+From: Boris Kraut <krt@nurfuerspam.de>
+To: undisclosed-recipients: ;
+Date: Tue, 14 Jul 2015 14:25:22 +0200
+Message-ID: <20150714142522.SXfrQg@edupad.local>
+Reply-To: Boris Kraut <krt@nurfuerspam.de>
+Subject: [.plan] Firefox vs. Mozilla Manifest
+
+Lange Zeit habe ich immer fuer Firefox argumentiert. Ein Browser, der
+von einen Non-Profit-Organisation entwicklet wird, ist mir deutlich
+lieber als einer von einem komerziellen Unternehmen -- ganz egal ob
+nun open-source oder geschlossen. Zudem ist Mozilla's Philosophie in
+einem Manifest [0] gehalten, bei dem es unter anderem -- auch der Rest
+ist lesenswert! -- heisst:
+
+> Individuals' security and privacy on the Internet are fundamental
+> and must not be treated as optional.
+
+Nun gab es sich, dass ich schon lange nicht mehr sehr zufrieden mit
+Mozillas Richtung bin. Die Abkehr von Thunderbird war ein erster Auf-
+reger, FirefoxOS war ein unnoetiger Flop, die Unterstuetzung der EME
+und damit DRM war eigentlich schon ein Tabu-Bruch und dann kamen auch
+noch Werbe-Kacheln. Seit ich mich naeher mit Firefox for Android be-
+schaeftige und gemerkt habe, wie viel proprietaerer Mist dort verbaut
+wird (und nicht leicht deaktivierbar ist) und was Firefox per default
+an Daten nach Hause sendet -- in FDroid traegt Firefox zu Recht das
+Label "Anti-Feature: Tracking" --, ist mir schon ganz anders...
+
+Doch die letzte version 38.0.5 bzw. 39.0 von Firefox hat mich endgueltig
+davon ueberzeugt, dass es Zeit ist eine Alternative zu suchen, auch wenn
+damit Funktionalitaetseinbussen hinzunehmen sind. Eher unter der Hand wird
+man darueber in Kenntnis gesetzt, dass [1]:
+
+> Fennec (Firefox for Android) tracks certain types of installs using
+> a third party install tracking framework called Adjust.
+>
+> [...]
+>
+> The Adjust SDK is hard-coded to send data to the endpoint
+> https://app.adjust.com.
+>
+> [...]
+>
+> The Adjust backend then sends a limited subset of the collected data
+> – limited but sufficient to uniquely identify the submitting device –
+> to a set of advertising network providers that Mozilla elects to share
+> the collected data with.
+
+Zu den gesendeten Daten gehoert u.a.:
+
+> The android_uuid uniquely identifies the device.
+
+> The gps_adid is a Google Advertising ID. It is capable of uniquely
+> identifying a device to any advertiser, across all applications. If
+> a Google Advertising ID is not available, Adjust may fall back to an
+> Android ID, or, as a last resort, the device’s WiFi MAC address.
+
+Und selbst Mozilla ist sich nicht so ganz sicher, wie eindeutig das im
+Endeffekt ist -- meine Meinung: eindeutig eindeutig:
+
+> It is not clear how much entropy their is in the set of per-device
+> parameters that do not explicitly uniquely identify the device. That
+> is, it is not known if the device parameters are likely to uniquely
+> fingerprint the device, in the way that user agent capabilities are
+> likely to uniquely fingerprint the user.
+
+Zu Mozilla's Ehrenrettung muss ich sagen, dass sie sich Gedanken gemacht
+haben, was sie da einsetzen. Das SDK ist open-source, der Anbieter ist
+in Deutschland beheimatet und Mozilla zahlt fuer die Nutzung -- in der
+Hoffnung, dass der Anbieter sich dann nicht selbst ueber die erhobenen
+Daten finanzieren muss. Ausserdem planen sie auch das alles wieder zu
+entfernen... irgendwann.
+
+Fuer mich verstoesst Firefox hier gerade gegen den obengenannten Punkt
+aus Mozilla's Manifest. Firefox ist an sich nicht mehr vertrauenswuerdig,
+eine Alternative muss her. In FDroid wollen wir Firefox schon lange raus-
+werfen, weil wir die Original-Binary nicht bauen koennen/duerfen. Wir
+haben mit eine spezielle, unoffizielle Build, die wir aus den Quellen
+bauen, doch obwohl wir uns auf minimale Aenderungen beschraenken, ist
+es immer ein Eiertanz, wenn ein Update kommt. Ich habe in der Diskussion
+dafuer plediert, langsam Firefox auszuphasen. Erst die Nutzerinformieren,
+sicherstellen, dass sie immer eine Option zum Updaten haben, d.h.
+
+ - Erst einen Kommunikationsweg mit Firefox-Nutzern ueber FDroid schaffen.
+ - Alternatives Binary-Repo bereitstellen
+ - Umstellen
+
+Doch mit diesem Wechsel bei Mozilla, sehe ich keinen Grund mehr dafuer.
+Ich habe ein simplen Updater geschrieben, evtl. den etwas aufpolieren,
+aber dann so schnell wie moeglich Firefox aus FDroid entfernen!
+
+Und fuer den Desktop: Schwer. Ein Fork? Tor-Browser? Dillo? Weniger Web?
+
+
+[0] https://www.mozilla.org/en-US/about/manifesto/
+[1] https://gecko.readthedocs.org/en/latest/mobile/android/base/fennec/adjust.html
projects / krt-msg / commitdiff