Hi, bin ja Laie auf dem Gebiet,
aber was man da über Hintergrundaktivitäten lesen kann gefällt mir gar nicht.
https://de.wikipedia.org/wiki/Service_Worker
https://de.wikipedia.org/wiki/Web_Worker
FRAGE: Welche Serviceworkers & andere Webworker-Aktivitäten
können deaktiviert werden, für’s Surfen im Netz?
An diese Prozesse habe ich noch nie Hand angelegt. Kannst du kurz begründen was genau dir „nicht gefällt“?
Erstell doch ein zusätzliches Profil zum testen und schalte Stück für Stück ab?
Allein was ich mengenmäßig auf dem Screenshot sehen kann dürfte das Arbeit für Stunden wenn nicht Tage sein. Denn du müsstest schon sehr umfangreich testen ob nach abschalten entsprechender Aktivitäten noch alles funktioniert. Und selbst wenn es funktioniert, gibt es Garantien das du die Integrität bzw. Sicherheit nicht gefährdest?
Hast du mal auf internationalem Parkett bzw. in Foren, reddit gesucht und bist dort fündig geworden? Mich würde das sehr wundern, aber ich lasse mich da gern überraschen
Ich kann das nicht begründen, aber die ersten Netz-Funde unterstreichen mein(en?) „Ungefallen“ …
ServiceWorker is dangerous
https://alf.nu/ServiceWorker
Security Study of Service Worker Cross-Site Scripting
https://dl.acm.org/doi/fullHtml/10.1145/3427228.3427290
Hijacking service workers via DOM Clobbering
https://portswigger.net/research/hijacking-service-workers-via-dom-clobbering
SoK: Workerounds - Categorizing Service Worker Attacks and Mitigations
2022 IEEE 7th European Symposium on Security and Privacy (EuroS&P)
https://oaklandsok.github.io/papers/subramani2022.pdf
Aus 2017 auf deutsch …
https://www.heise.de/blog/Progressive-Web-Apps-Teil-2-Die-Macht-des-Service-Workers-3740464.html
PS: Firefox-Einstellungen, die ich seit längerem verwende …
Mir sagt das nichts (kenn mich aber auch nicht gut aus), es wundert mich nur, dass man da bisher noch nicht drüber gefallen ist, wenn man sich über Datenschutz/Sicherheit und Browser informiert.
Ich weiß nicht, ob es für das normale Surfen relevant ist oder nur, wenn man eine Webapplikation verwenden möchte.
Jedenfalls, bevor ich mir da über Gefahren konkrete Gedanken machen und rumbasteln würde, würde ich mich erstmal informieren, in welchem Szenario sie überhaupt eine Rolle spielen.
Das hier hab ich eben noch gefunden, erklärt aber auch keine Zusammenhänge, liefert aber den Hinweis, dass man mit uBO herangehen kann:
https://github.com/arkenfox/user.js/issues/1180
Ich hoffe, dass noch Leute schreiben, die sich da besser auskennen.
Wie bist Du denn auf dieses Thema gekommen?
WIE: Also auf das Thema bin ich zufällig gekommen, weil ich interessehalber mal die vielen about:about Einträge in Firefox durchgegangen bin. Und Serviceworkers erschien mir schon als Wort besonders markant (WAS! Servicearbeiter im Hintergrund?) 
Über Web Worker brauchst du dir keine Sorgen machen. Die erlauben nicht wirklich mehr als JavaScript das eh schon tut und sind ohne JavaScript auch nicht verfügbar.
Service Worker - wenn du sie deaktivieren möchtest, dom.serviceWorkers.enabled auf false setzen und das ganze Feature ist inaktiv. Der Nutzen vom Feature ist auf Wikipedia unter „Einsatzzwecke“ zu finden. Ebenfalls nur verfügbar, wenn JavaScript für die Webseite aktiv ist, wenn die Option auf true steht.
Service Worker kannst du ziemlich sicher generell deaktivieren, bei bisher keiner (normalen) Webseite ist bei mir dadurch ein Problem aufgetreten. Ich verwende aber auch keine Webseiten offline. Wobei das auch noch die wenigsten implementiert haben, bei denen das relevant wäre.
Falls du dann auf einer Seite in Probleme rennst, kannst du es ja (testweise) aktivieren. Für die wenigsten Anwendungsfälle ist es nötig Service Worker zu verwenden.
Die Fragestellung selbst impliziert aber eine Menge mehr, als überhaupt der Fall ist:
Service Worker müssen erstmal von einer Webseite „registriert“ werden und sind auch nur auf der entsprechenden Webseite aktiv. Diese hat aber auch vollständige Kontrolle über sich selbst.
Durch dom.serviceWorkers.enabled kannst du generell alle deaktivieren, da du damit einen ganzen Webstandard deaktivierst. Dann existiert die Funktion, um Service Worker zu registrieren, für Webseiten nicht mehr.
Einzelne Service Worker, falls vorhanden, lassen sich eventuell deaktivieren, indem du auf about:serviceworkers gehst, sobald sie registriert wurden, das ginge natürlich nur mit aktivem dom.serviceWorkers.enabled.
Zumindest der erste Artikel - und das ist mWn. auch das einzige „Problem“, abseits davon das Addons keine richtige Schnittstelle zur Kontrolle von Service Workern haben - handelt darüber, dass jemand, der sich Kontrolle über eine Webseite verschafft hat, „persistent“ einen Service Worker registrieren kann und damit dann Unfug treiben kann. Vollständig bestätigen kann Ich das nicht, da Ich nicht weiß ob der Webbrowser diese irgendwann einfach löscht, aber aufgrund der Caching Sache auf Wikipedia… gehe Ich davon aus.
Ich sehe aber auch, dass du „privacy.partition.serviceWorkers“ deaktiviert hast.
Das würde Ich zurücksetzen, es sollte keine Rolle spielen solange Service Worker deaktiviert sind, aber sollte die andere Option jemals entfernt/umgeschaltet werden, hast du dort eine Privatsphärefunktion deaktiviert.
Danke Astolfo, deine Antwort macht mir Einiges verständlicher.
Und privacy.partition.serviceWorkers habe ich daher wieder auf true gesetzt.
INFO: https://developer.mozilla.org/de/docs/Web/Privacy/Guides/State_Partitioning
State Partitioning ist ein umfassendes Vorhaben von Mozilla, um die Verwaltung des clientseitigen Zustands (d.h. der im Browser gespeicherten Daten) in Firefox neu zu gestalten. Ziel ist es, die Fähigkeit von Websites zu verringern, Zustände für das Cross-Site-Tracking zu missbrauchen, beispielsweise durch Drittanbieter-Cookies.
https://developer.mozilla.org/de/docs/Web/API/Service_Worker_API
VERWANDTE NOTIZEN ZUM THEMA:
Sollten Websites ohne Javascript funktionieren?
https://www.gutefrage.net/frage/sollten-websites-ohne-javascript-funktionieren
TheSnowGlobe
vor 2 Jahren, 2 Monaten
Bei reinen Designelementen ist es relativ egal, aber die wesentlichen Inhalte der Webseite sollten auch immer ohne JS zugänglich sein. Dabei geht es weniger um den sehr kleinen Prozentsatz von Menschen, die JS deaktiviert haben, sondern um Suchmaschinen, die die Inhalte der HTML-Datei indizieren, aber meist nicht, was mit JS noch dynamisch generiert wird, und sehbeinträchtigte Personen, die Screenreader nutzen, die entweder gar nicht mit JS generierte Inhalte berücksichtigen oder sie falsch einordnen.
JavaScript deaktivieren: Anleitung für Firefox, Chrome und Edge
https://www.ionos.at/digitalguide/websites/web-entwicklung/javascript-deaktivieren/
Bevor Sie JavaScript in Ihrem Webbrowser deaktivieren, sollten Sie sich der Konsequenzen bewusst sein. Laut w3techs.com kommt die Skriptsprache bei rund 99 Prozent aller Webseiten im Netz zum Einsatz. Diese lassen sich möglicherweise nur dann korrekt darstellen, wenn ihr Webbrowser in der Lage ist, JavaScript zu verarbeiten.
Nicht alle Websites bieten adäquate Alternativ-Versionen an, die ohne Skripte auskommen. Wenn Sie JavaScript deaktivieren, riskieren Sie also, dass Ihnen wesentliche Inhalte entsprechender Seiten entgehen.
TEST: Dieses Forum funktioniert nur mit Javascript …
Angetrieben von Discourse, beste Erfahrung mit aktiviertem JavaScript
