Firefox Browser absichern mit App Armor und user.js

Heute betrachten wir mal den Firefox Browser und schauen uns an, wir diesen mit App Armor und user.js Einstellungen privacy-optimiert absichern und verwenden können. In der heutigen digitalen Welt ist die Sicherheit und Privatsphäre im Internet wichtiger denn je. Einer der Schlüssel dazu ist die Wahl des richtigen Browsers – und Firefox, bekannt für seine Anpassungsfähigkeit und Fokus auf Datenschutz, steht hier oft an vorderster Front. Doch wie kann man Firefox noch sicherer machen? Die Antwort liegt in der Anpassung von speziellen User.js-Konfigurationen und der Nutzung von AppArmor zur Absicherung.

Intro

Die User.js-Datei in Firefox ist ein mächtiges Werkzeug, mit dem Ihr tiefergreifende Einstellungen am Browser vornehmen könnt, um beispielsweise Tracking zu reduzieren, Datenschutzeinstellungen zu verschärfen und die allgemeine Sicherheit zu erhöhen. Diese Einstellungen gehen weit über die standardmäßigen Optionen hinaus, die man in den Einstellungen von Firefox findet. Mit den richtigen Einstellungen lässt sich der Firefox Browser sicherer konfigurieren als beispielsweise der Brave Browser, welcher in seinen standard-Einstellunge bereits zu den Top Browser bzgl Privatsspähre und Sicherheit gehört.

Parallel dazu spielt AppArmor, ein auf Linux basierendes Sicherheitstool, eine wichtige Rolle in der Absicherung des Systems. AppArmor hilft dabei, die Berechtigungen von Anwendungen zu kontrollieren und zu beschränken, was sie auf dem System tun können. Durch die Konfiguration von AppArmor für Firefox können wir den Browser in einer Art „Sandbox“ laufen lassen, was das Risiko von Schadsoftware-Infektionen und anderen Sicherheitsbedrohungen erheblich mindert.

In den folgenden Abschnitten werden wir uns eingehend mit der Optimierung der User.js-Einstellungen für Firefox beschäftigen und die Schritte zur Integration von AppArmor für eine umfassende Sicherheitslösung aufzeigen. Ob Ihr ein Datenschutz-Enthusiast seid oder einfach nur einen sichereren Browser wünschst, diese Anleitungen werden Euch helfen, Eure Online-Erlebnis sicherer und privater zu gestalten.

Hardening mit der user.js

Die user.js ist eine benutzerspezifische Datei die sehr sehr viele Einstellungen auf allen Ebenen ermöglicht. Sie befindet sich in den Firefox Profilen welche Ihr unter /home/bentutzername/.mozilla/firefox findet. Das der Profilname besteht aus mehren hyroglypisch angeordneten Buchstaben und oftmals exisitisieren mehrere solcher Einträge:

Um herauszufinden, welches Verzeichnis Euer aktuelles Firefox-Profil ist, könnt Ihr die Datei profiles.ini in deinem Firefox-Verzeichnis überprüfen. Diese Datei enthält Informationen über alle Profile, die auf Eurem System eingerichtet sind, einschließlich des Standardprofils und aller benutzerdefinierten Profile.

In unserem Fall gibt es zwei Profile: coqhfvmq.default und kvpydv02.default-release. Um festzustellen, welches davon das aktuelles Profil ist, können wir die profiles.ini-Datei mit einem Texteditor wie nano öffnen und nachsehen, welches Profil als Standard festgelegt ist. Das Profil, das mit StartWithLastProfile=1 und Default=1 markiert ist, ist unser aktuelles Profil.

Alternativ können wir auch Firefox öffnen und about:profiles in die Adressleiste eingeben. Diese Seite zeigt uns alle vorhandenen Profile und das derzeit verwendete Profil an:

Hier sehen wir dass das Profil kvpydv02.default-release unser Standard-Profil ist. Diesen Ordner öffnen wir und erzeugen eine neue Datei mit nano user.js

Alternativ könnt Ihr natürlich auch im Explorer arbeiten. Hier müsst Ihr einfach versteckte Dateien anzeigen aktivieren, ansonsten seht Ihr den mozilla Ordner nicht im Home Verzeichnis.

Konfigurationen erstellen

Wir können hier verschiedenste Konfigurationen nun selber festlegen, oder aber voreingestellte Profile verwenden. Wir beziehen uns hier auf privacy-handbuch.de, welche auf Ihrer Seite sehr gute Profile bereits zusammengestellt haben:

Spalte 1 - aktuellste Firefox Version

Spalte 2 - Firefox ESR 115.x

minimal (Basiskonfiguration)	user.js	user.js
moderat (spurenarm Surfen)	user.js	user.js
medium streng (etwas mehr Sicherheit)	user.js	user.js
sehr streng (hohe Sicherheitansprüche)	user.js	user.js
Hostspot (für WiFi-Logins)	user.js	user.js

Öffnet einen entsprechenden Link und kopiert Euch den Inhalt in die neu erstellte user.js
Danach startet Ihr den Browser neu. Versucht Euch an den Profilen ob das entsprechende Profil nicht zu fest in den Alltag eingreift. Geht eine Stufe zurück falls bestimmte Funktionen, die Ihr unbedingt benötigt, nicht mehr funktionieren. Entfernt einfach dafür den Inhalt der aktuellen user.js und tragt den Inhalt eines anderen Profils ein. Vergesst nicht den Browser danach neu zu starten!

Übersicht der verschiedenen Konfigurationen

Basiskonfiguration: Diese ist ideal für Nutzer, die ein uneingeschränktes Surferlebnis mit einem Plus an Privatsphäre suchen.

• Unnötige Features von Mozilla wie Activity Stream, Pocket, Telemetrie sind ausgeschaltet.
• Cookies und Cache werden nach dem Schließen des Browsers gelöscht; Tracking-Schutz ist aktiv.
• Einige Sicherheitseinstellungen sind aktiv, wie die Deaktivierung der Autoausfüllung in Formularen.
• HTTPS-First Mode ist eingeschaltet, wobei bei URL-Eingabe zuerst HTTPS versucht wird.

Moderate Einstellungen: Sie gehen einen Schritt weiter, indem sie zusätzliche Features deaktivieren, die oft für Tracking genutzt werden.

• Individuelle Schriften sind ausgeschaltet, um Fingerprinting zu verhindern.
• HTTPS-only-Mode ist aktiv, mit der Option, bei Bedarf auf HTTP umzuschalten.
• Googles Safebrowsing und Mozillas Add-on Blockliste sind aus.
• Der Captive Portal Service ist deaktiviert; für Hotspot-Logins wird ein separates Profil benötigt.

Mittlere Strenge Einstellungen: Diese erhöhen die Sicherheit weiter, indem sie Funktionen ausschalten, die das Risiko beim Surfen erhöhen könnten.

• Automatisches Abspielen von Medien und DRM-Codecs sind standardmäßig deaktiviert.
• Passwortspeicherung und Datensynchronisation mit Mozilla Cloud sind ausgeschaltet.
• JavaScript Just-in-Time-Compiler sind deaktiviert, was JavaScript auf einigen Seiten verlangsamen kann.
• PDF-Scripting im Browser und der Mozilla Push Service sind ausgeschaltet.

Strenge Einstellungen: Diese sind für höchste Sicherheit gedacht und schränken das Surfen erheblich ein.

• Geeignet für Risikogruppen, die für Sicherheit Einschränkungen in Kauf nehmen.
• Sollten mit NoScript kombiniert werden.
• Viele Webseiten könnten optisch beeinträchtigt sein.

Hotspot-Einstellungen: Speziell für ein separates Firefox-Profil gedacht, das nur für Wi-Fi-Logins in Hotels oder Zügen genutzt wird, wenn das Standardprofil mindestens auf "moderat" eingestellt ist und somit der Captive-Portal-Service blockiert wird.

Wir danken hier anbei für die Arbeit von Privacy-Handbuch.de für die tolle Arbeit und die Bereitstellung der Profile!!

Firefox Absicherung mit AppAmor

Nun kommen wir zur zusätzlichen Absicherung unseres Browser mit AppAmor. Der Browser ist häufig eine direkte Eintrittsstelle ins System, da dies das Fenster zum Internet darstellt. Häufig werden schwachstellen in Browser verwendet um Zugriff aufs System zu erlangen. AppAmor verhindert das Eindringlinge sich durch den Browser Systemzugriff erlangen können.

Was ist AppAmor

AppArmor (Application Armor) ist ein Sicherheitstool für Linux-Systeme, das eine wichtige Rolle im Bereich der Zugriffskontrolle und Sicherheitsbeschränkungen spielt. Es ermöglicht Systemadministratoren und auch einfachen Benutzern, das Verhalten von Programmen durch Profildefinitionen zu kontrollieren und zu beschränken. Diese Profile bestimmen, auf welche Dateien, Verzeichnisse, Netzwerkports und andere Systemressourcen ein Programm Zugriff haben darf.

Vorausetzungen

Firefox muss als normales deb Paket installiert sein. Das ist bei Distros wie Linux Mint bereits der Fall. Auf Ubuntu, Kubuntu und Xubuntu Systemen, auf denen Snap installiert ist, müsst Ihr Firefox durch die normale Variante austauschen. Dazu entfernt Ihr gleich Snap komplett wie hier beschrieben, oder installiert Euch Firefox als deb Variante:

sudo snap remove firefox
sudo apt purge firefox

Nun das PPA Repository vom Mozilla Team aktivieren:

sudo add-apt-repository ppa:mozillateam/ppa
sudo apt update

Mit apt install firefox-esr könnt Ihr die ESR (stabile Version) sofort installieren. Um die allerneuste Firefox installieren zu können, müsst Ihr kurz noch die Bezugsquelle ändern:

nano /etc/apt/preferences.d/mozillateamppa

und fügt folgenden Inhalt in die Datei hinhein:

Package: firefox*
Pin: release o=LP-PPA-mozillateam
Pin-Priority: 501

Speichert mit strg+o ab und beendet mit strg+x

Danach könnt Ihr die neuste Firefox Version einfach mit apt install firefox installieren.

AppAmor Konfiguration

AppAmor ist auf aktuellen Distros bereits installiet und aktiviert. Mit folgendem Befehl installieren wir uns kurz noch die benötigen Firefox AppAmor Profile und aktivieren AppAmor für Firefox:

sudo apt install apparmor-profiles apparmor-utils
sudo aa-enforce usr.bin.firefox 

Das Abspielen von Videos mit Urheberrechtsschutz (DRM) ist mit dem standardmäßig ausgeliefertem apparmor Profil mit Firefox nicht möglich, deshalb müssen wir in der Datei /etc/apparmor.d/usr.bin.firefox eine kurze Änderung vornehmen.

Fügt unter per-user firefox configuration folgendes hinzu:

owner @{HOME}/.{firefox,mozilla}/*/gmp-widevinecdm//lib*so m,

Das ganze sieht dann so aus:

Danach startet Ihr den Rechner kurz neu um die Einstellungen wirksam zu machen. Danach habt Ihr eine per user.js abgesicherte auf Privatsspähre optimierte Firefox Installation, und habt diese zu gleich mit AppAmor gesandboxed!

Falls AppAmor Probleme macht, könnt Ihr die Einstellungen rückgängig machen in dem Ihr das Firefox Profil in den Complain Mode versetzt:

sudo aa-complain /etc/apparmor.d/usr.bin.firefox

Achtet nochmals darauf das einige Funktionen nach Anpassungen der user.js nicht mehr funktionieren könnten. Deaktiviert bestimmte Einstellungen bei Bedarf wieder indem Ihr ein // vor die entsprechende Zeile setzt. Falls Ihr denkt, ach da geht ja garnichtsmehr, oder ist ja total unbequem und eingeschränkt: bedenkt dass Ihr für fast jedes Komfortfeature immer und allein mit Euren Daten damit bezahlt und ein Sicherheitsrisiko darstellt. Solltet Ihr garnicht zufrieden sein, löscht die user.js wieder aus dem entsprechenden Profil.

Bitte seid Euch bewusst, das dass diese Funktion nicht Firefox spezifisches tracking deaktiviert oder wir hier versuchen Firefox das schnüffeln abzugewöhnen. Firefox trackt Euch nicht! Es handelt sich hierbei lediglich um allgemeine funktionalle Einstellungen, und wie man eben weniger Spuren im Internet hinterlässt.

Falls Ihr Euch auch über Browserfingerprinting und Tracking informieren wollt, schaut mal hier vorbei!