Unique Fingerprint trotz Gegenmassnahme

Ich verwende FF 106.01 mit den Addons „Canvasblocker“ „JShelter“ „uBlockOrigin“. Alle 3 Addons sind entsprechend den Empfehlungen von Mike Kuketz 1:1 konfiguriert.

Darüber hinaus verwende ich die user.js von arkenfox sowie die user.js von Mike in den Versionen strong und medium-strong, je nachdem was ich mache.
Ergänzend noch der Hinweis das ich die user.js von Arkenfox entsprechend der Empfehlung von Mike in einem Punkt verändert habe. Und zwar: privacy.resistFingerprinting = false (statt true bei arkenfox.

Trotzdem: Rufe ich die Website cover your tracks auf, wird mir folgendes angezeigt:

Ich habe also einen starken Schutz gegen Webtracking. Aber „Protecting you from Fingerprinting ?“ läuft und läuft mit den 3 senkrechten Balken ohne zum Abschluss bzw. zum abschliessenden Statement zu kommen. Dies passiert unter jedem der oben beschreibenen user.js

Auf meinem MBP habe ich auch ein Debian VM mit FF ESR 102. Auch hier habe die arkenfox user.js mit der schon beschrieben kleinen Modifikation am laufen. Hier allerdings wir der Test auf coveryourtracks mit „You have a randomized fingerprint !“ abgeschlossen.

Kann mir vielleicht jemand helfen mein kleines Problem auch auf unter FF 106.01 unter macOS zu vestehen und ggf. zu lösen?

Zu uBlock Origin gibt es eine Konfigurations-Empfehlung von mir. Zu den anderen beiden Add-Ons allerdings nicht. Ich frage mich daher, wo du diese 1:1 Konfiguration her hast. :scream_cat:

Die Config für JShelter stammen hierher. Aus dem Privacy Handbuch….

Auch im Privacy-Handbuch steht für für die Konfiguration des Canvasblocker " Das Add-on bietet viele Einstellungsmöglichkeiten. Um die Konfiguration in Kombination mit dem Add-on JShelter zu vereinfachen, kann man die Datei CanvasBlocker-settings.json herunterladen und importieren. Es werden die „Stealth Settings“ mit folgenden Modifikationen verwendet:…

Nachtrag: Im Nachgang zu meiner Antwort hat mich Deine Nachfrage nachdenklich gemacht. Muss mich entschuldigen. Habe jetzt erst gemerkt, dass der Autor des Privacy Handbuch Herr Karsten Neß ist.
War keine böse Absicht. Ist bei mir schon und immer und warum auch immer unter „Kuketz-Privacy Handbuch“ abgespeichert.

also soweit ich die Konfiguration aus dem Privacy Handbuch verstehe, geht es dabei nicht um einen Fingerprint zu erzeugen der in der Masse untergeht, sondern einen einzigartigen, der aber mit jedem Browser-restart erneuert wird.

Um Deine Vermutung zu überprüfen habe ich die Website von Browserleaks aufgerufen ohne die von mir schon beschriebenen Einstellungen der 3 Addons zu verändern.
Bei jedem Neustart von FF aber auch bei jedem erneuten Laden im Browserleak Tab des schon offenen FF ändert sich dort der Fingerprint jedesmal und es sieht dann so aus:


Deine Vermutung schien also richtig zu sein.

Dann habe ich aber die Konfiguration von JShelter auf „Recommended“ gesetzt und den Canvasblocker zurückgesetzt.

Nach einem Neustart des FF blieb aber das Ergebnis auf Browserleaks identisch zum vorherigen Setup. Jedesmal ein neuer Fingerprint…

Jetzt verstehe ich gar nichts mehr. Soll ich das so lassen ?

FF hat auch noch einen eigenen Fingerprint Schutz, vielleicht den noch deaktivieren?

Danke für den Tip @Tealk
Dein Screenshot zeigt die möglichen Einstellungen wenn man den Browserschutz auf „Benutzerdefiniert“ stellt. Ich hab das mal versucht und danach alle Tabs neu geladen. Das Ergebnis bleibt unverändert. Habe dann den Browserschutz wieder aud „Streng“ zurückgestellt…

dann fällt mir leider gerade auch nichts mehr ein

JShelter blockiert Web Worker, um Fingerprinting zu verhindern. Da nur sehr wenige Nutzer Web Worker blockieren, könnte dies als sehr identifizierbarer Datenpunkt für Fingerabdrücke verwendet werden. Sehe auch es hat außerdem nur 500 Nutzer. Daher wird jedes Fingerprinting-Skript, das es erkennt, in Kombination mit eins, zwei anderen Metriken, einen einzigartig machen, egal wie gut JShelter ist.

JShelter kann wohl leicht umgangen und erkannt werden.
https://github.com/arkenfox/user.js/issues/1388#issuecomment-1059905786

Es wird nicht klar, welche Kombination von user.js und Add-Ons du verwendet hast. Jedenfalls sind die Add-On-Konfigurationen aus dem Privacy-Handbuch darauf ausgelegt, mit der user.js des Handbuchs zusammenzuarbeiten, nicht mit der von akenfox.

Vielen Dank für diesen Tip zum Thema JShelter und die Verlinkung zur Erklärung. Ich muss allerdings zugeben das mein Englisch zwar gut genug ist um den Artikel zu lesen; technisch verstehen allerdings tue ich das nicht.
Wie auch immer. Ich habe JShelter jetzt erst einmal entfernt. Allerdings ohne das sich etwas an den Ergebnissen in coveryourtracks geändert hat.
Auf browserleaks hingegen sieht das Image File Detail jetzt wie folgt aus:

Uniqueness aber immer noch 100%…
Danke nochmals

Zugegeben, ich hätte meinen Eingangsthread besser strukturieren müssen. Gern also nachfolgend mein Versuch einer Besserung:

Für mein normales surfen… => Profilname:arkenfox

  • user.js von arkenfox (aktuell Version 105).
  • uBlockOrigin, Config ebenfalls arkenfox (hard mode).
  • JShelter habe ich heute entfernt. (s.den Tip von @Ark )
  • CanvasBlocker, Config aus dem Privacy-Handbuch (17.03.2022)

Für mein Online Banking => Profilname:medium-strong

  • user.js medium-streng aus dem Privacy-Handbuch
  • uBlockOrigin, Config ebenfalls arkenfox (medium mode).
  • JShelter habe ich heute entfernt. (s.den Tip von @Ark )
  • CanvasBlocker, Config aus dem Privacy-Handbuch (17.03.2022)

Durch die Entfernung von JShelter aus beiden FF-Profilen sieht es aktuell so aus:
Profilname: arkenfox

  • unter coveryourtracks wird „strong protection against tracking“ angezeigt. „Protecting you from fingerprinting ?“ => kein Ergebnis, die 3 kleinen Balken laufen und laufen…
  • unter browserleaks wird 100% Uniqueness angezeigt. Allerdings wechselt der Fingerprint bei jedem Neustart und auch jedem Neuladen der Website.

Profilname: medium-strong

  • unter coveryourtracks wird „strong protection against tracking“ angezeigt. „Protecting you from fingerprinting ?“ => Your browser has a unique fingerprint !
  • unter browserleaks wird 100% Uniqueness angezeigt. Der Fingerprint wechselt in diesem Profil NICHT !

Wichtig ist es mir das arkenfox Profil in einen Zustand zu bekommen von dem die Profis hier sagen: So ist es korrekt konfiguriert…

Unique ist bei dem Test jeder, der keinen Torbrowser nutzt. Wenn Du es richtig machen willst, schau dir die Lernkurve im Wiki von der Arkenfox an.

Ansonsten absolutes Minimum
I don’t want RFP
https://github.com/arkenfox/user.js/issues/1080

Canvas Blocker zurücksetzen und von den 3 Presets eins auswählen.

Danke erst einmal…
Ich habe mir das jetzt mal durchgelesen. Anschliessend habe ich die Ergänzung für „I don´t want RFP“ in meine user-overrides.js eingebaut.
Was Du allerdings mit „Canvas Blocker zurücksetzen und von den 3 Presets eins auswählen“ meinst, weiß ich nicht. Wo finde ich denn diese 3 Presets ?
Ersatzweise habe ich mir von https://github.com/kkapsner/CanvasBlocker/releases die xpi runtergeladen und installiert.

Die beiden Testseiten zeigen jetzt, in Bezug auf den fingerprint, das Gleiche an. 100% Uniqueness mit wechselndem Fingerprint bei Neustart und Neuladen. Nach all dem was ich bislang gelesen habe kann ich damit ja nun wohl zufrieden sein, oder ?

Ich habe aber noch eine abschliessende Frage:
Nachdem es jetzt funktioniert, habe ich 8gemäß Anleitung in Arkenfox) die user.js mal mit den Scripten von Arkenfox aktualisiert.

  • Firefox schliessen
  • Update Script starten (läuft auch sauber durch)
  • PrefsCleaner laufen lassen (läuft ebenfalls sauber durch)
  • Firefox starten

Dann habe ich gemerkt, dass keine der prefs aus der user-overrides.js zur Anwendung kommt. Sämtliche Overrides finde ich nach dem Updater der user.js auch am Ende der "upgedateten user.js aber anscheinend werden sie ignoriert.

Was mache ich falsch ?

In den Einstellungen vom CB gibt es einen Punkt, der „Voreinstellungen“ heißt dort findest Du die 3 Presets, einen Punkt zum zurücksetzen gibt es auch in den Einstellungen vom CB .

SECTION 0400 ist noch unbedingt zu empfehlen. google safebrowsing downloads deaktivieren, damit google nicht stündlich deine ip erfährt.
https://raw.githubusercontent.com/arkenfox/user.js/master/user.js

/*** OVERRIDES /
/
========= ***/

// Block google safebrowsing, it is evil ***/
user_pref(„browser.safebrowsing.downloads.enabled“, false);
user_pref(„browser.safebrowsing.downloads.remote.url“, „“); // Defense-in-depth
user_pref(„browser.safebrowsing.malware.enabled“, false);
user_pref(„browser.safebrowsing.phishing.enabled“, false);
user_pref(„browser.safebrowsing.downloads.remote.block_potentially_unwanted“, false);
user_pref(„browser.safebrowsing.downloads.remote.block_uncommon“, false);

Das sämtliche Overrides am Ende der User.js stimmt so. Hast Du die prefs über about:config geprüft?

Was mache ich falsch ?

Du hast das Wiki nicht gelesen :slight_smile:

3.4 Apply & Update & Maintain

If you are not using a new profile, we recommend running our cleanup script, the instructions are in the file.

Sofern aus dem Verlauf dieses Threads nicht ohnehin schon ablesbar: Ich bin lediglich ein interessierter Nutzer. Viele Dinge muß ich mir über Try-and-Error erarbeiten.
Für jedwede Hilfe die ich bekomme bin ich also wirklich dankbar und lerne davon.

Warum erwähne ich das ? Ich komme hier so langsam an meine persönlichen Grenzen :slight_smile:

Lieber @Ark , ich habe das Wiki wirklich gelesen :slight_smile: , traute mich aber nicht das cleanup script auszuführen, da ich nicht wirklich weiß wie das gehen soll…
Rufe ich about:config in Firefox auf und benutze (auf meinem MacBook) control+shift+k auf, passiert gar nichts. Eine Konsole öffnet sich nicht. Gehe ich jedoch in Firefox rechts oben auf „die 3 Balken“-Weitere Werkzeuge- Werkzeuge für Webentwickler, öffnet sich innerhalb des about:config Tab eine Konsole. Ist das jetzt die Webkonsole ?..wenn Ja, was mache ich jetzt mit dem cleanup script? Kopiere ich mir den gesamten Text des Scriptes in diese Konsole ? …und starte dann Wie das Script ?
Aber noch einmal zurück zu Deiner letzten Antwort.

Ja, ich habe alle prefs geprüft und alle entsprachen nicht den Einstellungen in den Overrides.

Kann mein Problem vielleicht auch daran liegen, dass ich grundsätzlich etwas verkehrt mache? Meine Frage zielt auf das Herunterladen und dem Format der user.js von arkenfox ab. Wenn ich mir
hier die user.js herunterladen will klicke ich in der Übersicht auf „user.js“ . Dann markiere ich mir den gesamten Text und kopiere mir den Text in meinen JSON-Editor. Das Ergebnis ist eine „user.json“ Die benenne ich dann einfach in user.js um und benutze sie.
Vielleicht ist das ja das Problem?
Mache ich jedoch in der Übersicht einen Rechtsklick auf „user.js“ und dann „Ziel speichern unter“ wird die user.js um HTML Format abgespeichert und damit kann ich nichts anfangen.

Bitte habe Geduld mit mir…

korrekt, einfach einfügen und enter.
Danach firefox neu starten wieder about:config und nur „js“ eingeben. Was steht in der 1 Zeile in der rechten spalte?

https://raw.githubusercontent.com/arkenfox/user.js/master/user.js
link öffen und strg+s dann wird die user.js gleich im richtigen format gespeichert.

@Ark

Welches Format ist denn das Richtige und mit was für einem Editor bearbeitest Du denn z.B. Deine user-overrides.js ?

@Ark

In der ersten Zeile steht => SUCCESS: No no he’s not dead, he’s, he’s restin’!

Danach habe dann noch einmal das Update laufen lassen und dann die prefs.js mit dem Script von arkenfox gesäubert. …
Die Einträge der user-overrides.js wurden wieder sauber am Ende eingetragen aber nicht „übernommen“. Die einzelnen prefs habe ich in der about:config überprüft. Alle standen auf den falschen Werten.

Ich habe dann wieder alle händisch in den oberen Bereich der user.js übertragen und alles ist wieder i.O.
Hast Du noch eine Idee warum die angefügten Overrides nicht angewandt werden ?

jsoneditor passt schon.
Die Einträge der user-overrides.js werden immer ans Ende der user.js geschrieben. Die unteren Einträge habe auch Priorität vor den oberen.
Falls Du z. B. 2-mal die gleichen prefs in user.js hast, mit unterschiedlichen werten, zählt immer der wert der unteren pref. Dass die Werte also auf einmal stimmen, weil sie in den oberen Bereich der user.js eingetragen werden, ist grundsätzlich falsch.
Hattest Du vorher schon eine andere user.js außer der Arkenfox genutzt?

Ich habe jetzt noch 4 andere FF-Profile. Eins davon basiert auf der medium-streng, die andere auf der hotspot user.js aus dem Privacy-Handbuch. Dann noch ein standard Profil ohne user.js und ohne Addons. Das default Profil hat FF wohl selbst angelegt…

Tatsächlich benutze ich aktuell nur das arkenfox Profil und zum Banking das mediumstrong Profil.
Um das Problem ggf. weiter einzugrenzen könnte ich auch -bis auf das arkenfox Profil- alle anderen löschen. Einkomplettes Backup des Firefox-Ordners habe ich schon angelegt…

Ich würde ein neues Profil anlegen und alles von Anfang. Keine Addons installieren. Die user-overrides mit der user.js zusammenführen und falls die prefs in about:config dann immer noch nicht stimmen ein Ticket bei der Arkenfox aufmachen.