Firefox ist ein freier Webbrowser mit (mehr oder weniger) guten Voreinstellungen bezüglich Sicherheit, Privatsphäre, Tracking und Werbeschutz. Trotzdem tauchen in der Fachpresse immer wieder Empfehlungen für verbesserte oder bedarfsgerechtere Einstellung auf. Dabei geht es in der Regel um Add-ons oder Anpassungen an der Firefox-Konfiguration, die man mittels about:config einstellt.
Vor ein paar Tagen hat der Pentester und Sicherheitsforscher Mike Kuketz in seiner Serie 'Datensendeverhalten von Webbrowsern' einen Beitrag zu Firefox veröffentlicht. In seinem Artikel werden diverse Veränderungen an der Konfiguration von Firefox vorgeschlagen, die nur mühsam durch manuelle Änderungen in about:config vorgenommen werden können. Dabei geht es doch viel einfacher:
Normalerweise gibt es ab und zu ein paar wenige Einstellungen, die man an der Firefox-Konfiguration ändern möchte. Dazu öffnet man die Seite about:config, sucht den gewünschten Parameter und trägt die Änderung per Hand ein. Meistens handelt es sich dabei um binäre Schalter (true/false). Über die Zeit sammeln sich schnell 10, 20, 50 Änderungen an, die man bei einer Neuinstallation oder auf einem anderen Gerät mühsam wiederholen muss.
Um diese Arbeit zu replizieren und zu automatisieren, gibt es die Datei user.js, die sich im Profil-Verzeichnis von Firefox befindet. Dort kann man alle Einstellungen (auch die versteckten) in einem Rutsch bei jedem Start von Firefox einlesen.
ACHTUNG: Durch die Modifikation der Datei user.js könnt ihr euren Firefox komplett zerschiessen. Probiert eure Settings zuerst an einem Firefox in einer virtuellen Maschine aus und sichert die Datei prefs.js.
Das Profilverzeichnis für euren Firefox-Account findet ihr nach Eingabe von about:support ziemlich weit oben bei den 'Allgemeinen Informationen':
Ihr könnt das Verzeichnis direkt aus Firefox öffnen, indem ihr auf 'Ordner öffnen' klickt. Hier lohnt sich ein Blick (bitte nicht verändern) in die Datei prefs.js, weil darin alle Einstellungen für euren Account stehen. Diese Datei darf auf keinen Fall direkt modifiziert werden. Stattdessen gibt es die Datei user.js, die genau für diesen Zweck geschaffen wurde, bzw. von euch erzeugt werden kann (es gibt sie noch nicht).
Als Test kann man die Datei user.js in einem Texteditor anlegen und folgenden Inhalt hineinschreiben:
user_pref("browser.startup.page", 1);
user_pref("browser.startup.homepage", "https://gnulinux.ch/");Merkt euch vorher bitte eure aktuelle Startseite! Wenn ihr jetzt Firefox neu startet, solle die GNU/Linux.ch Seite als Startseite im Browser erscheinen. Probiert das mal aus. Aber Achtung, wenn ihr die user.js anschliessend wieder löscht, ist der Spuk nicht vorbei, weil eure User-Einstellungen in die prefs.js geschrieben wurden. Deshalb empfiehlt es sich, vor dem Einsatz von user.js eine Kopie von prefs.js anzulegen, damit ihr später auf die ursprünglichen Einstellungen zurückkehren könnt.
In einem nächsten Schritt könnt ihr die Empfehlungen von Mike Kuketz in eure user.js übernehmen. Was die jeweiligen Einstellungen bewirken, könnt ihr in seinem Artikel nachlesen. Diese sehen so aus (keine Gewähr, falls ich mich vertippt habe):
user_pref("network.captive-portal-service.enabled", false);
user_pref("geo.enabled", false);
user_pref("browser.topsites.contile.enabled", false);
user_pref("extensions.pocket.enabled", false);
user_pref("dom.push.serverURL", "");
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false);
user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false);
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.phishing.enabled", false);
user_pref("geo.enabled", false);Hinweis: in den Empfehlungen finden sich weitere Angaben, die nicht über about:config, sondern direkt in den normalen Einstellungen vorgenommen werden können.
Nach einem Neustart von Firefox könnt ihr stundenlang testen, ob Kuketzs Einstellungen zu eurer Zufriedenheit ausgefallen sind. Fehler und Anpassungen können natürlich jederzeit in der user.js vorgenommen werden. Falls ihr zufrieden seid, könnt ihr die nächste Raketenstufe zünden; die Einstellungen von BrainfuckSec. Dabei handelt es sich um sehr viele Modifikationen an Firefox. Bitte lest vorher aufmerksam die beiden Quellen durch, damit ihr wisst, was ihr macht.
Quellen:
https://github.com/arkenfox/user.js/wiki/1.1-Overview
https://gist.github.com/brainfucksec/68e79da1c965aeaa4782914afd8f7fa2
Sehr geil! Vielen Dank!
Wer auch das Updaten automatisieren will kann sich mal dieses Script ansehen: https://notabug.org/TotallyLeGIT/PH-userjs-updater Der Forenbeitrag dazu: https://forum.kuketz-blog.de/viewtopic.php?t=5854
Das Script sorgt dafür das immer die neuste user.js vom https://www.privacy-handbuch.de eingespielt wird.
"ACHTUNG: Durch die Modifikation der Datei user.js könnt ihr euren Firefox komplett zerschiessen. Probiert eure Settings zuerst an einem Firefox in einer virtuellen Maschine aus und sichert die Datei prefs.js."
Wichtiger Hinweis! Dazu möchte ich zufügen. Eine VM ist an dieser Stelle nicht nötig!
Firefox hat das Konzept der Profile!
So bleibt das Default Profil unbeschadet.
Das mit den mehreren Profilen sollte man sich eh mal überlegen denn jedes Profil hat einen eigenen Arbeitsbereich ähnlich einem mehr Browser Konzept.
Ich hatte dazu mal was geschrieben: https://linux-whv.de/firefox#profile
Gruß Christian