{"id":263558,"date":"2022-03-21T15:12:31","date_gmt":"2022-03-21T14:12:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263558"},"modified":"2024-04-24T16:48:05","modified_gmt":"2024-04-24T14:48:05","slug":"firefox-installer-weist-dem-browser-eine-eindeutige-kennung-zu","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/21\/firefox-installer-weist-dem-browser-eine-eindeutige-kennung-zu\/","title":{"rendered":"Firefox-Installer weist dem Browser eine eindeutige Kennung zu"},"content":{"rendered":"

\"Mozilla\"[English<\/a>]Wusstet ihr, dass der Firefox eine eindeutige Installer-ID im Browser eintr\u00e4gt? L\u00e4dt sich jemand den Firefox-Installer von den Mozilla-Webseiten herunter und installiert dann den Firefox-Browser, wird bei diesem Vorgang eine eindeutige Kennung generiert und beim ersten Start an Mozilla \u00fcbermittelt. Diese dltoken genannte Kennung wird in einem Mozilla-Bug-Report best\u00e4tigt. Erg\u00e4nzung:<\/strong> Statement von Mozilla hinzugef\u00fcgt.<\/p>\n

<\/p>\n

\"\"Der Firefox gilt ja schlechthin als Privacy-Browser, und die Mozilla-Nutzer bewerben dies auch auf der Firefox-Download-Seite<\/a> entsprechend, wie nachfolgend zu sehen ist.<\/p>\n

\"Firefox<\/p>\n

Aber m\u00f6glicherweise ist der Firefox-Browser ein Wolf im Schafspelz. Blog-Leser Elim G. hat mich am Wochenende per Mail auf diesen Sachverhalt hingewiesen (danke daf\u00fcr), der von Martin Brinkmann erstmals die Tage auf Ghacks.net ver\u00f6ffentlicht<\/a> wurde.<\/p>\n

Firefox dltoken-Kennung per Installer<\/h2>\n

Wer sich den Firefox-Installer von den Mozilla-Webseiten herunterl\u00e4dt und dann installiert, erwartet nicht, dass er damit eine eindeutige Browser-Kennung generiert. Aber genau das passiert bei der Installation. Denn Internetnutzer, die den Firefox-Webbrowser von der offiziellen Mozilla-Website herunterladen, erhalten eine eindeutige Kennung verpasst, die dem Installationsprogramm zugeordnet ist. Diese Kennung wird bei der Installation und der ersten Ausf\u00fchrung an Mozilla \u00fcbermittelt.<\/p>\n

\"Firefox<\/a>
\nDiskussion \u00fcber Firefox dltoken im Bug-Tracker<\/a><\/p>\n

Der Mechanismus wird kurz im Bugzilla-Bug-Tracker erw\u00e4hnt<\/a> – und ghacks.net beschreibt hier<\/a>, dass der so generierte Hash-Wert eindeutig f\u00fcr jede Installation sei.<\/p>\n

Die Probe aufs Exempel<\/h2>\n

Ich habe auf die Schnelle mal eine kurze Probe gemacht und mir von der Mozilla Firefox-Download-Seite<\/a> den Installer zwei Mal sofort hintereinander heruntergeladen. Dann habe ich in HashMyFiles die MD5- und Hashwerte (SHA1) etc. der beiden Downloads anzeigen lassen (siehe folgende Abbildung).<\/p>\n

\"Hash-Werte<\/p>\n

Obwohl beide Downloads eine identische Dateigr\u00f6\u00dfe aufweisen und binnen Sekunden nacheinander heruntergeladen wurden, ist in obiger Abbildung sofort erkennbar, dass der digitale Fingerabdruck in Form der Hash-Werte (MD5, SHA1, SHA256 etc.) und der CRC32-Wert unterschiedlich sind.<\/p>\n

Das bedeutet, dass Mozilla bei jeder Installation und eigentlich bei jedem Start des Firefox einen digitalen Fingerabdruck erzeugt, der sich zum Tracking verwenden lie\u00dfe. Ein Benutzer k\u00f6nnte zwar jeweils einen neuen Installer bei Erscheinen einer neuen Firefox-Version verwenden. Die meisten Nutzer werden aber die Update-Funktion des Browsers verwenden. Die Kennung, die bei der Installation zugewiesen wird, bliebe also \u00fcber ein Firefox-Leben erhalten.<\/p>\n

Was will Mozilla mit der Kennung?<\/h2>\n

Die Entwickler schreiben dazu, dass sie anhand dieser Daten die Telemetrie-IDs mit Download-Tokens und Google Analytics-IDs korrelieren k\u00f6nnen wollen. So k\u00f6nnen sie nachverfolgen, welche Installationen aus welchen Downloads resultieren. Das soll Antworten auf Fragen wie \"Warum sehen wir so viele Installationen pro Tag, aber nicht so viele Downloads pro Tag?\" liefern. Also eigentlich ein hehres Ziel: Analyse von Download- und Installationstrends. Ghacks schreibt: Die Funktion wird von der Telemetrie in Firefox unterst\u00fctzt und gilt f\u00fcr alle Firefox-Kan\u00e4le.<\/p>\n

Bei mir schrillen jetzt aber alle Alarmglocken, denn wenn eine Installer-Kennung existiert. Der Firefox steckt ja auch im Tor-Bundle – obwohl die einen eigenen Installer verwenden. Wenn die aber Installationen mit eindeutigen Kennungen erstellen, dann w\u00fcrde ich einen Missbrauch nicht ausschlie\u00dfen. Zumindest hat mein Zutrauen in den Firefox an dieser Stelle arg gelitten – denn in den Datenschutzhinweisen habe ich bez\u00fcglich dieser Kennung nichts gefunden. Hier liest man, dass das Ganze per Opt-out abstellbar sei. Transparent ist das alles nicht.<\/p>\n

Statement von Mozilla<\/h2>\n

Erg\u00e4nzung:<\/strong> Von Mozilla wurde mir folgendes Statement zugeschickt, welches ich hier ver\u00f6ffentliche.<\/p>\n

\"Every day, people download the Firefox browsers from\u00a0mozilla.org<\/a>. There are times when they download it through a third party site. When that's the case, we want to understand which sites new users are coming from and whether they stick around to install Firefox. Understanding this user journey can then help us design a better installation process and improve the experience of new users.<\/p>\n

In order to gain this better understanding, we created a download token, i.e. an identifier, that would be associated with the unique download event. This allows us to capture that the download has happened which in turn helps us understand how many installs come through third-party sites and what those sites are. We disclose our \"Campaign and Referral Data\" in the\u00a0Firefox Privacy Notice<\/a>, where we say:\u00a0<\/em>\"<\/em>Firefox by default sends Mozilla HTTP data that may be included with Firefox's installer. This enables us to determine the website domain or advertising campaign (if any) that referred you to our download page. Read the\u00a0documentation<\/a>\u00a0or\u00a0opt-out<\/a>\u00a0before installation.\" That \"documentation\" link includes a disclosure of the download token and a description of it.<\/p>\n

We do not keep the download token with any personally identifying information, and we store the download token in a database that is separate from other telemetry information under\u00a0 a strict access policy.<\/p>\n

If a user is interested in removing their association with the download token they can opt out of Firefox telemetry once they have installed the browser. We delete all<\/em> of the historical telemetry data that we have collected for that user's Firefox profile, including all records containing the download token. This makes it impossible for us to associate the web site visit with that profile, even for activity that took place before the opt out was specified. Alternatively, users who want to prevent a download token association from ever happening in the first place they can download Firefox from our FTP site at ftp.mozilla.org\/pub\/firefox\/<\/a>.\"<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nFirefox blockiert F-Secure Browser Protection Add-on<\/a>
\nChrome und Firefox: Gibt es bald \u00c4rger mit Webseiten, wenn die Build 100 erreicht ist?<\/a>
\nFirefox 96.0 und 91.5.0 esr; Probleme mit Zugriff auf Webseiten<\/a>
\nFirefox kann nicht auf Microsoft.com zugreifen \u2026 (12. Dez. 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wusstet ihr, dass der Firefox eine eindeutige Installer-ID im Browser eintr\u00e4gt? L\u00e4dt sich jemand den Firefox-Installer von den Mozilla-Webseiten herunter und installiert dann den Firefox-Browser, wird bei diesem Vorgang eine eindeutige Kennung generiert und beim ersten Start an Mozilla \u00fcbermittelt. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1432,426],"tags":[451,44],"class_list":["post-263558","post","type-post","status-publish","format-standard","hentry","category-firefox-internet","category-sicherheit","tag-datenschutz","tag-firefox"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263558"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263558\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}