From: Boris Kraut To: undisclosed-recipients: ; Date: Tue, 14 Jul 2015 14:25:22 +0200 Message-ID: <20150714142522.SXfrQg@edupad.local> Reply-To: Boris Kraut Subject: [.plan] Firefox vs. Mozilla Manifest Lange Zeit habe ich immer fuer Firefox argumentiert. Ein Browser, der von einen Non-Profit-Organisation entwicklet wird, ist mir deutlich lieber als einer von einem komerziellen Unternehmen -- ganz egal ob nun open-source oder geschlossen. Zudem ist Mozilla's Philosophie in einem Manifest [0] gehalten, bei dem es unter anderem -- auch der Rest ist lesenswert! -- heisst: > Individuals' security and privacy on the Internet are fundamental > and must not be treated as optional. Nun gab es sich, dass ich schon lange nicht mehr sehr zufrieden mit Mozillas Richtung bin. Die Abkehr von Thunderbird war ein erster Auf- reger, FirefoxOS war ein unnoetiger Flop, die Unterstuetzung der EME und damit DRM war eigentlich schon ein Tabu-Bruch und dann kamen auch noch Werbe-Kacheln. Seit ich mich naeher mit Firefox for Android be- schaeftige und gemerkt habe, wie viel proprietaerer Mist dort verbaut wird (und nicht leicht deaktivierbar ist) und was Firefox per default an Daten nach Hause sendet -- in FDroid traegt Firefox zu Recht das Label "Anti-Feature: Tracking" --, ist mir schon ganz anders... Doch die letzte version 38.0.5 bzw. 39.0 von Firefox hat mich endgueltig davon ueberzeugt, dass es Zeit ist eine Alternative zu suchen, auch wenn damit Funktionalitaetseinbussen hinzunehmen sind. Eher unter der Hand wird man darueber in Kenntnis gesetzt, dass [1]: > Fennec (Firefox for Android) tracks certain types of installs using > a third party install tracking framework called Adjust. > > [...] > > The Adjust SDK is hard-coded to send data to the endpoint > https://app.adjust.com. > > [...] > > The Adjust backend then sends a limited subset of the collected data > – limited but sufficient to uniquely identify the submitting device – > to a set of advertising network providers that Mozilla elects to share > the collected data with. Zu den gesendeten Daten gehoert u.a.: > The android_uuid uniquely identifies the device. > The gps_adid is a Google Advertising ID. It is capable of uniquely > identifying a device to any advertiser, across all applications. If > a Google Advertising ID is not available, Adjust may fall back to an > Android ID, or, as a last resort, the device’s WiFi MAC address. Und selbst Mozilla ist sich nicht so ganz sicher, wie eindeutig das im Endeffekt ist -- meine Meinung: eindeutig eindeutig: > It is not clear how much entropy their is in the set of per-device > parameters that do not explicitly uniquely identify the device. That > is, it is not known if the device parameters are likely to uniquely > fingerprint the device, in the way that user agent capabilities are > likely to uniquely fingerprint the user. Zu Mozilla's Ehrenrettung muss ich sagen, dass sie sich Gedanken gemacht haben, was sie da einsetzen. Das SDK ist open-source, der Anbieter ist in Deutschland beheimatet und Mozilla zahlt fuer die Nutzung -- in der Hoffnung, dass der Anbieter sich dann nicht selbst ueber die erhobenen Daten finanzieren muss. Ausserdem planen sie auch das alles wieder zu entfernen... irgendwann. Fuer mich verstoesst Firefox hier gerade gegen den obengenannten Punkt aus Mozilla's Manifest. Firefox ist an sich nicht mehr vertrauenswuerdig, eine Alternative muss her. In FDroid wollen wir Firefox schon lange raus- werfen, weil wir die Original-Binary nicht bauen koennen/duerfen. Wir haben mit eine spezielle, unoffizielle Build, die wir aus den Quellen bauen, doch obwohl wir uns auf minimale Aenderungen beschraenken, ist es immer ein Eiertanz, wenn ein Update kommt. Ich habe in der Diskussion dafuer plediert, langsam Firefox auszuphasen. Erst die Nutzerinformieren, sicherstellen, dass sie immer eine Option zum Updaten haben, d.h. - Erst einen Kommunikationsweg mit Firefox-Nutzern ueber FDroid schaffen. - Alternatives Binary-Repo bereitstellen - Umstellen Doch mit diesem Wechsel bei Mozilla, sehe ich keinen Grund mehr dafuer. Ich habe ein simplen Updater geschrieben, evtl. den etwas aufpolieren, aber dann so schnell wie moeglich Firefox aus FDroid entfernen! Und fuer den Desktop: Schwer. Ein Fork? Tor-Browser? Dillo? Weniger Web? [0] https://www.mozilla.org/en-US/about/manifesto/ [1] https://gecko.readthedocs.org/en/latest/mobile/android/base/fennec/adjust.html