Mozilla brengt Firefox 72 uit met bescherming tegen fingerprinting

Mozilla heeft een nieuwe versie van Firefox uitgebracht die fingerprinting tegengaat. De browser blokkeert voortaan verschillende technieken waarmee gebruikers 'gefingerprint' kunnen worden door derde partijen. Ook zien gebruikers straks geen notificaties van websites meer.

Mozilla bracht de nieuwe versie van de browser woensdag uit. Mozilla kijkt voor de fingerprintbescherming met name naar bedrijven die de techniek inzetten, en niet zozeer de technologie zelf. Fingerprinting is een methode om een unieke gebruiker te identificeren op basis van kenmerken van de browser, het surfgedrag of de computer van de gebruiker. Zo kijken sommige sites naar de grootte van een scherm of welke versie van een besturingssysteem iemand gebruikt. Met genoeg van zulke variabelen kan een tracker met redelijke zekerheid vaststellen dat het ergens om een specifieke gebruiker gaat. Die kan op die manier gevolgd worden over verschillende websites.

Omdat fingerprinting bestaat uit een combinatie van factoren die op zichzelf vrij onschuldig zijn, is het moeilijk dat op technische wijze te stoppen. In Firefox 72 wordt fingerprinting geblokkeerd door alle requests van een derde partij standaard te blokkeren, als dat bedrijf erom bekendstaat fingerprinting toe te passen. Mozilla werkt daarvoor samen met Disconnect. Dat bedrijf houdt een lijst bij van bedrijven die fingerprinting gebruiken. Ook houdt Disconnect bij welke bedrijven cross-site tracking doen. Bedrijven die van beide methodes gebruikmaken, kunnen voortaan geen tracking meer inzetten. Mozilla zegt dat het Disconnect helpt nieuwe methodes te bouwen om fingerprinting op te sporen. Met die blokkade is het dan niet alleen onmogelijk om informatie van het systeem van een gebruiker op te vragen, maar ook om nog langer informatie op te vragen via netwerkrequests zoals het ip-adres van een gebruiker.

Firefox 72 blokkeert voortaan ook notificaties van websites. Die worden vervangen door een klein notificatiebolletje in de url-balk. Ook is de picture-in-picture-modus nu ook beschikbaar voor macOS- en Linux-gebruikers.

Reacties (53)

bigsteve22 8 januari 2020 15:36

Is Privacy Badger nu overbodig geworden?

Maulwurfje @bigsteve22 • 8 januari 2020 16:05

Ik merk dat reclame op Youtube niet volledig geblokkeerd wordt. Ik gebruik FF icm met Ghostery en heb die laatste plugin dus nog wel nodig.

Rudie_V @Maulwurfje • 8 januari 2020 17:13

Ik zou Ghostery niet meer gebruiken, uBlock Origin zou ik aanraden. Zie oa mijn comment Rudie_V in 'downloads: Mozilla Firefox 72.0' . uBlock Origin is veel beter te configureren en helemaal naar je wens in te stellen als je even de tijd neemt.
https://github.com/gorhill/ublock/wiki

ToolBee @Rudie_V • 8 januari 2020 17:21

Klopt! Maar niet voor iedereen geschikt.
Je moet per pagina alle toestemmingen beheren en dat vergt wat inzet waar niet iedereen zin in heeft.

Rudie_V @ToolBee • 8 januari 2020 17:46

Zeker, maar je kan uBlock Origin natuurlijk ook standaard gebruiken en dan hoef je niets te configureren na de installatie.

Zelf dan al is uBO al beter dan een Ghostery.

Rudie_V @bigsteve22 • 8 januari 2020 17:10

Ik denk dat Privacy Badger niet overbodig is geworden, of een andere ad-blocker die je normaal gesproken gebruikt. De Firefox Enhanced Tracking Protection is gebaseerd op de disconnect.me lijsten, elke ad-blocker die meer lijsten gebruikt zal waarschijnlijk meer blokkeren.
https://support.mozilla.o...racking-protection-blocks

What Enhanced Tracking Protection blocks

Firefox uses a list of known trackers provided by Disconnect. By default, Firefox blocks the following types of trackers and scripts.

Social media trackers
Cross-site tracking cookies
Cryptominers
Tracking content in Private Windows only. These trackers are hidden in ads, videos, and other in-page content. Blocking them can cause some websites to break. To add this protection in all windows, visit your privacy preferences and select Strict or Custom as explained below.

Ik zou aanraden om de Firefox Enhanced Tracking Protection op custom te zetten:
Cookies: Cross-site and social media tracking Of Cookies from unvisited websites(deze gebruik ik zelf)
Tracking Content: zou ik uitvinken en je eigen ad-blocker gebruiken.
Cryptominers: aanvinken.
Fingerprinters: aanvinken.
Een goede ad-blocker of goed geconfigureerde ad-blocker zal wellicht ook al de nodige cryptominers and fingerprinter blokkeren.

magician2000 @Rudie_V • 9 januari 2020 00:13

Nu ben ik wel benieuwd naar de reden dat jij kiest voor:
Cookies: Cross-site and social media tracking Of Cookies from unvisited websites(deze gebruik ik zelf) en niet voor Cookies from unvisited websites.

Hetzelfde voor:
Tracking Content: zou ik uitvinken en je eigen ad-blocker gebruiken.
Waarom niet aan laten staan en alsnog een eigen ad-blocker gebruiken?

Rudie_V @magician2000 • 9 januari 2020 10:56

Mijn cookie instelling staat ook op Cookies from unvisited websites, dat staat er ook achter tussen haakjes

.

Dat ik de Tracking content uitvink is omdat het eigenlijk dubbelop is al je zelf al een goede ad-blocker gebruikt.

magician2000 @Rudie_V • 11 januari 2020 00:10

Bedankt voor je reactie.

Aha, anders geïnterpreteerd en inderdaad het staat erachter.

Dat het wat dubbelop is heb je wel gelijk in inderdaad, maar wellicht dat er bij de één wat doorglipt dat de ander dan weer oppikt? Zolang mijn systeem niet (merkbaar) traag gaat worden maak ik me er niet te druk om.

Rudie_V @magician2000 • 11 januari 2020 14:39

Ja het stond misschien niet helemaal duidelijk.

Het zou inderdaad kunnen dat de Tracking content optie van Firefox Enhanced Tracking Protection nog iets zou kunnen blokkeren dat uBlock Origin nog doorlaat. Maar gezien de resultaten van uBO vermoed ik dat de Tracking content optie, die werkt met de lijsten van disconnect.me, niets noemswaardigs meer toevoegd. Bovendien gebruikt uBO lijsten van verschillende bronnen en ik denk niet dat al die verschillende bronnen geen overlapping met de lijsten van disconnect.me hebben.
En op de site van disconnect.me staat "Block 2,000+ tracking sites" terwijl uBO standaard al 90+K network filters heeft.

Overigens kan je in uBO handmatig lijsten toevoegen, eventuele dubbelen worden eruit gefilterd, je zou de disconnect.me lijsten dus ook aan uBO toe kunnen voegen. Overigens heeft uBO al een "Malvertising filter list by Disconnect" optie, hoewel niet standaard aangevinkt, dat zal wel een reden hebben. Als je die aanvinkt krijg je er wel iets van 2700 filters bij, maar als je die lijst bekijkt zijn het gewoon domeinnamen en ik vermoed dat uBO ads van die domeinen al op een andere manier blokkeert. Al zou het de moeite waarde zijn had de ontwikkelaar deze lijsten wel standaard aangezet.

magician2000 @Rudie_V • 11 januari 2020 23:07

Dank voor de interessante toelichting.

Ik gebruik uBO ook al een tijd. Evenals bijvoorbeeld NoScript.

Staat ondertussen best veel op blokkade en er zijn sites die niet (goed) werken hierdoor. In het begin heb je dan de neiging om meer open te zetten voor die site, maar daar ben ik mee gestopt. Ik ga er nu vanuit dat er iets ongewenst op een website staat welke het niet (goed) doet en laat deze dan maar links liggen.

Het blijft een kat en muis spel tussen trackers, adverteerders en de blokkeerders van die zaken :-)

Rudie_V @magician2000 • 12 januari 2020 11:57

Ik heb NoScript ooit eens heel even gebruikt en je kan heel diep gaan met het blokkeren van zaken als script, fonts, media, fetch, frames, maar zoals je ook al aangeeft moet je steeds heel veel zaken openzetten om een werkende site te krijgen. Ik heb het verwijderd en daarna ook nog even uMatrix gebruikt, hetzelfde als NoScript alleen ook van de maker van uBO, maar daar natuurlijk hetzelfde probleem weer, om een werkende site te krijgen moet je heel veel openzetten elke keer. Standaard images en css toelaten is heel veilig om mee te beginnen, maar je moet al snel scripts en andere zaken toelaten om een werkende site te krijgen. Bovendien moet je het elke keer weer doen als je weer een nieuwe site bezoekt, ene kant heel leuk, maar soms ook vervelend. Op het Wilders Security Forums gaf de maker van uBO en uMatrix aan dat hijzelf uMatrix ook niet gebruikt, maar alleen uBO omdat je daarmee eigenlijk alles wel kan doen wat echt nodig is, tenzij je heel diep wil gaan, dan is uMatrix, of NoScipt, handig maar of het echt wat toevoegd is een tweede, afgezien van veel werk en hier en daar misschien wat frustraties.

Ik ben eigenlijk gewoon de tor browser gaan gebruiken(die standaard NoScript heeft), met uBO met standaard instellingen als extra add-on, en doe daar zoveel mogelijk mee, en daarnaast gebruik ik pas Firefox met oa uBO voor zaken die niet werken via tor of op sites of forums waar je account gebruikt of voor e-mail.

magician2000 @Rudie_V • 13 januari 2020 00:09

Je kunt tegenwoordig zaken wel aanzetten in NoScript voor bepaalde sites, dus dat is wel fijn. Maar zelf heb ik steeds meer de insteek om te kijken wat ze precies willen en of ik dat wel wil. Anders door naar de volgende website.

Zeker wanneer ik in een shop ben wil ik niet dat er van alles en nog wat "open" moet staan voor die site of naar derden.

Die TORbrowser was bij mij alweer even naar de achtergrond geraakt... toch weer eens naar kijken. Wederom bedankt!

Kvibe @Rudie_V • 8 januari 2020 20:38

Gebruik ongeveer dezelfde settings alleen met tracking content gewoon aangevinkt en daarnaast nog een ad-blocker. Tevens worden bij mij gewoon alle third party cookies geblokkeerd. Geen last van websites die niet werken.

Rudie_V @Kvibe • 9 januari 2020 10:57

Alle third-party cookies blokkeren kan ook, maar dan moet je het wel doorhebben dat als een site niet goed werkt dat het daar door komt. Ik heb een hele tijd terug eens geprobeert, maar ondervond problemen en moest dus aparte cookies gaan toelaten of een andere instelling proberen, vandaar dat ik terug ben gegaan naar Cookies from unvisited websites.

CollisionNL @bigsteve22 • 8 januari 2020 16:04

Ik leun even mee op je vraag. Ben benieuwd.

Chuk 8 januari 2020 15:37

Via Javascript worden inderdaad een heleboel settings en parameters opgevraagt, die op zich niet uniek zijn, maar de combinatie ervan maakt het unieker. Via websites zoal https://panopticlick.eff.org/ kan je een aantal van de meestgebruikte tracking parameters zien (als je kijkt naar de full test result).

0romis @Chuk • 8 januari 2020 15:45

Firefox 72 geïnstalleerd test uitgevoerd fingerprinting nog steeds mogelijk zegt de test. In settings staat bescherming tegen fingerprinting aan

poststamp @0romis • 8 januari 2020 15:51

Firefox blokkeert toch ook niet de techniek, maar bedrijven die erom bekend staan die techniek te misbruiken.

Bardman1 @poststamp • 8 januari 2020 16:53

Zijn daar websites van dieik dan in Pi-hole kan zetten?

poststamp @Bardman1 • 8 januari 2020 17:06

Vast wel, als ik google op 'disconnect block list' kom ik al lijstjes tegen.

Bardman1 @poststamp • 8 januari 2020 17:09

Die heb ik wel, gaat mij om die fingerprint sites waar ze het over hebben. Ik heb zelfs een commerciële lijst geprobeerd in pi-hole van meer dan een miljoen sites, en toch komen die fingerprints door. Maar met de update van Mozilla heb ik weinig tot geen last meer.

HMC @0romis • 8 januari 2020 16:11

Zelf ook die test weer eens gedaan.

Heb je ook de "resultaten" bekeken voor "fingerprinting"?

Bij mijn Opera is alles ok, behalve inderdaad fingerprinting.
Opera wordt herkend als "Mozilla/5.0" wat in vast bijna iedereens browser het geval zal zijn.
Ook zijn in die tabel de herleidbare factoren (one in x ...) nou niet echt bepaald hoog.
Oftewel, bijna alle browser-gebruikers hebben dat daar staan.
Alleen mijn fonts geven mij een iets herleidbaarder iets. ""One in 1898."

Ik denk dat je met bijna alle browsers wel aardig snor zit tegenwoordig.

Tiimmeh @HMC • 8 januari 2020 16:50

Dat is dus precies wat Chuk probeert aan te halen:

Via Javascript worden inderdaad een heleboel settings en parameters opgevraagt, die op zich niet uniek zijn, maar de combinatie ervan maakt het unieker.

Grote kansen vormen gezamelijk kleine kansen, oftewel op een enkele parameter ben je misschien wel niet te onderscheiden (welke browser je gebruikt bijvoorbeeld), maar de combinatie maakt je veelal uniek. Dat is ook wat de website bovenaan de fingerprinting resultaten suggereert:

Your browser fingerprint appears to be unique among the 123,456 tested in the past 45 days.

Kvibe @Tiimmeh • 8 januari 2020 20:41

Hoe werkt dat fingerprinting eigenlijk precies op je mobiele telefoon als je bijvoorbeeld firefox focus gebruikt?

Cebby

@0romis • 8 januari 2020 15:49

Het gaat er ook om dat de requests naar diensten die fingerprinting doen worden geblokkeerd, niet de technische functionaliteit waardoor het mogelijk is.

rene_fb @Chuk • 8 januari 2020 20:30

Maar waarom moet een browser überhaupt zo veel vertellen?

xdizzy12 @rene_fb • 9 januari 2020 14:15

Ik zit even te kijken welke dingen vaak worden bijgehouden, en dat zijn allemaal nuttig dingen die een website nodig kan hebben qua info. Zoals het formaat van je scherm (om goed te renderen) of welke videoformaten jouw systeem ondersteunt. Allemaal dingen die op zichzelf niet zo veel betekenen, maar samen toch een vrij unieke combinatie vormen.

WoutervOorschot

@Chuk • 8 januari 2020 16:13

Wel leuk dat ie do not track als minpunt beschouwt, ios en macos zijn daar mee gestopt omdat het meer werd gebruikt als fingerprint-parameter dan om het tegen te gaan.

bkwadraat @Chuk • 8 januari 2020 17:16

Voor de mensen die er iets dieper in willen duiken dan panopticlick: https://amiunique.org/fp of nog dieper bij onze zuiderburen: https://securehomes.esat....ersistent/#canvas-results

Gropah 8 januari 2020 15:38

Firefox 72 blokkeert voortaan ook notificaties van websites. Die worden vervangen door een klein notificatiebolletje in de url-balk. Ook is de picture-in-picture-modus nu ook beschikbaar voor macOS- en Linux-gebruikers.

Ik snap dat dit gebeurd. Veel websites vragen te pas en te onpas om notificatie's te sturen, vaak terwijl het helemaal niet relevant is voor zo'n website. Zeker niet als je daar pas voor de eerste keer komt. Dan zit het de gebruikservaring alleen maar in de weg.

Aan de andere kant, zo'n bolletje is te niets zeggend en onopvallend en als developer vind ik het wel jammer dat op deze manier de kans dat Progressive Web Apps daadwerkelijk een ding worden weer kleiner is geworden.

Anoniem: 160587 @Gropah • 8 januari 2020 15:55

Uit https://blog.mozilla.org/...ssion-prompts-in-firefox/

"Based on these studies, we will require user interaction on all notification permission prompts, starting in Firefox 72. That is, before a site can ask for notification permission, the user will have to perform a tap, click, or press a key."

Dat lijkt mij dan ook een prima zet en zou PWA verder niet moeten verhinderen.
Als je best practices toepast dan deed je bovenstaande zelfs al. Dit verhinderd de websites die je bezoekt die meteen een permissie popup in je gezicht schuiven met de vraag of je notificaties wilt.

Termin8r @Gropah • 8 januari 2020 15:56

[...]
als developer vind ik het wel jammer dat op deze manier de kans dat Progressive Web Apps daadwerkelijk een ding worden weer kleiner is geworden.

Als developer zou je het veeleer jammer moeten vinden dat de industrie kennelijk niet tot zelfregulering in staat is. Dan krijg je dit soort initiatieven.

Overigens richt dit initiatief zich niet op de techniek, maar op specifieke misbruikers ervan. Dat kun je alleen maar jammer vinden als je zo'n misbruiker bent.

Wouterie @Gropah • 8 januari 2020 15:56

Ik snap dat deze maatregel de goede toepassingen in de weg zitten. Net als met het vuurwerkverbod weten degene die de zaken misbruiken het weer te verzieken voor de rest. Zou het een idee zijn om met een soort whitelist te gaan werken? Dat sites die zich aantoonbaar weten te gedragen een uitzondering krijgen op de blokkade.

Strebor

@Wouterie • 8 januari 2020 16:32

Nee, geen whitelists voor dit soort dingen. Dan krijg je een organisatie die kan beslissen of jij mee mag doen. Vaak gaat zo'n organisatie dan ook maar een administratieve vergoeding vragen. Dat is niet de bedoeling.

Ghxst 8 januari 2020 16:06

Ik ben heel benieuwd hoe dit in de realiteit uit gaat pakken, er zijn namelijk veel "tracking" bedrijven die fingerprinting inzetten om het product of de service van web shops e.d. te beschermen.

Denk hierbij bijvoorbeeld aan populaire fashion merken die fingerprinting gebruiken om valse inschrijvingen tegen te gaan op hun limited edition producten.

Vanuit een privacy standpoint vind ik dit uiteraard een goede stap van Mozilla maar er is een legitieme use case voor het verifiëren van een gebruiker en / of zijn (of haar) browser dat wellicht gehinderd gaat worden door de hoeveelheid gegevens die de browser openbaar maakt over zijn omgeving te limiteren.

Door deze limitaties zou je dan bijvoorbeeld het risico kunnen lopen dat jij als legitieme gebruiker "flagged" wordt als minder betrouwbaar, waardoor bepaalde producten of services niet beschikbaar zouden zijn.

Als je dan daarna Chrome probeert en je hebt geen problemen, kan dat negatieve invloed hebben op Mozilla, "Mozilla werkt niet maar Chrome wel" zul je mensen dan horen zeggen, terwijl dat natuurlijk niet helemaal waar is.

Je merkt nu al met sommige Ad-blockers dat je deze moet uitschakelen op websites zoals bol.com en andere webshops als je contact wilt leggen met de klantenservice via de web-chat, dit komt omdat de service die gebruikt wordt voor de web-chat gezien wordt als een false positive.

Mijn voorstel zou dan ook zijn om die zelfde route als deze AdBlockers te nemen en gebruikers de mogelijkheid te geven om dit aan of uit te zetten op een site-by-site basis, het zou dan ook helemaal top zijn als Mozilla laat zien welke attributen een bepaalde website opvraagd en wellicht zelfs die individueel kan aanpassen.

Kleine tip voor de geïnteresseerden: Druk op F12 in Chrome of Firefox om de "console" te openen, daar kun je dan de browser APIs aanspreken zoals "navigator".

Zie ook:
https://www.akamai.com/us.../security/bot-manager.jsp
https://www.cloudflare.com/lp/bot-management/

batjes @Ghxst • 8 januari 2020 16:54

Zou geen probleem zijn geweest als het misbruik de doeltreffendheid niet zou overstijgen. 99/100 keer als ik met fingerprinting/tracking of notificaties in aanraking kom is het in mijn ogen misbruik van de mogelijkheden. Net als autoplay en flash dat in het verleden ook was, waar door de aanpak van o.a. Mozilla een paar goede websites te lijden kregen. Jammer, collateral damage. Zoek dan maar naar een betere oplossing.

Gustaaf437 @Ghxst • 8 januari 2020 17:05

Het is maar heel soms dat er hier onbedoeld dingen worden tegengehouden. Apple is alweer een paar jaar bezig met 'tracking prevention' en daar schrijven ze ook over. Als legitieme zaken toch worden gelimiteerd, dan is het een moeilijke afweging iets weer toe te staan of om te kijken hoe ze de schade zo min mogelijk kunnen beperken. Echter valt het in 99% van de gevallen wel mee.

Vexxon 8 januari 2020 15:59

Als ik naar de lijst kijk van trackers die geblokkeerd worden dan valt het me op dat die verassend kort is.
Ik kan me bijna voorstellen dat een Google en Facebook dit ook niet doen of heb ik dat mis?
Ik zou in ieder geval verwachten dat die lijst een stuk langer zou zijn en niet dat de laatste update van die lijst van 5 jaar terug is.

stuiterveer @Vexxon • 8 januari 2020 16:13

Je hebt het hier over de homepage waar je naar kijkt, waar duidelijk boven de 3 items staat:

Or you can view a simple list of blocked trackers here. Example changes to this tracker list can be seen below.

De volledige lijst is een stuk langer, en benoemt wel degelijk zaken als de Facebook en Google domeinen.

Vexxon @stuiterveer • 8 januari 2020 16:35

Ah cool, dank je.

Firefox is nu echt de must-have browser geworden als privacy belangrijk voor je is.

PhilipsFan @Vexxon • 8 januari 2020 18:05

Ah cool, dank je.

Firefox is nu echt de must-have browser geworden als privacy belangrijk voor je is.

Fixed. Privacy is voor iedereen belangrijk. Helaas hebben velen dat nog niet door.

Anoniem: 498327 8 januari 2020 16:09

Waarom maken ze niet gewoon een optie om Javascript op heel veel requests gewoon random data of standaarddata te sturen? Of een permissiesysteem voor JS? Schermresolutieopvragen: mag niet. Muispositie opvragen: mag niet.

rene_fb @Anoniem: 498327 • 8 januari 2020 20:33

Ik ben voor! Beetje als menig permissie voor apps.

Bardman1 8 januari 2020 16:43

Eindelijk verlost van die dwangmatige inlog procedure bij Aliexpress. 1x zoeken gaat goed, 2e maal, eerst inloggen.
Vpn Met opera werkt dan ook wel maar dit is prettiger.

uip 8 januari 2020 17:11

Voila, geînstalleerd zie. Ben benieuwd of de andere grote browsers gaan volgen

Wildfire

8 januari 2020 19:03

Ondertussen zitten we alweer op v72.0.1

robb7 8 januari 2020 21:38

Ik heb net https://disconnect.me/trackerprotection/blocked toegevoegd aan de pihole server lijst. Ga ervan uit dat dit ook helpt (en dan voor iedereen hier in huis).

Op dit item kan niet meer gereageerd worden.

Mozilla brengt Firefox 72 uit met bescherming tegen fingerprinting

Lees meer

Reacties (53)

Sorteer op:

Weergave: