Privacy Handbuch

In den App Stores gibt es unendlich viele Apps, die nur wenig Mehrwert zum smartphonetauglichen Angebot der gleichnamigen Webseiten bieten aber im Hintergrund personalisiertes Tracking des Nutzers implementieren (Youtube, Tagesschau, Bahn.de... usw.) Außerdem gibt es Apps mit allgemein wenig Mehrwert. (Ich erinnere mich an eine App, die 2021/22 populär war und nichts weiter gemacht hat, als einen QR-Code zu scannen und diesen QR-Code bei Bedarf anzuzeigen).

Auf viele Apps kann man verzichten und statt dessen die Webseiten mit einem privacy-freundlich konfigurierten Browser in Kombination mit einem Passwortmanager (z.B. KeepasDX für Android oder Strongbox für iPhones) aufrufen. Man braucht nur wenige Klicks (Fingertipps) mehr für einen Login bei Bahn.de oder ähnlichen Webseiten und man wird weniger beobachtet.

Es gibt mehrere gute Browser für Smartphones, das Thema kann man endlos diskutieren.

Hier gibt es einen Vorschlag für die Konfiguration von Fennec (oder Mull) aus dem F-Droid Store (Android). Beide Browser basieren auf Fenix (Firefox für Android), wobei proprietäre Bestandteile und die Telemetrie entfernt wurden. Mulls enthält außerdem die arkenfox-user.js.

Trackingschutz

Beim Beenden des Browser kann man alle Daten löschen, um langfristiges Tracking anhand von Cookies und Evercookies zu verhindern. Standardmäßig werden Cookies nicht gelöscht.

Die Optionen findet man in den Einstellungen unter "Browserdaten beim Beenden löschen".

HINWEIS: Die Daten werden aber nur gelöscht, wenn man den Browser wirklich im Menü beendet! Sie werden nicht gelöscht, wenn man den Browser mit einer Wischgeste wegschiebt.

Wenn man sich nicht daran gewöhnen kann, den Browser über das Menü zu beenden und ihn immer mit einer Wischgeste wegschiebt, kann man auch den Private Browsing Mode dauerhaft verwenden und die Links von anderen Apps immer im Private Browsing Mode öffnen.
Den Werbe-und Trackingblocker uBlock Origin kann man in den Einstellungen unter "Add-ons" aktivieren und eine vorbereitete Konfiguration vom PrHdb laden.
1. prhdb-ublock-config-ohne-iframe-block (keine Probleme mit Captchas oder Videos)
2. prhdb-ublock-config-mit-iframe-block (blockiert iFrames, verbesserter Trackingschutz)
Zum Schutz gegen Fingerprinting des Browser kann man die FingerprintingProtection (FPP) von Firefox unter "about:config" aktivieren: privacy.fingerprintingProtection = true Die FingerprintingProtection (FPP) basiert auf resistFingerprinting (RFP), welches von TorProject.org für den TorBrowser entwickelt wurde. Sie vermeidet aber Probleme wie den TimezoneMissMatch. resistFingerprinting (RFP) sollte deaktiviert werden (nur bei Mull): privacy.resistFingerprinting = false Außerdem kann man die TrackingProtection deaktivieren, da bei aktiver TrackingProtection ein Do-Not-Track Header gesendet wird, den Webseiten allgemein ignorieren (nur bei Mull): privacy.trackingprotection.enabled = false
(Diese und weitere Aufgaben übernimmt uBlock Origin mit den passenden Filterlisten.)
Die Einstellung für das Senden des Referers kann man unter "about:config" anpassen: network.http.referer.XOriginPolicy = 1
Um Pricacy-Leaks via WebRTC zu vermeiden, sollte man folgende Einstellungen setzen:

media.peerconnection.ice.default_address_only = true

media.peerconnection.ice.no_host = true
Damit der Browser nicht bei jedem Start den Server location.services.mozilla.com angepingt, kann man folgenden Parameter unter "about:config" setzen: browser.region.update.enabled = false
Der Captive Portal Check ist in Fennec standardmäßig deaktiviert. Für den Login bei WiFi-Hotspots muss man den Standardbrowser des Systems nehmen.

HTTPS Sicherheit

Den Nur-HTTPS-Mode kann man in den Einstellungen aktivieren:

Zusätzlich kann man unter "about:config" folgende Optionen aktivieren:

security.ssl.require_safe_negotiation	= true
security.ssl.treat_unsafe_negotiation_as_broken	= true
security.mixed_content.upgrade_display_content	= true
security.cert_pinning.enforcement_level	= 2

Passwortspeicher

Um die Risiken bei der Verwendung des integrierten Passwortspeichers zu minimieren, kann man den Passwortspeicher des Browsers abschalten und statt dessen KeepassDX nutzen.

Damit Login Credentials in Formulare übernommen werden können, muss KeepassDX im Hintergrund gestartet und die passende Passwortdatenbank geöffnet werden.

Telemetrie

Das Senden der Telemetriedaten deaktiviert man unter "about:config" mit folgenden Optionen:

datareporting.policy.dataSubmissionEnabled = false datareporting.healthreport.uploadEnabled = false

Sicherheitseinstellungen

Man kann einige Einstellungen unter "about:config" anpassen, um die Sicherheit zu verbessern:

Nach Beobachtung des Google Sicherheitsteams nimmt seit 2021 die Bedrohung durch Zero-Day-Exploits, die Schwachstellen in Media-Codecs ausnutzen, kontinuierlich zu.

Um Angriffe mit korrupten Mediadateien zu erschweren, kann man das automatische Abspielen von Medien abschalten. Videos startet man dann mit einem zusätzlichen Tippen:

media.autoplay.default = 5

media.autoplay.blocking_policy = 2
Die Javascript JIT Compiler kann man deaktivieren, um die Angriffsfläche zu reduzieren:

javascript.options.baselinejit = false

javascript.options.ion = false

javascript.options.native_regexp = false
Die Vibrator-API kann in Kombinationen mit anderen Mechanismen die Privatsphäre gefährden, wie das W3C in den Security and Privacy Considerations schreibt, deshalb: dom.vibrator.max_vibrate_ms = 0

media.peerconnection.ice.default_address_only	= true
media.peerconnection.ice.no_host	= true

javascript.options.baselinejit	= false
javascript.options.ion	= false
javascript.options.native_regexp	= false

media.autoplay.default	= 5
media.autoplay.blocking_policy	= 2