Nachdem die user.js des privacy-Handbuchs https://privacy-handbuch.de/handbuch_21u.htm nicht mehr gepflegt wird, habe ich nun notgedrungen das Spiel mit zig Firefox-Profilen und verschiedenen user.js aufgegeben.
Auf der Suche nach einer Alternative für den Desktop entschied ich mich für Librewolf. Leider erlaubt mir dieser Browser nicht, meine Anmeldedaten zu speichern. Jedenfalls ist es mir nicht gelungen, den internen Passwortmanager wieder zu aktivieren, weder über das Einstellungsmenü noch über die about:config.
Frage: gibt es eine Mögkichkeit, den Passwortmanager in Librewolf zu aktivieren?
Nun installierte ich die App KeePassXC und das entsprechende Browser-PlugIn. Die Verbindung zwischen beiden lässt sich nicht herstellen, wenn der Browser über firejail gestartet wird. Jedenfalls ist es mir nicht gelungen.
Frage: funktioniert die Verbindung zwischen Browser und KeePassXC grundsätzlich nicht, wenn der Browser über firejail gestartet wird (z.B. weil die Konzepte nicht passen, Abschottung versus Verbindung) ?
Auf firejail möchte ich nicht verzichten, bin zur Zeit in Browserfragen etwas ratlos.
Den haben ja die Entwickler von Librewolf deaktiviert oder sogar entfernt (?), nicht ich.
Ich verstehe leider nicht, was ich jetzt tun muss.
Ich habe das gefunden, das schien mir ganz passend:
…# Add the next line to your firefox-common.local to allow access to common programs/addons/plugins. #include firefox-common-addons.profile
Also habe ich eine Datei firefox-common.local im Verzeichnis /etc/firejail angelegt und die Anweisung include firefox-common-addons.profile eingefügt.
Leider hat es nicht geholfen. Ich hab es erstmal mit Firefox probiert, weil es mit Librewolf noch ein anderes Problem mit KeePassXC gibt, das ich erst mal ausklammern wollte.
Aber ich will ja nicht den Sync über den Mozilla-Server benutzen sondern den lokalen Passwortmanager im aktuellen Profil.
# To enable support for the KeePassXC extension, add the following lines to
# firefox-common.local.
# Note: Start KeePassXC before the web browser and keep it open to allow
# communication between them.
#noblacklist ${RUNUSER}/app
#whitelist ${RUNUSER}/app/org.keepassxc.KeePassXC
#whitelist ${RUNUSER}/kpxc_server
#whitelist ${RUNUSER}/org.keepassxc.KeePassXC.BrowserServer
Die noblacklist und whitelist Regeln musst du natürlich in firefox-common.local entkommentieren. Ich weiß jetzt nicht, warum du es partout anders gemacht hast, aber so funktioniert es.
Aus Verzweiflung?
Die Zeilen, die du zitierst, gibt es in meiner firefox-common.profile nicht.
Weder auf meinem MXLinux Laptop mit MX 23.4 über Debian 12.8 mit firejail 0.9.72-2
noch auf meinem PC mit Debian 11 und firejail 0.9.64.4-2+deb11u1.
In beiden gibt es keinen Abschnitt " To enable support for the KeePassXC extension …".
Hast du was Neueres?
Komisch. librewolf.profile inkludiert ebenfalls firefox-common.profile. Der obige Eintrag in firefox-common.local müsste daher auch hier funktionieren.
Ja, arkenfox hab ich schonmal intensiv studiert, bin aber zu dem Ergebnis gekommen, dass meine override-Datei da deutlich größer wäre als bei Privacy-Handbuch. Und es ist schon ganz schön viel Arbeit, wenn man mehrere FF-Profile hat, die immer aktuell zu halten und zu pflegen. Davon wollte ich eigentlich mal weg.
Ich nutze drei Browser: FF-ESR, Torbrowser und Chromium. Mit Mullvad hab ich mich noch nie befasst. Der Tor-Browser hilft ja bei meinem Problem wenig, es geht ja primär um Seiten, bei denen ich mich einlogge.
Oops, hatte ich gar nicht gesehen und hab noch eine librewolf.local angelegt mit den vier Zeilen, die wird auch inkludiert.
Es geht weder mit noch ohne diese librewolf.local.
Ich finde die Situation eigentlich sehr interessant, es ist ein Dilemma.
Was ist besser oder weniger schlecht:
ein Browser mit einem nicht so sicheren Browser-internen Passwortmanager in einer intakten Sandbox oder
Ein Browser mit Kontakt zu einem sicheren externen Passwortmanager in einer „durchbohrten“ Sandbox?
Wenn Mullvad VPN verwendet werden soll, ist der schon recht praktisch.
Mittlerweile haben die ein script welches das automatisch macht. Die Override Datei muss halt einmal für das jeweilige Profil erstellt werden. Bei einem update im Profil das Script ausführen, welches die user updatet, die override dort einfügt und die prefs resetet. Das funktioniert sehr gut.
Da arkenfox mittlerweile ausnahmslos auf Resist Fingerprinting setzt, finde ich das es auch kaum override Einträge benötigt.
Auf welche kann man denn nicht verzichten, das du so zahlreiche Profile mit unterschiedlichen Änderungen anlegen müsstest?
Das prefsCleaner-Skript und das Updater-Skript nutze ich schon seit Jahren (letzteres hat @bummelstein für die user.js aus dem Privacy-Handbuch adaptiert.)
Wenn du aber auf verschiedenen Rechnern jeweils mehrere Profile hast (ein Banking-Profil, ein strenges Profil für unbekannte Seiten, ein moderates für bekannte Seiten, ein Hotspot-Profil für unterwegs (captive-portal-service.enabled) …), dann ist das auch mit Skript viel Arbeit auch wenn die Profile nicht alle verschiedene user.js bzw. overrides haben.
Und bei jedem Update der user.js muss ich die neuen Parameter verstehen und überlegen, ob ich meine overrides anpassen muss. Mit meinem fundierten Halbwissen ist das richtig aufwändig, da ich nicht jeden Parameter verstehe. Deswegen muss ich einer Linie folgen. Das war bisher PrHdB. Bei Arkenfox ist z.B. safebrowsing nicht deaktiviert und das neue skandalöse Sammeln von Werbedaten (dom.private-attribution.submission) ist nicht deaktiviert. Mit anderen Worten: der Umstieg zur arkenfox-user.js wäre für mich mit noch mehr Aufwand verbunden. Ich will aber genau das Gegenteil. Deswegen bin ich bei Librewolf gelandet.
Librewolf scheint eher auf dem absteigenden Ast zu sein, seitdem fxbrit nicht mehr daran arbeitet. Dann doch lieber Mullvad Browser. Einziger Nachteil bei Mullvad: man sollte keinen Browserverlauf und keine Zustandsdaten (z.B. Cookies) Session-übergreifend benötigen. Sollte das notwendig sein, ist Brave eine gute Option.
Ein Browser mit intakter Sandbox und ein sicherer Passwortmanager wie KeePassXC! Das Browserplugin ist nicht nötig. Logins lassen sich per Auto-Type eingeben und die Zuordnung der Seiten mit dem Fenstertitel vornehmen.
Falls du das Updaten meinst: nicht wirklich. Mein Script muss nur einmal pro PC ausgeführt werden (z. B. updater -aqy, geht auch mit arkenfox), fertig. Und auch das lässt sich einfach automatisieren. Falls du das Synchronhalten auf verschiedenen Rechnern meinst oder dass man bei der arkenfox-user.js hinterher sein muss, dann ja.
Es hat so lange gedauert mit meiner Antwort, weil ich so lange brauchte, um mich durch die Einstellungen von Brave zu arbeiten.
Der Brave-Browser ist dann eher eine Alternative zum Chromium-Browser. Ja, überleg ich mir. Danke!
Das hat tatsächlich funktioniert, auch unter firejail. Danke für den Tipp!
Wie das funktioniert, hab ich allerdings noch nicht wirklich verstanden.
Wie kommen die Login-Daten von der KeePassXC-Anwendung in das Login-Fenster des Browsers in der Sandbox? Ist das sicherer als copy/paste?
Nachtrag:
ich habe die Antwort selbst gefunden, und zwar im Kuketz-Blog: KeePassXC Auto-Type
Diese Auto-Type-Funktion hat einen entscheidenden Vorteil gegenüber dem simplen hin- und herkopieren von sensiblen Informationen via STRG + C und STRG + V , bei der sowohl Nutzername als auch Passwort im Zwischenspeicher (Zwischenablage) eures Systems landen. Diese Zwischenablage (engl. Clipboard) ist kein sicherer Ort, um euer Passwort »zwischenzuspeichern«. … Bei dieser Variante wird das Passwort nicht in die Zwischenablage kopiert, sondern direkt zwischen KeePassXC und dem Browserfenster ausgetauscht – es werden simulierte Tastendrücke direkt in das Eingabefeld (Login / Passwort) gesendet. Der Mittelsmann (die Zwischenablage) wird dabei also umgangen bzw. ist nicht mehr erforderlich. Auto-Type überträgt eure Login-Daten also direkt in die dafür notwendigen Felder. Das spart Zeit und erhöht die Sicherheit.
Noch ein Nachtrag:
Es funktioniert auch, wenn sowohl der Browser als auch KeePassXC in einer Firejail-Sandbox laufen (jeder in seiner eigenen).
Für mich ist damit das Problem gelöst: ich nutze jetzt Librewolf, Brave und Torbrowser sowie KeePassXC mit Autotype.
Danke nochmal an alle Unterstützer, auch an Mike, der in seinen Beiträgen so oft meine Fragen beantwortet, obwohl er sie gar nicht kennt.