: Protokoll) verwendet, in einem eigenen Systemprozess geladen und ausgeführt. Das beinhaltet auch über Webframes eingebettete Webseiten anderer Websites bzw. Domains.

Für die Einstufung als „same-site“ oder nicht „same-site“ bzw. Ermittlung der eTLD+1 wird für Fission (und andere Isolierungs- oder Partitionierungsfunktion in Firefox auf Anwendungsebene) die Public Suffix List ausgewertet.

Mit einem eigenen Systemprozess ist auch ein eigener Speicherraum mit eigenen Speicheraddressen verbunden. Zwei voneinander verschiedene (nicht „same-site“) Websites bzw. Domains werden also auf „Arbeitsspeicherebene“ voneinander isoliert, damit sie nicht auf den jeweils fremden Speicherbreich der anderen Website lesen oder schreibend zugreifen können, wie es der Fall ist, wenn sie im selben Systemprozess laufen bzw. sich den Prozesspeicherraum teilen. Das soll Seitenkanalangriffe verhindern bzw. erschweren, wie sie z. B. mit Meltdown/Spectre breiter bekannt wurden und mögliche, bösartige Speicherzugriffe aufgrund von (noch unbekannten) Schwachstellen im Firefox-Code oder eingebetteten Tracker- bzw. Angreifer-Sites, die z. B. Passwort- und Anmeldedaten auslesen wollen, vorbeugen.

Über JavaScript in Webseiten oder installierte Plugins können Informationen zu allen installierten Schriftarten ausgelesen werden. Da fast jeder Anwender eine individuelle Zusammenstellung von installierten Schriftarten pflegt, können die Informationen die Anonymisierung des Browserprofils einschränken und zum Fingerprinting beitragen. Das Auslesen lokaler, betriebssystemspezifischer Schriften verrät u. U. die Fälschung des Browserprofils, wenn z. B. ein „Windows-Browser“ vorgetäuscht, aber Schriften einer bestimmten Linux-Distribution gefunden werden. Einschränken lässt sich das nur über eine seletive Rechtevergabe auf Schriftart-Verzeichnisse bzw. -Dateien und Änderung der Konfiguration von Fontconfig.

Die Angaben der bevorzugten Sprache(n) bestimmt den Inhalt der HTTP_ACCEPT_LANGUAGE (Accept-Language:) Kopfzeile, die vom Webbrowser zum Server übertragen wird. Wählt man Sprachen und Sprachkombinationen aus, die von einer großen Anzahl oder der Mehrheit aller Firefox-Benutzer ebenfalls verwendet wird, trägt die Auswahl zur Anonymisierung des Browserprofils bei.

Zur Anonymisierung bietet sich das Vortäuschen bzw. die Verwendung der „en-US“ Firefox-Version an. Da die Angaben auch zur Content Negotiation (Mozilla: Content Negotiation) für die Anzeige von Inhalten in einer bestimmten Sprache ausgewertet werden, kann das en-US Profil auch zur automatischen Ausgabe der englischsprachigen Version von Webseiten führen. Außerdem ist zu beachten, dass bei Erweiterungen mit deutscher Lokalisierung die Oberfläche danach u. U. ebenfalls englischsprachig wird. Die Oberfläche von Firefox selbst bleibt deutschsprachig, sofern die deutschsprachige „de“ Firefox-Version installiert wurde. Alternativ kann man auch direkt die aktuelle, englischsprachige Firefox Version aus dem en-US Unterverzeichnis herunterladen und installieren.

Richtlinie: RequestedLocales

Mit der Manipulation weiterer HTTP Kopfzeilen und anderer Datenn kann man die Anonymisierung des Browserprofils, der Browsernutzung und das Unterbinden von Tracking unterstützen.

In der HTTP_REFERER (Referer:) Kopfzeile speichert und überträgt der Browser die URL der Website oder Webseite als Quelladresse, über die Links zu weiteren Websites oder Webseites aufgerufen bzw. deren Inhalte in der Quell-Webseite abgerufen wurden. Der Webserver der nach der Quelladresse aufgrufenen Website oder Webseite liest die Kopfzeile aus und kann damit in Erfahrung bringen, welche fremde Website/Webseite oder welche eigenen Webseiten zuvor vom Anwender aufgesucht wurden und kann damit eine Historie der besuchten Ziele aufzeichnen. Gehören zu einem Betreiber verschiedenste Websites bzw. Domains, erhöht sich der Umfang der Historie nochmals.

Für die Behandlung der Referer Kopfzeile muss man Grundeinstellungen über die Kombination mehrerer Einstellungsnamen in der erweiterten Konfiguration vornehmen oder durch grafische Erweiterungen setzen lassen, die alle Einstellungen vollständig berücksichtigen:

Alle Einstellungen kann man kombiniert zum Beispiel so setzen:

Eine weitere Kopfzeile ist die HTTP_USER_AGENT (User-Agent) Kopfzeile, in der der Browser Informationen zum eingesetzten Betriebssystem, Gerät (z. B. Desktop, Smartphone), seine bzw. die Version der Gecko Engine, das Datum seiner Erstellung und ggf. Branding Kennungen des Firefox Anbieters übertragen kann. Die aktuelle Zusammensetzung des User Agents beschreibt Firefox User Agent String Referenz und Browser detection using the user agent.

Für die Auswahl der User-Agent Werte und weiterer Daten gibt es verschiedene Ansätze und Überlegungen.

Die JonDoBrowser und Tor Browser Profile gehen davon aus, dass möglichst viele Firefox Anwender weltweit JonDoFox bzw. Tor Browser nutzen, was optimal wäre, da so eine riesige Anonymitätsgruppe von Anwendern existieren würde, die alle die gleiche Browserkennung „aussenden“ und damit kein Anwender über seinen Browser wiederzuerkennen ist. Ist das global gesehen nicht der Fall, bewegt man sich mit den Profilen nur innerhalb der relativ kleinen Gruppe der JonDoBrowser und Tor Browser Anwender, innerhalb derer man nicht wiedererkennbar ist, dafür aber zum Rest der globalen Gruppe der anderen Firefox Anwender. Zum Teil werden in den Profilen auch Angaben nicht übertragen oder geändert, die von Firefox Versionen, die direkt von mozilla.org heruntergeladen und installiert werden, standarmäßig ausgesendet werden. Im Oktober 2013 zeigten interne Dokumente der beiden Geheimdienste NSA und GCHQ, die von den Zeitungen Guardian und Washington Post veröffentlicht wurden, dass die Geheimdienste genau an diesen spezifischen Browserprofilen ansetzen, um speziell Tor Anwender zu identifizieren und für weitere Überwachungsmaßnahmen zu selektieren.

Ein anderer Ansatz sieht in der permanenten Änderung der User-Agent Kopfzeile die Lösung. Dabei ist zu beachten, dass zum gesamten Browserprofil oder Browser-Fingerprint nicht nur der User Agent gehört, d. h. der übrige Kontext zum User Agent passen muss. Außerdem muss es sich um reale User-Agent Kopfzeilen handeln und nicht um konstruierte User Agent Angaben, weil gerade ein einmaliger User Agent zu einem eindeutigen Merkmal wird, das zur Wiedererkennung führt.

Ein dritter Ansatz geht davon aus, das Standard-Profil der Firefox-Versionen von mozilla.org als Tarn-Browserprofil zu verwenden, das vermutlich von einer großen Anzahl der Firefox Anwender weltweit benutzt wird. Da Windows (leider) das vorherrschende Betriebssystem ist, Englisch (abgesehen von Chinesisch und Spanisch) die vorherrschende Weltsprache ist, während die USA („en-US“ Firefox) eine größere Population stellen als Großbritannien („en-GB“ Firefox) und sich die größte Zahl der Internetnutzer neben China in den USA befinden, bietet sich das Browserprofil der US-Amerikaner als Tarnung an, die sich keine großen Gedanken zur Anonymisierung oder dem Einsatz von Anon-Diensten machen und als Betriebssystem eine relativ aktuelle Windows Version einsetzen, auf dem (aufgrund des Mozilla Updatedienstes und Update Hotfix-Rollouts) die jeweils aktuelle Firefox Release-Version läuft. Das mag zwar einige Linux-Anwender schmerzen, die mit ihrem User Agent der Welt, Statistikern und Marktanalysten die Verbreitung von Linux „mitteilen“ wollen, zweckmäßig ist eine derartige Haltung bzgl. Anonymisierung nicht.

Die dritte Methode ist aus meiner Sicht zu bevorzugen. Wenn alle Browser-Hersteller die gleichen Standards implementieren und einheitliche User-Agent Angaben verwenden würden, hätte sich das Problem der User-Agent Angaben erledigt, was aber utopisch sein dürfte.

User-Agent Angaben unter Windows

Laut Firefox Hardware Report vom 23.12.2018 verwenden ca. 42% aller Firefox-Anwender Windows 10 (ca. 40% Windows 7) mit ca. 83% in der 64-Bit Variante und die 64-Bit Version von Firefox mit ca. 73%. Linux und Mac OS setzen ca. 8% der Benutzer ein. Anfang 2019 setzt also wird die Mehrheit der Benutzer Windows 10 (Windows NT 10.0) ein und der weltweite „Marktanteil“ von Firefox beträgt vermutlich < 4%, weil die Mehrheit aller Internetnutzer Google Chrome einsetzt.

Für einen Firefox unter Windows 10 wären folgende Einstellungen und String-Werte in der erweiterten Konfiguration zu setzen:

Zur Abgrenzung vom Internet Explorer 11 lautet die Angabe für Firefox ESR 115 bis Version 119:

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0

Von WebExtensions, die User-Agent Angaben fälschen, muss man abraten, da sie oft Windows User-Agent Angaben fehlerhaft oder nicht umfassend genug setzen. Mit der Vorbedingung, dass JavaScript für Webseiten aktiviert ist und aktivierter privacy.resistFingerprinting Einstellung werden die obigen Angaben zum Windows User-Agent außer Kraft gesetzt: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0, was bei Verwendung eines Standard-Firefox statt eines Tor Browsers total idiotisch ist. Wer die Angaben zum User-Agent und Betriebssystem weiterhin fälschen will, muss mit aktivierter privacy.resistFingerprinting Einstellung den Datenverkehr über einen Proxy leiten, um Kopfzeilen zu manipulieren.

Wenn sich der Firefox Browser mit Mozilla Servern verbindet, geschieht das zwar TLS verschlüsselt, es werden jedoch ebenfalls eine Reihe von browser- und betriebssystemspezifischen Merkmalen übertragen, die zu einem eindeutigen Browserprofil beitragen. Zum Beispiel, wenn man nach Erweiterungen sucht oder sie aktualisiert, für den Browser, Erweiterungen und Plugins eine Aktualisierungsprüfung manuell oder automatisch durchführt wird, die Firefox Hilfeseite aufgerufen wird usw.

Wer wie oben zusätzlich für diese Verbindungen ein stimmiges Tarn-Browserprofil sicherstellen will, kann relevante Variablen in entsprechenden Einstellungsnamen anpassen, indem Variablen durch feststehende Werte passend zum Tarn-Browserprofil ausgetauscht werden. Den Austausch kann man in der erweiterten Konfiguration oder per Autokonfiguration vornehmen.

Wie der Browser über die HTTP Kopfzeilen und weitere Daten bei den Webservern vor und nach Manipulationen der Browserkennung in Erscheinung tritt, kann man auf verschiedenen Seiten analysieren lassen. Dabei sollte man die Aufrufe mit und ohne zugelassenem Javascript, direkt und anonymisiert über ein Anonnetz durchführen.

• Am I unique?
• BrowserLeaks
• BrowserSpy
• Device Info
• EFF Cover Your Tracks
• Fingerprint
• IP/DNS Detect

Speichere Dateien in [Standard-Verzeichnis]
[X] Immer fragen, wo Dateien gespeichert werden sollen

Für Dateitypen und Protokolle kann in Firefox mit verschiedenen Aktionen festgelegt werden, wie Firefox mit Dateien und Diensten umgeht:

• Datei speichern
• Jedes Mal nachfragen
• Plugin (in Firefox) verwenden
• Lokale Anwendung, Webanwendung oder Firefox-Funktion verwenden (z. B. Thunderbird oder Googlemail für mailto://, Feedreader oder Firefox Dynamische Lesezeichen für RSS-Feeds)

Es kann u. U. sinnvoll sein, einzelne Dateitypen zuerst lokal abzuspeichern, um sie später mit einer Anwendung zu öffnen, Dateitypen nur mit bestimmten Anwendungen öffnen zu lassen bzw. extern und nicht intern in Firefox per Plugin oder sich im Zweifelsfall lieber fragen zu lassen, anstatt Inhalte automatisch mit Anwendungen öffnen zu lassen, deren Dateityp automatisch mit einer installierten Anwendung verknüpft wurde.

Wie soll Firefox mit anderen Dateien verfahren?
[ ] Dateien speichern
[X] Fragen, ob Dateien geöffnet oder gespeichert werden sollen

Werden Inhalte manuell oder automatisch mit externen Anwendungen geöffnet, sind an diese Anwendungen die gleichen Sicherheits- und Absicherungsanforderungen zu richten wie an den Browser selbst.

Richtlinie: Handlers, DefaultDownloadDirectory, DownloadDirectory, PromptForDownloadLocation

Generell gilt wie für WebExtensions, die Anzahl installierter Plugins so klein wie möglich zu halten.

Java Plugins sollten nicht installiert und genutzt werden. Falls unbedingt benötigt, werden Plugins nur fallweise aktiviert und bleiben ansonsten deaktiviert. Alternativ wird ein weiteres Firefox-Profil eingerichtet, mit dem das Java Plugin verwendet wird.

Plugins zur Betrachtung von PDF-Dateien werden nicht installiert und wie der eingebaute PDF-Betrachter nicht genutzt. Stattdessen kann man PDF-Dokumente mit PDF-Betrachtungsprogrammen wie MuPDF öffnen lassen (wenn man sie nicht zuvor abspeichern lässt), die nur die Grundfunktionen zur Betrachtung von PDF-Dokumenten mitbringen. Zusätzlich sollte das Betrachtungsprogramm mit einem entsprechenden MAC/Sandbox Profil abgesichert werden.

Richtlinie: DisableBuiltinPDFViewer, PDFjs

In der erweiterten Konfiguration kann festgelegt werden, wie Plugins standardmäßig zu behandeln sind, die neu hinzugefügt wurden:

[ ] Inhalte mit DRM-Kopierschutz wiedergeben

Firefox implementiert Gecko Media Plugins (GMPs) von denen es zwei Typen gibt:

• OpenH264 Plugin von Cisco für Videochats/-konferenzen über WebRTC

Open oder propietäre Codec GMPs liefern z. B. Funktionen zum Kodieren und Dekodieren von Multimedia-Inhalten, zukünftig vermutlich auch zum Anzeigen verschiedener Datei- bzw. Dokument-Typen. Für GMPs gelten die gleichen Aussagen wie zu Plugins. Deshalb sind Codec GMPs auch nicht anders zu bewerten als z. B. das Flash Plugin und werden vermutlich Plugins diesen Typs ablösen. Die Bewertung des Anbieters (auch hinsichtlich seiner Kooperation mit Geheimdiensten und Sicherheitsbehörden) bleibt dem Benutzer überlassen. Negativ stößt jedenfalls bei Aktualisierungen von Firefox auf, dass das Cisco OpenH264 GMP automatisch, ohne Nachfrage und ohne TLS-Verschlüsselung heruntergeladen, installiert und aktualisiert wird. Das Ausnehmen der GMPs von der Click to Play Kontrolle durch den Benutzer ist ebenfalls negativ zu bewerten.

Download des OpenH264 GMP.

• ClearKey
• Adobe Access
• Google Wivedine

für Webvideos, Video- und TV-Streams

Die Encrypted Media Extensions (EME) sind eine W3C HTML5 Spezifikation für <video> und <audio> Elemente, die von Apple, Microsoft, Google und Unterhaltungsinhalte-Anbietern wie Netflix für das DRM-beschränkte Abspielen von Video- und Audiodaten entwickelt und beim W3C durchgedrückt wurde. Sie stellen allgemein gesprochen die Browser Javascript API für den Zugriff auf die Content Decryption Module (CDM) bzw. Plugins dar, die DRM-verschlüsselte Inhalte entschlüsseln und mit einem Multimedia-Dekoder dekodieren.

Vereinfachtes CDM Modell. Quelle:
Reconciling Mozilla’s Mission and W3C EME

Im Unterschied zu Open GMPs ist ein EME-CDM immer ein propietäres, closed-source GMP, das Mozilla selbst als „Black Box“ bezeichnet. Nach Download und Installation vom Anbieter-Server wird beim Aufruf von EME-DRM Inhalten das CDM wie bei Open GMPs über den Plugin Container in eine Sandbox-Umgebung geladen. Der Plugin Container wird dabei als „CDM Host“ bezeichnet.

Um den Zugriff auf Inhalte an ein Gerät bzw. Browser einschränkend zu binden, generiert der CDM Host für jeden Inhalte-Anbieter (z. B. YouTube, Apple usw.) zuerst eine eigene, eindeutige Geräte- bzw. Browser-ID. Die ID ist ein Hashwert, der aus Gerätedaten und eines zufällig ermittelten Origin-Secret als „Salt“ gebildet wird (wobei es an anderer Stelle auch heißt, der Saltwert wäre einfach der User Agent), um wg. Browser-Fingerprintings keine realen Daten zu verwenden. D. h., das EME-CDM GMP ist an einen speziellen CDM Host bzw. Browser gebunden. Wird der CDM Host manipuliert bzw. ausgetauscht, deaktiviert sich das EME-CDM.

Die ID bleibt für das EME-CDM bzw. einen Inhalte-Anbeiter solange gleich und damit wiedererkennbar, wie man nicht das Origin-Secret löscht und damit die ID zurücksetzt. Diese Möglichkeit soll angeboten werden und muss dann auch genutzt werden, um Benutzerprofile zu vermeiden.

Greift der Benutzer mit seinem Browser auf DRM Inhalte zu, transportiert Firefox über IPC Känale die verschlüsselte Datei oder den verschlüsselten Datenstrom über den CDM Host zum CDM. Das CDM ermittelt die enthaltene Schlüssel-ID und lässt den Entschlüsselungsschlüssel vom Browser über eine TLS-verschlüsselte Verbindung vom CDM Anbieter-Server herunterladen, entschlüsselt und dekodiert die Daten mit dem enthaltenen Dekoder und transportiert die Daten über den CDM Host und IPC Kanäle zu Firefox, der sie anzeigt oder abspielt, aber nicht mehr abspeichern kann.

Ob die GMP und CDM Host „Sandbox“ das CDM bzw. GMP tatsächlich zuverlässig von Browser, Betriebssystem, Dateisystem und Hardware isoliert und genauso zuverlässig dem Browser-Fingerprintig und der Wiedererkennung des Benutzers entgegenwirken kann, bleibt beim CDM angesichts des „Black Box“ Charakters des CDM, der (noch) nebulösen ID-Generierung, dem verschlüsselten Kanal zum Anbieter-Server und einer eventuellen Kooperationsbereitschaft mit Geheimdiensten und Sicherheitsbehörden dahingestellt bzw. zweifelhaft. Siehe z. B. Gecko Media Plugin sandbox escape, Buffer overflow in ClearKey Content Decryption Module (CDM) during video playback.

• Plugins werden als binäre Bibliotheken direkt vom Server des Anbieters – u. U. ohne TLS-Verschlüsselung – heruntergeladen und aktualisiert.
• Plugins werden im Add-ons Manager unter Plugins aufgeführt, können aber nur permanent aktiviert oder deaktiviert werden, also kein „Click to Play“.
• Die Updateprüfung und das Anstoßen des Downloads wird (mit TLS-Verschlüsselung) über Mozilla-Updateserver durchgeführt, die aber über die angefragte update.xml Datei nur SHA512 Prüfsumme liefern bzw. prüfen.
• Unterhalb des Firefox Profilverzeichnisses wird für jedes GMP ein profilname/gmp…/ Unterverzeichnis angelegt, das die Bibliotheks- und Metadaten-Datei des Plugins enthält. In der Metadaten-Datei stehen Pluginname, Zweckbeschreibung, Versionsangabe und Funktionen der Plugin-APIs.
• Plugins werden per Plugin Container in einem eigenen Kindprozess geladen und ausgeführt, der zusätzlich in einer Sandbox laufen kann, um das Plugin vom Browserprozess zu isolieren und Zugriffsprivilegien hinsichtlich Dateisystem, Speicher, Netzwerkschnittstelle usw. zu beschränken – auch zur Vermeidung von Fingerprinting-Daten. EME-CDMs sollen immer in einer Sandbox laufen.

Neben der Deaktivierung im Add-on Manager kann man GMPs und EME auch in der erweiterten Konfiguration dauerhaft deaktivieren:

Richtlinie: EncryptedMediaExtensions

• gmp-clearkey Unterverzeichnis im Firefox Programmverzeichnis leeren und mit Schreibschutz versehen

• gmp… Unterverzeichnisse im Firefox Profilverzeichnis leeren und mit Schreibschutz versehen. Für Ciscos OpenH264 GMP kann man auch Verbindungen zu ciscobinary.openh264.org per Paketfilter oder Proxy blockieren

Firefox erlauben
( ) Updates automatisch zu installieren (empfohlen)
( ) Nach Updates zu suchen, aber vor der Installation nachfragen

Bei Betriebssystemen, die Firefox aus eigenen Software-Quellen installieren und automatisch aktualisieren, erübrigt sich die automatische Aktualisierung von Firefox. Ebenso, wenn man Firefox selbst manuell installiert und aktualisiert.

Mit der DisableAppUpdate Richtlinie werden die beiden Optionen deaktiviert und durch die Anzeige ersetzt, dass Updates durch den Systemadministrator deaktiviert wurden. Ansonsten muss man zwischen den Optionen wählen. Dabei bietet sich die zweite Option an – allein schon deshalb, um ggf. vor einer Aktualisierung noch ein Backup der Profilverzeichnisse anlegen zu können. Über die Mozilla Mailingliste für Ankündigungen kann man sich zu neuen Firefox Versionen informieren lassen. Die Veröffentlichung neuer Firefox-Versionen zu ignorieren oder nicht einzuspielen, verbietet sich von selbst.

Sofern WebExtensions über die Add-ons Firefox Seite bezogen wurden, werden WebExtensions regelmäßig über verschlüsselte Verbindungen zu Mozilla auf vorliegende Aktualisierungen überprüft und aktualisiert. Bei WebExtensions von anderen Websites bzw. direkt vom Programmierer wird die Überprüfung und Aktualisierung ggf. über diese Websites und ohne verschlüsselte Verbindung durchgeführt.

[ ] Empfohlene Leistungseinstellungen verwenden
[ ] Hardware-Beschleunigung verwenden, wenn verfügbar

Wenn das Browser-Fingerprinting per Hardware-Fingerprinting erschwert werden soll, deaktiviert man die Optionen.

Richtlinie: HardwareAcceleration

[ ] Erweiterungen während des Surfens empfehlen
[ ] Funktionen während des Surfens empfehlen

Empfehlungen zu Funktionen und Erweiterungen gehen mit der Erhebung und Analyse von Telemetrie-Daten einher.

Richtlinie: UserMessaging

Über den Einstellungen Button werden die Einstellungen aufgerufen, die festlegen, wie Verbindungen zwischen Firefox und Servern aufgebaut werden und verlaufen. Damit sind die Verbindungs-Einstellungen der zentrale Punkt für die Anonymisierung der Firefox Nutzung.

Firefox Verbindungs-Einstellungen

In der folgenden Tabelle sind die IP-Adressen (immer 127.0.0.1) und Portnummern aufgeführt, die für die verschiedenen Protokolle einzutragen sind, wenn man die Verbindungen über Tor direkt oder indirekt mit Weiterleitung über einen Proxy wie z. B. Privoxy anonymisieren will.

In den erweiterten Einstellungen von Firefox werden folgende Einstellungen gesetzt:

Richtlinie: Proxy

Bei der Installation von WebExtensions sollte man darauf achten, dass sie keine Proxy Berechtigungen erfordern, sofern sie nicht selbst als Proxy-Manager fungieren, da WebExtensions mit Proxy-Berechtigungen Proxy Einstellungen ändern und eigene Proxy-Skripte inklusive PAC Skripte verwenden können.

DNS-Anfragen bzw. Anfragen an DNS-Server zur Auflösung von Domainnamen in IP-Adressen sollten immer verschlüsselt und möglichst anonymisiert erfolgen. Sofern ein lokaler Proxy mit Weiterleitung an Tor oder JonDo als SOCKS-Proxy (s. o.) zwischen Firefox und den Anondienst geschaltet oder ein Anondienst direkt als Proxy eingetragen wird, übernimmt der lokale Proxy die Firefox Anfragen zur Namensauflösung und leiten sie an den Anondienst weiter bzw. übernimmt der Anondienst die Anfragen zur Namensauflösung.

Zusätzlich, als Ersatz oder zur Gewährleistung, dass Namensauflösungen immer, also auch durch das Betriebsystem selbst, verschlüsselt und anonymisiert durchgeführt werden, sollte auch die Konfigurationen eines lokalen DNS-Resolvers bzw. der Funktionen des Betriebssystems zur Namensauflösung so ausgerichtet werden, dass Anfragen zur Namensauflösung verschlüsselt und/oder anonymisiert erfolgen und nicht direkt und unverschlüsselt durch die DNS-Resolver des Internetzugang-Providers. Für Anregungen siehe Linux: DNS mit Dnsmasq, DNSCrypt-Proxy2 & Tor.

Siehe auch DNS über HTTPS.

Startseite und neue Fenster [Leere Seite]
Neue Tabs [Leere Seite]

[ ] Internetsuche
[ ] Verknüpfungen
[ ] Gesponserte Verknüpfungen
[ ] Neueste Aktivität
[ ] Unterkategorien
[ ] Kurzinformationen

Richtlinie: FirefoxHome, Homepage, NewTabPage

[DuckDuckGo]

Sofern nur eine der bereits vorinstallierten Suchmaschinen genutzt wird, sollte man DuckDuckGo aus der Liste auswählen, da DuckDuckGo von allen installierten Suchmaschinen Datenschutz und Privatsphäre am meisten respektiert.

[ ] Suchvorschläge anzeigen

Richtlinie: SearchBar, SearchSuggestEnabled, UserMessaging:UrlbarInterventions

Plugins für Suchmaschinen und Suchdienste, die man u. a. mit der Firefox Suchleiste oder mit weiteren Such-Erweiterungen nutzen kann, können über die Firefox Add-ons Seite für Firefox Suchmaschinen-Plugins gefunden und installiert werden. Einige Websites veröffentlichen über ihre Webserver eigene Such-Erweiterungen, die sich über die Drop-down Liste des Suchmaschinen-Eingabefelds hinzufügen lassen. Viele Such-Plugins enthalten etliche Bilddateien, Bibliotheken, Javaskripte, die völlig überflüssig sind und eventuell schädliche Funktionen ausführen oder auf verschlüsselte Verbindungen verzichten.

Wer die vollständige Kontrolle über verwendete Such-Plugins und ihren Anweisungen behalten will, sollte:

• die mit Firefox ausgelieferten Such-Plugins unter Suchmaschinen-Schlüsselwörter deaktivieren (browser.search.hiddenOneOffs) und per Richlinie deinstallieren
• die automatische Aktualisierung der Suchmaschinen deaktivieren
• keine Suchmaschinen über die Firefox Add-ons Seite installieren
• keine Suchmaschinen über Websites installieren
• vor der Installation einer neuen Suchmschine in XML-Dateien die Anweisungen (z. B. wird TLS-Verschlüsselung genutzt oder nicht) kontrollieren

Mit der Add custom search engine Erweiterung kann man nach Eingabe eines Suchmaschinennamens und der Suchparameterüber neue Suchmaschinen hinzufügen. Man kann keine Namen vergeben, die bereits durch die hartkodierten Suchmaschinen (Bing, Amazon usw.) belegt sind.

Mit true für den anzulegenden Einstellungsnamen browser.urlbar.update2.engineAliasRefresh in der Erweiterten Konfiguration kann man über den Hinzufügen Button unter Suchmaschinen-Schlüsselwörter ebenfalls Suchmaschinen hinzufügen, indem der Name und die URL mit %s als Platzhalter für die Suchbegriffstelle in Formularfelder eingetragen werden.

Richtlinie: Extensions (Uninstall), ExtensionSetting (installation_mode), SearchEngines

Seite 2