Für die Darstellung von Inhalten, die nicht im HTML-Standard definiert sind, kann Firefox Plug-ins nutzen. Sie werden in der Add-on Verwaltung in der Sektion "Plugins" aktiviert. Um zu verhindern, das bei der Installation von irgendwelchen Software­paketen ungewollt Browser Plug-ins automatisch aktiviert werden, kann man neue Plug-ins erstmal standardmäßig deaktivieren: plugin.default.state = 0 Um unter Windows das automatische Scannen der Registry nach neuen Plug-ins zu deaktivieren, ist unter "about:config" folgende Variable zu setzen: plugin.scan.plid.all= false

Autoplay von Audio und Video deaktivieren

Die Einstellungen zum Deaktivieren des automatischen Abspielens von Audiodateien und Videos hat Mozilla immer wieder mal geändert. Mit folgenden Einstellungen unter "about:config" deaktiviert man das automatische Abspielen von Videos und Audio:
media.autoplay.default= 5
media.autoplay.blocking_policy  = 2
 Das Deaktivieren des automatischen Abspielens von Videos und Audiodateien ist auch ein Sicherheits­feature, das den Start eines bösartigen Videos im Hintergrund verhindert und die Angriffsfläche für Drive-by-Download Angriffe verringert.

Media Plug-ins

Standardmäßig werden von Firefox zwei Media Plug-ins verwaltet:
  1. Der OpenH264 Videocodec von Cisco wird für WebRTC benötigt. Wenn man WebRTC abschaltet, kann man auch den Videocodec und das Update deaktivieren (bei einige Linux Distributionen wie Fedora ist es standardmäßig so konfiguriert):
    media.gmp-gmpopenh264.autoupdate  = false
    media.gmp-gmpopenh264.enabled = false
     Außerdem kann das OpenH264 Plugin in der Add-on Verwaltung unsichtbar machen: media.gmp-gmpopenh264.visible = false

  2. Das Widevine Content Decryption Module von Google zur Wiedergabe von DRM geschützten Videos ist unter Windows standardmäßig aktiviert, bei den meisten Linux Distributionen aber standardmäßig deaktiviert. Man braucht es nicht notwendigerweise.

    Mit folgendem Wert unter "about:config" kann man es komplett deinstallieren: media.eme.enabled = false Damit es auch nicht in den Einstellungen als aktivierbare Option erscheint, kann man die Konfigurationsoption verstecken: browser.eme.ui.enabled = false

Anzeige von PDF Dokumenten

Das Acrobat Reader Plug-ins für die Anzeige von PDFs war über Jahre ein Sicherheits­risiko: Aktuelle Firefox Versionen verwenden die Javascript Bibliothek PDF.js für die Anzeige von PDF-Dokumenten. Auch diese Bibliothek hatte schon kritische Sicherheits­lücken, die von Angreifern ausgenutzt genutzt wurden (z.B. CVE-2015-0802/-0816 oder -4495). Für hohe Sicherheits­anforderungen kann man die Anzeige von PDF-Dokumenten im Browser deaktivieren und damit die Angriffsfläche für Drive-By-Download Angriffe verringern. pdfjs.disabled = true Für die Anzeige von PDF-Dokumenten kann man statt funktionsüberladener Monster wie den Adobe Reader einen simplen PDF Viewer nutzen. Die FSFE stellt auf PDFreaders.org Alternativen vor. QubesOS bietet für potentielle "Landesverräter" und Risikogruppen, die als Target für den Einsatz des Bundestrojaner in Frage kommen, einige Sicherheits­features. Dazu gehört die Anzeige von PDFs in einer Wegwerf-VM oder die Umwandlung von PDF Dokumenten aus unbekannten Quellen in Trusted PDFs, die man risikolos weitergeben kann. Die Funktionen kann man nach dem Download mit einem Rechtsklick auf ein PDF Dokument im Dateimanager aufrufen.
PDF säubern in QubesOS
Für die Umwandlung in Trusted PDFs wird qubes-app-linux-pdf-converter gestartet, das Rendering des (möglicherweise bösartigen) PDF Dokumentes erfolgt in einer Wegwerf-VM, die danach gelöscht wird. Die gerenderten Bitmaps werden zu einem neuen, ganz harmlosen PDF zusammen­gesetzt. Wie bei QubesOS üblich, dauert der Vorgang besonders bei großen PDFs einige Zeit.
PDF säubern in QubesOS
Lizenz: Public Domain