News Mozilla: Firefox 52 schließt NPAPI-Plug-ins außer Flash aus

[fethomm]

Mozilla macht mit Firefox 52 ernst und streicht die Unterstützung für alle NPAPI-Plugins außer Adobe Flash. Davon betroffen sind beispielsweise Silverlight, Java, Google Hangouts sowie Adobe Acrobat. Die Sicherheit der Nutzer erhöht Firefox 52 unter anderem durch die Einführung der Strict-Secure-Cookies-Spezifikation.

Zur News: Mozilla: Firefox 52 schließt NPAPI-Plug-ins außer Flash aus

 

[NutzenderNutzer]

font fingerprinting?

wie kann man denn einen computer anhand der installierten schriften eindeutig identifizieren`?

windows 10, allerwelts system, standard installation, also die schriften drauf wie bei millionen anderen?

 

[Der-Orden-Xar]

Wahnsinn, das erstemal, dass ich mich freue, dass die ESR-Version technisch hintendran ist.
Bleibt für meine Bank ein Jahr, oder ich muss Onlinebanking mit IE (nicht Edge!) oder Chrome machen -.-*

Zu den Kernfunktionen: Mal sehen, ob die Nutzer endlich mal ein paar Seitenbetreiber derart nerven können, dass die unsicheren LogIns verschwinden.

Edit:
@NutzenderNutzer: Für ein Projekt hatte ich mir mal bewusst eine weitere Schriftart installiert, dazu besingen einige Programme ihre eigenen Fonts mit.
Alles in allem dürften dadurch viele eindeutig identifiziert werden können.

 

[Hauro]

font fingerprinting?

wie kann man denn einen computer anhand der installierten schriften eindeutig identifizieren`?

Siehe henning-tillmann.de: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen

[TABLE="class: grid"]
[TR]
[TD]Bezeichnung[/TD]
[TD]Zugehörige Schicht[/TD]
[/TR]
[TR]
[TD]Quell-IP-Adresse[/TD]
[TD]IP[/TD]
[/TR]
[TR]
[TD]Quellport[/TD]
[TD]TCP[/TD]
[/TR]
[TR]
[TD]Aufrufende Seite („Referer“ [sic!])[/TD]
[TD]HTTP[/TD]
[/TR]
[TR]
[TD]Bezeichnung des Browsers („User-Agent“)[/TD]
[TD]HTTP[/TD]
[/TR]
[TR]
[TD]Akzeptierende Dateitypen[/TD]
[TD]HTTP[/TD]
[/TR]
[TR]
[TD]Akzeptierende Zeichensätze[/TD]
[TD]HTTP[/TD]
[/TR]
[TR]
[TD]Akzeptierende Kompressionsformate[/TD]
[TD]HTTP[/TD]
[/TR]
[TR]
[TD]Akzeptierende Sprachen[/TD]
[TD]HTTP[/TD]
[/TR]
[/TABLE]

Durch das Browser Fingerprinting ist es auch mit einem Adblocker nicht (mehr zu 100%) möglich anonym im Internet unterwegs zu sein. Dies wird in der verlinkten Arbeit erklärt.

Wer es mal testen möchte:
https://panopticlick.eff.org/ - Is your browser safe against tracking? > Show full results for fingerprinting

 

[crvn075]

Die jetzt von Tor übernommene Methode will das unterbinden, indem nur vom Anwender eingetragene verwendete Fonts, die in einer Whitelist stehen, angezeigt werden und nicht alle, größtenteils vom Betriebssystem installierten Fonts.

Hab mich schon vor Ewigkeiten gefragt, warum man eine feste Liste mit Fonts nicht als Lösungsansatz hernimmt, um Fingerprinting zu erschweren (wusste aber nicht, dass es Tor bereits integriert hatte).

 

[freacore]

Wo finde ich die Schriftartenliste?

 

[Der-Orden-Xar]

Die vom System oder die die via Browser ausgelesen wird?
Für letzteres schau die Vollständige Analyse von https://panopticlick.eff.org/ an.

 

[crvn075]

Wo finde ich die Schriftartenliste?

Hab auf die schnelle keine Menüeinstellung gefunden. Ich denke, du musst über about:config in der Adresszeile in die Konfiguration gehen und dort dann den Key font.system.whitelist anlegen.

 

[freacore]

Panopticlick zeigt mir eine Liste mit Schriftarten an. Müsste die ab Firefox 52 nicht leer sein, solange ich keine in eine Whitelist eintrage?

 

[Hauro]

Um die whitelist anzulegen:

Konfiguration (about:config) öffnen. Einen neuen Eintrag mit Typ String und Name 'font.system.whitelist' anlegen, dessen Werte eine Komma-separierte Liste von Schriftarten ist:

Arial, Batang, 바탕, Cambria Math, Courier New, Euphemia, Gautami, Georgia, Gulim, 굴림, GulimChe, 굴림체, Iskoola Pota, Kalinga, Kartika, Latha, Lucida Console, MS Gothic, ＭＳ ゴシック, MS Mincho, ＭＳ 明朝, MS PGothic, ＭＳ Ｐゴシック, MS PMincho, ＭＳ Ｐ明朝, MV Boli, Malgun Gothic, Mangal, Meiryo, Meiryo UI, Microsoft Himalaya, Microsoft JhengHei, Microsoft JengHei UI, Microsoft YaHei, 微软雅黑, Microsoft YaHei UI, MingLiU, 細明體, Noto Sans Buginese, Noto Sans Khmer, Noto Sans Lao, Noto Sans Myanmar, Noto Sans Yi, Nyala, PMingLiU, 新細明體, Plantagenet Cherokee, Raavi, Segoe UI, Shruti, SimSun, 宋体, Sylfaen, Tahoma, Times New Roman, Tunga, Verdana, Vrinda, Yu Gothic UI

Die Font-Whitelist muss angelegt werden, da es unter Umständen dazu kommen kann, dass Webseiten nicht mehr wie vorgesehen dargestellt werden, wenn die verwendeten Schriftarten nicht auf der vom Anwender angelegten Whiteliste stehen. Damit wären die normalen Anwender/Anwenderinnen überfordert.

 

[freacore]

Muss jeder Benutzer diese Liste selbst anlegen? Wäre es nicht besser, wenn sie automatisch erstellt würde?

 

[Hauro]

Muss jeder Benutzer diese Liste selbst anlegen?

Ja

Wäre es nicht besser, wenn sie automatisch erstellt würde?

Wenn die Schriftarten (Fonts) ersetzt werden, kann es zu Darstellungsfehlern kommen. Falls anstelle des eigentlichen Zeichens nur  ausgegeben wird oder das Schriftbild nicht stimmt, wüsste ein normaler Anwender dann nicht woran es liegt und würde annehmen, dass es am Browser liegt. Deshalb muss die Liste explizit angegeben werden.

 

[morksig]

Hm, hat das Update noch bei jemandem Multiprocess deaktiviert? browser.tabs.remote.autostart=true und extensions.e10sBlockedByAddons=false scheinen nicht zu reichen...

 

[luckysh0t]

Also wenn ich https://panopticlick.eff.org/ teste dauert es eine weile und die Balken drehen sich einen Wolf und dann block wenig später uBlock Origin die Seite komplett durch die eigene "Webseite"

 

[cbtestarossa]

schaut hier mal
https://browserleaks.com
bzw
https://browserleaks.com/fonts

bei mir findet er noch immer fonts obwohl ich gar keine zulasse.

 

[Hyourinmaru]

Mein Firefox 51.0.1 64-bit will sich nicht auf die Version 52 aktualisieren. Das Update lädt er zwar über Hilfe runter und schließt den Fuchs dann auch, aber dann wars des. Firefox geht nicht neu auf, auch nicht nach 5min, sodass ich den Task killen muss, wo ich dann immernoch auf Version 51 bleibe.

EDIT: Installer funzt. Firefox auf Version 52 aktualisiert.

 

[cbtestarossa]

wo befindet sich diese font whitelist überhaupt?
finde nichts

@ Hyourinmaru

Lade die den Fuchs doch einfach herunter und installiere ihn. >(Offline-Installer)

 

[Hauro]

bei mir findet er noch immer fonts obwohl ich gar keine zulasse.

Als Fallback wird vermutlich auf die System-Fonts zurückgegangen.
w3schools.com: CSS Web Safe Font Combinations

The font-family property should hold several font names as a "fallback" system, to ensure maximum compatibility between browsers/operating systems. If the browser does not support the first font, it tries the next font.

wo befindet sich diese font whitelist überhaupt?

Siehe Beitrag #10
Siehe auch support.mozilla.org: Konfigurationseditor für Firefox

ComputerBase sind merkwürdig aus, wenn ich eine leere Liste angebe:

user_pref("font.system.whitelist", """");

 

[Der-Orden-Xar]

wo befindet sich diese font whitelist überhaupt?
finde nichts

unter about:config font.system.whitelist
Muss aber manuell angelegt werden.

 

[freacore]

Falls anstelle des eigentlichen Zeichens nur  ausgegeben wird oder das Schriftbild nicht stimmt, wüsste ein normaler Anwender dann nicht woran es liegt und würde annehmen, dass es am Browser liegt. Deshalb muss die Liste explizit angegeben werden.

Das Problem wäre ja mit deiner oder einer ähnlichen Liste behoben. Was wäre an dieser Liste, voreingestellt für alle, falsch? Wenn jeder eine andere Whitelist hat, nützt das doch gar nichts gegen Fingerprinting.