Firefox-Installer weist dem Browser eine eindeutige Kennung zu

Mozilla[English]Wusstet ihr, dass der Firefox eine eindeutige Installer-ID im Browser einträgt? Lädt sich jemand den Firefox-Installer von den Mozilla-Webseiten herunter und installiert dann den Firefox-Browser, wird bei diesem Vorgang eine eindeutige Kennung generiert und beim ersten Start an Mozilla übermittelt. Diese dltoken genannte Kennung wird in einem Mozilla-Bug-Report bestätigt. Ergänzung: Statement von Mozilla hinzugefügt.


Anzeige

Der Firefox gilt ja schlechthin als Privacy-Browser, und die Mozilla-Nutzer bewerben dies auch auf der Firefox-Download-Seite entsprechend, wie nachfolgend zu sehen ist.

Firefox schützt deine Daten?

Aber möglicherweise ist der Firefox-Browser ein Wolf im Schafspelz. Blog-Leser Elim G. hat mich am Wochenende per Mail auf diesen Sachverhalt hingewiesen (danke dafür), der von Martin Brinkmann erstmals die Tage auf Ghacks.net veröffentlicht wurde.

Firefox dltoken-Kennung per Installer

Wer sich den Firefox-Installer von den Mozilla-Webseiten herunterlädt und dann installiert, erwartet nicht, dass er damit eine eindeutige Browser-Kennung generiert. Aber genau das passiert bei der Installation. Denn Internetnutzer, die den Firefox-Webbrowser von der offiziellen Mozilla-Website herunterladen, erhalten eine eindeutige Kennung verpasst, die dem Installationsprogramm zugeordnet ist. Diese Kennung wird bei der Installation und der ersten Ausführung an Mozilla übermittelt.

Firefox dltoken in Bug tracker
Diskussion über Firefox dltoken im Bug-Tracker

Der Mechanismus wird kurz im Bugzilla-Bug-Tracker erwähnt – und ghacks.net beschreibt hier, dass der so generierte Hash-Wert eindeutig für jede Installation sei.

Die Probe aufs Exempel

Ich habe auf die Schnelle mal eine kurze Probe gemacht und mir von der Mozilla Firefox-Download-Seite den Installer zwei Mal sofort hintereinander heruntergeladen. Dann habe ich in HashMyFiles die MD5- und Hashwerte (SHA1) etc. der beiden Downloads anzeigen lassen (siehe folgende Abbildung).

Hash-Werte des Firefox-Installers


Anzeige

Obwohl beide Downloads eine identische Dateigröße aufweisen und binnen Sekunden nacheinander heruntergeladen wurden, ist in obiger Abbildung sofort erkennbar, dass der digitale Fingerabdruck in Form der Hash-Werte (MD5, SHA1, SHA256 etc.) und der CRC32-Wert unterschiedlich sind.

Das bedeutet, dass Mozilla bei jeder Installation und eigentlich bei jedem Start des Firefox einen digitalen Fingerabdruck erzeugt, der sich zum Tracking verwenden ließe. Ein Benutzer könnte zwar jeweils einen neuen Installer bei Erscheinen einer neuen Firefox-Version verwenden. Die meisten Nutzer werden aber die Update-Funktion des Browsers verwenden. Die Kennung, die bei der Installation zugewiesen wird, bliebe also über ein Firefox-Leben erhalten.

Was will Mozilla mit der Kennung?

Die Entwickler schreiben dazu, dass sie anhand dieser Daten die Telemetrie-IDs mit Download-Tokens und Google Analytics-IDs korrelieren können wollen. So können sie nachverfolgen, welche Installationen aus welchen Downloads resultieren. Das soll Antworten auf Fragen wie "Warum sehen wir so viele Installationen pro Tag, aber nicht so viele Downloads pro Tag?" liefern. Also eigentlich ein hehres Ziel: Analyse von Download- und Installationstrends. Ghacks schreibt: Die Funktion wird von der Telemetrie in Firefox unterstützt und gilt für alle Firefox-Kanäle.

Bei mir schrillen jetzt aber alle Alarmglocken, denn wenn eine Installer-Kennung existiert. Der Firefox steckt ja auch im Tor-Bundle – obwohl die einen eigenen Installer verwenden. Wenn die aber Installationen mit eindeutigen Kennungen erstellen, dann würde ich einen Missbrauch nicht ausschließen. Zumindest hat mein Zutrauen in den Firefox an dieser Stelle arg gelitten – denn in den Datenschutzhinweisen habe ich bezüglich dieser Kennung nichts gefunden. Hier liest man, dass das Ganze per Opt-out abstellbar sei. Transparent ist das alles nicht.

Statement von Mozilla

Ergänzung: Von Mozilla wurde mir folgendes Statement zugeschickt, welches ich hier veröffentliche.

"Every day, people download the Firefox browsers from mozilla.org. There are times when they download it through a third party site. When that's the case, we want to understand which sites new users are coming from and whether they stick around to install Firefox. Understanding this user journey can then help us design a better installation process and improve the experience of new users.

In order to gain this better understanding, we created a download token, i.e. an identifier, that would be associated with the unique download event. This allows us to capture that the download has happened which in turn helps us understand how many installs come through third-party sites and what those sites are. We disclose our "Campaign and Referral Data" in the Firefox Privacy Notice, where we say: "Firefox by default sends Mozilla HTTP data that may be included with Firefox's installer. This enables us to determine the website domain or advertising campaign (if any) that referred you to our download page. Read the documentation or opt-out before installation." That "documentation" link includes a disclosure of the download token and a description of it.

We do not keep the download token with any personally identifying information, and we store the download token in a database that is separate from other telemetry information under  a strict access policy.

If a user is interested in removing their association with the download token they can opt out of Firefox telemetry once they have installed the browser. We delete all of the historical telemetry data that we have collected for that user's Firefox profile, including all records containing the download token. This makes it impossible for us to associate the web site visit with that profile, even for activity that took place before the opt out was specified. Alternatively, users who want to prevent a download token association from ever happening in the first place they can download Firefox from our FTP site at ftp.mozilla.org/pub/firefox/."

Ähnliche Artikel:
Firefox blockiert F-Secure Browser Protection Add-on
Chrome und Firefox: Gibt es bald Ärger mit Webseiten, wenn die Build 100 erreicht ist?
Firefox 96.0 und 91.5.0 esr; Probleme mit Zugriff auf Webseiten
Firefox kann nicht auf Microsoft.com zugreifen … (12. Dez. 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

35 Antworten zu Firefox-Installer weist dem Browser eine eindeutige Kennung zu

  1. A. Nonym sagt:

    Auch die "Normandy"-Funktionen generieren eindeutige Keys, allerdings kann der User diese ändern:

    about:config
    app.normandy.user_id

    • Frankel sagt:

      Die offizielle Stellungnahme ist ja mal Quatsch. Wie soll Mozilla sehen, von welcher Seite geladen wurde? Der dltoken ist randomisiert.

      Klingt eher man fühlt sich ertappt und hat sich mal schnell etwas aus dem……

  2. Nobody sagt:

    Der Download vom FTP-Server soll keine individuelle Markierung haben.

  3. Stephan sagt:

    Darum lädt man grundsätzlich nicht irgendwelche Installer egal welcher Software aus dem WWW herunter, sondern bezieht seine Programme aus den Repositories von Debian und Co.
    Die enthalten alle Dependencies, um das Programm selbst zu bauen, und bei so Übeltätern wie Firefox und Chrome werden unerwünschte Funktionen auch noch herausgepatcht.

    • Günter Born sagt:

      Stephan, sollte das ein Teaser für die Windows-Nutzerschaft sein? sieht mir so aus ;-)

    • Wil Ballerstedt sagt:

      LOL, gibt es dort auch *.EXE oder *.MSI Dateien?

      • Blupp sagt:

        Nein, aber *.deb Dateien die nicht in den Repos liegen müssen und so ebenfalls ein Risiko mitbringen können.

        • Stephan sagt:

          Das ist korrekt. *.deb-Dateien enthalten auch Installskripte. Mir ging es aber weniger um das Dateiformat, auch wenn das viele Vorteile der sauberen Installation und Deinstallation bietet, die ich unter Windows seit Jahrzehnten vermisse.

          Mein Punkt war der, daß mein Firefox eben nicht von Mozilla gebaut wurde sondern von Debian. Mir geht es da um das Prinzip, wem man in der Supply Chain vertrauen muß. Das muß nicht unbedingt Debian sein, deshalb schrieb ich ja auch «Debian und Co.».

  4. Karl sagt:

    9) If this data collection is default on, what is the opt-out mechanism for users?

    Standard Telemetry Opt-Out

  5. Anonymous sagt:

    Ich finde eigentlich noch viel schlimmer das meine Rechner dann die gleiche ID haben. So bin ich sogar über Geräte hinweg identifizierbar :(

  6. oli sagt:

    Ich benutze nie den Installer. Einfach bei mozilla.org links oben "Firefox-Browser" -> "Firefox for Desktop" und dann "Download-Optionen und weitere Sprachen" auswählen. Hier bekommt man dann das richtige (Offline-)Installerpaket und nicht den "Downloader".

  7. Maroon sagt:

    Ich denke, eine solche Installations-ID verwenden viele Apps. Manche generieren eine GUID bei der Installation oder beim ersten Start der App. Wenn irgendwelche Telemtrie- oder Absturzmeldungen von der App an den Hersteller gesendet werden, könnte der leicht in Panik geraten, wenn viele dieser Absturzmeldungen bei ihm eintreffen. Erkennt er aber an der ID, dass es sich um dieselbe Installation handelt, relativiert sich das Ganze. Soviel aus Entwicklersicht.

  8. X sagt:

    Ich habe eine Veränderung der sha256-Summe nicht feststellen können. Ich habe den Firefox(MSI und .exe) mit Debian 11 und mit verschiedenen Browsern geladen. Die SHA-Summe war immer korrekt und identisch mit, der die auf den FTP-Servern liegt.

    Wird der Firefox nur unter Windows verändert oder spielt ggf. noch DNS-over-TLS in der Fritzbox eine Rolle?

  9. Bolko sagt:

    Firefox muss man sich vom FTP Server holen:
    *ttps://ftp.mozilla.org/pub/firefox/releases/98.0.1/
    Da gibt es auch eine Checksummen-Datei: SHA256SUMS

    Alle wiederholten Downloads von dort haben die selben Checksummen und passen zur Checksummen-Datei.

    Bei der Installation würde ich auch den Haken bei "Wartungsdienst" entfernen.

    Wie man die Telemetrie abschaltet steht dort im Abschnitt "Healthreport und Telemetriedaten für Mozilla":
    *ttps://www.privacy-handbuch.de/handbuch_21n.htm

    also:
    about:config
    datareporting.policy.dataSubmissionEnabled = false
    datareporting.healthreport.uploadEnabled = false
    toolkit.telemetry.unified = false

    Im TOR Browser sind alle diese Telemetrie-Einstellungen bereits auf false eingestellt, also sicher.

    Im Privacy-Handbuch steht im folgenden Absatz aber noch ein Hinweis:
    Es gibt ein Add-on "Telemetrie Coverage", dass Mozilla bei 1 Prozent der User ungefragt installiert und dann trotzdem Telemetriedaten erfasst, selbst dann, wenn man Telemetrie mittels about:config abgeschaltet hatte.

    Man muss also unter Einstellungen, Datenschutz und Sicherheit,
    den Haken bei "Firefox das Installieren und Durchführen von Studien erlauben" entfernen.
    Am besten alle 4 Haken in dem Abschnitt "Datenerhebung durch Firefox und deren Verwendung" enfernen.

    Am besten auch noch im about:config folgende Variablen neu anlegen (wie im Privacy Handbuch beschrieben):
    toolkit.coverage.endpoint.base = "" (leerer String)
    toolkit.coverage.opt-out = true (laut Mozilla Doku)
    toolkit.telemetry.coverage.opt-out = true (im Code verwendet)

    Im TOR Browser wurde das nicht gemacht, sondern da steht :
    toolkit.coverage.endpoint.base =
    (was aber egal ist, da ja die Telemetrie im TOR mittels der obigen ersten drei Einstellungen abgeschaltet wurde)

    Übrigens gibt es bei openSUSE Linux auch so einen versteckten Telemetrie Datenpunkt mittels der Datei /var/lib/zypp/AnonymousUniqueId

    Auswertung openSUSE Telemetrie:
    *ttps://metrics.opensuse.org/d/osrt_access/osrt-access?orgId=1

    in openSUSE kann man es abschalten , indem man in der Datei /etc/NetworkManager/NetworkManager.conf
    die folgende zweite Zeile (#url=) auskommentiert oder löscht

    [connectivity]
    url=http://conncheck.opensuse.org

    • Martin sagt:

      Vielen Dank für die beiden Absätze mit den about:config Hinweisen! Nur "datareporting.policy.dataSubmissionEnabled" war bei mir schon auf "false", weil ich schon ewig alles unter "Datenerhebung durch Firefox und deren Verwendung" deaktiviert habe.

      Pale Moon habe ich nach dem Update auf V30 deinstalliert und ihn durch Brave ersetzt, weil die Addonseite seit 10. März nicht mehr erreichbar ist, da Moonchild alles umstellt und er nicht weiß, wie lange der ganze Prozess dauern wird und auch nicht klar ist, ob die Entwickler der Addons für den Pale Moon überhaupt noch Lust haben, sie anzupassen. Bei nMatrix (Fork von uMatrix) war schon seit der Pale Moon Version 29.2 (oder so) das Icon nicht mehr sichtbar.

      Beim Brave habe ich keine Addons installiert, das Belohnungssystem abgeschaltet und alles auf strengste Blockierstufe gesetzt, weil er so eingerichtet ist, dass Links aus Mails ihn starten, und das auch in einer Sandbox. Firefox ist mein Standardbrowser zum Surfen und Videos schauen. Zusätzlich ist auch Vivaldi installiert (und dort die gleichen Addons wie beim Firefox). Hin und wieder nutze ich aber auch den IE11. Aber alle Browser in getrennten Sandboxen.

  10. Luzifer sagt:

    Naja glaubt ernsthaft jemand das Firefox nicht schnüffelt? Die ziehen genauso Daten ab wie jeder anderer Browser auch. Nur gehen sie offen damit um wozu diese Daten sind. Während Google & Co dich halt im Unklaren dabei lassen.

    Internet am Endgerät und du bist nicht mehr anonym! Wer was anderes glaubt ist einfach nur ungemein naiv. (oder treibt massiven Aufwand um das zu umgehen
    ;-P )
    real simple!

  11. der bug ist das ziel sagt:

    Mit Microsoft und Originalsoftware Edge waere das nicht passiert. Wir sprechen hier von der Windows Plattform, ganz klar dass wir uns alle dringend sehr grosse Sorgen zu Spionage von und durch Open Source Software und Open Source Projekten machen sollten.

    Immerhin wird sehr wahrscheinlich euer opensource-igstes Tool auf eurem Rechner hoechstwahrscheinlich genau der Firefox sein. Da muesst ihr euch schon gedanken zu Privacy etc fahren.

    Genau mein Humor. Ich bin sehr gerne Windows user =D

  12. Thierry sagt:

    In about:config habe ich über 50 Einträge angepasst und Tor und Türe geschlossen, dar wo es sein muss bzw. kann. Zum Beispiel folgende Einträge sollten geändert werden: dom.event.clipboardevents.enabled (true nach false), dom.storage.default_quota (5120 nach 0), dom.storage.enabled (true nach false), services.sync.prefs.sync.browser.safebrowsing.enabled (true nach false). Wer möchte kann sich gerne mit der Liste nachstehend befassen: https://human-dignity.org/wp-content/uploads/2022/01/Rechner-richtig-konfigurieren_Win-10_Ver_1_1.ods
    Viele Einstellungen gelten auch für TOR und Thunderbird.

    • Dave sagt:

      50 Einstellungen anpasen ohne eine Gewährleistung, dass mir beim nächsten Update wieder etwas untergeschoben wird?
      Firefox kann mich mal.
      Ich habe besseres zu tun.

      Gibt ja noch andere Kandidaten.
      Brave will auch über einen Installer heruntergeladen werden.

      • Olli sagt:

        Sagst Du das auch bei Windows, Dave? ;-)

        • Dave sagt:

          Naja, das ist ja wieder so eine Grundsatzdiskussion.
          Nehme ich einen kommerziellen Hersteller mit Secure Boot, Hardware Attestation, etc. oder nehme ich ein Linux mit all seinen Einfallstoren und viel Arbeit es abgesichert zu bekommen?

          Beruflich bin ich beim Desktop bei W11/Office/Adobe/Brave/Tor.
          Da ich Teams für den Kundenkontakt benötige und Teams auf Linux manchmal zickt, bin ich hier festgenagelt.

          Privat bin ich beim Desktop bei Fedora mit ein wenig SELinux und SecureBoot, LibreOffice/Thunderbird/Ungoogled Chromium.
          OpenSource Browser sind bei Aktualisierungen meist hinterher.
          Das muss dann jeder für sich selbst entscheiden, ob ihm Privatspähre oder aktueller Patchstand wichtig ist.

          Mobil nutze ich GrapheneOS und bin sehr damit zufrieden. Tracking ist bei GrapheneOS kein Thema und das Patching erfolgt zeitnah.

  13. fre4kyC0de sagt:

    Ich konnte das Verhalten gerade nicht reproduzieren…
    Mehrfach die Seite aufgerufen (jeweils in neuem Tab) und heruntergeleaden. Alle Dateien identisch (laut SHA1/SHA256).

    %%%% HASHDEEP-1.0
    %%%% size,sha1,filename
    ## Invoked from: C:\tmp
    ## C:\tmp> hashdeep -c sha1 -j 1 -b .\*.exe
    ##
    333904,6c041568341051f7d27747367c7380e5b1897c67,Firefox Installer 1.exe
    333904,6c041568341051f7d27747367c7380e5b1897c67,Firefox Installer 2.exe
    333904,6c041568341051f7d27747367c7380e5b1897c67,Firefox Installer 3.exe
    333904,6c041568341051f7d27747367c7380e5b1897c67,Firefox Installer 4.exe
    333904,6c041568341051f7d27747367c7380e5b1897c67,Firefox Installer 5.exe

    %%%% HASHDEEP-1.0
    %%%% size,sha256,filename
    ## Invoked from: C:\tmp
    ## C:\tmp> hashdeep -c sha256 -j 1 -b .\*.exe
    ##
    333904,77860b216390e6ac69b6871758e8e509c5698423b2101a9eb0194f0f3a31e1a0,Firefox Installer 1.exe
    333904,77860b216390e6ac69b6871758e8e509c5698423b2101a9eb0194f0f3a31e1a0,Firefox Installer 2.exe
    333904,77860b216390e6ac69b6871758e8e509c5698423b2101a9eb0194f0f3a31e1a0,Firefox Installer 3.exe
    333904,77860b216390e6ac69b6871758e8e509c5698423b2101a9eb0194f0f3a31e1a0,Firefox Installer 4.exe
    333904,77860b216390e6ac69b6871758e8e509c5698423b2101a9eb0194f0f3a31e1a0,Firefox Installer 5.exe

  14. Theo sagt:

    Ich setze die toolkit.telemetry.cachedClientID immer auf: c0ffeec0-ffee-c0ff-eec0-ffeec0ffeec0

    ;-)

  15. Bernd Bachmann sagt:

    Aha, dann weiß ich nun immerhin, warum der Firefox-Setup nach der Installation immer nach Hause telefonieren will (aber natürlich nicht darf).

  16. Seadiver sagt:

    Also der Teufel im detail liegt hier auf die URL selber.
    z.B. wenn ich mit meinem Firefox selber auf
    https://www.mozilla.org/de/firefox/download/thanks/ hinsteuere bekomme ich einen klaren download url: https://download.mozilla.org/?product=firefox-stub&os=win&lang=de – Hier bekomme ich immer die gleiche checksummen heraus.
    Jedoch wenn ich z.B. mit Edge hinsteure bekomme ich eine eigene ID in der URL verpasst.
    z.B. so einer: https://download.mozilla.org/?product=firefox-stub&os=win&lang=de&attribution_code=c291cmNlPShub3Qgc2V0KSZtZWRpdW09KGRpcmVjdCkmY2FtcGFpZ249KG5vdCBzZXQpJmNvbnRlbnQ9KG5vdCBzZXQpJmV4cGVyaW1lbnQ9KG5vdCBzZXQpJnZhcmlhdGlvbj0obm90IHNldCkmdWE9ZWRnZSZ2aXNpdF9pZD0yMDA5OTU1MzAuMTY0Nzg5OTQwNg..&attribution_sig=61cfffda3a52beb6fe19b849603f05aca8dd5e896bf26a703097a7378f80102e

    Schmeiße ich alles was nach `&lang=de` raus ist der spuk auch schon vorbei, und bekomme wieder den richtigen installer.
    (Gut hat vielleicht nichts zu heißen. Was der installer jetzt selber im Installationsprozess anrichtet kann ich so nicht sagen)

    Trotzdem ein Eklat still und heimlich solche IDs überhaupt zu generieren.

    • Günter Born sagt:

      Ich denke, die üben bei Firefox noch – daher ist die Anpassung der Downloads noch nicht generalisiert.

      Ergänzung: Auf Facebook hat mir Nutzer Marcel folgende Informationen als Kommentar zu meinem Post zukommen lassen:

      Hab mal etwas genauer nachgesehen: Mozilla verwendet noch immer den Installer von Nullsoft (NSIS). Der funktioniert Skript basiert, sprich: Aus einer Skript-Datei wird über einen Shell-Befehl der Firefox-Installer kompiliert. Ich nehme an, das hat Mozilla insofern automatisiert, dass kurz vorm Download eine Skript-Datei mit einer UID generiert wird und on-demand wird der Firefox-Installer kompiliert.

      Zufallsfund: Mozilla nutzt das – oder so was ähnliches – schon länger und nennt das Funnelcake. In diesem Fall wird – soweit ich das jetzt noch kapiert habe – eine speziell angepasste Firefox-Konfiguration bzw. -Installation ausgeliefert und getrackt.

    • Thorky sagt:

      Hhhmm, könnte das Add-On "Skip Redirect" hilfreich sein, einen sauberen Installer zu beziehen?

  17. Lucifer6 sagt:

    Windows / Edge Chromium / Chrome / Firefox:
    https://paste.debian.net/1235221/

  18. Frank47 sagt:

    Man kann die Firefox Installer exen entpersonalisieren, indem man die exe
    mit 7zip entzippt/extrahiert. Es wird die Meldung ausgegeben "warnung checksum error", dabei geht die ID hops. Übrig bleibt eine setup-stub.exe.

  19. Bolko sagt:

    Firefox 98.0.2

    *ttps://ftp[.]mozilla[.]org/pub/firefox/releases/98.0.2/win64/de/Firefox%20Setup%2098.0.2.exe

    sha256:
    c530a9630ceb0fd717b975f9e292a1ef74030a60337c1e1c1cb253c5d90d1817

Schreibe einen Kommentar zu Frankel Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.