News Mozilla: Firefox 52 schließt NPAPI-Plug-ins außer Flash aus

fethomm

Commander
Registriert
Okt. 2012
Beiträge
2.597
Mozilla macht mit Firefox 52 ernst und streicht die Unterstützung für alle NPAPI-Plugins außer Adobe Flash. Davon betroffen sind beispielsweise Silverlight, Java, Google Hangouts sowie Adobe Acrobat. Die Sicherheit der Nutzer erhöht Firefox 52 unter anderem durch die Einführung der Strict-Secure-Cookies-Spezifikation.

Zur News: Mozilla: Firefox 52 schließt NPAPI-Plug-ins außer Flash aus
 
font fingerprinting?

wie kann man denn einen computer anhand der installierten schriften eindeutig identifizieren`?

windows 10, allerwelts system, standard installation, also die schriften drauf wie bei millionen anderen?
 
Wahnsinn, das erstemal, dass ich mich freue, dass die ESR-Version technisch hintendran ist.
Bleibt für meine Bank ein Jahr, oder ich muss Onlinebanking mit IE (nicht Edge!) oder Chrome machen -.-*

Zu den Kernfunktionen: Mal sehen, ob die Nutzer endlich mal ein paar Seitenbetreiber derart nerven können, dass die unsicheren LogIns verschwinden.

Edit:
@NutzenderNutzer: Für ein Projekt hatte ich mir mal bewusst eine weitere Schriftart installiert, dazu besingen einige Programme ihre eigenen Fonts mit.
Alles in allem dürften dadurch viele eindeutig identifiziert werden können.
 
NutzenderNutzer schrieb:
font fingerprinting?

wie kann man denn einen computer anhand der installierten schriften eindeutig identifizieren`?
Siehe henning-tillmann.de: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen
Folgende Tabelle stellt eine Auswahl an potentiell aussagekräftigen Kopfdaten dar: schrieb:
BezeichnungZugehörige Schicht
Quell-IP-AdresseIP
QuellportTCP
Aufrufende Seite („Referer“ [sic!])HTTP
Bezeichnung des Browsers („User-Agent“)HTTP
Akzeptierende DateitypenHTTP
Akzeptierende ZeichensätzeHTTP
Akzeptierende KompressionsformateHTTP
Akzeptierende SprachenHTTP
Durch das Browser Fingerprinting ist es auch mit einem Adblocker nicht (mehr zu 100%) möglich anonym im Internet unterwegs zu sein. Dies wird in der verlinkten Arbeit erklärt.

Wer es mal testen möchte:
https://panopticlick.eff.org/ - Is your browser safe against tracking? > Show full results for fingerprinting
 
Zuletzt bearbeitet: (Ergänzung)
Die jetzt von Tor übernommene Methode will das unterbinden, indem nur vom Anwender eingetragene verwendete Fonts, die in einer Whitelist stehen, angezeigt werden und nicht alle, größtenteils vom Betriebssystem installierten Fonts.

Hab mich schon vor Ewigkeiten gefragt, warum man eine feste Liste mit Fonts nicht als Lösungsansatz hernimmt, um Fingerprinting zu erschweren (wusste aber nicht, dass es Tor bereits integriert hatte).
 
freacore schrieb:
Wo finde ich die Schriftartenliste?

Hab auf die schnelle keine Menüeinstellung gefunden. Ich denke, du musst über about:config in der Adresszeile in die Konfiguration gehen und dort dann den Key font.system.whitelist anlegen.
 
Panopticlick zeigt mir eine Liste mit Schriftarten an. Müsste die ab Firefox 52 nicht leer sein, solange ich keine in eine Whitelist eintrage?
 
Um die whitelist anzulegen:

Konfiguration (about:config) öffnen. Einen neuen Eintrag mit Typ String und Name 'font.system.whitelist' anlegen, dessen Werte eine Komma-separierte Liste von Schriftarten ist:

Arial, Batang, 바탕, Cambria Math, Courier New, Euphemia, Gautami, Georgia, Gulim, 굴림, GulimChe, 굴림체, Iskoola Pota, Kalinga, Kartika, Latha, Lucida Console, MS Gothic, MS ゴシック, MS Mincho, MS 明朝, MS PGothic, MS Pゴシック, MS PMincho, MS P明朝, MV Boli, Malgun Gothic, Mangal, Meiryo, Meiryo UI, Microsoft Himalaya, Microsoft JhengHei, Microsoft JengHei UI, Microsoft YaHei, 微软雅黑, Microsoft YaHei UI, MingLiU, 細明體, Noto Sans Buginese, Noto Sans Khmer, Noto Sans Lao, Noto Sans Myanmar, Noto Sans Yi, Nyala, PMingLiU, 新細明體, Plantagenet Cherokee, Raavi, Segoe UI, Shruti, SimSun, 宋体, Sylfaen, Tahoma, Times New Roman, Tunga, Verdana, Vrinda, Yu Gothic UI

Die Font-Whitelist muss angelegt werden, da es unter Umständen dazu kommen kann, dass Webseiten nicht mehr wie vorgesehen dargestellt werden, wenn die verwendeten Schriftarten nicht auf der vom Anwender angelegten Whiteliste stehen. Damit wären die normalen Anwender/Anwenderinnen überfordert.
 
Zuletzt bearbeitet: (Ergänzung)
Muss jeder Benutzer diese Liste selbst anlegen? Wäre es nicht besser, wenn sie automatisch erstellt würde?
 
freacore schrieb:
Muss jeder Benutzer diese Liste selbst anlegen?
Ja
freacore schrieb:
Wäre es nicht besser, wenn sie automatisch erstellt würde?
Wenn die Schriftarten (Fonts) ersetzt werden, kann es zu Darstellungsfehlern kommen. Falls anstelle des eigentlichen Zeichens nur  ausgegeben wird oder das Schriftbild nicht stimmt, wüsste ein normaler Anwender dann nicht woran es liegt und würde annehmen, dass es am Browser liegt. Deshalb muss die Liste explizit angegeben werden.
 
Zuletzt bearbeitet: (Ergänzung)
Hm, hat das Update noch bei jemandem Multiprocess deaktiviert? browser.tabs.remote.autostart=true und extensions.e10sBlockedByAddons=false scheinen nicht zu reichen...
 
Also wenn ich https://panopticlick.eff.org/ teste dauert es eine weile und die Balken drehen sich einen Wolf und dann block wenig später uBlock Origin die Seite komplett durch die eigene "Webseite"
 
Mein Firefox 51.0.1 64-bit will sich nicht auf die Version 52 aktualisieren. Das Update lädt er zwar über Hilfe runter und schließt den Fuchs dann auch, aber dann wars des. Firefox geht nicht neu auf, auch nicht nach 5min, sodass ich den Task killen muss, wo ich dann immernoch auf Version 51 bleibe.

EDIT: Installer funzt. Firefox auf Version 52 aktualisiert.
 
Zuletzt bearbeitet:
cbtestarossa schrieb:
bei mir findet er noch immer fonts obwohl ich gar keine zulasse.
Als Fallback wird vermutlich auf die System-Fonts zurückgegangen.
w3schools.com: CSS Web Safe Font Combinations
The font-family property should hold several font names as a "fallback" system, to ensure maximum compatibility between browsers/operating systems. If the browser does not support the first font, it tries the next font.
cbtestarossa schrieb:
wo befindet sich diese font whitelist überhaupt?
Siehe Beitrag #10
Siehe auch support.mozilla.org: Konfigurationseditor für Firefox

ComputerBase sind merkwürdig aus, wenn ich eine leere Liste angebe:
user_pref("font.system.whitelist", """");
 
Zuletzt bearbeitet: (Ergänzung)
Hauro schrieb:
Falls anstelle des eigentlichen Zeichens nur  ausgegeben wird oder das Schriftbild nicht stimmt, wüsste ein normaler Anwender dann nicht woran es liegt und würde annehmen, dass es am Browser liegt. Deshalb muss die Liste explizit angegeben werden.

Das Problem wäre ja mit deiner oder einer ähnlichen Liste behoben. Was wäre an dieser Liste, voreingestellt für alle, falsch? Wenn jeder eine andere Whitelist hat, nützt das doch gar nichts gegen Fingerprinting.
 
Zurück
Oben