dltoken: Mozilla kann jede Firefox-Nutzung tracken

Ghandy · 18. März 2022 um 16:40

Kommentare zu folgendem Beitrag: dltoken: Mozilla kann jede Firefox-Nutzung tracken

Chris1 · 18. März 2022 um 18:13

Firefox-Benutzer, die es vorziehen, den Browser ohne die eindeutige Kennung herunterzuladen, können dies auf zwei Arten tun:

Laden Sie das Firefox-Installationsprogramm aus dem HTTPS-Repository von Mozilla (ehemals FTP-Repository) herunter.
Laden Sie Firefox von Drittanbieter-Downloadseiten herunter, die das Installationsprogramm hosten, z. B. von Softonic .

Die heruntergeladenen Installationsprogramme haben keine eindeutige Kennung, da sie bei jedem Download identisch sind.

Crypzo · 18. März 2022 um 21:13

Jo, steht so oben im Bericht.

defkev · 19. März 2022 um 02:41

Dass muss man sich mal auf der Zunge zergehen lassen, der FF installer enthält Self Modifing Code (SMC) ähnlich einem Virus

Was dass mit Privacy zu tun haben soll weiß ich nicht, allerdings ist Google/Alphabet nach wie vor der Hauptsponsor der Mozilla Foundation von daher wunder es mich nicht wirklich.

Wir haben zwar bisher nicht getestet, ob der Librewolf einen Download-Token verwendet.

Kann ich so bestätigen, Librewolf connected zu keinerlei Telemetry Servern und die checksum ist für jeden Download identisch, so wie es halt sein sollte.

Bilux · 19. März 2022 um 05:33

Dieser Artikel hat mir den Rest gegeben und jetzt bin ich bei LibreWolf.

wlorenz65 · 19. März 2022 um 07:25

Firefox ESR ist ja auch der Default-Browser bei Tor, und solche Privacy-Desaster schwächen das Vertrauen der Benutzer.

Mir persönlich ist Tracking egal, ich verwende einfach den Browser, der unter Android Werbung blocken kann und wo man die Schriftart für Fließtext selber einstellen kann. Und das ist nun mal einzig und allein Firefox .

Ghandy · 19. März 2022 um 08:56

Ich frage mich, ob das beim Tor Browser auch so ist oder eben nicht? Wäre für viele Nutzer sicher interessant zu wissen.

wlorenz65 · 19. März 2022 um 11:16

Da wird doch hoffentlich noch ein anderes Team drüberschauen und das selber kompilieren, bevor sie das als Tor Browser Bundle veröffentlichen. Der Name ist halt beschmutzt, ich habe schon öfter gehört, dass Mozilla ein Haufen falscher Schlangen ist, aber das bisher nicht für wichtig genommen.

Bei solch komplexer Software muss man halt seiner Organisation vertrauen, dass die schlimmsten Lücken gefixt sind. Und wer als Einzelkämpfer ohne Organisation im Rücken da mitspielen will, der muss halt besonders aufpassen.

VIP · 19. März 2022 um 12:02

TOR - Browser Signaturprüfung:

Für Windows-Benutzer:

Wenn du Windows ausführst, lade Gpg4win herunter und führe das Installationsprogramm aus.

Abrufen des Tor-Entwicklerschlüssels

Das Tor-Browser-Team signiert Tor-Browser-Releases. Importiere den Tor-Browser-Entwickler-Signaturschlüssel (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290):

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Das sollte etwas anzeigen wie:

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
pub   rsa4096 2014-12-15 [C] [expires: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

Nachdem du den Schlüssel importiert hast, kannst du ihn in einer Datei speichern (identifizieren ihn hier anhand seines Fingerabdrucks):

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Dieser Befehl führt dazu, dass der Schlüssel in einer Datei gespeichert wird, die sich im Pfad ./tor.keyring befindet, dh im aktuellen Verzeichnis.

Überprüfung der Signatur

Um die Signatur des heruntergeladenen Pakets zu überprüfen, mußt du die entsprechende „.asc“-Signaturdatei sowie die Installationsdatei selbst herunterladen und mit einem Befehl überprüfen, der GnuPG auffordert, die heruntergeladene Datei zu überprüfen.

Die folgenden Beispiele gehen davon aus, dass du diese beiden Dateien in deinem „Downloads“-Ordner heruntergeladen hast. Beachte, dass diese Befehle Beispieldateinamen verwenden und deine anders sein können: Du hast eine andere Version als 9.0 heruntergeladen und möglicherweise nicht die englische (en-US) Version ausgewählt.

Für Windows-Benutzer:

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Das Ergebnis des Befehls sollte in etwa so aussehen:

gpgv: Signature made 07/08/19 04:03:49 Pacific Daylight Time
gpgv:                using RSA key EB774491D9FF06E2
gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

tenor

Ghandy · 19. März 2022 um 12:23

Was heißt das jetzt konkret? D.h. es ist ein dltoken beim Tor-Browser dabei oder eben nicht?

defkev · 19. März 2022 um 12:28

Tor ist, wie Librewolf, ein Fork von Firefox der halt mit Upstream Schritt hält aber seine eigenen Binaries kompiliert.

Ich hab mir die Installer eben mal im Hex Editor angeschaut:

Firefox Setup 98.0.1.exe
Size: 52.9MB
SHA-256: 5b8364032b6dc2ab920a11adb54359790753f6fc97affcfb991b1c72d943df62
dltoken: 0d7e8857-3748-4344-9d30-a21740ce3a82

034f38c0:  005f 5f4d 4f5a 4355 5354 4f4d 5f5f 3a63 616d 7061 6967 6e25  :.__MOZCUSTOM__:campaign%
034f38d8:  3344 2532 3532 386e 6f74 2532 4273 6574 2532 3532 3925 3236  :3D%2528not%2Bset%2529%26
034f38f0:  636f 6e74 656e 7425 3344 2532 3532 386e 6f74 2532 4273 6574  :content%3D%2528not%2Bset
034f3908:  2532 3532 3925 3236 646c 746f 6b65 6e25 3344 3064 3765 3838  :%2529%26dltoken%3D0d7e88
034f3920:  3537 2d33 3734 382d 3433 3434 2d39 6433 302d 6132 3137 3430  :57-3748-4344-9d30-a21740
034f3938:  6365 3361 3832 2532 3665 7870 6572 696d 656e 7425 3344 2532  :ce3a82%26experiment%3D%2
034f3950:  3532 386e 6f74 2532 4273 6574 2532 3532 3925 3236 6d65 6469  :528not%2Bset%2529%26medi
034f3968:  756d 2533 4425 3235 3238 6469 7265 6374 2532 3532 3925 3236  :um%3D%2528direct%2529%26
034f3980:  736f 7572 6365 2533 4425 3235 3238 6f74 6865 7225 3235 3239  :source%3D%2528other%2529
034f3998:  2532 3675 6125 3344 6669 7265 666f 7825 3236 7661 7269 6174  :%26ua%3Dfirefox%26variat
034f39b0:  696f 6e25 3344 2532 3532 386e 6f74 2532 4273 6574 2532 3532  :ion%3D%2528not%2Bset%252
034f39c8:  3900 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000  :9

torbrowser-install-win64-11.0.9_en-US.exe
Size: 73.4MB
SHA-256: efb24a43fdb0f9ccfe2da22fb9ba691472e02a266253fcc364ed008c35ae758a
dltoken: Nö
librewolf-98.0.en-US.win64-setup.exe
Size: 74.0MB
SHA-256: 264428cce395f355dc560195f56a5597f89dbb03635f969d9920d7092c05cb03
dltoken: Nö

VIP · 19. März 2022 um 13:17

Ja genau…aber nur bei jedem 11. Download, Dienstags zwischen 11:00 und 11:04 auch mal beim 3. Ladevorgang! Aber meistens dann doch nicht !
Humor ist, wenn man trotzdem lacht

wedok · 19. März 2022 um 17:36

Schon seit Jahren lade ich FF manuell runter (https://ftp.mozilla.org/pub/firefox/releases/) und auf dem Weg erhalte ich immer die gleiche Checksumme.
Habs jetzt 3x hintereinander runtergeladen:

Firefox Setup 98.0.1(2).exe a55490a0
Firefox Setup 98.0.1.exe a55490a0
Firefox Setup 98.0.1(1).exe a55490a0

Die Crc taucht sogar hier auf:
https://www.ghacks.net/2022/03/17/each-firefox-download-has-a-unique-identifier/

Auch mach ich stets n Virustotal Check und da war auch immer schon vorher was hochgeladen.

Bezieht sich vermutlich nur auf den Setup Müll den man direkt als Download unter https://www.mozilla.org/de/firefox/new/ bekommt, oder?

Obwohl auch 3x geladen:

Firefox Installer.exe 9020d546
Firefox Installer(1).exe 9020d546
Firefox Installer(2).exe 9020d546

Ahhh, jetzt hab ichs geschafft.
Hier runterladen, dann is Crc immer anders:
https://www.mozilla.org/firefox/all/

wlorenz65 · 20. März 2022 um 00:21

Diese eindeutige Nummer übermittelt der Browser z.B. bei der Installation und ersten Ausführung an die Server von Mozilla.

Aha, also nur einmal nach der Installation, da wo die „Neuer User“ Seite angezeigt wird.

Die eindeutige Kennung, von Mozilla intern dltoken genannt, verwendet der Hersteller, um Downloads mit Installationen und erste Starts des Firefox-Browsers verknüpfen zu können.

Erste Starts? Also öfter als einmal.

Das bedeutet, dass die Kennung plattformübergreifend bei jeder Verwendung des Browsers an Mozilla übermittelt werden kann.

Also jetzt nicht einmal, nicht ein paar mal, sondern immer?

Wo wird das denn gespeichert? In einer der Konfigurationsdateien des Browsers, so dass man das von außen über das DOM abgreifen kann? Oder ist das nur ein Parameter, der einmalig vom Installationsprogramm an die Willkommenseite bei der Neuinstallation angehängt wird? Und was passiert bei Updates?

Fidel · 22. März 2022 um 13:23

„Gute Gelegenheit, den Browser zu wechseln!“ zu? Lynx? Ohne harte Modifikationen und weiteren Vorkehrungen im Netzwerk kann man doch eh kaum noch etwas tun. Die Browserlandschaft ist so kritisch wie schon lange nicht mehr. Schlimmere Zeiten als früher noch der IE an der „Macht“ war. Jetzt führt so gut wie nichts an Chromium vorbei und Firefox nutzt wieder einmal nicht die Chance es besser zu machen.

Ghandy · 22. März 2022 um 15:30

Mit dem LibreFox oder Ungoogled Chromium kommt man eigentlich bei jedem Betriebssystem gut über die Runden. Da hat man halt die Originale kastriert.

Ghandy · 22. März 2022 um 16:48

Nun kam ein Statement von Mozilla rein:

"Every day, people download the Firefox browsers from mozilla.org. There are times when they download it through a third-party site. When that’s the case, we want to understand which sites new users are coming from and whether they stick around to install Firefox. Understanding this user journey can then help us design a better installation process and improve the experience of new users.

In order to gain this better understanding, we created a download token, i.e. an identifier, that would be associated with the unique download event. This allows us to capture that the download has happened which in turn helps us understand how many installs come through third-party sites and what those sites are. We disclose our „Campaign and Referral Data“ in the Firefox Privacy Notice, where we say: „Firefox by default sends Mozilla HTTP data that may be included with Firefox’s installer. This enables us to determine the website domain or advertising campaign (if any) that referred you to our download page. Read the documentation or opt-out before installation.“ That „documentation“ link includes a disclosure of the download token and a description of it.

We do not keep the download token with any personally identifying information, and we store the download token in a database that is separate from other telemetry information under a strict access policy.

If a user is interested in removing their association with the download token they can opt out of Firefox telemetry once they have installed the browser. We delete all of the historical telemetry data that we have collected for that user’s Firefox profile, including all records containing the download token. This makes it impossible for us to associate the web site visit with that profile, even for activity that took place before the opt out was specified. Alternatively, users who want to prevent a download token association from ever happening in the first place they can download Firefox from our FTP site athttps://ftp.mozilla.org/pub/firefox/."

VIP · 22. März 2022 um 17:01

Tjaa, dann würde ich behaupten, wer FF unbedingt haben will, sollte sich diesen über →

https://ftp.mozilla.org/pub/firefox/

…besorgen! Dort gibts sogar noch das Release 0.10.1 und 0.10.rc Da steckt garantiert nichts überflüssiges mit drin !!

Und hier gibt es alles zur Entwicklung und die genaue Funktionsweise des FF dltoken →

https://firefox-source-docs.mozilla.org/toolkit/components/telemetry/data/environment.html#attribution