Der Firefox 87.0 macht seinen Tracking-Schutz kompatibler

Am gestrigen Abend wurden der finale Firefox 87.0 und die ESR-Version 78.9.0 zum Download freigegeben. Während der Firefox 78.9.0 ESR nur sicherheitsrelevante Fehler behebt, tritt die Version 87.0 mit dem neuen Smart Block an. Dank dieser Neuerung sollen Webseiten in privaten Fenstern sowie beim Einsatz des strengen Schutzes vor Aktivitätenverfolgung besser funktionieren.

Wie funktioniert Smart Block
Beim Schutz vor Tracking im Internet, also der Verfolgung des Benutzers durch Datensammler, glänzt der Firefox schon seit langer Zeit. Die Kehrseite der Medaille sind Probleme mit Webseiten, die sich stark von der Funktion ihrer Tracking-Skripte abhängig gemacht haben. Da die neugierigen Programme ins Leere laufen, verlängern sich die Ladezeiten oder es stehen nicht alle Funktionen zur Verfügung. Einige Angebote, beispielsweise die Internetausgabe der österreichischen Tageszeitung Der Standard, ließen sich in privaten Fenstern mit aktiviertem Tracking-Schutz gar nicht mehr laden, sondern forderten den Besucher zur Deinstallation seiner Werbeblocker auf. Genau um diese Probleme kümmert sich Smart Block und ersetzt die blockierten Tracking-Skripte durch lokale Nachbauten. Diese reparieren die Funktion der störrischen Webseiten, ohne dass dabei Daten an Dritte ablaufen. Der Standard lädt nun wieder normal.

HTTP Referrer wird beschnitten
Mit einer weiteren Maßnahme verbessern Mozillas Entwickler die Privatsphäre abermals: Beim Zugriff auf den Header HTTP Referrer, welcher einer Webseite mitteilt, von wo ein Besucher kommt, werden nur noch das Protokoll und die Domain übermittelt, nicht aber der Pfad und eventuelle Abfragewerte (Queries). Ein Beispiel: Die URL https://www.au-ja.de/ein-test.html?Nutzer=Chef&Design=Einhorn enthält sensible Informationen, nämlich meine Nutzerkennung und meine Vorliebe für Einhörner. Wenn über die Webseite ein-test.html Links auf Drittangebote aufgerufen werden, bekamen diese beim Auslesen von HTTP Referrer die vollständige URL inklusive dieser Abfragewerte übermittelt. Der Firefox 87.0 hingegen prüft, ob sich der HTTP Referrer auf die selbe Domain bezieht. Ist dies nicht der Fall, wird nur noch https://www.au-ja.de/ geliefert und der Informationsgehalt somit deutlich beschnitten.

Weitere Neuerungen
Bei der Suche auf Webseiten markiert die neue Option Alle hervorheben sämtliche Fundstellen mit Markierungen in der vertikalen Bildlaufleiste. Über diese farbigen Striche lassen sich die Fundstellen dann gezielt ansteuern. Unter macOS wird der dort integrierte Bildschirmleser VoiceOver nun vollständig unterstützt und Sizilianer dürfen sich über eine eigene Sprachversion (szl) freuen. Video-Kontrollen haben einen sichtbaren Fokus erhalten und Audio-Kontrollen lassen sich ab sofort auch über die Tastatur ansteuern. Der Fokus in der Add-on-Verwaltung wurde sinnvoller platziert und der Firefox meldet ein Änderungsereignis der Kategorie Name/Beschreibung nun auch für Inhalte des Typs aria-labelledby/describedby. Die Backspace-Taste wird nicht mehr als Tastenkürzel für eine Seite zurück verwendet, da dies häufig zur unbeabsichtigten Löschung von Formulareingaben geführt hatte. Als Ersatz kann man Alt + Pfeil nach links verwenden. Oder man reaktiviert Backspace unter about:config, in dem man preference browser.backspace_action den Wert 0 zuweist.

Die Sicherheitslücken
Die Übersicht der geschlossenen Sicherheitslücken umfasst diesmal nur acht Einträge, von denen lediglich zwei auf die Gefahrenstufe hoch fallen. Vier sind von mittlerer Schwere und zwei vergleichsweise harmlos. Abgesehen von den üblichen Speicherfehlern (CVE-2021-23987) ist ein unkontrollierter Lesezugriff in WebGL (CVE-2021-23981) hervorzuheben, welcher beim Hochladen von Texturen zu einem Informationsleck führen kann. Die beiden hochgefährlichen Fehler und zwei der mittelschweren Schwachstellen wurden auch im Firefox 78.9.0 ESR beseitigt.

Download:

• Firefox 87.0
• Firefox 78.9.0 ESR