Viele Einstellungen vom Firefox lassen sich nicht über die Einstellungen ändern. Hierzu gibt es die URL: about:config. Dort kann die Konfiguration direkt angepasst werden.
Einfach den Schlüssel in das Suchen-Feld kopieren und per Doppelklick die Logik umkehren.
Benachrichtigungen vollständig deaktivieren
Firefox bietet mehrere Dienste, die die "User Experience" verbessern sollen und dafür irgendwelche Daten auf irgendwelche Cloud Server hoch laden:
> Deaktivieren: dom.webnotifications.enabled = false
> Deaktivieren: dom.push.enabled = false
Überflüssige Cloud-Dienste in Firefox deaktivieren
Firefox bietet mehrere Dienste, die die "User Experience" verbessern sollen und dafür irgendwelche Daten auf irgendwelche Cloud Server hoch laden:
- Pocket-API ist eine Erweiterung, mit der Webseiten komplett in einem sogenannten Pocket gespeichert und später lesen werden kännen.
> Deaktivieren: extensions.pocket.enabled = false
- Screenshots ist eine Erweiterung, mit der Bildschirmfotos erstellen werden können, die automatisch auf den Cloud-Server "screenshots.mozilla.com" hochgeladen werden und von dort mit einem Klick auf Social Media Webseiten verbreitet werden könnten.
> Deaktivieren: extensions.screenshots.disabled = true
Keine Daten beim Ausfüllen von Formularen speichern
Firefox bietet die Möglichkeit, Daten aus Formularen zu speichern und später ähnliche Formulare automatisch auszufüllen. Seit Version 55 können Adressdaten erkannt und gespeichert werden, Firefox 58+ kann Kreditkartennummern erkennen und speichern.
Firefox bietet einige Schutzfunktionen gegen Phishing Angriffe auf automatisch ausgefüllte Formulardaten. Trotzdem ist es nicht auszuschließen, dass raffinierte Angreifer Wege finden werden, um unsichtbare Formulare automatisch ausfüllen zu lassen und die Daten auslesen.
> Deaktivieren: browser.formfill.enable = false
Zusätzlich können folgende Features deaktivieren werden:
> Deaktivieren:
extensions.formautofill.addresses.enabled = false
extensions.formautofill.creditCards.enabled = false
extensions.formautofill.heuristics.enabled = false
Anmerlung: Der Login Manager welcher die Credentials für Webseiten speichert ist dadurch nicht betroffen.
Geolocation API abschalten
Mit Hilfe der Geolocation API kann die geografische Position des Surfer relativ genau bestimmt werden. Zur Ortsbestimmung können je nach vorhandener Hardware im Rechner die WLANs in der Umgebung genutzt werden oder GPS-Hardware... Im ungünstigsten Fall kann der Standort nur anhand der IP-Adresse bestimmt werden. Die Nutzung der API erfolgt mit Javascript.
Aktuelle Firefox Versionen fragen nach, bevor der Zugriff auf die Geolocation API erlaubt wird.
> Deaktivieren:
geo.enabled = false
geo.wifi.uri = false
browser.search.geoip.timeout = 1
WebGL deaktivieren
WebGL stellt eine Javascript-API für das Rendering von 3D-Objekten bereit. Es kann für das Fingerprinting der Performance der Grafikhardware und OpenGL Implementierung genutzt werden, wie die Studie Perfect Pixel: Fingerprinting Canvas in HTML5 zeigt. Das Fingerprinting via WebGL kann mit folgenden Einstellungen verhindert werden:
> Deaktivieren:
webgl.disable-extensions = true
webgl.min_capability_mode= true
webgl.disable-fail-if-major-performance-caveat = true
webgl.enable-debug-renderer-info = false
WebGL komplett deaktivieren:
> Deaktivieren:
webgl.disabled = true
webgl.enable-webgl2 = false
WebRTC deaktivieren
WebRTC ist eine Technologie, die direkte Telefonie ud Videochats zwischen Surfern im Browser ermöglichen soll. Derzeit gibt es wenig sinnvolle Anwendungen für diese Technologie und ich würde ein spezialisiertes Programm wie Jitsi bevorzugen. Wer es einmal ausprobieren möchte, kann sich Palava.tv oder browser meeting anschauen.
Mit WebRTC kann die lokale IP Adresse des Rechners im LAN und die öffentliche IP Adresse ermittelt werden, wie eine Demonstration von D. Roesler zeigt. Auch VPN-Verbindungen können damit ausgetrickst werden. Außerdem kann das Vorhandensein von Kamera und Mikrofon als Feature im Browser Fingerprint genutzt werden.
Bei Firefox kann man WebRTC unter "about:config" deaktivieren: media.peerconnection.enabled = false
Timing APIs deaktivieren
Die hochgenauen Timing APIs können von Webanwendungen zur Analyse des Ladens von Resourcen oder des Nutzerverhaltens missbraucht werden (Timing Attacks on Web Privacy, PDF). Wenn man seinen Browser zum Lesen von Webseiten und nicht vorrangig für Games verwendet, sollte man die APIs deaktivieren: dom.enable_resource_timing = false
dom.enable_user_timing = false
dom.enable_performance = false Außerdem kann man minimalen Werte für Timer erhöhen, um eine hochgenaue Zeitmessung für Seitenkanalagriffe wie z.B. den im Mai 2018 publizierten Angriff Side-channel attacking browsers through CSS3 features zu verhindern. dom.min_timeout_value = 400 Firefox 58 hat die PerformanceNavigationTiming API implementiert, mit der man zum Beispiel die Zeiten zum Laden von von Dokumenten messen kann oder abfragen könnte, ob die Seite aus der History geladen wurde. Das Feature kann man unter "about:config" deaktivieren: dom.enable_performance_navigation_timing = false
Clipboard Events deaktivieren
Mit den Clipboard Events informiert Firefox eine Webseite, dass der Surfer einen Ausschnitt in die Zwischenablage kopiert hat oder den Inhalt der Zwischenablage in ein Formularfeld eingefügt hat. Es werden die Events oncopy, oncut and onpaste ausgelöst, auf die die Webseite reagieren könnte. Man kann diese Events unter "about:config" deaktivieren: dom.event.clipboardevents.enabled = false Außer bei Google Docs und ähnliche Javascript-lastigen GUIs zur Dokumentenbearbeitung in der Cloud ist mir keine sinnvolle Anwendung dieses Features bekannt.
Spekulatives Laden von Webseiten
Firefox beginnt in einigen Situationen bereits mit dem Laden von Webseiten, wenn sich der Mauszeiger über einem Link befindet, also bevor man wirklich klickt. Damit soll das Laden von Webseiten einige Millisekunden beschleunigt werden. Wenn man Verbindungen mit unerwünschten Webservern vermeiden möchte, kann man das Feature unter "about:config" abschalten: network.http.speculative-parallel-limit = 0
WebIDE deaktivieren
TorProject.org empfiehlt für Firefox 38.0 aus Sicherheitsgründen, die WebIDE unter "about:config" zu deaktivieren: devtools.webide.enabled = false
devtools.webide.autoinstallADBHelper = false
devtools.webide.autoinstallFxdtAdapters = false
Kill Switch für Add-ons abschalten
Die Extension blocklist kann Mozilla nutzen, um einzelne Add-ons im Browser zu deaktivieren. Es ist praktisch ein kill switch für Firefox Add-ons und Plug-ins. Beim Aktualisieren der Blockliste werden detaillierte Informationen zum realen Browser und Betriebssystem an Mozilla übertragen. https://addons.mozilla.org/blocklist/3/%7Bec8030f7-c20a
-464f-9b0e-13a3a9e97384%7D/10.0.5/Firefox/20120608001639
/Linux_x86-gcc3/en-US/default/Linux%202.6.37.6-smp%20
(GTK%202.24.4)/default/default/20/20/3/ Ich mag es nicht, wenn jemand remote irgendetwas auf meinem Rechner deaktiviert oder deaktivieren könnte. Unter "about:config" kann man dieses Feature abschalten: extensions.blocklist.enabled = false
Update der Metadaten für Add-ons deaktivieren
Seit Firefox 4.0 kontaktiert der Browser täglich den AMO-Server von Mozilla und sendet eine genaue Liste der installierten Add-ons und die Zeit, die Firefox zum Start braucht. Als Antwort sendet der Server Statusupdates für die installierten Add-ons. Diese Funktion ist unabhägig vom Update Check für Add-ons, es ist nur eine zusätzliche Datensammlung von Mozilla. Unter "about:config" kann man diese Funktion abschalten: extensions.getAddons.cache.enabled = false
HTML5 Beacons deaktivieren
Mit Beacons kann ein Browser beim Verlassen/Schließen einer Webseite Daten zur Analyse an den Webserver senden, die via Javascript gesammelte wurden. Eine sinnvolle Anwendung außerhalb von "Analyse des Surfverhaltens" (aka Tracking) fällt mir dafür nicht ein. Unter "about:config" kann man dieses Feature abschalten: beacon.enabled = false
Safebrowsing deaktivieren
Ab Firefox 34 reicht es nicht mehr, die Nutzung von Googles Safebrowsing Datenbank im Einstellungsdialog zu deaktivieren. Zusätzlich muss man den Download der Datenbank unter "about:config" abschalten, wenn man keine Verbindungen zu Google herstellen will.
browser.safebrowsing.phishing.enabled | false |
browser.safebrowsing.malware.enabled | false |
browser.safebrowsing.blockedURIs.enabled | false |
browser.safebrowsing.downloads.enabled | false |
browser.safebrowsing.downloads.remote.enabled | false |
browser.safebrowsing.downloads.remote.url | (leerer String) |
Gegen Phishing Angriffe schützen keine technische Maßnahmen vollständig sondern in erster Linie das eigene Verhalten. Und gegen Malware schützen regelmäßige Updates des Systems besser als Virenscanner und URL-Listen.
Healthreport und Telemetriedaten für Mozilla
Alle Übertragungen von Telemetriedaten, Healthreport usw. an Mozilla unterbindet man seit Firefox 41 mit folgendem globalen Kill-Switch: datareporting.policy.dataSubmissionEnabled = false Daneben gibt es Parameter für einzelne Reports, die man zusätzlich deaktivieren kann, was aber eigentlich mit dem globalen Kill-Switch erledigt ist.
datareporting.healthreport.service.enabled | = false |
datareporting.healthreport.uploadEnabled | = false |
Zur Deaktivierung des Telemetrie Toolkit setzt man folgenden Werte unter "about:config": toolkit.telemetry.unified = false
toolkit.telemetry.server = "" (leerer String) Einzelne Aktionen der Telemetrie können mit folgenden Optionen deaktiviert werden:
toolkit.telemetry.archive.enabled | = false |
toolkit.telemetry.firstShutdownPing.enabled | = false |
toolkit.telemetry.bhrPing.enabled | = false |
toolkit.telemetry.newProfilePing.enabled | = false |
toolkit.telemetry.shutdownPingSender.enabled | = false |
toolkit.telemetry.updatePing.enabled | = false |
Heartbeat User Rating deaktivieren
Mit Firefox 37.0 hat Mozilla das heartbeat user rating system eingeführt. Der User soll Firefox bewerten und wird gelegentlich zur Teilnahme an der Community eingeladen. Mozilla hat selbst erkannt, dass dieses Feature nerven könnte:
We understand that any interruption of your time on the internet can be annoying.
Unter "about:config" kann man das Feature deaktivieren, indem man die folgende URL auf einen leeren String setzt: browser.selfsupport.url = ""
Wi-Fi Hotspot Portal Erkennung deaktivieren
Firefox 52 erkennt die Portalseiten von Wi-Fi Hotspots und öffnet sie in einem neuen Tab (Release Notes). Für die Wi-Fi Hotspot Portal Erkennung ruft Firefox beim Start und bei einigen weiteren Ereignissen die URL "http://detectportal.firefox.com/success.txt" mit einem XMLHttpRequest ab. Wenn dabei ein Redirect gefunden wird statt der erwarteten Antwort, öffnet Firefox den Hinweis zum notwendigen Login auf einer Portal Seite.
- Wenn man einen Computer immer im eigenen LAN oder in der Firma nutzt, ist die Wi-Fi Portal Erkennung überflüssig. Unter "about:config" kann man sie deaktiviert: network.captive-portal-service.enabled = false (Wenn man gelegentlich (selten) einen Wi-Fi Hotspot nutzt, kann man die Variable kurzzeitig per Hand auf true setzen, damit die Hotspot Erkennung kurz funktioniert.)
- Wenn man häufig mit dem Laptop unterwegs ist, kann die Wi-Fi Portal Erkennung ganz nützlich sein. In diesem Fall könnte man die Adresse für den XMLHttpRequest anpassen und einen eigenen Server für den Test verwenden, um nicht ständig den Mozilla Server zu kontaktieren.
Am einfachsten lädt man die Datei success.txt herunter und speichert sie auf dem eigenen Webserver. Dann passt man unter "about:config" noch die URL an:network.captive-portal-service.enabled = true captivedetect.canonicalURL = http://www......../success.txt
Microsoft Family Safety deaktivieren
Microsoft Family Safety ist ein lokaler man-in-the-middle Proxy in Windows 10, der die Zugriffsrechte auf Webseiten steuern kann und damit per Definition ein Zensurtool ist. Ab Firefox 52 ist die Verwendung von Microsoft Family Safety standardmäßig aktiviert. Mit folgender Option kann man unter "about:config" die Nutzung abschalten: security.family_safety.mode = 0
Browser Slow Startup Notifications
Bei jedem Start prüft Firefox die Zeit, die der Browser zum Starten benötigt. Falls Firefox der Meinung ist, dass er zu langsam startet, wird die Deinstallation von Add-ons empfohlen.
Da man sich überlegt, welche Add-ons man braucht und gern verwenden möchte und überflüssige Add-ons natürlich nicht installieren würde, ist dieses Feature überflüssig. Man kann es unter "about:config" deaktivieren:
browser.slowStartup.notificationDisabled | = true |
browser.slowStartup.maxSamples | = 0 |
browser.slowStartup.samples | = 0 |
Einige Einstellungen vom Firefox lassen sich nicht über die Einstellungen ändern. Hierzu gibt es die URL: about:config. Dort kann die Konfiguration direkt angepasst werden.
Einfach den Schlüssel in das Suchen-Feld kopieren und per Doppelklick die Logik umkehren.
Beenden und Tabs schließen
Sie sind dabei, x Tabs zu schlließen. Soll dieser Vorgang wirklich fortgesetzt werden?
Warnen, wenn mehrer Tabs geschlossen werden.
In das Suchen-Feld browser.tabs.warnOnClose einfügen
Doppelklick auf browser.tabs.warnOnClose und browser.tabs.warnOnCloseOtherTabs.und den Wert auf false setzen.
Danach gibt es keine Rückfrage mehr ob ein oder mehrere Tabs geschlossen werden sollen
Geolokalisierung
Viele Seiten wollten den Standort des Benutzers wie z.B. Wetterdienste lokalisieren. Leiter kommt dann immer ein Hinweisfenster.
In das Suchen-Feld geo.enabled einfügen.
Doppelklick auf geo.enabled und den Wert auf false setzen.
Benachrichtigungen vollständig deaktivieren
Warnung vor unsicheren Passwortfeldern deaktivieren
Suche in Adresszeile deaktivieren
Sobald in der Adresszeile eine falsche URL eingegeben wurde wird der Eintrag sofort an die Google-Suche übergeben. Wenn ein separates Suchenfeld verwendet wird kann dies abgeschaltet werden
Doppelklick auf keyword.enabled und der Wert wird auf false gesetzt