From bf45bb180630a7e354205d3253472c6e981afdae Mon Sep 17 00:00:00 2001 From: Boris Kraut Date: Tue, 14 Jul 2015 14:25:25 +0200 Subject: [PATCH] Firefox vs. Mozilla Manifest --- 2015-07-14T12:25:22Z.msg | 95 ++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 95 insertions(+) create mode 100644 2015-07-14T12:25:22Z.msg diff --git a/2015-07-14T12:25:22Z.msg b/2015-07-14T12:25:22Z.msg new file mode 100644 index 0000000..c31f042 --- /dev/null +++ b/2015-07-14T12:25:22Z.msg @@ -0,0 +1,95 @@ +From: Boris Kraut +To: undisclosed-recipients: ; +Date: Tue, 14 Jul 2015 14:25:22 +0200 +Message-ID: <20150714142522.SXfrQg@edupad.local> +Reply-To: Boris Kraut +Subject: [.plan] Firefox vs. Mozilla Manifest + +Lange Zeit habe ich immer fuer Firefox argumentiert. Ein Browser, der +von einen Non-Profit-Organisation entwicklet wird, ist mir deutlich +lieber als einer von einem komerziellen Unternehmen -- ganz egal ob +nun open-source oder geschlossen. Zudem ist Mozilla's Philosophie in +einem Manifest [0] gehalten, bei dem es unter anderem -- auch der Rest +ist lesenswert! -- heisst: + +> Individuals' security and privacy on the Internet are fundamental +> and must not be treated as optional. + +Nun gab es sich, dass ich schon lange nicht mehr sehr zufrieden mit +Mozillas Richtung bin. Die Abkehr von Thunderbird war ein erster Auf- +reger, FirefoxOS war ein unnoetiger Flop, die Unterstuetzung der EME +und damit DRM war eigentlich schon ein Tabu-Bruch und dann kamen auch +noch Werbe-Kacheln. Seit ich mich naeher mit Firefox for Android be- +schaeftige und gemerkt habe, wie viel proprietaerer Mist dort verbaut +wird (und nicht leicht deaktivierbar ist) und was Firefox per default +an Daten nach Hause sendet -- in FDroid traegt Firefox zu Recht das +Label "Anti-Feature: Tracking" --, ist mir schon ganz anders... + +Doch die letzte version 38.0.5 bzw. 39.0 von Firefox hat mich endgueltig +davon ueberzeugt, dass es Zeit ist eine Alternative zu suchen, auch wenn +damit Funktionalitaetseinbussen hinzunehmen sind. Eher unter der Hand wird +man darueber in Kenntnis gesetzt, dass [1]: + +> Fennec (Firefox for Android) tracks certain types of installs using +> a third party install tracking framework called Adjust. +> +> [...] +> +> The Adjust SDK is hard-coded to send data to the endpoint +> https://app.adjust.com. +> +> [...] +> +> The Adjust backend then sends a limited subset of the collected data +> – limited but sufficient to uniquely identify the submitting device – +> to a set of advertising network providers that Mozilla elects to share +> the collected data with. + +Zu den gesendeten Daten gehoert u.a.: + +> The android_uuid uniquely identifies the device. + +> The gps_adid is a Google Advertising ID. It is capable of uniquely +> identifying a device to any advertiser, across all applications. If +> a Google Advertising ID is not available, Adjust may fall back to an +> Android ID, or, as a last resort, the device’s WiFi MAC address. + +Und selbst Mozilla ist sich nicht so ganz sicher, wie eindeutig das im +Endeffekt ist -- meine Meinung: eindeutig eindeutig: + +> It is not clear how much entropy their is in the set of per-device +> parameters that do not explicitly uniquely identify the device. That +> is, it is not known if the device parameters are likely to uniquely +> fingerprint the device, in the way that user agent capabilities are +> likely to uniquely fingerprint the user. + +Zu Mozilla's Ehrenrettung muss ich sagen, dass sie sich Gedanken gemacht +haben, was sie da einsetzen. Das SDK ist open-source, der Anbieter ist +in Deutschland beheimatet und Mozilla zahlt fuer die Nutzung -- in der +Hoffnung, dass der Anbieter sich dann nicht selbst ueber die erhobenen +Daten finanzieren muss. Ausserdem planen sie auch das alles wieder zu +entfernen... irgendwann. + +Fuer mich verstoesst Firefox hier gerade gegen den obengenannten Punkt +aus Mozilla's Manifest. Firefox ist an sich nicht mehr vertrauenswuerdig, +eine Alternative muss her. In FDroid wollen wir Firefox schon lange raus- +werfen, weil wir die Original-Binary nicht bauen koennen/duerfen. Wir +haben mit eine spezielle, unoffizielle Build, die wir aus den Quellen +bauen, doch obwohl wir uns auf minimale Aenderungen beschraenken, ist +es immer ein Eiertanz, wenn ein Update kommt. Ich habe in der Diskussion +dafuer plediert, langsam Firefox auszuphasen. Erst die Nutzerinformieren, +sicherstellen, dass sie immer eine Option zum Updaten haben, d.h. + + - Erst einen Kommunikationsweg mit Firefox-Nutzern ueber FDroid schaffen. + - Alternatives Binary-Repo bereitstellen + - Umstellen + +Doch mit diesem Wechsel bei Mozilla, sehe ich keinen Grund mehr dafuer. +Ich habe ein simplen Updater geschrieben, evtl. den etwas aufpolieren, +aber dann so schnell wie moeglich Firefox aus FDroid entfernen! + +Und fuer den Desktop: Schwer. Ein Fork? Tor-Browser? Dillo? Weniger Web? + + +[0] https://www.mozilla.org/en-US/about/manifesto/ +[1] https://gecko.readthedocs.org/en/latest/mobile/android/base/fennec/adjust.html -- 1.7.10.4