Um die Werte nicht per Hand anpassen zu müssen, wurden drei Konfigurationen für Firefox vorbereitet, die man herunter laden und im Firefox-Profil speichern kann. Man kann nicht alle Wünsche mit einer Konfiguration abdecken, deshalb gibt es mehrere Vorschläge.
Die Vorschläge sind Teil eines Gesamtkonzeptes. Es wird davon ausgegangen, das
uBlock Origin und
CanvasBlocker mit den empfohlenen Konfigurationen installiert wurden. Daraus ergeben sich Unterschiede zu einigen anderen Projekten. Folgende Konfigurationen gibt es zum Download:
Die gewählten "user.js" Datei ist im Firefox-Profil zu speichern und wird beim Start von Firefox eingelesen. Die Werte überschreiben die Einstellungen in "prefs.js". Damit ist sichergestellt, dass man beim Start die gewünschten Einstellungen hat. Das Firefox-Profil ist ein Unterverzeichnis mit seltsamen Buchstaben, das man in folgenden Verzeichnissen findet (Wo finde ich mein Profil?):
- Windows: "%APPDATA%\Mozilla\Firefox\Profiles\..."
- MacOS: "/User/{USERNAME}/Library/Application Support/Firefox/Profiles/..."
- Linux: "$HOME/.mozilla/firefox/..."
Im Git Repository notabug.org steht ein
Update Script für die user.js Dateien für Linux und MacOS zum Download zur Verfügung. Das Script kan per Hand gestartet werden oder sich als Cron Job regelmäßig im Hintergrund um Updates kümmern.
Kurze Beschreibungen der unterschiedlichen Varianten (Firefox 85+):
- Basis Einstellungen: Die minimale user.js ist für Nutzer geeignet, die ohne Beschränkungen von Features surfen wollen aber ein bisschen Wert auf Privatsphäre legen. Diese Konfiguration ist als Basis für eigene Anpassungen gedacht und setzt folgende Einstellungen um:
- Deaktivierung von Spielereien, die Mozilla eingebaut hat (Activity Stream, Pocket, Telemetrie, Datareporting, Ping-Centre, Captive Portal Check, die bunte NewTab Seite und Startseite, Location Tracking...)
- Löschen von Cache, Cookies usw. beim Beenden des Browsers sowie Aktivierung der Surfcontainer Total Cookie Protection und userContext als minimaler Trackingschutz.
- Es wird kein Referrer an Drittseiten und beim Wechsel der Domain gesendet.
- Es werden einige allgm. Sicherheitsfeatures aktiviert (AutoFill für Formulare deaktiviert, Anzeige von unsicheren Verbindungen als Text+Icon, auf SSL-verschlüsselten Webseiten werden nur Inhalte dargestellt, die via HTTPS verschlüsselt geladen wurde).
- Die WebGL Debug Renderer Info wird deaktiviert, um das Auslesen des Types der Grafikkarte zu verhindern.
- Moderate Einstellungen: In der moderate user.js werden zusätzlich einige HTML5 Feature deaktiviert, die häufig zum Tracking genutzt werden. Die Funktion normaler Webseiten wird damit in der Regel nur wenig beeinflusst, auf einigen featurereichen, interaktiven Webseiten kann es allerdings zu Problemen kommen.
- Deaktivierung von Javascript APIs, die für das Fingerprinting verwendet werden aber nur selten beim Surfen (Sensors, Gamepad, Media Navigator, WebRTC, Timing APIs...)
Da installierte Schriftarten häufig für das Fingerprinting verwendet werden, ist die Verwendung von individuellen Schriften für HTML Dokumente deaktiviert.
Man sollte deshalb gut lesbare Standardschriften konfigurieren. Einbindung externer Webicon Fonts für Navigationselemente ist zulässig (Kompromisslösung).
- HTTPS-only-Mode ist aktiviert und das FTP Protokoll ist abgeschaltet.
- Für TLS-Verschlüsselung wird "Unsafe Negotiation" als Fehler gewertet und die Verbindung wird abgebrochen. Certificate Pinning wird immer durchgesetzt. Die Nutzung von Enterprise Root Certificates des Betriebssystems wird nicht automatisch aktiviert.
- WebGL steht nur mit dem minimalen Featureset zur Verfügung.
- Strenge Einstellungen: Die strenge user.js blockiert restriktiv vieles, was für die Sicherheit relevant sein könnte. Neben Trackinschutz sollen auch Möglichkeiten für Angriffe auf den Browser minimiert werden. Diese Einstellungen sind für Risikogruppen geeignet, die für höhere Sicherheit einige Einschränkungen beim Surfen in Kauf nehmen.
- Javascript Just-in-Time-Compiler sind aus Sicherheitsgründen deaktiviert, was die ausführung von Javascript auf einige Webseiten verlangsamt.
- Anzeige von PDF Dokumenten im Browser ist deaktiviert.
- SVG, WebGL und WebGL2 sind komplett deaktiviert.
- Auto-Play und Hardware Video Decoding sind deaktiviert.
- Closed Source Video Codecs werden nicht verwendet.
- Favicons werden nicht geladen und nicht gespeichert.
- Es werden keine Login Credentials gespeichert.
- Push Services sind deaktiviert.
- Der Download von externen Schriftarten ist auch für Symbole deaktiviert. Um Probleme bei der Darstellung etwas abzumildern, kann man häufig genutzte Webicon Fonts wie den Awesome Webicon Font lokal installieren. Für Linux gibt es passende Pakete:
Ubuntu: > sudo apt install fonts-font-awesome
Fedora: > sudo dnf install fontawesome-fonts fontawesome-fonts-web
- Hotspot Login: Die Hotspot user.js ist eine strenge user.js mit aktiviertem Captive Portal Service. Sie könnte in einem Profil eingesetzt werden, dass man nur für den Login bei Wi-Fi Hotspots nutzt. Die Startseite ist "about:profiles", so dass man nach dem Hotspot Login schnell das gewünschte Profil zum Surfen starten kann.
Hinweis: Wenn man feststellt, das die gewählte Variante zu restriktiv ist und man auf eine weniger restriktive Variante wechseln möchte, dann muss man im Profilverzeichnis die Dateien
user.js und
prefs.js löschen. Wenn man irgendwas dazwischen will, kann man man die weniger restriktive Variante wählen und die Einstellungen unter
"about:config" ergänzen.
Tabellarische Zusammenfassung der Basis Anpassungen (minimale user.js für Firefox 85+):
In der moderaten Variante kommen folgende Optionen hinzu:
Für hohe Sicherheitsanforderungen sind außerdem folgende Features deaktiviert: