Um nicht alle Werte per Hand anpassen zu müssen, wurden einige Konfigurationen für Firefox vorbereitet, die man herunter laden und im Firefox-Profil speichern kann. Man kann nicht alle Wünsche mit einer Konfiguration abdecken, deshalb gibt es mehrere Vorschläge.

Die Vorschläge sind Teil eines Gesamtkonzeptes. Daraus ergeben sich Unterschiede zu einigen anderen Projekten, die ähnliche user.js Konfigurationen bereitstellen:

• Das Add-ons uBlock Origin wird als Tracking- und Werbeblocker empfohlen. Die Tracking Protection von Firefox wird nicht genutzt, da damit auch Do-Not-Track aktiviert wird.
• Browserfingerprinting mit Javascript wird mit den Add-ons CanvasBlocker und JShelter verhindert statt die Audio-API, Geolocation, Gamepad-API, Timer-APIs usw. zu deaktivieren.
• Das Senden von Web-Beacons wird von JShelter simuliert (Beacons werden aber nicht gesendet). Die Beacon-API ist deshalb nicht deaktiviert, was leichter erkennbar wäre.

Folgende Konfigurationen gibt es zum Download:

Die gewählten "user.js" Datei ist im Firefox-Profil zu speichern und wird beim Start von Firefox ein­gelesen. Die Werte überschreiben die Einstellungen in "prefs.js". Damit ist sichergestellt, dass man beim Start die gewünschten Einstellungen hat. Das Firefox-Profil ist ein Unterverzeichnis mit seltsamen Buchstaben, das man in folgenden Verzeichnissen findet (Wo finde ich mein Profil?):

• Windows: "%APPDATA%\Mozilla\Firefox\Profiles\..."
• MacOS: "/User/{USERNAME}/Library/Application Support/Firefox/Profiles/..."
• Linux: "$HOME/.mozilla/firefox/..."

---

Im Git Repository notabug.org steht ein Update Script für die user.js Dateien für Linux und MacOS zum Download zur Verfügung. Das Script kann per Hand gestartet werden oder sich als Cron Job regelmäßig im Hintergrund um Updates kümmern.

---

Kurze Beschreibungen der unterschiedlichen Varianten:

• Die Basiskonfiguration ist für Nutzer geeignet, die ohne Beschränkungen von Features surfen wollen aber sich gleichzeitig etwas mehr Privatsphäre wünschen.
  1. Die überflüssigen Spielereien von Mozilla sind deaktiviert (Activity Stream, Pocket, Telemetrie, Datareporting, Ping-Centre, Captive Portal Check, die bunte NewTab Seite und Startseite, Location Tracking...)
  2. Cookies, Cache usw. werden beim Beenden des Browsers gelöscht und die Surfcontainer Total Cookie Protection und userContext sind als Tracking­schutz aktiviert.
  3. Es werden einige Sicherheitsfeatures aktiviert (AutoFill für Formulare deaktiviert usw.)
  4. Der HTTPS-First Mode ist aktiviert, bei Eingabe einer verkürzten URL wird zuerst HTTPS probiert. Wenn ein Fehler auftriit, wird automatisch die HTTP Seite aufgerufen.
• Bei moderaten Einstellungen werden zusätzlich einige HTML5 Feature deaktiviert, die häufig zum Tracking genutzt werden. Die Funktion normaler Webseiten wird damit in der Regel nicht beeinflusst. Es kann aber vereinzelt zu Problemen kommen.

  1. Da installierte Schriftarten häufig für das Fingerprinting verwendet werden, ist die Verwendung von individuellen Schriften für HTML Dokumente deaktiviert.

     Man sollte deshalb gut lesbare Standard­schriften konfigurieren. Einbindung externer Webicon Fonts für Navigations­elemente ist zulässig (Kompromisslösung).

  2. HTTPS-only-Mode ist aktiviert. Es wird eine Warnung angezeigt, wenn HTTPS nicht funktioniert und man kann mit einem Klick die HTTP Seite aufrufen.
  3. Googles Safebrowsing und Mozillas Add-on Blockliste sind deaktiviert.
  4. Der Captive Portal Service ist abgeschaltet, da er ständig einen Mozilla Service kontaktiert. Für Hotspot Logins braucht man ein extra Profil mit der passenden Konfiguration (s.u.)
• Bei medium strenge Einstellungen werden zur Verbesserung der Sicherheit beim Surfen weitere Funktionen deaktiviert, die keinen Einfluss auf die Darstellung von Webseiten haben aber die Angriffsfläche beim Surfen vergrößern könnten.
  1. Video- und Audiodaten werden nicht mehr automatisch abgespielt. Closed Source Codes zum Abspielen von DRM-geschützten Videoas sind standardmäßig deaktiviert, können bei Bedarf aber mit einem Klick aktiviert werden.
  2. Die OpenH264 Videocodecs von Cisco für WebRTC werden deaktiviert. Man kann diese Konfiguration also nicht für Videokonferenzen nutzen.
  3. Es werden keine Passwörter gespeichert (statt dessen kann man KeepasXC verwenden) und die Option zur Synchronisation der Daten in die Mozialla Cloud ist deaktiviert.
  4. Javascript Just-in-Time-Compiler sind aus Sicherheitsgründen deaktiviert, was die Ausführung von Javascript auf einige Webseiten verlangsamt.
  5. Bei der Darstellung von PDF Dokumenten im Browser ist Scripting verboten.

• Die strenge Einstellungen blockieren einiges mehr, was für Angriffe auf Browser und Betriebssystem ausgenutzt werden könnte, weil potentiell kompromittierbare Daten aus dem Internet an Bibliotheken des Betriebssystems weitgeleitet werden (z.B. Font Rendering).

  Viele Webseiten werden durch diese Einschränkungen deutlich verunstaltet!!!

  Diese Einstellungen sind für Risiko­gruppen geeignet, die für höhere Sicherheit Einschränkungen beim Surfen in Kauf nehmen und sollten mit NoScript kombiniert werden.

• Die Hotspot user.js ist eine strenge user.js mit aktiviertem Captive Portal Service. Sie könnte in einem Profil eingesetzt werden, dass man nur für den Login bei Wi-Fi Hotspots nutzt.

Hinweis: Wenn man feststellt, das die gewählte Variante zu restriktiv ist und man auf eine weniger restriktive Variante wechseln möchte, dann muss man im Profilverzeichnis die Dateien user.js und prefs.js löschen. Wenn man irgendwas dazwischen will, kann man man die weniger restriktive Variante wählen und die Einstellungen unter "about:config" ergänzen.

Tabellarische Zusammenfassung der Basis Anpassungen (minimale user.js):

app.normandy.enabled	false
app.shield.optoutstudies.enabled	false
browser.cache.disk.enable	false
browser.cache.disk_cache_ssl	false
browser.cache.offline.enable	false
browser.fixup.alternate.enabled	false
browser.messaging-system.whatsNewPanel.enabled	false
browser.newtabpage.enabled	false
browser.newtabpage.activity-stream.feeds.snippets	false
browser.newtabpage.activity-stream.feeds.topsites	false
browser.newtabpage.activity-stream.feeds.system.topsites	false
browser.newtabpage.activity-stream.section.highlights.includePocket	false
browser.newtabpage.activity-stream.showSponsored	false
browser.newtabpage.activity-stream.showSponsoredTopSites	false
browser.newtabpage.activity-stream.asrouter.userprefs.cfr.addons	false
browser.newtabpage.activity-stream.asrouter.userprefs.cfr.features	false
browser.newtabpage.activity-stream.telemetry	false
browser.newtabpage.activity-stream.feeds.telemetry	false
browser.pagethumbnails.capturing_disabled	true
browser.ping-centre.telemetry	false
browser.region.update.enabled	false
browser.region.network.url		(leer)
browser.search.suggest.enabled	false
browser.search.update	false
browser.sessionstore.privacy_level	2
browser.startup.page	0
browser.startup.homepage_override.mstone	ignore
browser.tabs.crashReporting.sendReport	false
browser.tabs.firefox-view	false
browser.topsites.contile.enabled	false
browser.uitour.enabled	false
browser.uitour.url		(leer)
browser.urlbar.trimURLs	false
browser.urlbar.groupLabels.enabled	false
browser.urlbar.suggest.openpage	false
browser.urlbar.suggest.searches	false
browser.urlbar.suggest.topsites	false
browser.urlbar.quicksuggest.enabled	false
browser.urlbar.quicksuggest.dataCollection.enabled	false
browser.urlbar.quicksuggest.showedOnboardingDialog	true
browser.urlbar.suggest.quicksuggest.nonsponsored	false
browser.urlbar.suggest.quicksuggest.sponsored	false
browser.vpn_promo.enabled	false
datareporting.healthreport.uploadEnabled	false
datareporting.policy.dataSubmissionEnabled	false
dom.security.https_first	true
dom.vibrator.max_vibrate_ms	0
extensions.getAddons.cache.enabled	false
extensions.htmlaboutaddons.recommendations.enabled	false
extensions.ui.lastCategory	addons://list/extension
extensions.pocket.enabled	false
extensions.systemAddon.update.enabled	false
extensions.webextensions.restrictedDomains		(leer)
layout.css.font-visibility.standard	1
network.connectivity-service.enabled	false
network.cookie.cookieBehavior	5
network.IDN_show_punycode	true
network.http.referer.XOriginPolicy	1
network.manage-offline-status	false
network.trr.default_provider_uri	https://doh.ffmuc.net/dns-query
permissions.isolateBy.userContext	true
places.history.enabled	false
privacy.clearOnShutdown.offlineApps	true
privacy.donottrackheader.enabled	false
privacy.firstparty.isolate	false
privacy.sanitize.sanitizeOnShutdown	true
privacy.query_stripping.enabled	true
privacy.history.custom	true
privacy.userContext.enabled	true
privacy.userContext.ui.enabled	true
security.insecure_connection_text.enabled	true
security.insecure_connection_text.pbmode.enabled	true
security.mixed_content.upgrade_display_content	true
security.ssl.require_safe_negotiation	true
security.ssl.treat_unsafe_negotiation_as_broken	true
signon.autofillForms	false
signon.formlessCapture.enabled	false
toolkit.coverage.opt-out	true
toolkit.coverage.endpoint.base		(leer)
toolkit.telemetry.coverage.opt-out	true
ui.use_standins_for_native_colors	true
webgl.enable-debug-renderer-info	false

In der moderaten Variante kommen folgende Optionen hinzu:

browser.display.use_document_fonts	0
browser.formfill.enable	false
browser.safebrowsing.phishing.enabled	false
browser.safebrowsing.malware.enabled	false
browser.safebrowsing.blockedURIs.enabled	false
browser.safebrowsing.downloads.enabled	false
browser.safebrowsing.downloads.remote.enabled	false
browser.safebrowsing.downloads.remote.block_dangerous	false
browser.safebrowsing.downloads.remote.block_dangerous_host	false
browser.safebrowsing.downloads.remote.block_potentially_unwanted	false
browser.safebrowsing.downloads.remote.block_uncommon	false
browser.safebrowsing.downloads.remote.url		(leer)
browser.safebrowsing.provider.google.gethashURL		(leer)
browser.safebrowsing.provider.google.updateURL		(leer)
browser.safebrowsing.provider.google4.gethashURL		(leer)
browser.safebrowsing.provider.google4.updateURL		(leer)
browser.safebrowsing.provider.mozilla.gethashURL		(leer)
browser.safebrowsing.provider.mozilla.updateURL		(leer)
browser.urlbar.speculativeConnect.enabled	false
dom.security.https_only_mode	true
dom.security.https_only_mode_send_http_background_request	false
extensions.blocklist.enabled	false
extensions.formautofill.addresses.enabled	false
extensions.formautofill.creditCards.enabled	false
extensions.formautofill.heuristics.enabled	false
extensions.screenshots.disabled	true
font.blacklist.underline_offset		(leer)
media.video_stats.enabled	false
network.captive-portal-service.enabled	false
network.dns.disablePrefetch	true
network.http.altsvc.enabled	false
network.http.altsvc.oe	false
network.http.referer.XOriginPolicy	2
plugin.default.state	0
security.cert_pinning.enforcement_level	2
security.certerrors.mitm.auto_enable_enterprise_roots	false
security.family_safety.mode	0
ui.systemUsesDarkTheme	0
webgl.disable-fail-if-major-performance-caveat	true

In der medium strengen Variante kommen folgende Optionen hinzu:

identity.fxaccounts.enabled	false
javascript.options.baselinejit	false
javascript.options.ion	false
javascript.options.native_regexp	false
media.eme.enabled	false
media.gmp-gmpopenh264.autoupdate	false
media.gmp-gmpopenh264.enabled	false
media.gmp-gmpopenh264.provider.enabled	false
media.gmp-gmpopenh264.visible	false
media.gmp-manager.url	data:text/plain,
media.gmp-manager.url.override	data:text/plain,
media.autoplay.default	5
media.autoplay.blocking_policy	2
signon.rememberSignons	false
pdfjs.enableScripting	false

Für höchste Sicherheitsanforderungen sind außerdem folgende Features deaktiviert:

browser.chrome.site_icons	false
browser.eme.ui.enabled	false
browser.sessionstore.max_tabs_undo	0
browser.sessionstore.max_windows_undo	0
dom.event.clipboardevents.enabled	false
dom.push.connection.enabled	false
dom.push.enabled	false
dom.push.serverURL		(leerer String)
gfx.direct2d.disabled	true
gfx.font_rendering.graphite.enabled	false
gfx.font_rendering.opentype_svg.enabled	false
gfx.downloadable_fonts.enabled	false
layout.css.font-loading-api.enabled	false
media.hardware-video-decoding.enabled	false
privacy.clearOnShutdown.siteSettings	true
privacy.cpd.siteSettings	true
pdfjs.disabled	true
svg.disabled	true

In der Hostspot Konfiguration sind zusätzlich folgende Werte gesetzt:

beacon.enabled

false

Einleitung...
Spurenarm Surfen

• Firefox Installation
• Schnell-Konfig.
• Suchmaschinen
  • Firefox Suche
• Trackingschutz
  • Cookies
  • Container
  • Werbung
  • …
• Firefox Sicherheit
  • HTTPS Security
  • Media Plugins
  • JavaScript
  • Lokale URLs
• Firefox Features
  • WebRTC Privacy
  • DNS-over-HTTPS
  • Firefox Profile
• Firefox user.js
• Snakeoil


• Librewolf

Passwörter & 2FA Bezahlen im Netz

---

E-Mails… Chatten…
Tor… I2P… VPN… DNS…
Daten schützen PC/Laptop OS Smartphones

---