Mozilla activeert Total Cookie Protection bij alle Firefox-gebruikers

Mozilla heeft zijn Total Cookie Protection-functie standaard geactiveerd bij alle Firefox-gebruikers. Hierdoor is het moeilijker voor websites en adverteerders om het gedrag van Firefox-gebruikers te volgen.

Eerder was Total Cookie Protection alleen beschikbaar als de gebruiker de 'strenge' browserprivacy-instelling had geactiveerd. Nu zit het ook bij de standaard privacy-instelling, schrijft Mozilla. Volgens het bedrijf wordt de privacy van de gebruiker hiermee "nog beter beschermd".

Total Cookie Protection is een onderdeel van Enhanced Tracking Protection sinds Firefox 86. Iedere trackingcookie die gebruikers over meerdere websites volgt, wordt door Total Cookie Protection in een silo geplaatst. Hierdoor kunnen de cookies niet meer worden gedeeld met andere websites.

Enhanced Tracking Protection gebruikt een lijst van trackerblocker Disconnect om trackers te herkennen en te blokkeren. Het werkt echter alleen goed als die lijst van Disconnect up-to-date is. Domeinen die niet op de lijst staan, kunnen gebruikers alsnog tracken. Total Cookie Protection werkt op een andere manier. Het maakt gebruik van State Partitioning, een technologie die identificeert of een thirdpartycookie iemand over websites probeert te tracken.

Reacties (63)

Alxndr

14 juni 2022 17:19

@LFranxWind de link naar "state partitioning" geeft een 404.

Ik ben benieuwd wat het precies is, als je voor ieder domein wat je bezoek nu de cookies in een apparte folder (of container) stopt en een domein enkel toegang tot zijn eigen folder/container heeft, dan heb je toch helemaal geen lijst nodig?

edit: zo zie ik het plaatje ook, maar dit is zo voor de hand liggend dat ik niet snap dat het niet altijd al zo gedaan is?

[Reactie gewijzigd door Alxndr op 23 juli 2024 16:57]

ajakkes @Alxndr • 14 juni 2022 18:12

Het plaatje vond ik ook wat verwarrend.

Zoals ik het altijd begrepen heb:

Als je bijv. AD.nl bezoekt kan daar bijv. een iFrame in zitten met Facebook.com/ad.nl als URL.
Hierdoor krijgt dit iFrame zijn eigen cookie (met info over jou) terug. Met de wetenschap dat je ad.nl bezoekt.

Daarna bezoek je Nu.nl en hierin zit een iFrame met Facebook.com/nu.nl. Wederom wordt dezelfde cookie verstuurd naar Facebook met info (fingerprint) over jou.

Mozilla heeft er nu voor gezorgd dat er een nu.nl^facebook.com cookie op je pc wordt geplaatst en een ad.nl^facebook.com cookie. De info over jou is nu veel moeilijker aan elkaar te koppelen door Facebook. Want beide cookies bevatten andere inhoud. (tenzij je op nu.nl en ad.nl bent ingelogd met je facebook account, want in dat geval zit je gebruikers-id in beide cookies)

Dit werkt bij advertentienetwerken (want de advertentie wordt via de iframe aangeboden), Google Analitics (want er zit een object in dat door google wordt aangeboden), bij Facebook/Twitter, want veel 'deel' knoppen op websites worden op deze manier aangeboden. Bij Youtube, want het videovenster is een iFrame. enz..

Nas T @ajakkes • 14 juni 2022 21:02

Zou het technisch mogelijk zijn (voor Firefox) om de cookies te vullen met nepgegevens?
Zodra gegevens niks waard zijn, is het voor derde partijen niet interessant om deze te verzamelen.
Dat zou gunstig zijn, want dan kunnen bedrijven op termijn hun activiteiten inzetten voor nuttigere zaken (of minder nutteloze zaken). We moeten zo snel mogelijk af van de gegevenshonger ...

xFeverr @Nas T • 14 juni 2022 21:47

Maar wat is dan nog een cookie? Kun je ze ook gewoon volledig uitzetten, dat heeft meer nut.

Olifant1990 @xFeverr • 14 juni 2022 23:58

Dan vergeet je dat cookies wel nodig zijn voor sites met een winkelwagen (bijvoorbeeld, met sessies dus)

[Reactie gewijzigd door Olifant1990 op 23 juli 2024 16:57]

TheDutchChief @Olifant1990 • 15 juni 2022 08:10

Volgens mij juist dan niet. Je kunt een winkelwagentje toch ook server-sided bouwen, juist op een sessie-id?

Patriot @TheDutchChief • 15 juni 2022 08:42

Je bent niet minder afhankelijk van cookies als je sessies gebruikt. Het enige verschil is dat de data niet meer direct toegankelijk is door de cliënt.

Olifant1990 @TheDutchChief • 16 juni 2022 12:51

Ja, en wie onthoud het sessie-id? dat is meestal een cookie.

TheDutchChief @Olifant1990 • 16 juni 2022 12:58

Ik heb ooit lang geleden wat in PHP zitten programmeren. Volgens mij is er interactie tussen browser en server op basis van een id waar ik geen cookie op hoefde te zetten. Aan die server-sessie-id kon ik serversite variabelen hangen zonder dat je iets op de cliënt hoeft weg te schrijven. Punt is wel dat zo gauuw je de browser herstart die id weg is. Onthoudt het dus niet over sessies heen. Dat is natuurlijk wat bol.com enzo wel willen, dat als je een dag later terugkomt de spullen nog in je winkelmandje zitten.

Olifant1990 @TheDutchChief • 16 juni 2022 18:09

Er is volgens mij maar 1 valide alternatief: een sessie-id via de URL's/POST/GET linkjes elke keer meegeven.
Dan kun je zonder cookie werken.
Browser ID kun je niet van op aan dacht ik.
En als je deze gebruikt als sessie-id, zal PHP alsnog een cookie met dat ID wegschrijven.

TweakerCarlo @xFeverr • 15 juni 2022 12:52

Dan blijf je altijd die allow cookie walls krijgen. Ik heb het een tijdje gedaan maar dan is internet onbruikbaar. Zelfs bij een reject all krijg je het volgende bezoek het weer voorgeschoteld. Het is echt ellende.

xFeverr @TweakerCarlo • 15 juni 2022 14:26

Dat zal natuurlijk ook gaan gebeuren als je random gegevens als 'cookie' terug stuurt naar de webserver. Of die webserver zal je een HTTP 4xx of 5xx teruggeven. Dat kan ook. Naja, dan heb je in ieder geval geen last van een cookiewall.

Waterbeesje @xFeverr • 14 juni 2022 22:11

Voor jezelf wel.
Als een site geen cookie terug krijgt is het ook heb te verwerken data. Jammer, maar ze gaan door naar de volgende wat wel een koekje vandaan komt.
Vul je een koekje met rubbish, is het wel data. Die moet worden verwerkt, maar daar kan de ontvanger verder niks mee. Dus data moet extra gefilterd worden. Daar is een actie en kost servercapaciteit. Kost dus geld. Vinden "ze" niet echt grappig uiteraard

RRRobert @xFeverr • 15 juni 2022 07:44

Maar wat is dan nog een cookie? Kun je ze ook gewoon volledig uitzetten, dat heeft meer nut.

Sommige sites functioneren niet, of maar beperkt, als je hun cookie policy afwijst, dus dat is ook niet altijd wenselijk.

Ik vraag me eigenlijk af wat dit te weeg brengt bij zulke websites, met de Total Cookie Protection standaard 'aan'.

zvbhvb @ajakkes • 14 juni 2022 19:28

De extensie umatrix installeren en de url's die je niet direct bezoekt rood markeren (blocken).

Is soms wel een beetje een gepuzzle totdat je een voor jou werkbare site hebt gekregen :-)

RuddyMysterious @zvbhvb • 14 juni 2022 20:25

Je kan al heel veel van deze functionaliteit bekomen met uBlock Origin en de Medium Mode.

zvbhvb @RuddyMysterious • 15 juni 2022 20:08

Medium Mode lijkt een beetje op umatrix. Beiden werken goed samen.

Geekomatic

@ajakkes • 15 juni 2022 00:42

Dank, je zou inderdaad wensen dat alleen de site die de cookie plaatst, er later weer bij kan.
Dus alleen het door jou bezochte domein in de URL van dat moment.
En niemand anders.
Prima om dit standaard te maken.

[Reactie gewijzigd door Geekomatic op 23 juli 2024 16:57]

Dazenet @Geekomatic • 15 juni 2022 01:09

Het zou veel beter zijn als Mozilla zijn cookiebeheer eens gebruiksvriendelijker maakt.
Ik weet niet meer precies wanneer ze het hebben veranderd maar het is al een aantal jaren een tijdrovende ramp.

Cookies...standaard alles blokkeren.
Als je akkoord gaat met cookies dan alleen van de site die je bezoekt en de keuze of je dat altijd wil doen of alleen voor de sessie, of dat je het na de sessie wil verwijderen maar wel voor een volgende sessie wil accepteren.
Laat ook een lijst zien van andere cookies die worden aangeboden zodat je eventueel kan kiezen of je specifieke cookies van derde domeinen ook wil accepteren (kan handig zijn bij bv bankieren, want banken lijken moeilijk doen erg op prijs te stellen)

Dit wordt weer gebracht als een fantastische ontwikkeling, maar jongens...als webbrowser die claimt je privacy hoog in het vaandel te hebben loop je ongeveer 15 jaar achter.

iFrames van een ander domein zou overigens ook gewoon standaard geblokkeerd moeten worden. Pure security risk dat soort onzin.

[Reactie gewijzigd door Dazenet op 23 juli 2024 16:57]

kozue

Browsers

@ajakkes • 15 juni 2022 09:07

Volgens mij werkt dat ook als je wel ingelogd bent. Die login zit immers in een cookie, en die login cookie heb je dus niet op die andere domeinen. Je bent dus effectief niet ingelogd, alleen als je expliciet naar facebook.com gaat.

zvbhvb @kozue • 15 juni 2022 20:14

Tenzij je tweefactor authorisatie aan hebt staan. Je zegt het zelf heb je de cookie dan kun je inloggen.
So old skool. Moet je continue uitkijken dat je niet zo maar op links klikt (in forums bijvoorbeeld).

Giku @ajakkes • 16 juni 2022 09:12

Begrijp ik goed dat dit dus niet werkt voor fingerprinting?

erwn @Alxndr • 14 juni 2022 18:19

De discussie op https://github.com/mozill...nt-containers/issues/1974 behandelt de verschillen tussen deze (nieuwe) functionaliteit en Mozilla's Multi-Account Containers-extensie.

GekkePrutser @erwn • 14 juni 2022 20:42

Ja multi-account containers blijf ik zeker gebruiken, het is onder meer gewoon retehandig om bijvoorbeeld meerdere tenants op Office 365 tegelijk ingelogd te houden. Normaal is dat gewoon niet mogelijk binnen dezelfde browser.

Ook scheiden deze veel meer dan alleen cookies.

HawkFire76 @Alxndr • 14 juni 2022 17:25

Dit is het artikel waarin State Partitioning wordt geïntroduceerd.
https://hacks.mozilla.org...ucing-state-partitioning/.

Alxndr

@HawkFire76 • 14 juni 2022 17:26

ik was deze net aan het lezen

Jazco2nd

Mozilla Firefox

@Alxndr • 14 juni 2022 17:43

Het staat beetje gek in het artikel maar inderdaad, met Total Cookie Protection wordt geen lijst gebruikt. Met Enhanced Cookie Protection die eerst standaard aanstond werd dat vroeger wel gebruikt, nu ook niet meer.

[Reactie gewijzigd door Jazco2nd op 23 juli 2024 16:57]

zordaz @Alxndr • 14 juni 2022 17:58

Wat je beschrijft is zo ongeveer wat de Temporary Containers extensie doet.

Auteur

LFranxWind @Alxndr • 14 juni 2022 17:31

Oeps

. De juiste link staat er nu in. Bedankt voor het aangeven.

hanskroll 14 juni 2022 17:22

about:config
network.cookie.cookieBehavior 5
https://support.mozilla.o...y-total-cookie-protection

[Reactie gewijzigd door hanskroll op 23 juli 2024 16:57]

zvbhvb @hanskroll • 14 juni 2022 19:10

about:config
network.cookie.cookieBehavior 5

Nou eerder: network.cookie.cookieBehavior 3 (staat alleen cookies toe van sites die je daadwerkelijk bezoekt)

privacy.resistFingerprinting = true
privacy.trackingprotection.fingerprinting.enabled = true
privacy.trackingprotection.cryptomining.enabled = true
privacy.firstparty.isolate = true
privacy.trackingprotection.enabled = true
geo.enabled = false
media.navigator.enabled = false

"Setting this preference to false will block websites from being able to track the microphone and camera status of your device."

https://restoreprivacy.com/firefox-privacy/
https://gofoss.net/firefox/

Zo zijn er nog wel de nodige mogelijke instellingen, helemaal als je een aangepaste user.js gaat gebruiken:

https://github.com/pyllyukko/user.js/

Vampyre @zvbhvb • 14 juni 2022 19:34

about:config
network.cookie.cookieBehavior 5

Nou eerder: network.cookie.cookieBehavior 3 (staat alleen cookies toe van sites die je daadwerkelijk bezoekt)

5 lijkt me juist het punt van deze tech.
zie ook: https://developer.mozilla...rivacy/State_Partitioning

Value Description
5 Reject (known) trackers and partition third-party storage.
4 Only reject trackers (Storage partitioning disabled).
0 Allow all

[Reactie gewijzigd door Vampyre op 23 juli 2024 16:57]

zvbhvb @Vampyre • 14 juni 2022 19:37

Ja snap ik, tenzij je de starter van de applicatie aanpast en continue incognito surft. De cookies en dergelijke worden na het sluiten van de browser automatisch gewist. In die context is: "i don't care about cookies" extensie wel handig, die gaat meestal door bijna alle cookie walls heen.

blorf 14 juni 2022 17:41

Ze willen het niet echt. Wat een browser gewoon kan doen is bij elk domein doen alsof cookies werken, en deze niet daadwerkelijk opslaan maar per sessie vasthouden totdat de browser wordt gesloten. De sites die dan nog klagen doen aan tracking via reclame van derden.

J2S @blorf • 14 juni 2022 17:54

Als je je cookies niet bewaart tussen sessies, ben je telkens weer uitgelogd bij elke nieuwe sessie. Dat vindt niet iedereen fijn. Ik werk al een tijd op die manier, met een paar uitzonderingen, maar het kan gebruiksvriendelijker.

blorf @J2S • 14 juni 2022 18:02

Alleen niet als je daar geregistreerd bent en automatisch inlogt. In feite hetzelfde, lokaal een stukje informatie opslaan voor latere identificatie, alleen niet via de cookie-standaard.

amigob2 @blorf • 14 juni 2022 18:09

Waar zet ik automatisch login aan want ik gooi mijn cookies altijd weg en moet altijd op nieuw inloggen, terwijl de passworden wel zijn opgeslagen ( Brave ) . Ziggogo doet er nu nog een stapje boven op, daar moet je altijd je login en password nu intypen met de laatste update van de website

blorf @amigob2 • 14 juni 2022 18:12

Half automatisch. Je login-gegevens kunnen worden bewaard door de browser. Is al een jaar of 20 zo...

wankel @J2S • 14 juni 2022 18:28

Als middenweg kun je de multi-account-container-extensie gebruiken.

Je kan inrichten dat standaard elk tab in z'n eigen (nieuwe/temp) container geopend wordt; je kan (permanente) containers toewijzen aan specifieke sites.

De cookies van die permanente containers blijven behouden, je sessie/login blijft dus actief, maar sites die in een tijdelijke container terechtkomen moeten elke keer opnieuw hun cookies plaatsen.

@blorf , bedoel je misschien client certificates? Dat is in ieder gevas een techniek waarmee het buiten cookies om kan werken.

Iblies @blorf • 14 juni 2022 18:06

totdat de browser wordt gesloten.

Totdat de TAB wordt afgesloten en daarnaast kun je nog een zekerheidje inbouwen dat een cookie maximaal x aantal minuten aanwezig blijft in bepaalde gevallen.

Alleen heet cookie verhaal is cliënt-side ,
wat bedrijven proberen is server side fingerprints opslaan van systemen en daar moet nog strenger op worden toegekeken.

blorf @Iblies • 14 juni 2022 18:09

Gewoon geen domeinen informatie met elkaar laten delen en er eerlijk over zijn op het moment dat dat wel wordt geprobeerd. Dat is het tracking-netwerk. Alle browsers doen net of hun neus bloedt want ze worden deels gefinancierd door die kant.

Ramoncito 14 juni 2022 17:14

Wat doet Firefox met de cookies van sites die al op de pc staan nadat je deze update hebt geïnstalleerd? alsnog verplaatsen? of eerst zelf de boel leegmaken?

Alxndr

@Ramoncito • 14 juni 2022 17:23

denk dat het aan het soort cookie ligt, het gaat hier expliciet om tracking cookies, worden/werden die niet altijd al automatisch gedelete als je de browser sluit?

Ramoncito @Alxndr • 14 juni 2022 18:42

Niet op de laptop van mijn moeder dacht ik, maar ik ga het nog eens bekijken. We hebben beiden Firefox erop staan, zelfde versie.

Martinspire @Ramoncito • 14 juni 2022 18:49

Ze verlopen vast een keer. Maar ik gok niet dat ze je ineens overal willen uitloggen...

Anck 14 juni 2022 17:27

https://hacks.mozilla.org...ucing-state-partitioning/

Dit zit al anderhalf jaar in de enhanced tracking protection. Had je dat al aan staan, dan verandert er verder niks.

Overigens staat bij de "strict" optie nog altijd de waarschuwing dat sommige pagina functionaliteit niet zou kunnen werken. In de praktijk merk ik er niks van. Iemand een voorbeeld van (legitieme) functionaliteit die ik zou missen?

[Reactie gewijzigd door Anck op 23 juli 2024 16:57]

FairPCsPlease @Anck • 14 juni 2022 17:44

Als je vragenlijsten invult van consumentenpanels werken die doorgaans niet meer, want het is juist nodig dat bij het doorlinken van de ene naar de andere site en daarna terugleiden aan het eind van de vragenlijst naar het panel waar je de punten krijgt, dat de sites weten, dat jij het bent die wordt doorgeleid en daarmee die punten verdient.

Hetzelfde met spaarpunten die je verdient door eerst langs Ippies.nl te gaan voor je bij een webwinkel iets bestelt. Die spaarpunten krijg je niet, als de tracking onmogelijk wordt gemaakt.

Dus ik moet uitzoeken hoe ik deze functie uit zet, in elk geval voor deze sites.

Xander2 @FairPCsPlease • 14 juni 2022 17:50

Browser Privacy -> Manage Exceptions naast Enhanced Tracking Protection

FairPCsPlease @Xander2 • 14 juni 2022 18:08

Dank je. Wat ik tot nu toe gewoon was, was klikken op het schildje als een site niet werkt (dat doet misschien hetzelfde?).

Xander2 @FairPCsPlease • 14 juni 2022 19:35

Ja, die zet het in de exceptions--

Alex3 @FairPCsPlease • 14 juni 2022 19:20

En als je op een website iets wil betalen en je wordt naar de site van je bank gestuurd, en na het betalen weer terug, zou dat dan ook niet meer werken?

kozue

Browsers

@Alex3 • 15 juni 2022 09:24

Dat werkt prima, dat werkt niet met cookies (de bronsite kan immers nooit cookies zetten voor je banksite), maar met parameters in de url.

Alex3 @kozue • 15 juni 2022 11:08

Inderdaad, ik heb het al gebruikt. Het gaat goed.

GekkePrutser 14 juni 2022 20:45

Hoe hebben ze dit dan aangezet opeens? Want de geldende versie is nog steeds 101.0.1.

Was dit vooraf gedaan aan de hand van de datum, of wordt dit op afstand bestuurd? Zoja, wil ik wel meer info over hoe dit precies werkt want remote control over mijn brower van Mozilla vind ik op zich geen fijne functie.

Het verwerken in nieuwe updates vind ik verder prima, maar daar heb ik zelf de controle over wanneer ik die installeer.

L0g0ff

@GekkePrutser • 14 juni 2022 22:34

Ik kreeg gisteren in FF netjes een vraag of ik dit wilde inschakelen.

Monzo 15 juni 2022 00:24

Voor inloggen op Office.com passeren ongeveer 6-9 domeinen de revue voor ik er ben. Msauth.net en nog meer domeinen. Noscript op een nieuwe pc slaat altijd op hol als ik daar probeer in te loggen.

Ik zit tegenwoordig niet meer zo in de web-technologieën.

Gaat dit total protection daar ook effect op hebben?

Dark Angel 58 @Monzo • 15 juni 2022 12:24

Voor inloggen op Office.com passeren ongeveer 6-9 domeinen de revue voor ik er ben. Msauth.net en nog meer domeinen. Noscript op een nieuwe pc slaat altijd op hol als ik daar probeer in te loggen.

Ik zit tegenwoordig niet meer zo in de web-technologieën.

Heb je gezien hoeveel cookies office.com gebruikt

Zo veel... net 21 gezien, maar na verloop van tijd 98 stuks!!! soms wel 147.
Echt belachelijk.

Daarom pleit ik voor een totaal verbod op cookies, want we willen helemaal geen gegevens (cookies) van de websites op onze computers plaatsen, omdat ze soms de problemen geven!
De websites moeten voortaan databases gebruiken om onze instellingen op te slaan, niet meer op onze computers zoals de idioten van Youtube waar ik jarenlang had geklaagd dat ze autoplay setting niet lokaal moeten opslaan!

mutley69 14 juni 2022 20:01

De lievelingssong van Mozilla-gebruikers: the Cookiejar is empty!

lenwar

Browsers

14 juni 2022 22:50

In mijn persoonlijke ervaring (n=1) weken ongeveer 100,0% van de websites goed als je ‘derdepartijcookies’ uitschakeld.

Is dat niet een veel handiger optie om gewoon aan te hebben staan (dus dat het ‘uit’ is)

Overigens heb ik zelf al jaren een extensie die automatisch cookies verwijderd zodra je een site afsluit. Een paar cookies whitelisten, die je regelmatig gebruikt (drie cookies van tweakers.net en anderhalve webwinkel)
Dat in combinatie met ‘I don’t care about cookies’ die automatisch cookies accepteert met de minste privileges, is dat prima werkbaar.

SubSpace

15 juni 2022 04:46

Hmm, ik had het vorige week (met tegenzin) juist uitgezet, omdat Twitch chat niet werkte met de functie aan.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (63)

Sorteer op:

Weergave: