Da ich grad dabei bin meinen Rechner neu einzurichten, habe ich nochmal die beiden Artikelserien Not my data! und Firefox-Kompendium durchgelesen. Leider widersprechen die sich meiner Wahrnehmung nach in einigen Punkten, weswegen ich mal auf eure Einschätzung gespannt bin.

In Not my data ist das Ziel, für die Hauptnutzung den Tor-Browser zu verwenden und dabei die Standardeinstellungen und Add-Ons möglichst nicht zu verändern.

Im Firefox-Kompendium wird dagegen ausführlich erklärt, wie man den eigenen (Firefox-)Browser mit diversen Add-Ons und Einstellungen sicherer und datenschutzfreundlicher gestalten kann. Das widerspricht direkt der anderen Artikelserie (-> Fingerprinting?).

Man könnte natürlich Konfiguration aus dem Kompendium für den zweiten Browser aus dem Not-my-data-Konzept verwenden (in Not my data wurde ursprünglich noch der JonDoFox empfohlen). Da man diesen aber sowieso nur verwenden soll, wenn man sich irgendwo einloggt, bleibt die Frage, was man mit dem hauptsächlich zu nutzenden Tor-Browser macht.

Welche Variante würdet ihr da empfehlen? Lieber einen auf Datenschutz modifizierten Firefox oder einen unveränderten Tor-Browser? Gibt es vielleicht eine Kompromisslösung?

  • Mars@feddit.de
    link
    fedilink
    arrow-up
    1
    ·
    2 years ago

    Die Guides sind von 2015 bzw. 2017.

    Das Beste, was ein Browser heute tun kann mit Ausnahme vom Tor Browser tun kann, ist native Skripte zu täuschen. Dazu braucht es heutzutage nicht mehr viel mit dem Firefox um seinen fingerabdruck merklich zu verkleinern. Keine user.js und keine Addons (außer uBO ) und CB falls man kein RFP verwendet. Mit der Verwendung von uBO (medium mode) und ETP (Enhanched tracking protection) alleine wird man gar nicht bis sehr selten von den allgemein verbreiteten fortgeschrittenen FPs erwischt.

    Das Konzept dahinter ist

    Total Cookie Protection (TCP) = state partitioning = dynamic first-party isolation (dFPI) = Enhanced Tracking Protection (ETP)

    Die Wahrscheinlichkeit, dass man bei diesm konzept von einem fortschrittlichen Skript erwischt wird dass auf vielen Websites verwendet wird, um den Traffic zu verlinken, ist gering bis nicht vorhanden. Die meisten FPs Scripte sind ziemlich dumm.

    Abgesehen davon gibt es verschiedene Stufen von Fingerprinting (legitime Einzelfälle, die keine Bedrohung darstellen, naiv bis hin zu verschiedenen fortgeschrittenen Stufen), aber letztendlich ist das Ziel immer, genügend Metriken in einer bestimmten Gruppe von Nutzern nutzlos zu machen (wie Tor Browser) sowie das IP-Problem zu lösen, und selbst fortgeschrittene Skripte zu besiegen.

    Die Empfehlung RFP pauschal nicht zu verwenden ist daher falsch. Es wird bei ghacks aka arkenfox, LibreWolf und auch anderen Guides ausdrücklich empfohlen. Hinter RFP stecken über 100 Hardcodet Lösungen, die den meisten fortschrittlichen FPs Scripts die Schärfe nehmen und gesammelte Metriken nutzlos machen. Außerhalb RFP sind viele dieser Einstellung überhaupt nicht verfügbar.

    Selbst wenn der Fingerabdruck dadruch das RFP deaktiviert wird, und man zu einer großen Gruppe von Nutzern gehört, weil man den richtigen User Agenten unter Linux verwendet (es ist nur 1 Metrik) würde die IP oder das IP-Verhalten das wieder völlig zunichte machen.

    • sagrantino@feddit.de
      link
      fedilink
      arrow-up
      1
      ·
      2 years ago

      @Mars@feddit.de Man kann das so machen, wie Du das vorschlägst in Kombination mit Ublock, und ja, das Firefox-Kompendium ist nicht mehr ganz aktuell. Aber wie aus berufenem Munde verlautet (privacy-handbuch), ist Cookie-Protection nicht gleich spurenarm surfen. Die Big-Data Unternehmen können z.B. die Cookie-Protection unterlaufen mittels seitenübergreifender ID. Für sicherheitssbewusste Benutzer wird daher eine Kombination aus strengem Firefox-Schutz und erweitertem tracking-Schutz wie er im privacy-handbuch beschrieben ist, sinnvoll sein: https://privacy-handbuch.de/handbuch_21browser-schnell.htm. Erweitert noch um Multi-Account/Temporary Container Add-ons. Eine user.js ist in diesem Zusammenhang auch weiterhin sinnvoll.