<div dir="ltr">I think the UX of a forced PBM window is a little weird (and arguably forces the user to deal with an implementation detail for no good reason).  Like Mike Hommey I'm pretty sure this would be rapidly abused to force popups, and I don't think I've seen an example that would prevent this from happening.<div><br></div><div>Let's step back from the specific implementation solution for a minute, and look at the user story. The goal of this proposal is to have a compliant browser not cache/retain data for a given site, in the same way as a private browsing window doesn't commit any data to disk.  I'm also skeptical of explicitly converting a tab to be a "private browsing" tab, as this risks a significant mode error (i.e. if the user navigates elsewhere).</div><div><br></div><div>That said, I think we're stuck on debating a potential solution, rather than the requirements of a solution to a specific problem.  To that end, I'd like to throw out a baseline set of requirements as a starting point:</div><div><br></div><div>* Users should not be required to explicitly act to be protected.</div><div>* No data related to the site, including cache, cookies, permissions, downloads, etc should be recorded to the Firefox profile.  In-memory stores are acceptable (i.e. memory cache instead of disk, session cookies instead of persistent)</div><div>* Optional: we should enable tracking protection for all sub-loads for a document sent with that header to minimize third-party exposure.</div><div>* Each tab should know whether it contains a sensitive site. On navigating away from that site (in the final tab, if multiple are open), any in-memory caches should be purged, rather than waiting for shutdown (especially since we preserve some session data across session restore).</div><div><br></div><div>What am I missing, and what (if anything) shouldn't be a part of the proposal?</div><div><br></div><div>-- Mike</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 8 September 2015 at 18:45, Francois Marier <span dir="ltr"><<a href="mailto:francois@mozilla.com" target="_blank">francois@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 08/09/15 03:35 PM, Ehsan Akhgari wrote:<br>
> so toggling the private mode of a page based on an HTTP header doesn't<br>
> really play well with that, since we'd need to perform the initial<br>
> network request before we see the HTTP header.<br>
<br>
</span>The assumption was that we could manually remove the site from the<br>
browser history prior to opening PB (i.e. forget button for that site only).<br>
<span class="HOEnZb"><font color="#888888"><br>
Francois<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
firefox-dev mailing list<br>
<a href="mailto:firefox-dev@mozilla.org">firefox-dev@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/firefox-dev" rel="noreferrer" target="_blank">https://mail.mozilla.org/listinfo/firefox-dev</a><br>
</div></div></blockquote></div><br></div>