Hallo,
Mike hat wie auf Mastodon berichtet seine Addonempfehlungen für Firefox neu angepasst.
Was mir v.a. auffällt: Noscript ist nicht mehr dabei.
Zu meinem Verständnis: Inwieweit bzw. wodurch kann uBlockOrigin Noscript ersetzen?
Oder verstehe ich da Mike falsch?
Cane empfiehlt es noch auf Privacy-Handbuch.de - zumindest für „Fortgeschrittene“.
Ist uBO jetzt der (Fast-)Alleskönner? Ok ergänzt durch Canvas,LocalCDN/Decentraleyes und Skip Redirect.
Und JShelter ist anders als bei Cane nicht gelistet. Warum? Eigentlich etwas umfangreicher/protektiver als Canvas, oder?
Mehr Probleme bei Nutzung von JShelter als bei Canvas?
Wie sind eure Erfahrungen/Meinungen zu o.g. Fragen?
1 „Gefällt mir“
Ergänzend hier noch der Link dorthin: https://www.kuketz-blog.de/empfehlungsecke/#firefox
Kenne nicht die Intention zur Änderung der Liste, vermute aber, das es in Richtung weniger ist mehr geht. Würde ich einen Blog schreiben, wäre dort nur NoScript erwähnt. Mehr benötigt man nach meiner Einschätzung nicht. Das gilt aber nur, wenn man lange im Netz unterwegs ist, die Pappenheimer kennt und geduldig ist 
Praktikabel für die vermutete Zielgruppe ist das alles aber nicht. Im Gegensatz dazu liefert die Empfehlungsecke sofort und ohne große Einarbeitung alles was man braucht um gut unterwegs zu sein. Vor allem wenn man es mit dem Surfen ohne die Vorkehrungen vergleicht.
Das Privacy-Handbuch spricht nach meiner Wahrnehmung z.T. eine andere Zielgruppe an.
Die Seiten würde ich nicht vergleichen; sie ergänzen sich.
2 „Gefällt mir“
Schau dir mal das Tutorial von seeket dazu an.
1 „Gefällt mir“
Ja, es gibt auch Beispiele wobei hier Probleme auftreten können, in der Beschreibung für die Konfiguration bei „hohen Sicherheitsanforderungen“ im Privacy-Handbuch:
„JShelter muss man zum Lösen von Captchas oder auf einigen sehr JavaScript-lastigen Webseite deaktivieren.“. 
Es bietet natürlich mehr gefälschte Werte, aber wie sinnvoll das ist… ist fragwürdig.
Persönlich machte mir JShelter ab späteren Versionen zu häufig irgendetwas kaputt, daher nutze Ich CanvasBlocker, und alternativ, dort wo dieser etwas kaputt macht, ResistFingerprinting. Klappt eigentlich immer eins von beidem, reicht m.M.n. auch aus.
Das gilt natürlich nur, wenn (eher die Ausnahme) Ich im Clearnet-Browser bin, und nicht das Tor Browser Bundle nutze. Also z.B. Bestellungen mache, (ganz selten) e-Mail, Videos, Web-Telefonie/Chat, … daher kann Ich nicht sagen, wie das ganze weitflächig mit JShelter aussieht.
JavaScript, Frames, und zusätzlich „alle“ anderen [Ressourcen von Drittseiten] blockieren. Im Gegensatz zu NoScript kann man auch zwischen inline-scripten und first-party Skripten unterscheiden. Das ist vielleicht für Nerds die eine bestimmte „Best Practice“ kennen ganz lustig, aber sonst eher relativ nutzlos.
Die anderen Funktionen von NoScript sind nicht in uBlock Origin vorhanden. Das Erwähnenswerte wären der „XSS Filter“ und die „Cross-tab Identity Leak Protection“, für letztere soll es wohl noch ein anderes Addon geben.
Vom Prinzip ist dynamisches Filtern (JavaScript, Frames, … blockieren), welches bereits erwähnt wurde, immer noch anders als NoScript (oder das ehemalige uMatrix), wo du auf einmal im Menü JavaScript, Videos (media), Frames, etc. für jede Seite und jeden Drittanbieter einzeln anders blockieren/erlauben kannst. Wenn du eine Feature-Gleichheit diesbezüglich möchtest, müsstest du mit eigenen Filterregeln arbeiten, die du zusätzlich anlegst.
Für die meisten Anwendungsfälle reicht dynamisches Filtern aber aus, es lässt sich nur nicht ganz so beliebig einstellen, dafür ist die Matrix zu simpel (was auch ein Vorteil sein kann).
Mit entsprechender Filterliste („Block Outsider Intrusion into LAN“ unter Privatsphäre in den Listen), und Filterregeln für eigene, lokale (bekannte/erratbare) Hostnamen, hat uBlock auch die „LAN Protection“, die es bei NoScript gibt.
Ich meine aber, dass, ohne eigene Hostnamen hierfür einzutragen, die Funktion von NoScript grundsätzlich alles blockieren sollte (in der Standardkonfiguration das aber nicht für Seiten tut, denen du „vertraust“).
uBlock Origin bräuchte da eventuell etwas tuning, um deine eigenen Hostnamen zu blockieren, der Rest sollte von etwaiger DNS-Rebind-Protection deines DNS Resolvers erledigt werden (z.B. Unbound, Fritzbox, evtl. auch Pi-Hole?).
Falls du aber keine eigenen Hostnamen (außer z.B. hostx.fritz.box) im Heimnetz angelegt hast (du wüsstest es vermutlich), und nur eine Fritzbox (oder ein paar andere „Router“) verwendest, brauchst du keine eigenen Regeln, dann ist beides normalerweise gleichwertig.
1 „Gefällt mir“
Wir hatten das Thema ja vor nicht allzu langer Zeit und ich bin seitdem nicht wirklich schlauer geworden.
Wenn ich mich jetzt nicht vertan habe, fehlt ggü. dem Firefoxkompendium dieses:
- Smart Referer
- no script
- neat-url bzw. clear-url
- first party isolation
Bis auf no script fehlen die auch im privacy-Handbuch. Sind die alle überflüssig geworden (warum?)?
Außerdem wundere ich mich über die Empfehlung des Canvas Blockers. Hatte ich auch schon mal installiert, danach hörte ich, das wäre eher kontraproduktiv, da z.B. der user-agent gefälscht wurde, aber damit macht man sich erst recht unique, denn wenn z.B. Linux angegeben wird, wenn es in Wirklichkeit WIndows ist, käme das an anderer Stelle erst recht raus (weil Windows-Rechner mit gefälschtem user-agent gibt es halt noch viel weniger). Ist das auch nicht mehr relevant?
Ich benutze seit Umsetzung des Firefox-Kompendiums sowohl NoScript als auch ublockOrigin. Hat beides seine Vorteile. Da spricht doch aus Datenschutz-/Sicherheitsgründen auch nichts dagegen, oder?
War das faken des User-Agents jemals standardmäßig in CanvasBlocker aktiv? Soweit Ich weiß, war es immer Opt-In.
Tatsächlich hat es sogar eine Daseinsberechtigung, wenn deine Linux Distribution den User-Agent vom Firefox abändert, dann kann man das damit „korrigieren“, auf den standard User-Agent der eigenen Plattform (ohne Distributionszusätze).
Momentan ist es auf jeden Fall nicht standardmäßig aktiv, und auch in keiner der „Voreinstellungen“.
uBlock Origin unterstützt das entfernen von Tracking-Parametern aus URLs inzwischen selbst.
Wenn man Ausnahmen für bestimmte Seiten braucht, ergibt die Nutzung davon Sinn.
Aber grundsätzlich reicht meist auch folgendes aus, und gilt global im Browserprofil:
network.http.referer.XOriginPolicy = 2
network.http.referer.XOriginTrimmingPolicy = 2
Die user.js von Arkenfox hat dazu eine gute Dokumentation, wo auch Smart Referer eine Erwähnung findet:
https://github.com/arkenfox/user.js/blob/master/user.js#L530
Dort ist die Empfehlung, wenn Wert „2“ für network.http.referer.XOriginPolicy zu einschränkend ist, also etwas kaputt macht, diesen auf „0“ zu setzen, und Smart Referer im Strikten Modus mit einzelnen Ausnahmen zu verwenden.
Es (der Wert 2, für die erste Einstellung) soll aber auch ggf. bei z.B. älteren Modems, Routern, manchen Online-Banking-Seiten, Vimeo, iCloud, und Instagram Probleme machen können.
Nein, da spricht gar nichts dagegen. Du kannst beides gleichzeitig verwenden.
Man kann theoretisch aber feststellen, welche Ressourcen freigegeben/geblockt werden, aber das gilt für die Addons (einzeln) so oder so.
Man soll in uBlock Origin aber unter „Meine Regeln“ folgendes eintragen:
no-csp-reports: noscript-csp.invalid false
Die Domain wird in NoScripts Code hier definiert, und intern verwendet. Nachvollziehbar durch dieses uBO Issue, denke Ich.
M.M.n. nutzlos. Das war doch immer nur zum schnellen umschalten der Option „privacy.firstparty.isolate“, falls man in Probleme damit läuft?
Da hat z.B. das Privacy-Handbuch ein wenig zu geschrieben, und eine andere Option empfohlen:
Klick mich
Die „Netzwerk Partitionierung“ isoliert alle Cache Speicher (HTTP, Bilder, Fonts…), SSL Session IDs, HSTS, OCSP, DNS… in getrennten Containern für jede First-Party Domain und ist seit Firefox 85.0 standardmäßig aktiv und hat das früher empfohlene FirstParty.Isolate abgelöst
Total Cookie Protection" ist das Konzept zur Isolation von Cookies, Third-Party Cookies, DOMStorage und IndexDB in getrennten Containern für jede First-Party Domain.
Dieses Feature kann man unter „about:config“ mit mit folgender Einstellung aktivieren:
network.cookie.cookieBehavior = 5
Quelle: „1: Schutz gegen Website-übergreifendes Tracking“, auf https://privacy-handbuch.de/handbuch_21b.htm
Diese Option selbst zu setzen wird z.B. nicht von Arkenfox „empfohlen“ (Don't bother), da sie überflüssig ist, wenn man „Verbesserter Schutz vor Aktivitätenverfolgung“ (Einstellungen → Datenschutz & Sicherheit) auf „Streng“ einstellt, was wiederum deren Empfehlung ist.
1 „Gefällt mir“
Vielen Dank v.a. an D299 für die ausführlichen Erklärungen - u.a. auch auf meinen Eingangspost.
Leider habe ich für mich aus der Summe der Empfehlungen von Mike bzw. Cane im Privacy-Handbuch und den hier geposteten Empfehlungen für mich immer noch keine richtige Klarheit gewonnen.
Also ich habe uBo, Noscript. LocalCDN von Izzy als Ersatz für Decentraleyes und CanvasBlocker oder JShelter in einzelnen Firefoxversionen installiert.
Das war zumindest bis zu Mike’s Addon Update für mich eine Zusammenführung von Mike’s und Cane’s Empfehlungen.
Außerdem ist gemäß der Empfehlung von Cane „privacy.resistFingerprinting“ auf „false“ gesetzt bzw. alle Mozilla Standards zu diesen Einstellungen sind unverändert.
Dazu nutze ich die moderate user.js vom Privacy-Handuch.
Ist das nun eine sinnvolle Einstellung oder mache ich was falsch bzw. gibt es was zu verbessern - dabei v.a. auch beim Blocken oder Faken des Fingerprintings?
Vielen Dank für klärende Hinweise.
Was ist denn da neu angepasst?
Der Link zu den uBlock Origin Einstellungstipps ist von 2018.
Mir fehlt bei derartigen Diskussionen auch immer der Hinweis, ob es um Desktop- oder Android-Browser geht.
1 „Gefällt mir“
Da hast du recht. Ich vergesse bzw. vergaß es auch zu erwähnen. Was mich selber betrifft; ich spreche grundsätzlich immer vom Desktop.
„Entfernen“: Heißt es, es entfernt die Parameter aus der URL der angezeigten Webseite (in der Adresszeile des Browsers) oder werden sie bei der Anfrage nur nicht weitergeschickt?
Denn ich war eben auf der Addon-Seite von Firefox und hab da bei einer Addon-Seite in der Adresszeile
?utm_source=addons.mozilla.org usw.
gesehen. Oder funktioniert es auf den mozilla-Seiten nicht?
Genau. Grundsätzlich nicht. 
Ach, Firefox…!!!
Geht es denn mit Firefox-Abkömmlingen wie LibreWolf? Nur, um es mal zu wissen, jetzt werde ich die Parameter händisch entfernen…
Wie gesagt, sieht man denn sonst bei korrekter Anwendung des Neat-URL-Features in uBO die UTM-usw.-Parameter in der Adresszeile oder nicht?
Also generell sind AddOns auf den Mozilla-Seiten deaktiviert.
Es gibt einen Schalter, das zu ändern, ich weiß ihn aber nicht auswendig.
Möglicherweise weiß ihn das Privacy Handbuch.
Wieso in uBO? Auf der Adresszeile, ja: sieht man nicht.
Bei mir mittels Neat URL 5.0.0 – in uBₒ 1.54.0 kenne ich das Feature nicht.
Aber tatsächlich: mit abgeschaltetem Neat URL sieht man es auch nicht. 
Beispiel:
https://lnk.nebenan.de/track/email_click?jwt=eyJhbGciOiJIUzI1NiJ9.eyJ1dWlkIjoiZmI5ZGY2ZmItNDExMC00ZmI3LTg5MTUtM2U5ZTU1YzUwNjcyIiwidHlwZSI6NDAwLCJ1dG1fc291cmNlIjoiUE9TVF9ORVciLCJ1cmwiOiJodHRwczovL25lYmVuYW4uZGUvZmVlZC8zMTQ5NDA5Nj91dG1fY2FtcGFpZ249Tm90aWZpY2F0aW9ucyZ1dG1fbWVkaXVtPWVtYWlsJnV0bV9zb3VyY2U9UE9TVF9ORVcifQ.0M2mHSGDd_oz7K-AzYQrpqyU2O7W_Xj6OcvxGuyqOkQ
Sieht dann so aus:
https://nebenan.de/feed/31494096
Danke fürs Ausprobieren