firefox deaktiviert NoScript, uBlock Origin

[guennid]

ad KBDCALLS:

Guckstu hier, vor allem den Abschnitt „Bezeichnung“

[rockyracoon]

@guennid:
Thx, aber darum geht es mir ja nicht. Mir geht es um die Ironie, mit dem dieser Ausspruch "Honi soit qui mal y pense" in Zeiten der Zensur zitiert wurde...

[guennid]

Och, ich glaub' der dritte Edward hat den Spruch auch recht ironisch gemeint.

[TuxPeter]

firefox deaktiviert ...

zumindest meldet Heise eine neue FF-Version, die das Problem gelöst hat.
Pech, liebe Feuerfüchse, ich bleib' jetzt erst mal beim blassen Mond.

[Revod]

Etwas positives hat es schon... man hat wieder was zum reden... und warum erinnert mich FF nloss immer an " Big Fish " ...

https://de.wikipedia.org/wiki/Big_Fish

[dufty2]

Umgehen kann man es mit
about:config
xpinstall.signature.required auf false stellen.

Danke, das hat geholfen. Wie gehts jetzt weiter?

Für sid (lässt sich auch für testing (buster) verwenden) gibt es seit heute:
firefox-esr_60.6.2esr-1_amd64.deb
und "xpinstall.signatures.required" wieder auf "true" zurückstellen (falls man das will).

[Waldlaeufer]

Ich hoffe, dass das für stretch dann auch zeitnah kommt. Ich arbeite derzeit mit Chrome ... CHROME

[rockyracoon]

Mein Fazit:
- Entweder sind AddOns nur Attrappen und schützen nicht wirklich, dann ist sowieso Alles egal.
- Oder AddOns schützen zumindest begrenzt, dann ist ihre tagelange Deaktivierung entweder gedankenlos oder ...
- Ganz betröppelt stehen Tor-Nutzer da, aber ich halte eine solche Art zu Browsen sowieso für zu langsam und nicht wirklich für "privat".

Ich habe nach Alternativen zu Firefox gesucht und außer Verschlimmbesserungen nichts wirklich Richtiges gefunden.
Also habe ich Firefox installiert und meine AddOns wieder aktiviert.
Auf das Update von Firefox-ESR zu warten habe ich keine Lust.
Mehr sehe ich nicht an Möglichkeiten.
Mag sein, dass Palemoon oder Waterfox sinnvoller wären.

[TomL]

- Entweder sind AddOns nur Attrappen und schützen nicht wirklich, dann ist sowieso Alles egal.

Was das angeht, kann ich mich ja nur auf meine Wahrnehmung verlassen, und die hinterlässt bei mir zumindest keine Zweifel. Ich glaube fest daran, dass uBO wirklich Schutzfunktionen wahrnimmt. Bei mir ist es ja Tagesgeschäft, ein Profil, einen Browser oder gar eine VM mit Browser explizit für eine Anwendung zu wählen.... die Auswahl passiert automatisch über jeweils einen eigenen Desktop-Starter. Und da merke ich ganz deutlich, was in dem einen Environment tadellos funktioniert, funkioniert in dem anderen Environment wegen konkreter und ausdrücklicher Blockierung absolut gar nicht.

In das Zusammenspiel von Browser und uBO habe ich hier also schon Vertrauen.

Mag sein, dass Palemoon oder Waterfox sinnvoller wären.

Davon bin ich überzeugt. Im Grundegenommen erfüllt Palemoon m.M.n das meiste von dem, was 'niemand' zuvor gefordert hat. Würde ich nicht DRM für Netflix benötigen, wäre FF hier jedenfalls nicht installiert.... denn sogar DRM wird von Palemoon derzeit nicht unterstützt. Meiner Meinung nach ist Palemoon eigentlich nur ein Browser, der nix anderes kann, als Webseiten darzustellen.... aber das eben für meine Ansprüche richtig gut. Ist nur schade, dass dieser Browser noch keinen Weg ins Debian-Repo gefunden hat und somit nur mit manuellen Updates aktuell gehalten werden kann.

[dufty2]

Ich hoffe, dass das für stretch dann auch zeitnah kommt. Ich arbeite derzeit mit Chrome ... CHROME

Lt. bug-report #928449 ist 60.6.2esr-1~deb9u1 schon fertig und denke, er wird bald auftauchen.

In dem Zusammenhang sei auch noch der Nachbar-thread bzgl. normandy erwähnt:
viewtopic.php?f=37&t=173220

Vielleicht wird's doch mal Zeit, eine user.js aus
https://www.privacy-handbuch.de/handbuch_21u.htm
oder wenigstens
https://www.kuketz-blog.de/firefox-abou ... um-teil10/
zu verwenden

Code: Alles auswählen

## Disable Normandy/Shield (FF60+)
user_pref("app.normandy.enabled", false);
user_pref("app.normandy.api_url", "");
user_pref("app.shield.optoutstudies.enabled", false);

[rockyracoon]

@TomL:
Du hast mich überzeugt.
Palemoon ist jetzt auf meinem System (neben dem interessanten Minimalisten "Midori-Browser").
Die AddOns sind installiert, Palemoon surft schnell und ich glaube jetzt einfach einmal, dass es die beste aller Browser-Alternativen ist.

[RobertDebiannutzer]

[...] uMatrix zeigt mir auf der Seite "https://www.palemoon.org/" ein XHR von "play.google.com", zwei XHR von "www.google.de" und ein Script von "pagead2.googlesyndication.com" an.

Schau an! Jetzt ist es nur noch das Script von "pagead2.googlesyndication.com".
Dann habe ich Palemoon mal probiert. Da hatte ich erst ein Problem mit firejail, das war aber mein Fehler. Das hatte mich allerdings dazu veranlasst, was über firejail und palemoon zu suchmaschinen.
Heraus kam z.B.:
Aussage des Entwicklers im Palemoon Forum (Quelle: https://forum.palemoon.org/viewtopic.php?t=19081):

Sandboxing any browser is a bad idea. Browsers have their own advanced security measures because they are designed to load and display untrusted remote content -- as a result it's a similar situation as running multiple antivirus suites concurrently.

dann etwas später im gleichen Thema noch die Kurve bekommen:

Apologies about the assumption that firejail was just for Firefox; it isn't. However, the profile in use for Pale Moon is a firefox-based profile, which may or may not work as-is.

So, the solution is apparently changing something in the configuration of the Pale Moon profile in firejail.

Commenting out the "tracelog" line apparently fixes the hangup.

Quelle: https://forum.palemoon.org/viewtopic.php?t=19081
In einem aktuelleren Thread im Forum wird auch der Eindruck erweckt, dass man firejail nicht empfiehlt: https://forum.palemoon.org/viewtopic.ph ... 4&p=165815 .

Wenn man eine Alternative zu firefox sein möchte, sollte man meiner Meinung nach anders auftreten.
Die Website von palemoon leitet nicht automatisch nach https um und eine Analyse mit dem von Mike Kuketz empfohlenen Tool "webbkoll" (https://www.kuketz-blog.de/webbkoll-wie ... -webseite/) offenbart auch nichts Erfreuliches: https://webbkoll.dataskydd.net/en/resul ... lemoon.org
Neben "HTTPS not used by default" u.a. noch Third-Party Cookies von "doubleklick.net" und weitere Punkte.
Sorry, aber das zeugt meiner Meinung nach doch nicht von einer wirklichen Alternative?!

@TomL: Was auf der Website des Projekts "getrieben" wird hat durchaus etwas mit dem Projekt selber zu tun. Ich als User soll doch Vertrauen schenken in ein Projekt, dass eine Alternative sein möchte. Doch wenn mir die Website nicht bereits in besonderem Maße vertrauenswürdig vorkommt, warum sollte ich dann überhaupt den Browser testen?

[Radfahrer]

Ich frage mich schon lange, was manche hier so toll an Palemoon finden.
Ich weiß nicht, inwieweit man so einer One-Man-Show trauen kann. Wer ist der Entwickler? Besitzt er wirklich die nötige Kompetenz in allen nötigen Bereichen, um einen Browser zu entwickeln und zu pflegen? Ich bezweifle, dass eine einzelne Person das stemmen kann. Und wie gesagt, wer ist das? Wie vertrauenswürdig ist er? Wer kontrolliert, was er macht?
Natürlich ist auch Firefox nicht ideal. Aber dem gucken wenigstens eine Menge Leute auf die Finger und schreien bei jeder Kleinigkeit los, die sich ändert. Wenn der Entwickler von Palemoon irgendeine Schweinerei einbauen würde, würde die wahrscheinlich nicht auffallen, weil niemand sich die Mühe macht, nachzuschauen.

Ich würde mich unbehaglich fühlen, wenn ich einem einzelnen Entwickler (von mir aus auch zwei oder drei) vertrauen müsste. Nur, weil der Browser so ist, wie Firefox vor 10 Jahren? Nee, muss nicht sein.

[TuxPeter]

So, Aufregung darf sich wieder legen. Soeben (in testing) mein update & upgrade gemacht und siehe da, ein neuer Firefox ist dabei.

Und mein Ublock Origin ist auch wieder aktiv. (war keine Neuinstallation erforderlich, und andere add-ons habe ich nicht)

[berkman]

Hallo alle,

auch für Debian 9 Stretch (Stable) hab ich grad für Firefox Aktualisierungen angeboten bekommen, sie eingespielt und alles funzt wieder wie vorher, sprich: Alle Add-ons sind wieder aktiv und tun ihre Dienste.

[TuxPeter]

das zeugt meiner Meinung nach doch nicht von einer wirklichen Alternative?!

Ich würde mich unbehaglich fühlen, wenn ich einem einzelnen Entwickler (von mir aus auch zwei oder drei) vertrauen müsste.

Ich sehe das Problem ähnlich. Es ist in dieser schnöden Welt unglaublich schwer, irgendjemandem, dem man nicht selber auf die Finger schaut, wirklich zu vertrauen. Wenn ich fürchte, dass mein teuerer Bioapfel irgendwo auf dem langen Weg zu mir ganz einfach mal von einem Karton in einen anderen gepackt wurde, weil das ja immerhin den Gewinn vervielfacht, ja dann kann ich auch gleich das konventionelle Obst kaufen. Oder ich kann viel Zeit investieren, Informationen zu den einzelnen Stationen des Obstes zu sammeln, nicht vergessen, über weitere Info-Quellen deren Glaubwürdigkeit zu prüfen - während zu Hause der Blumentopf mit meinen garantiert naturreinen Bio-Kräutern verdorrt. Obwohl, wenn ichs recht bedenke: habe ich eine wirklich sicher Bestätigung, dass die Erde einwandfrei ist? Kann man fortspinnen, danke, dass du bis hier her gelesen hast.

Was ich meine, ist: Ich habe verdammt noch mal keine Lust, immer wieder in ..zig Blogs und Websiten nachzugucken, ob und wem mein Browser meldet, welche schrägen Seiten ich jetzt wieder angesurft habe, ich möchte lieber das machen, wozu ich den Computer und die Infos, die er mir beschaffen kann, brauche. Und nicht ewig an dem Browser selbst rumfummeln.

Da bin ich natürlich dankbar, wenn mir Leute, die sich intensiver damit beschäftigt haben sagen: nimm uBlock etc, oder probier mal einen anderen Browser, und fand es jetzt ganz dufte, die Alternative Palemoon zu haben. Habe denen sogar einen Kaffee spendiert. (Mit einem Bezahlportal, das garantiert alles und jedes, was es über mich weiß an sämtliche relevanten Datensammler verteilt. Nur: Anders gings nicht.) Getäuscht werden oder sich selber täuschen kann man natürlich immer ...

[Radfahrer]

Was ich meine, ist: Ich habe verdammt noch mal keine Lust, immer wieder in ..zig Blogs und Websiten nachzugucken, ob und wem mein Browser meldet, welche schrägen Seiten ich jetzt wieder angesurft habe, ich möchte lieber das machen, wozu ich den Computer und die Infos, die er mir beschaffen kann, brauche. Und nicht ewig an dem Browser selbst rumfummeln.

Aha.
Und deswegen nimmst du einfach Palemoon und gut is....
Verstehe ich nicht. Du vertraust also einem Browser hinter dem ein großes Entwicklerteam mit viel Knowhow und Manpower steht weniger als einem, den jemand quasi im Alleingang als Hobbyprojekt betreibt? Merkwürdige Logik.

Das ist so, als würde man lieber mit einen Flugzeug in den Urlaub fliegen, das irgendwer irgendwo in einer Garage zusammengebastelt hat, anstatt so einen bösen Airbus zu nehmen.

Aber egal, jeder, wie es genehm ist. Ich verstehe es nur nicht. Muss ich ja aber auch nicht.

[TuxPeter]

Und deswegen nimmst du einfach Palemoon und gut is....
Das ist so, als würde man lieber mit einen Flugzeug in den Urlaub fliegen, das irgendwer irgendwo in einer Garage zusammengebastelt hat, anstatt so einen bösen Airbus zu nehmen.

Bisschen anders. Ich habe bloß keine Lust, Statistiken zu wälzen welche Airline die wenigsten Abstürze hat. Und gegebenenfalls ist es vertrauenserweckender und sogar gesünder, mit einer Cessna zu fliegen als mit der allerneuesten Boing 737 Max.

[Radfahrer]

Du hast also keine Lust, Informationen über deinen Browser zu lesen und dich damit zu befassen. Deswegen nimmst du Palemoon.
Man kann aber auch Firefox benutzen, ohne sich zu informieren. Oder Chrome. Oder Opera. Oder....

Warum Palemoon? Wo liegen die Vorteile? Dass niemand darüber etwas berichtet? Das ist das, was ich nicht verstehe.

Aber wahrscheinlich ist es wohl einfach cool, das Ding zu benutzen. Firefox ist viel zu sehr mainstream.

[TomL]

Es liegt mir wirklich fern, für Palemoon Werbung zu machen. Und es liegt mir noch ferner, irgendwen zu irgendwas missionieren zu wollen. Im Grundegenommen isses mir sogar völlig egal, wer welchen Browser benutzt und ob er mit seiner Wahl zu Schaden kommt oder nicht. Ich will hier nur auf ein paar Statements eingehen und sie mal aus einer anderen Perspektive betrachten, um bestimmte Aussagen auch mal anderes einordnen zu können.

1. Keine Default-HTTPS-Seite für http://www.palemoon.org/. Ja, richtig stimmt, aber welchen Vorteil hätte HTTPS auf einer interaktiv völlig passiven Seite? Wo werden auf der Seite Daten abgefragt, zur Eingabe von vertraulichen Daten aufgefordert, wo werden vertrauliche Daten übertragen, die es überhaupt wert wären, verschlüsselt zu werden? Ich kann da nix finden, sondern sehe nur passive Lese-Texte. Welchen Sinn hat eine Verschlüsselung von öffentlichen Texten ohne Übertragung von sensiblen Daten? Mit der fehlenden (aber auch völlig unnötigen) Verschlüsselung einer reinen Lese-Seite allerdings etwas ganz anderes (und zwar den Browser) in Frage zustellen, bewerte ich deshalb als unbegründete Diskreditierung.

2. One-Man-Show. Ist auch eine wiederholte Falschbehauptung, die nicht wahrer wird, nur weil sie ständig wiederholt wird. Wenn man sich die Anzahl der Unterstützer ansieht, die für 'Commits' im Code verantwortlich sind, dann erkennt man, dass es keine One-Man-Show ist. Explizit dazu gibt es sogar ein 'eigenes' Statement, gleich als Punkt 1. Außerdem ist es sowieso quatsch anzunehmen, dass eine einzige Person den Aufwand für jeweils eine Version für Windows, Linunx und Mac plus unzählige Übersetzungen zu leisten imstande wäre.

Ganz nebenbeibemerkt gilt der Aspekt One-Man-Show -sofern man den überhaupt in Betracht ziehen will- vermutlich sowieso auch für einen Großteil von mehr oder weniger bekannten Linux-Projekten. Sollte man deswegen z.B. Raspbian nicht mehr verwenden? Und Osmand dann natürlich auch nicht? Oder DoubleCommander? Oder Freefilesync? Oder Geany? Das sind doch alles Klein-Projekte mit einer oder zwei oder drei Personen, die das Projekt als treibende Kraft mit einigen rudimentär tätigen weiteren Unterstützern hintendran pflegen. Die Perspektive, die Qualität eines Programms allein an der Zahl der Entwickler fest zu machen, betrachte ich jedenfalls als äußerst fahrlässig.

Ich hatte irgendwann mal hier eine Bug-Statistik gepostet.... blöderweise finde ich weder mein Posting noch die Seite wieder. Aber das sind die Fakten, anhand derer ich meinen Browser gewählt habe. Da hat Palemoon mit hohem Punktestand deutlich gewonnen. Das sind die Fakten, anhand derer man überhaupt eine Entscheidung treffen sollte. Fake-Fakten und Behauptungen können m.M.m jedenfalls keine Grundlage für Entscheidungen sein. Die Liste des Versagens von Firefox in den letzten Jahren ist lang und auch allgemein bekannt. Ich bitte darum, eine gleiche Liste für den Palemoon aufzustellen, die ebenfalls solcherart Versagen nachweist. Ich habe das versucht... tja, wie blöde ist das denn, ich finde da nämlich nix. Und genau diese hierbei nichtvorhandenen Negativ-Fakten sind die Grund für meine momentane Entscheidung für diesen Browser.

Ich sage das noch mal, ich überede niemanden zu irgendwas.... im Gegenteil, diese kontroverse Sichtweise hier ist für mich eher Anlass, meine Entscheidungen erneut zu überprüfen. Und je mehr ich mich damit befasse, umso größer wird meine aktuelle Überzeugung, den FF als schädlich hinsichtlich meiner Interessen zu erachten und das Palemoon auf diesen aktuellen Moment bezogen für mich alternativlos ist. Das kann natürlich schon morgen anders sein, heute isses aber so. Um das noch mal deutlich festzustellen, ich habe hier definitiv kein ideologisches Interesse, sondern ein rein prgamatisches.

jm2c

[RobertDebiannutzer]

[...] im Gegenteil, diese kontroverse Sichtweise hier ist für mich eher Anlass, meine Entscheidungen erneut zu überprüfen. [...] Um das noch mal deutlich festzustellen, ich habe hier definitiv kein ideologisches Interesse, sondern ein rein prgamatisches.

Finde ich gut. Auch ich habe lediglich pragmatische Interessen und wäre für alternative Browser durchaus offen.

nur passive Lese-Texte

Und was ist mit dem Download des Browsers? (Auf der Download-Seite habe ich übrigens keinen public key gefunden für das Verifizieren des Downloads mit der PGP-Signatur - die man ebenfalls über die per default http-Seite heruntergeladen hat.) Mal davon abgesehen, dass das nicht der einzige Kritikpunkt an der Website ist: Wer einen Alternativ-Browser anbieten möchte - Browser wohlgemerkt -, der sollte meiner Meinung nach schon einen anderen Webauftritt haben. Denn auch wenn Du den Webauftritt vielleicht anders bewertest - der Entwickler eines Browsers sollte wissen, dass es auch andere Meinungen gibt. Insofern sollte er schon https per default einsetzen und auf jegliche Drittressourcen verzichten.

Ganz nebenbeibemerkt gilt der Aspekt One-Man-Show -sofern man den überhaupt in Betracht ziehen will- vermutlich sowieso auch für einen Großteil von mehr oder weniger bekannten Linux-Projekten. [...]

Ich kenne die von Dir genannten Beispiele nicht näher. Doch es ist meiner Meinung nach schon ein Unterschied, ob man es mit einem Projekt mit insgesamt 2.000 Codezeilen zu tun hat oder mit einem, das aus 2.000.000 Codezeilen besteht (Zahlen nur als Beispiel). Und es kommte natürlich auch immer auf den Grad der Änderungen an. Wenn der Browser z.B. wie GNU IceCat nur aus einem Modifikationsscript und einigen zusätzlich installierten Addons besteht (s. https://www.gnu.org/software/gnuzilla/), ist das eine andere Sache, wie wenn es ein richtiges eigenständiges Projekt ist (mal abgesehen davon, dass GNU IceCat auch nicht unbedingt eine Alternative darstellt).

[TomL]

Warum Palemoon? Wo liegen die Vorteile? Dass niemand darüber etwas berichtet? Das ist das, was ich nicht verstehe.

Vielleicht liegt es daran, dass es nicht nachteiliges zu berichten gibt:

https://www.cvedetails.com/product/3264 ... dor_id=452
https://www.cvedetails.com/product/2426 ... r_id=12592
https://github.com/MoonchildProductions ... oon/issues
"There aren’t any open issues."

Das sind jedenfall die Fakten, die Bestandteil meiner Entscheidung sind. Also noch zusätzlich zu den anderen Fakten, wie safebrowsing, normandy, webrtc (peerconnection), activity-stream, telemetrie-sammler, usw.... alles datenschutzrelevante Aspekte und im FF obligatorisch aktiviert. Nee, danke!

Und wenn man solche Services wie die des Herrn Kuketz für einen Browser benötigt, dann ist das für mich der Windows-way-of-life par excellence... und zwar für eine schlechte Software einen zusätzlichen Dienstleistungs-Markt generieren.

[RobertDebiannutzer]

Also noch zusätzlich zu den anderen Fakten, wie safebrowsing, normandy, webrtc (peerconnection), activity-stream, telemetrie-sammler, usw.... alles datenschutzrelevante Aspekte und im FF obligatorisch aktiviert.

Falsch, lässt sich soweit ich weiß alles deaktivieren. (Ich weiß es nicht ganz genau, da ich im Moment gerade recht unbesehen die strenge user.js des privacy-handbuchs nutze und meine letzten Einstellungs-Änderungen schon etwas her sind.)

Und wenn man solche Services wie die des Herrn Kuketz für einen Browser benötigt, dann ist das für mich der Windows-way-of-life par excellence... und zwar für eine schlechte Software einen zusätzlichen Dienstleistungs-Markt generieren.

Kuketz bietet keinen "Service" an, sondern gibt Tipps (nicht nur zu ff), die ich teilweise schon interessant und hilfreich finde für Menschen, die nicht als IT-Spezialisten auf die Welt gekommen sind.
Ich gehe mal nicht davon aus, dass Du mir implizit einen "Windows-way-of-life" unterstellen wolltest. Das wäre nämlich ein Witz (und zwar ein schlechter ).

[tobo]

Vielleicht liegt es daran, dass es nicht nachteiliges zu berichten gibt:

https://www.cvedetails.com/product/3264 ... dor_id=452
https://www.cvedetails.com/product/2426 ... r_id=12592

Also, dass man von dieser Webseite statistisch keine Rückschlüsse ziehen sollte, das sollte sich inzwischen rumgesprochen haben!?
Z.B. ist
https://www.cvedetails.com/cve-details. ... -2019-9791
dort als Firefox-Bug gelistet und in Pale Moon nicht aufgeführt. Im Changelog von Pale Moon (2019-03-27) wird allerdings geschrieben, dass der Patch dafür (von Mozilla) in Pale Moon übernommen wurde. Genauso mit den anderen dort gelisteten Patches.
Und es sollte eigentlich auch jedem halbwegs softwaretchnisch erfahrenem Menschen klar sein, dass ein ausgewachsener Browser - mit ganzen 2 Sicherheitslücken in 6 Jahren - ein Ding der Unmöglichkeit ist!?

Ich kann den Frust einiger Zeitgenossen hier, über Firefox, aber sehr gut nachvollziehen.

[c1ue]

Ich frage mich schon lange, was manche hier so toll an Palemoon finden.
Ich weiß nicht, inwieweit man so einer One-Man-Show trauen kann. Wer ist der Entwickler? Besitzt er wirklich die nötige Kompetenz in allen nötigen Bereichen, um einen Browser zu entwickeln und zu pflegen? Ich bezweifle, dass eine einzelne Person das stemmen kann. Und wie gesagt, wer ist das? Wie vertrauenswürdig ist er? Wer kontrolliert, was er macht?
[...]
Natürlich ist auch Firefox nicht ideal. Aber dem gucken wenigstens eine Menge Leute auf die Finger und schreien bei jeder Kleinigkeit los, die sich ändert. Wenn der Entwickler von Palemoon irgendeine Schweinerei einbauen würde, würde die wahrscheinlich nicht auffallen, weil niemand sich die Mühe macht, nachzuschauen.

Finde ich einen guten Gedanken. Außerdem kann man doch sämtliche Schweinereien dem Firefox austreiben. Mir hat dabei sehr das https://privacy-handbuch.de/handbuch_21 ... chnell.htm mit der moderaten user.js geholfen.
Alternativ kann man auch unter https://privacy-handbuch.de/handbuch_21u.htm eine tabellarische Zusammenfassung der für einen selbst notwendigen Einstellungen finden.

Zusammen mit ublock origin, umatrix + canvasblocker stellt sich mir gar nicht mehr die Frage nach einer Alternative.