Privacy-Handbuch: Spurenarm surfen

Aus Wikibooks

Dieser Abschnitt ist noch im Entstehen und noch nicht offizieller Bestandteil des Buchs. Gib den Autoren Zeit, den Inhalt anzupassen!

Das auf den folgenden Seiten vorgestellte Konzept zum spurenarmen Surfen umfasst folgende Punkte:

  1. Die Nutzung datensammelnder Webangebote kann man vermeiden.
  2. Die Annahme von Cookies und die Ausführung von JavaScript wird auf vertrauenswürdige Websites eingeschränkt.
  3. Werbung, HTML-Wanzen und die Like-Buttons (mit denen Social Networks wie Facebook Daten sammeln) werden durch Filter blockiert.
  4. Verräterische Informationen des Browsers werden entfernt.
  5. Risikoreiche und Privacy-unfreundliche Features wie PDF-Reader Plug-Ins, Browser History, Geolocation usw. werden im Browser deaktiviert.
  6. HTTPS-Zertifikate werden zusätzlich validiert, um Man-in-middle Angriffe zu erschweren.
  7. Der Datenverkehr kann über einen Anonymisierungsdienst geleitet werden. Die verschlüsselte Kommunikation verhindert auch die Auswertung des Internetverkehrs durch mitlesende Dritte wie z.B. unsichere WLAN-Hotspots oder TKÜV. (siehe Anonymymisierungsdienste nutzen)

Mit diesen Maßnahmen kann es vorkommen, dass Websites nicht wie erwartet funktionieren. Gute Webdesigner verzichteten auf suspekte Technologien, JavaScript wird sinnvoll eingesetzt und der Surfer auf fehlende Freigaben hingewiesen. Cookies sind meist für Logins nötig und Javascript ermöglicht hübsche Animationen oder Prüfung von Eingaben.

[[Image:../screenshots/cookies_required1.png|frame|none|alt=image]]

Weniger gute Webseiten liefern seltsame Fehlermeldungen:

[[Image:../screenshots/cookies_wrong1.png|frame|none|alt=image]]

Ganz schlechte Websites machen irgendwas, aber nicht was man erwartet Gelegentlich werden auch Referer oder User-Agent ausgewertet, obwohl es belanglos sein sollte, und Surfer werden nicht auf die notwendigen Freigaben hingeweisen. Hier ist man auf Probieren und Raten angewiesen. Als erstes kann man Cookies freigeben. Wenn das hilft kann man Javascript gezielt für einzelne Server freigeben. Ob die Deaktivierung der Schutzmaßnahmen die volle Funktionalität aufwiegt, muss man bei Bedarf selbst entscheiden.


Auswahl des Webbrowsers[Bearbeiten]

Firefox ist der Webbrowser der Mozilla Foundation. Er ist kostenfrei nutzbar und steht auf der Website des Projektes [1] für fast alle Betriebssystem zum Download bereit. Linux-Distributionen enthalten den Browser in der Regel.


Debian GNU/Linux enthält eine branded version des Browsers unter dem Namen Iceweasel, allerding oft in einer veralteten Version. Das Mozilla Debian Team stellt eine aktuelle Version in einem extra Repository [2] bereit.


Firefox kann durch viele von der Community entwickelte Add-ons und Anpassungen in der Konfiguration zu einem sicheren und privacy-freundlichen Browser aufgewertet werden. Ich beschränke mich im folgenden auf diesen einen Browser. Das ist schon sehr umfangreich, wenn man es gut machen will.

JonDoFox[Bearbeiten]

Der JonDoFox[3] ist ein Browser-Profil für Firefox, dass alle Einstellungen umsetzt, die auf den folgenden Seiten beschrieben werden. Nach der Installation von Mozilla Firefox ist das JonDoFox-Profil zusätzlich zu installieren - fertig. Zukünftig fragt Firefox bei jedem Start, welches Profil genutzt werden soll. JonDoFox ist für anonymes Surfen mit JonDonym entwickelt worden, kann aber auch ohne Anonymisierungsdienst verwendet werden, indem man in der Statuszeile unten rechts auf Kein Proxy oder Benutzerdefiniert umschaltet.

[[Image:../screenshots/jondofox-proxy-ohne.png|frame|none|alt=image]]

Wenn man den Proxy Benutzerdefiniert wählt, kann die User-Agent Kennung modifiziert werden. Das ist vor allem für Nutzer seltener Betriebssysteme sinnvoll, um sich in der Masse der Windows-Nutzer zu verstecken. In den Einstellungen des JonDoFox kann man für Benutzerdefinierte Proxys den Firefox 17.0 für Windows (JonDo) oder Firefox 10.0 für Windows (Tor) als Fake zu nutzen. Mit dieser kleinen Anpassung erhält man einen optimal konfigurierten Browser. Das folgende Kapitel kann man trotzdem lesen oder überfliegen, um die damit verbundenen Einschränkungen besser zu verstehen.


[htb]

[[Image:../screenshots/jondofox-ua-ohne.png|image]] [abb:jondofox-ua]

Eine kurze Einführung in den Umgang mit JonDoFox gibt es im Kapitel Anonymisierungsdienste.

JoDoBrowser[Bearbeiten]

Der JonDoBrowser[4] ist nicht nur sicher konfiguriert sondern enthält auch Modifikationen im Source Code von Mozilla Firefox, um eine höhere Anonymität zu bieten. Die aktuelle Beta Version arbeitet stabil und kann meiner Meinung nach für die tägliche Arbeit eingesetzt werden.


Standardmäßig ist die Proxy-Umschaltung im JonDoBrowser deaktiviert. Das erweiterte Menü muss erst in den Einstellungen des JonDoFox-XPI (siehe Bild [abb:proxyfreigeben]) aktiviert werden. Dann kann man wie beim JonDoFox auf ``Kein Proxy`` umschalten und ohne Anonymisierungsdienst spurenarm surfen.

[htb]

[[Image:../screenshots/jondobrowser-proxy-aktivieren.png|image]] [abb:proxyfreigeben]

Datensparsame Suchmaschinen[Bearbeiten]

Suchmaschinen werden sicher am häufigsten genutzt, um sich im Web zu orientieren. Neben den bekannten Datensammlern wie Google, MSN oder Yahoo gibt es durchaus Alternativen.


Suchmaschinen mit eigenem Index[Bearbeiten]

Es ist nicht einfach, eine Suchmaschine zu finden, die die Privatsphäre der Nutzer respektiert, einen umfangreichen Index zur Verfügung stellt und gute Ergebnisse liefert. Ein paar Vorschläge:

  • DuckDuckGo.com (https://duckduckgo.com)
    ist eine privacyfreundliche Suchmaschine. Es gibt sie in einer Java­script-freien Version (HTML) und mit Javascript. Wenn Javascript freigegeben ist, werden an der rechten Seite unter Search suggestions Vorschläge für die Eingrenzung der Suche auf bestimmte Cluster angezeigt.

    [tb]

    [[Image:../screenshots/duckduckgo.png|image]] [abb:ddgsuche]

    Bei der Suche nach ``jondo`` im Bild [abb:ddgsuche] kann man bspw. die Ergebnisse auf Downloads begrenzen (wenn man nach dem Anonymierungs-Proxy sucht), auf Songs oder Lyrik (wenn man sich über den Sänger Martin JonDo informieren will) oder auf Flamenco (wenn man mehr Ergebnisse zum Cante jondo haben möchte). Dieses Feature ist eine gute Kompensation für die nicht vorhandene Personalisierung.

    Die Javascripte enthalten keinen Tracking Code. Für diese Webseite kann ich die dauerhafte Freigabe von Javascript empfehlen.

    Neben der eigentlichen Suche bietet DuckDuckGo viele nette Erweiterungen [5]. Das Suchfeld kann als Taschenrechner genutzt werden, Einheiten können umgerechnet werden, Fragen nach dem Wetter können beantwortet werden (in englisch: weather oder is it raining)…u.v.a.m.

  • Blekko (https://blekko.com)
    Blekko hatte als erste Suchmaschine eine gute Lösung gegen Spam. Allerdings bietet sie keine Einschränkung auf bestimmte Sprachen. In den Ergebnissen dominieren englische Seiten. Die IP-Adressen der Nutzer werden nach 48h gelöscht.

  • Open Directory (http://www.dmoz.de oder http://www.dmoz.org)
    Das Open Directory ist ein Katalog, der von Freiwilligen gepflegt wird. Man kann die Suche auf Kategrien eingrenzen und erhält übersichtliche Ergebnislisten.

Beide Suchmaschinen bieten gute Ergebnisse bei einfachen Suchanfragen. Komplexe Suchanfragen mit mehreren Begriffen beantwortet Google oder die als Google-Proxy nutzbaren Suchmaschine Startpage besser.

Meta-Suchmaschinen[Bearbeiten]

Meta-Suchmaschinen leiten die Suchanfrage an mehrere Suchdienste weiter. Sie sammeln die Ergebnisse ein und sortieren sie neu.

  • Ixquick.com (https://www.ixquick.com/deu)
    wird von der niederländischen Firma Surfboard Holding B.V. betrieben. Die Suchmaschine speichert keine IP-Adressen und generiert keine Profile der Nutzer. Diese Meta-Suche fragt mehrere externe Suchmaschinen an, aber nicht Google. Ixquick.com ist mit dem Datenschutzsiegel EuroPriSe zertifiziert.

    Als kleines Schmankerl bietet Ixquick die Möglichkeit, aus den Suchergebnissen heraus die Webseiten über einen anonymisierenden Proxy aufzurufen. Die aufgerufene Webseite sieht damit nur eine IP-Adresse von Ixquick. Neben den Ergebnissen findet man einen kleinen Link Proxy:

    [[Image:../screenshots/ixquick.png|frame|none|alt=image]]

    Aus Sicherheitsgründen entfernt der Proxy Javascript Code aus den aufgerufenen Webseiten. Es ist daher möglich, dass einige Webseiten nicht wie erwartet funktionieren. Außerdem ist KEINE Eingabe von Daten in Textfeldern der aufgerufenen Webseite möglich. Der Proxy kann die Webseiten nur darstellen.

  • Startpage (https://startpage.com)
    wird ebenfalls von Surfboard Holding B.V. betrieben und ist mit dem Datenschutzsiegel EuroPriSe zertifiziert. Die Suchmaschine bietet privacy-freundlichen Zugriff auf die Google-Suche, ist also einen ideale Ergänzung zu Ixquick.com. Einen Proxy zum anonymen Aufruf der Webseiten aus den Ergebnissen bietet Startpage auch.

  • Metager2.de (http://www.metager2.de)
    ist ein Klassiker vom Suma e.V. Neben klassischen Suchdiensten wird auch die Peer-2-Peer Suche Yacy einbezogen. Dadurch verzögert sich die Anzeige der Ergebnisse etwas.

Spezielle Anwendungsfälle[Bearbeiten]

  • Wikipedia kann man auch ohne Umweg über Google direkt fragen, wenn man Informationen sucht, die in einer Enzyklopädie zu finden sind.
  • Statt Google übersetzen zu lassen, kann man LEO nutzen. Der Translator kennt neben Englisch und Deutsch weitere Sprachen.

Peer-2-Peer Suchmaschine[Bearbeiten]

Yacy [6] ist eine zensurresistente Peer-2-Peer Suchmaschine. Jeder kann sich am Aufbau des Index beteiligen und die Software auf seinem Rechner installieren. Der Crawler ist in Java geschrieben, benötigt also eine Java-Runtime (JRE), die es für WINDOWS bei Oracle [7] zum kostenlosen Download gibt. Linuxer können das Paket default-jre mit der Softwareverwaltung installieren. Danach holt man sich die Yacy-Software von der Website des Projektes und startet den Installer - fertig. Für Debian, Ubuntu und Linux Mint bietet das Projekt ein Repository [8] mit fertigen Paketen.


Nach dem Start von Yacy kann man im sich öffnenden Bowserfenster die Basiskonfiguration anpassen und los gehts. Die Suchseite ist im Browser unter http://localhost:8080 erreichbar.


Die Beantwortung der Suchanfragen dauert mit 5-10sec ungewohnt lange. Außerdem muss Javascript für http://localhost freigegeben werden, damit die Ergebnisseite sauber dargestellt wird. Mit den Topwords unter den Ergebnissen bietet Yacy ein Konzept, um die Suchanfrage zu präzisieren.


Für alle alternativen Suchmaschinen gilt, dass sie eine andere Sicht auf das Web bieten und die Ergebnisse sich von Google unterscheiden. Man sollte bei der Beurteilung der Ergebnisse beachten, dass auch Google nicht die reine Wahrheit bieten kann, sondern nur eine bestimmte Sicht auf das Web.

Google ???[Bearbeiten]

Anfang Februar 2012 hat Google seine Suchmaschine überarbeitet. Die Webseite macht jetzt intensiven Gebrauch von Javascript. Eine vollständige Analyse der verwendeten Schüffel­techniken liegt noch nicht vor. Einige vorläufige Ergebnisse sollen kurz vorgestellt werden:

Einsatz von EverCookies:

Der Surfer wird mit EverCookie Techniken markiert. Die Markierung wird im DOMStorage gespeichert. Der DOMStorage wurde vom W3C spezifiziert, um Web-Applikationen die lokale Speicherung größerer Datenmengen zu ermöglichen und damit neue Features zu erschließen. Google wertet die User-Agent Kennung und weitere Informationen über den Browser aus, um die Möglichkeit der Nutzung des DOMStorage erst einmal zu prüfen und gegebenenfalls Alternativen wie normale Cookies zu verwenden.

Tracking der Klicks auf Suchergebnisse:

Bei Klick auf einen Link in den Suchergebnissen wird die Ziel-URL umgeschrieben. Aus der für den Surfer sichtbaren Zieladresse

  https://www.awxcnx.de/handbuch.htm 

wird im Moment des Klick eine Google-URL:

  http://www.google.de/url?q=https://www.awxcnx.de/...... 

Die zwischengeschaltete Seite enthält eine 302-Weiterleitung auf die ursprüngliche Ziel-URL. Der Surfer wird also fast unbemerkt über einen Google-Server geleitet, wo der Klick registriert wird. (Bei deaktiviertem Javascript ist stets die Google-URL sichtbar, nicht die Zieladresse.)

Diese Umschreibung der Links gibt es auch bei Bing, Facebook, Youtube und anderen Daten­sammlern. Das Firefox Add-on Google Privacy kann diese Umschreibung verhindern. Das Add-on ist noch im Beta Status. Die Entwicklung von Google Privacy ist ein Wettlauf zwischen Hase und Igel. Einfacher und sicherer ist es, privacy freundliche Suchmaschinen zu nutzen.

Browser Fingerprinting:

Mittels Javascript wird die innere Größe des Browserfensters ermittelt. Folgenden Code findet man in den Scripten:

 I[cb].oc= function() {
 var a=0, b=0;
 self.innerHeight?(a=self.innerWidth,b=self.innerHeight):....;
 return {width:a, height:b}
 };

Die ermittelten Werten werden als Parameter biw und bih in der Google-URL übergeben. Sie haben aber keinen Einfluss auch die Bildschirmdarstellung. Auch wenn das Browserfenster zu klein ist und die Darstellung nicht passt, bleiben die festen Größen der HTML-Elemente erhalten.

Die inneren Abmessungen des Browserfensters sind sehr individuelle Parameter, der von Betriebssystem und gewählten Desktop-Einstellungen abhängig sind. Sie werden von der Schriftgröße in der Menüleiste, der Fensterdekoration, den aktivierten Toolbars der Desktops bzw. der Browser usw. beeinflusst. Sie sind für die Berechnung eines individuellen Fingerprint des Browsers gut geeignet. Anhand des Browser-Fingerprint können Surfer auch ohne Cookies oder EverCookies wiedererkannt werden. Die Google Technik kann dabei besser differenzieren als das Projekt Panopticlick der EFF, das bereits 80% der Surfer eindeutig identifizieren konnte.

Auf der Webseite der Google-Suche kann man dem Tracking kaum entgehen. Wer unbedingt die Ergebnisse von Google braucht, kann die Suchmaschine Startpage.com als anonymisierenden Proxy nutzen. Sie ist mit dem Datenschutzsiegel EuroPriSe zertifiziert. Andere Suchmaschinen bieten eine andere Sicht auf das Netz - auch nicht schlecht, erfordert manchmal etwas Umgewöhnung.

[tb]

[[Image:../screenshots/firefox_suche.png|image]] [abb:ffsuche]

Firefox konfigurieren[Bearbeiten]

Für viele Suchdienste gibt es Plug-Ins zur Integration in die Suchleiste von Firefox. Die Website Mycroft [9] bietet ein Suchformular, mit dem man die passenden Plug-Ins nach Eingabe des Namens der Suchmaschine schnell findet. Die Installation funktioniert nur, wenn JavaScript für diese Website freigegeben wurde.


Für viele Suchmaschinen gibt es eine Variante mit SSL-Verschlüsselung. Diese Varianten sollten (wenn angeboten) bevorzugt genutzt werden. SSL-Verschlüsselung gibt es für Ixquick, Google, Wikipeadia, Startpage u.a.m.


Außerdem kann die Generierung von Suchvorschlägen deaktiviert werden. Die Vorschläge kommen von dem gewählten Suchdienst, verlangsamen aber die Reaktion auf Eingaben deutlich. Ich weiss selber, was ich suche! Den Dialog findet man unter Suchmaschinen verwalten in der Liste der Suchmaschinen.

Cookies[Bearbeiten]

Cookies werden für die Identifizierung des Surfers genutzt. Neben der erwünschten Identifizierung um personalisierte Inhalte zu nutzen, beispielsweise einen Web-Mail-Account oder um Einkäufe abzuwickeln, werden sie auch für das Tracking von Nutzern verwendet.


Der Screenshot Bild [abb:cookiespiegel] zeigt die Liste der Cookies, die bei einem einmaligen Aufruf der Seite www.spiegel.de gesetzt wurden. Neben den Cookies von spiegel.de zur Zählung der Leser setzen gleich mehrere datensammelnde Werbeserver Cookies und außerdem Zähldienste (quality-chanel.de, ivwbox.de), welche die Reichweiten von Online-Publikationen auswerten.


[p]

[[Image:../screenshots/cookies_spiegel.png|image]] [abb:cookiespiegel]

Es ist nicht ungewöhnlich, dass populäre Webseiten mehrere Datensammler einbinden. Eine Studie der Universität Berkeley [10] hat 2011 beim Surfen auf den TOP100 Webseiten 5.675 Cookies gefunden (ohne Login oder Bestellung). 4.914 Cookies wurden von Dritten gesetzt, also nicht von der aufgerufenen Webseite. Die Daten wurden an mehr als 600 Server übermittelt. Spitzenreiter unter den Datensammlern ist Google, 97% der populären Webseiten setzen Google-Cookies.


Sinnvoll ist ein Whitelisting für die Behandlung von Cookies:

  1. Standardmäßig wird die Annahme von Cookies verweigert.
  2. Für vertrauenswürdige Websites, welche die Nutzung von Cookies zur Erreichung der vollen Funktion benötigen, werden Ausnahmen zugelassen.
  3. Die für den Zugriff auf personalisierte Inhalte gespeicherten Cookies sollten beim Schließen des Browsers automatisch gelöscht werden. Einige Websites verwenden diese Cookies auch nach dem Logout für das User-Tracking.

Fast alle Login-Seiten, welche Cookies zur Identifizierung des Surfers verwenden, weisen mit einem kleinen Satz auf die notwendigen Freigaben hin. Treten beim Login seltsame Fehler auf, z.B. ständig die Fehlermeldung FALSCHES PASSWORT, verweigert der Browser wahrscheinlich die Annahme von Cookies. Die Website sollte in die Liste der vertrauenswürdigen Websites aufgenommen werden.

Mozilla Firefox konfigurieren[Bearbeiten]

Mozilla Firefox bietet bereits standardmäßig die Möglichkeit, die meisten Cookies ohne Einbußen am Surf-Erlebnis loszuwerden. Im Bild [abb:cookiesff] gezeigte Dialog Einstellungen Sektion Datenschutz kann die Annahme von Fremd-Cookies standardmäßig deaktiviert werden.


[htb]

[[Image:../screenshots/CookiesFF.png|image]] [abb:cookiesff]

Mit einem Klick auf den Button Ausnahmen kann man Server konfigurieren, die Cookies setzen dürfen oder grundsätzlich blockiert werden. Um von Google nicht beim Besuch der meisten deutschen Websites verfolgt zu werden, ist es nötig, diesen Dienst ausdrücklich zu blockieren.


Anderenfalls wird der Browser beim Start durch den Aufruf der Default-Seite oder beim Laden der Phishing-Datenbank mit einem Google-Cookie “personalisiert”. Durch eingebettete Werbung und Google-Analytics auf vielen Websites kann Google unbedarfte Surfer effektiv beobachten.

Zusätzliche Add-ons für Firefox[Bearbeiten]

Die Firefox Addon Sammlung bietet viele Add-ons um die Verwaltung von Cookies zu erleichtern. Nicht alle werden noch gepflegt und sind mit aktuellen Versionen von Firefox kompatibel. Das Add-on CookieMonster [11] ist empfehlenswert. Es erlaubt die site-spezifische Verwaltung von Cookies.


Ein einfacher Klick auf das Install-Symbol der Website startet den Download der Erweiterung und installiert sie. Nach dem Neustart von Firefox ist in der Statusleiste ein zusätzliches Symbol vorhanden. Ein Klick mit der linken(!) Maustaste auf das blau-schwarze ``CM`` öffnet das in Bild [abb:cookiesafe1] dargestellte Menü (nur wenn die Website Cookies nutzen möchte).

[htb]

[[Image:../screenshots/Cookies1.png|image]] [abb:cookiesafe1]

Erlaube Cookies temporär
erlaubt es dem aktuellen Server, nur für diese Sitzung Cookies zu setzen. Mit dem Schließen des Browsers werden die Cookies und die Ausnahme­reglung gelöscht.
Erlaube Cookies
erlaubt es dem aktuellen Server, unbegrenzt gültige Cookies zu setzen. Diese Variante wird nur benötigt, wenn man bei einem späteren Besuch der Website automatisch wieder angemeldet werden möchte.
Verweigere Cookies
erlaubt es dem aktuellen Server nicht, Cookies zu setzen.
Erlaube Sessioncookies
erlaubt es dem aktuellen Server, Cookies zu setzen. Mit dem Schließen des Browsers werden diese Cookies wieder gelöscht. Bei folgenden Besuchen dürfen wieder neue Cookies gesetzt werden.

Nach der Installation von CookieMonster muss man das Standardverhalten auf Alle Cookies blockieren umschalten. Das ist sicherer, als nur die Cookies von Dritt-Seiten zu blockieren. Die Einstellungen werden im Add-ons-Manager unter Extras -> Add-ons in der Sektion Erweiterungen konfiguriert.

[htb]

[[Image:../screenshots/CookiesFF2.png|image]] [abb:cookiesafe2]

Super-Cookies in Firefox[Bearbeiten]

Mozilla Firefox bietet auch die clientseitige Datenspeicherung. Dieser DOM-Storage oder Web-Storage wird gelegentlich auch als Super-Cookie bezeichnet, da bis zu 5 MB große Datenmengen mit Hilfe von Javascript abgelegt werden können.


Aktuelle Versionen von Firefox wenden die Beschränkungen für Cookies auch auf den DOMStorage an. Es reicht aus, die Cookies zu deaktivieren. Damit ist auch die clientseitige Datenspeicherung deaktiviert.


Diese parallele Anwendung der Einstellung für Cookies auf DOMStorage gilt nur für Firefox. Andere Browser verhalten sich bezüglich der clientseitigen Datenspeicherung anders! Bei Opera habe ich noch keine Möglichkeit gefunden, die lokale Speicherung von Daten gezielt zu deaktivieren.


Flash-Cookies verwalten[Bearbeiten]

Auch Flash-Applikationen können Cookies setzen, sogenannte Local Shared Objects (LSO). Diese Datenkrümel können bis zu 100kByte Daten fassen und ignorieren die Einstellungen des Browsers. Sie werden neben der Speicherung von Einstellungen auch zum Nutzertracking verwendet von Youtube, Ebay, Hulu...


Aktuelle Browser (mit Ausnahme von Opera) verwalten die Flash-Cookies nach den gleichen Regeln wie normale Cookies. Zusätzliche Add-ons zum Löschen der Flash Cookies sind nicht mehr nötig. Außerdem bieten Flash-Player unterschiedliche Möglichkeiten, diese Datenspeicherung zu deaktivieren:

  1. Wer den Adobe Flash-Player nutzt, kann mit einer Flash-Anwendung auf der Webseite von Macromedia [12] die Einstellungen für das Speichern und Auslesen von Informationen sowie Nutzung von Mikrofon und Kamera anpassen.

    Auf der Seite Globale Speicher­einstellungen ist die Datenspeicherung zu deaktivieren (Bild [abb:flashplayer]). Anschließend sind auf der Seite Webseiten Speichereinstellungen die bisher gespeicherten Cookies zu löschen.

    [htb]

    [[Image:../screenshots/flash1.png|image]] [abb:flashplayer]

    Wer das Add-on NoScript nutzt, muss zusätzlich zur aktuellen Webseite dem Server wwwimages.adobe.com das Ausführen von Javascript erlauben. Anderenfalls funktioniert die Flash-Applikation nicht.

  2. Der freie Flash-Player Gnash bietet die Möglichkeit, die Speicherung von Cookies zu konfigurieren. Man klickt mit der rechten Maustaste auf ein Flash-Movie und wählt den Punkt Bearbeiten - Einstellungen im Kontextmenü und schickt man alle Shared Objects nach /dev/null.

EverCookies[Bearbeiten]

80% der Internetnutzer lehnen das Tracking ihres Surfverhaltens ab. Viele Surfer ergreifen einfache Maßnahmen gegen Tracking Cookies. Nach einer Untersuchung von AdTiger blockieren 52,5% der Surfer die Annahme von Cookies, die nicht von der aufgerufenen Website stammen (sogenannte Third-Party-Cookies). Andere Studien [13] kommen auf 15%...35% Cookie-Verweigerer unter den Surfern (was mir seriöser erscheint). Dabei handelt es meist um Surfer, die regelmäßig auf dem Datenhighway unterwegs sind und somit die Erstellung präziser Profile ermöglichen könnten. Von Gelegenheits-Surfern kann man kaum umfassenden Interessen-Profile erstellen.


Die Tracking-Branche reagiert auf diese Entwicklung mit erweiterten Markierungen, die unter der Bezeichnung EverCookie zusammengefasst werden. Zusätzlich zum Tracking-Cookie werden weitere Markierungen im Browser gespeichert. Später kann ein gelöschtes Tracking-Cookie anhand dieser Markierungen wiederhergestellt werden.


Nach empirischen Untersuchungen der University of California [14] nutzen viele Tracking­dienste EverCookie Techniken. Häufig werden seit 2005 Flash-Cookies bzw. LSOs parallel zu normalen Cookies eingesetzt, wobei diese Technik auf dem absteigenden Ast ist. 2011 nutzen 37% der TOP100 Webseiten diese Technik, 2012 nur noch 17%. Die Flash-Cookies werden durch HTML5-Speichertechniken wie DOMstorage ersetzt und ETags. 31% der TOP100 Webseiten nutzen moderne HTML5-Techniken zur Markierung der Surfer (Stand 2012).

  • Die Google-Suche nutzt DOMstorage, was eine Markierung von Nutzern auch bei deaktivierten Cookies ermöglicht.
  • Die Firma Clearspring protzt damit, präzise Daten von 250 Mio. Internetnutzern zu haben. Sie setzte bis 2010 Flash-Cookies ein, um gelöschte Cookies wiederherzustellen.
  • Ebay.de verwendet Flash-Cookies, um den Browser zu markieren.
  • AdTiger.de bietet umfangreiche Angebote zur gezielten Ansprache von Surfern und protzt damit, 98% der Zugriffe über einen Zeitraum von deutlich länger als 24h eindeutig einzelnen Nutzern zuordnen zu können. Nach einer eigenen Studie kann AdTiger aber nur bei 47,5% der Surfer normale Cookies setzen.
  • Die Firma KISSmetrics (``a revolutionary person-based analytics platform``) setzte zusätzlich zu Cookies und Flash-Cookies noch ETags aus dem Cache, DOMStorage und IE-userData ein, um Surfer zu markieren. Aufgrund der negativen Schlagzeilen wird seit Sommer 2011 auf den Einsatz von ETags verzichtet.

EverCookies - never forget[Bearbeiten]

Der polnische Informatiker Samy Kamkar hat eine Demonstration [15] von EverCookie Techniken erstellt, die verschiedene technische Möglichkeiten basierend auf HTML5 zeigen:

  • Local Shared Objects (Flash Cookies)
  • Silverlight Isolated Storage
  • Cookies in RGB Werten von automatisch generierten Bildern speichern
  • Cookies in der History speichern
  • Cookies in HTTP ETags speichern
  • Cookies in Browser Cache speichern
  • window.name auswerten
  • Internet Explorer userData Storage
  • Internet Explorer userData Storage
  • HTML5 Database Storage via SQLite
  • HTTP-Auth speichern (zukünftig)

Verteidigungsstrategien[Bearbeiten]

Zur Verteidigung gibt es drei Möglichkeiten:

  1. Die Verbindung zu Tracking-Diensten kann mit AdBlockern komplett verhindert werden. Es sind Filterlisten zu nutzen, die in der Regel als Privacy Listen bezeichnet werden.
  2. Viele EverCookie Techniken nutzen Javascript. Die Freigabe von Javascript nur auf wenigen, vertrauenswürdigen Seiten schützt ebenfalls.
  3. Ein EverCookie-sicherer Browser kann nur mit Konfigurationseinstellungen nicht erreicht werden. Der Datenverkehr ist durch zusätzliche Maßnahmen zu reinigen. Bisher kann nur der JonDoFox und der JonDoBrowser alle von Samy Kamkar vorgestellten Techniken während des Surfens blockieren.
  4. Der TorBrowser beseitigt alle Markierungen beim Beenden der Surf-Session (Schließen des Browsers oder Neue Identität im TorButton wählen). Während der Session ist man anhand von EverCookies wiedererkennbar. Dieses Verhalten entspricht der Zielstellung der Tor-Entwickler.

JavaScript[Bearbeiten]

JavaScript ist eine der Kerntechniken des modernen Internet, birgt aber auch einige Sicherheitsrisiken.

  1. Mit Hilfe von Javascript kann man eine Vielzahl von Informationen über den Browser und das Betriebssystem auslesen. Bildschirmgröße, Farbeinstellungen, installierte Plugins und Hilfs-Applikationen.... Die Website http://browserspy.dk zeigt eine umfangreiche Liste.

    Diese Informationen können zu einem individuellen Fingerabdruck verrechnet werden. Anhand dieses Fingerabdruck kann der Surfer wiedererkannt werden, auch wenn er die IP-Adresse mit VPNs oder Anonymisierungsdiensten verschleiert. Die EFF geht davon aus, dass diese Methode von vielen Datensammlern genutzt wird.

    • Yahoo! Web Analytics nutzt Javascript Tracking Code, wenn Cookies blockiert werden.

      In case Yahoo! Web Analytics cannot set a cookie, the system can still retrieve information from the JavaScript tracking code, the IP address and the web browser user agent. [16]

    • Ein weiteres Beispiel ist die Firma bluecave [17]. Das Trackingscript BCAL5.js sammelt Informationen zur verwendeten Software, installierte Schriftarten, Bildschirmgröße, Browser Plug-ins und ein paar mehr Daten, um daraus einen individuellen Fingerprint zu berechnen. bluecave protzt damit, 99% der Surfer zu erkennen.

    • Der Trackingdienst Multicounter [18] und die Google Suche speichern die per Javascript ausgelesene Bild­schirm­größe als individuelles Merkmal.

  2. Einige EverCookie Techniken nutzen Javascript, um zusätzliche Markierungen im Browser zu hinterlegen und gelöschte Tracking Cookies wiederherzustellen.

  3. Durch Einschleusen von Schadcode können Sicherheitslücken ausgenutzt und der der Rechner kann kompromittiert werden. Das Einschleusen von Schadcode erfolgt dabei auch über vertrauenswürdige Webseiten, beispielsweise mit Cross Site Scripting, wenn diese Websites nachlässig programmiert wurden. Werbebanner können ebenfalls bös­artigen Javascriptcode transportieren. Im Januar 2013 lieferten die Server des Werbe­netzwerkes OpenX bösartige Scripte aus, die den Rechner über Sicherheitslücken im Java Plug-in und im Internet Explorer kompromittierten.[19]

Ein generelles Abschalten ist heutzutage nicht sinnvoll. Ähnlich dem Cookie-Management benötigt man ein Whitelisting, welches JavaScript für vertrauenswürdige Websites zur Erreichung der vollen Funktionalität erlaubt, im allgemeinen jedoch deaktiviert. Gute Webdesigner weisen den Nutzer darauf hin, dass ohne Javascript eine deutliche Einschränkung der Funktionalität zu erwarten ist.

NoScript für Mozilla Firefox[Bearbeiten]

Die Einstellungen für JavaScript lassen sich mit dem Add-on NoScript komfortabel verwalten. Die Erweiterung kann von der Website [20] installiert werden. Ein einfacher Klick auf das Download-Symbol startet die Installation. Im Anschluss ist Firefox neu zu starten.


[htb]

[[Image:../screenshots/noscript_allow.png|image]] [abb:noscriptbutton]

Nach dem Neustart von Firefox ist in der Statusleiste ein zusätzliches Symbol vorhanden, welches den Status der Freigabe von JavaScript anzeigt. Ein Klick auf das Symbol öffnet das im Bild [abb:noscriptbutton] gezeigte Menü, welches JavaScript für die aktuellen Sites generell oder nur temporär freigibt.


Einige Webseiten verwenden Captchas als Spamschutz. Die Captchas werden von Drittseiten eingebunden (Recaptcha.com, Nucaptcha.com...) und funktionieren nur, wenn Javascript für den Captcha-Provider freigegeben ist. Wenn das Captcha auf einer Webseite nicht funktioniert, schauen sie in der NoScript-Liste nach, ob evtl. ein Captcha-Provider dabei ist und geben sie Javascript temporär für diese Domain frei.


Weitere Skripte von Drittanbietern werden üblicherweise nur zum Spionieren verwendet und sind für die Funktionalität selten notwendig.


Wählt man den Punkt Einstellungen im NoScript-Menü, öffnet sich der Einstellungsdialog (Bild [abb:noscripteinst]), der auf dem Reiter Positivliste eine Liste der Websites zeigt, für welche Java-Script freigegeben wurde. Als Erstes sollte man aus der Positivliste alles entfernen, was man nicht wirklich braucht. In der Liste findet man standardmäßig mit googlesyndications auch Surf-Tracker.


[htb]

[[Image:../screenshots/noscript_einst.png|image]] [abb:noscripteinst]

Auf dem Reiter Benachrichtigungen lässt sich beispielsweise konfigurieren, ob NoScript den Surfer mit einem Sound oder mit einem Info-Balken darüber informiert, dass Scripte auf der aktuellen Webseite blockiert wurden.


Der Sound nervt mich, diese Option habe ich deaktiviert. Wenn eine Webseite jedoch nicht wie erwartet funktioniert, kann die kurze Einblendung eines Info-Balkens hilfreich bei der Suche nach den Ursachen sein.


NoScript dient nicht nur der Steuerung von Javascript, es bieten Schutz gegen vielfältige Angriffe aus dem Netz. (XSS-Angriffe, Webbugs, Click-Hijacking....). Außerdem blockiert es auch Ping-Attribute und kann für eine Liste von Webseiten SSL-Verschlüsselung erzwingen.

Werbung, HTML-Wanzen und Social Media[Bearbeiten]

Die auf vielen Websites eingeblendete Werbung wird von wenigen Servern bereitgestellt. Diese nutzen häufig (eigentlich immer) die damit gegebenen Möglichkeiten, das Surfverhalten über viele Websites hinweg zu erfassen. Mit Hilfe von listen- und musterbasiert Filtern kann der Zugriff auf Werbung sowie die von diesen Servern genutzten Cookies unterbunden werden.


Hinweis: Viele Angebote im Web werden über Werbung finanziert, da die Nutzer meist nicht bereit sind, für diese Angebote zu bezahlen. Die Redaktion von Heise.de hat ein kurzes Statement[21] zu Werbung auf Heise online veröffentlicht und erklärt, wie sie einzelne Webangebote durch Freigaben im Werbeblocker unterstützen können.


Bei HTML-Wanzen (sogenannten Webbugs) handelt es sich um 1x1-Pixel große transparente Bildchen, welche in den HTML-Code einer Webseite oder einer E-Mail eingebettet werden. Sie sind für den Nutzer unsichtbar und werden beim Betrachten einer Webseite oder beim Öffnen der E-Mail von einem externen Server geladen und ermöglichen es dem Betreiber des Servers, das Surfverhalten websiteübergreifend zu verfolgen.


Hinweis: das System METIS[22] der VG Wort verwendet HTML-Wanzen, um die Besucher von Online-Angeboten zu zählen und anhand der Ergebnisse Tantiemen an Autoren auszuzahlen.


Facebook und andere Sociale Netze verwenden sogenannte Like Buttons, um Daten zu sammeln. Die Verwendung der Like Buttons ist nach Ansicht von Thilo Weichert (ULD) nicht mit deutschen Datenschutzrecht vereinbar. Deutsche Webseitenbetreiber sind aufgefordert, die Facebook Buttons von ihren Seiten zu entfernen[23]. Mit dem Aufruf einer Webseite, die den Like Button enthält, werden Daten an Facebook übertragen und dort ausgewertet.


Tracking-Filter für Firefox[Bearbeiten]

Es gibt mehrere Add-ons für Firefox, die Werbung und Trackingelemente blockieren. Das Center for Internet and Society der Stanford Law School hat in einer Analyse vom September 2011 einige Lösungen verglichen [24]. Die Ergebnisse in Bild [abb:trackingfilter] zeigen: keine Lösung ist perfekt.


[htb]

[[Image:../screenshots/tracking-blocker.png|image]] [abb:trackingfilter]

Aufgrund der Flexibilität bei der Einbindung verschiedener Filterlisten empfehle ich AdBlock Plus. Mit den Easylist Filterlisten erreichten das Add-on bei dem Test mit die besten Ergebnisse. Die Listen werden ständig weiterentwickelt. Es gibt als Zusatz eine spezielle Filterliste für deutsche Webseiten.


Zusätzlich zur den Blocklisten EasyList+Germany und EasyPrivacy sollte man noch eine Liste abonnieren, die die Social Media Buttons blockiert, z.B. SocialMediaBlock von MontzA.


FanBoy arbeitet seit 2010 mit EasyList zusammen, daher die ähnlich guten Ergebnisse. Ghostery schneidet im Test auch gut ab und wird oft empfohlen. Es gibt aber immer wieder Probleme mit Ghostery auf einigen Webseiten, da das Add-on kein Whitelisting kennt. Außerdem arbeitet es mit einer festen Blockliste, die nicht flexibel erweitert oder kombiniert werden kann.

Adblock für Mozilla Firefox[Bearbeiten]

Für Mozilla Firefox steht mit Adblock Plus[25] ein Add-on für das listenbasierte Blockieren von Werbung zur Verfügung. Für AdBlock Plus gibt es viele Listen zum Blockieren von Werbung (länderspezifisch), Tracking-Diensten und der Social Media Like-Buttons. Ein einfacher Klick auf das Install-Symbol der Website startet den Download der Erweiterungen und installiert sie.


Nach dem Neustart ist mindestens eine Filterliste zu abonnieren (Bild [abb:adblock1]). Standardmäßig wird für deutsche Benutzer die Liste EasyList Germany + EasyList vorgeschlagen. EasyList ist eine gute Wahl, die man akzeptieren kann.

[htb]

[[Image:../screenshots/adblock-firststart.png|image]] [abb:adblock1]

Zusätzliche Filterlisten abonnieren[Bearbeiten]

Weitere Filterlisten können im Einstellungen von AdBlock Plus unter dem Menüpunkt Filter Preferences abboniert werden. Hier ist der Menüpunkt Filter -> Abonnement hinzufügen zu wählen. Aus der Liste der angebotenen Filter können regional passende Listen gewählt werden. Folgende Filter-Listen sind als Ergänzung zur EasyList passend:

  • EasyPrivacy blockiert meist unsichtbare Tracking-Elemente zum Ausspähen ihres Verhaltens im Internet mit HTML-Wanzen. Die Liste ist eine sinnvolle Ergänzung zur EasyList (Germany). Bei der Installation von EasyPrivacy kann die zusätzliche empfohlene EasyList deaktiviert werden, das sie bereits vorhanden ist.
  • SocialMediaBlock ist eine Liste zum Blockieren der verschiedenen Social Media Tracking Features wie Facebook Like Buttons u.ä. Zur Installation kopiert man folgende URL in die Adressleiste von Firefox: abp://subscribe/?location=http://monzta.maltekraus.de/adblock_social.txt&title=SocialMediaBlock.

Whitelisting von Websites[Bearbeiten]

Mit der Version 2.0 hat AdBlock eine Whitelist für unaufdringliche Werbung eingeführt. Die Filterung wird auf den Webseiten in der Whitelist abgeschaltet, so dass diese Webseiten Werbung einblenden können. Bisher ist die Whitelist ziemlich leer. Man kann dieses Feature wie in Bild [abb:adblock2] in der Übersicht der Filterlisten abschalten, indem man die Option Nicht aufdringliche Werbung zulassen deaktiviert. Alternativ kann man auch das Add-on TrueBlock statt AdBlock verwenden. Es ist 100% kompatibel mit AdBlock, das Whitelisting ist jedoch standardmäßig deaktiviert.


[htb]

[[Image:../screenshots/adblock-whitelist.png|image]] [abb:adblock2]

Statt dessen kann man selbst entscheiden, welchen Webseiten man das Anzeigen von Werbung gestatten möchte.

Vertipper korrigieren[Bearbeiten]

Die Entwickler von AdBlock sind der Meinung, dass das Korrigieren von Vertippern in der URL ein sinnvolles Feature für einen Werbeblocker ist, und haben URL Fixer integriert. Die Tippfehlern werden an den Server urlfixer.org gesendet und dort gesammelt. Es wird vielen Nutzern nicht gefallen, wenn Daten über gerade besuchte Seiten an einen externen Server gesendet werden. Einen Hinweis auf die Datenübertragung findet man nicht.


Man kann dieses (überflüssige) Feature in den Filtereinstellungen von AdBlock auf dem Reiter Vertipper-Korrekturen deaktivieren.

Anti-AdBlock[Bearbeiten]

Anti-AdBlock ist ein Script für Webmaster, die den Besucher der Webseite zur Deaktivierung von AdBlock PLus zwingen wollen. Bei aktivem Werbeblocker sieht man beim Besuch einer präparierten Webseite nur folgenden Hinweis:

[[Image:../screenshots/anti-adblock.png|frame|none|alt=image]]

Wer sich nicht gängeln lassen will, kann das Firefox Add-on Disable Anti-Adblock[26] installieren. Dann kann man die Webseite werbefrei betrachten.


Mit einem gelegentlichen Klick auf Werbung kann man gute Webseiten bei der Finanzierung unterstützen. Wenn Sie eine Webseite im Browser geöffnet haben, können Sie in den Menü von AdBlock die aktuelle Webseite zu einer eigenen Whitelist hinzufügen.

History Sniffing[Bearbeiten]

Browser speichern Informationen über besuchte Webseiten in einer Surf-History. Eine empirische Untersuchung der University of California [27] zeigt, dass ca. 1% der Top 50.000 Websites versuchen, diese Daten über zuvor besuchte Websites auszulesen. Daneben gibt es spezielle Anbieter wie Tealium oder Beencounter, die einem Webmaster in Echtzeit eine Liste der Websites liefern, die ein Surfer zuvor besucht hat. Die dabei übermittelten Informationen erlauben ein ähnlich detailliertes Interessenprofil zu erstellen, wie das Tracking über viele Websites. In der Regel werden die Informationen für die Auswahl passender Werbung genutzt.


Ein Experiment des Isec Forschungs­labors für IT-Sicherheit [28] zeigt, dass diese History-Daten auch zur Deanonymisierung der Surfer genutzt werden können. Anhand der Browser History wurde ermittelt, welche Gruppen bei Xing der Surfer bisher besucht hat. Da es kaum zwei Nutzer gibt, die zu den gleichen Gruppen gehören, konnte mit diesen Daten eine Deanonymiserung erfolgen. Die Realnamen sowie E-Mail Adressen konnten ohne Mithilfe vieler Surfer nur durch den Aufruf der präparierten Webseite ermittelt werden.


Neben Javascript können auch CSS-Hacks für das Auslesen der Surf-Historie genutzt werden. In der wissenschaftlichen Arbeit Feasibility and Real-World Implications of Web Browser History Detection [29] zeigen Security Experten, wie man die unterschiedliche farbliche Darstellung von bereits besuchten Links auswertet.


Die derzeit einzig wirksame Verteidigung besteht in der Deaktivierung der Surf-History. Im Dialog ``Einstellungen`` kann man auf dem Reiter “Datenschutz” die Speicherung besuchter Webseiten deaktivieren.

[htb]

[[Image:../screenshots/history.png|image]] [abb:history]

Browsercache[Bearbeiten]

Mit jeder aufgerufenen Webseite wird ein ETag gesendet, welches der Browser im Cache speichert. Wird die Webseite erneut aufgerufen, sendet der Browser zuerst das ETag, um zu erfragen, ob die Seite sich geändert hat. Dieses Tag kann eine eindeutige User-ID enthalten. KISSmetrics[30] verwendete diese Technik, um gelöschte Tracking-Cookies wieder herzustellen.


Ein vollständiges Abschalten des Cache ist nicht empfehlenswert. Man sollte den Cache des Browsers beim Schließen automatisch bereinigen. Außerdem kann man während des Surfens den Cache usw. mit einer Tastenkombination gelegentlich löschen.


Im Firefox wird der Cache mit weiteren temporären Daten in der Chronik zusammengefasst. Die Einstellungen zum Löschen der Chronik findet man unter Einstellungen auf dem Reiter Datenschutz. Klicken Sie auf den Button Einstellungen hinter der Option Die Chronik löschen, wenn Firefox geschlossen wird. In dem sich öffnenden Dialog kann man detailliert festlegen, welche Daten beim Schließen des Browsers gelöscht werden sollen.


[htb]

[[Image:../screenshots/cache_loeschen.png|image]] [abb:cacheloeschen]

Während des Surfens kann man die Chronik mit der Tastenkombination STRG-SHIFT-ENTF reinigen oder über den Menüpunkt Extra - Neueste Chronik löschen.


Firefox verwendet einen Cache im Hauptspeicher und einen Disk-Cache auf der Festplatte. Der Cache im Hauptspeicher ist mit 64 MB groß genug. Den Disk-Cache kann man deaktivieren und damit auch überflüssige Spuren auf dem Rechner vermeiden, die forensisch sichtbar gemacht werden könnten. Unter about:config sind dafür folgende Variablen zu setzen:

   browser.cache.disk.enable        false
   browser.cache.disk_cache_ssl     false
   browser.cache.offline.enable     false

Referer[Bearbeiten]

Ein Referer liefert die Information, von welcher Seite der Surfer zu der aufgerufenen Webseite gekommen ist, oder bei der Einblendung von Werbung durch Dritte die Information, welche Seite er gerade betrachtet. Es ist ein sehr gut geeignetes Merkmal für das Tracking mit Werbung, HTML-Wanzen und Like-Button - die Schleimspur im Web.


Die Studie Privacy leakage vs. Protection measures [31] zeigt, dass außerdem viele Web­seiten private Informationen via Referer an Trackingdienste übertragen. Ein Beispiel:

 GET http://ad.doubleclick.net/adj/....
 Referer: http://submit.sports.com/...?email=name@email.com
 Cookie: id=123456789.....

Mit einer eindeutigen UserID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen (im Beispiel eine E-Mail Adresse) werden die gesammelten Datensätze personalisiert. Im Rahmen der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail Adresse, Name oder Wohnort an Surftracker.

Referer modifizieren für Firefox[Bearbeiten]

Das Add-on RefControl [32] modifiziert den Referer. Spezifische Einstellungen für einzelne Webseiten sind möglich. Nach der Installation des Plug-Ins sollte im Dialog Optionen der Standard-Wert angepasst werden.


Die Einstellung ``Blockieren (nur beim Wechsel)`` liefert einen plausiblen Referer, solange man innerhalb einer Domain bleibt, entfernt ihn beim Wechsel der Domain. Die Schleimspur wird unterbrochen ohne Funktionen der Website einzuschränken.


[htb]

[[Image:../screenshots/refcontrol1.png|image]] [abb:refcontrol]

Technisch hochentwickelte Datensammler können den Schutz von RefControl teilweise aushebeln. Google+ und einige Werbenetzwerke übertragen den Referer zusätzlich in URL-Parametern. RefControl schadet aber nicht und dümmere Webmaster tracken auch.

Risiko Plugins[Bearbeiten]

Für die Darstellung von Inhalten, die nicht im HTML-Standard definiert sind, kann Firefox Plug-ins nutzen. Populär sind Plug-ins für die Anzeige von PDF-Dokumenten im Browser oder Flash Videos. Die Nutzung dieser Plug-ins ist jedoch ein Sicherheitsrisiko. Firefox ab Version 14.0 bietet eine einfache Möglichkeit, die Gefahr durch Plug-ins zu reduzieren. Man kann unter der Adresse about:config die folgende Variable setzen:

   plugins.click_to_play  =  true

Dann werden externe Plug-ins nur aktiviert, wenn der Nutzer es wirklich per Mausklick erlaubt und Drive-By-Download Angriffe sind nicht mehr möglich.

PDF Reader Plugins[Bearbeiten]

Anwender sind relativ unkritisch gegenüber PDF-Dokumenten. Was soll beim Anschauen schon passieren? Nur wenige Surfer wissen, dass es mit präparierten PDFs möglich ist, den ZeuS-Bot zu installieren und den Rechner zu übernehmen [33]. 2008 gelang es dem Ghostnet, die Rechner­systeme westlicher Regierungen, der US-Regierung und des Dalai Lama mit bösartigen PDFs zu infizieren [34]. Über eine von Adobe als nicht kritisch eingestufte Sicher­heits­lücke einer über­flüssigen PDF-Funktion wurde der Wurm Win32/Auraax verteilt [35].


Nach Beobachtung des Sicherheitsdienstleisters Symantec[36] und ScanSafe[37] erfolgen die meisten Angriffe aus dem Web mit bösartigen PDF-Dokumenten. 2009 wurden für ca. 50% der Angriffe präparierten PDF-Dokumente genutzt (mit steigender Tendenz).


Schutzmaßnahmen:

  1. Statt funktionsüberladener Monster-Applikationen kann man einfache PDF-Reader nutzen, die sich auf die wesentliche Funktion des Anzeigens von PDF-Dokumenten beschränken. Die FSFE stellt auf PDFreaders.org [38] Open Source Alternativen vor.
    • Für Windows werden Evince und Sumatra PDF empfohlen.
    • Für Linux gibt es Okular (KDE) und Evince (GNOME, XFCE, Unity).
    • Für MacOS wird Vindaloo empfohlen.
  2. Wenn die PDF Reader Plugins nicht deinstallierbar sind (keine Adminstrator-Rechte), können sie im Browser deaktiviert werden. Diese Funktion finden Sie im Addon-Manager unter Extras -> Add-ons. PDF-Dokumente sollte man vor dem Öffnen zu speichern und nicht im Kontext des Browsers zu betrachten.
  3. Außerdem sollte man PDF Dokumenten aus unbekannter Quelle ein ähnliches Misstrauen entgegen bringen, wie ausführbaren EXE- oder PAF-Dateien. Man kann einen Online-PDF-Viewer [39] nutzen, um PDF-Dokumente aus dem Internet zu betrachten ohne den eigenen Rechner zu gefährden.

Java-Applets[Bearbeiten]

Es gibt eine Vielzahl von sinnvollen Java-Anwendungen. Im Internet spielt Java aber keine Rolle mehr (im Gegensatz zu Javascipt, bitte nicht verwechseln). Trotzdem installiert Oracles Java unter Windows ohne Nachfrage ein Browser-Plugin zum Ausführen von Java-Applets, die in Webseiten eingebettet sein können. Dieses Plug-in ist in erster Linie ein Sicherheitsrisiko und kann zur unbemerkten Installation von Trojanern genutzt werden.[40] [41] [42]


Der (Staats-) Trojaner der italienischen Firma HackingTeam[43] wird beispielsweise mit einer sauber signierten JAR-Datei auf dem Zielsystem installiert. Der Trojaner belauscht Skype, fängt Tastatureingaben ab, kann die Webcam zur Raumüberwachung aktivieren und den Standort des Nutzers ermitteln.


Als Schutz wird häufig die die komplette Deinstallation von Java empfohlen (BSI[44], DHS[45], Fefe[46]). Das ist Bullshit und nur sinnvoll, wenn man keine Java-Programme nutzt. Anderenfalls ist die komplette Deinstallation von Java eine unnötige Einschränkung für sinnvolle Anwendungen.


  • Aktuelle Linux Distributionen verwenden in der Regel OpenJDK-6/7. Diese Java-JRE installiert KEIN Browser Plug-in. Es besteht also auch keine Gefahr, durch bösartige Java-Applets aus dem Internet den Rechner zu verseuchen.

  • Unter Windows bietet die aktuelle Version von Oracles Java die Möglichkeit, die Plug-ins für alle Browser unter Systemsteuerung - Programme - Java zu deaktivieren (Bild [abb:javadown]).

    [htb]

    [[Image:../screenshots/java-ctrl.png|image]] [abb:javadown]

Flash und Silverlight[Bearbeiten]

Auch diese Plugins sind ein Sicherheits- und Privacyrisiko. Sie werden meist für die Darstellung von Videos im Web (Youtube) und Panoramadiensten wie Street View (Google) bzw. Street Side (Microsoft) genutzt.


Schutzmaßnahmen:

  1. Das Add-on NoScript kann diese Inhalte blockieren. Es wird ein Platzhalter angezeigt. Bei Bedarf kann man das Video mit einem Mausklick anschauen.
  2. Web Videos können mit Hilfe von Download Sites wie KeepVid [47] oder ShareTube [48] gespeichert und mit einem Mediaplayer abgespielt werden.
  3. Die Firefox Add-ons UnPlug [49] oder DownloadHelper [50] können Videos von vielen Websites herunter laden und dabei in ein gebräuchlicheres Format für Mediaplayer konvertieren.

Wer noch keinen passenden Mediaplayer installiert hat, kann den VideoLAN Player nutzen (VLC-Player), der für alle Betriebssysteme zur Verfügung steht.

Weitere Anwendungen[Bearbeiten]

Neben PDF-Dokumenten können auch alle anderen Dokument-Typen für Drive-by-Donwload Angriffe verwendet werden. Um diese zu unterbinden, sollte man externe Anwendungen für Dateien nur nach Bestätigung durch den Anwender öffnen lassen. Anderenfalls können Bugs in diesen Anwendungen automatisiert genutzt werden.


[htb]

[[Image:../screenshots/ff-anwendungen.png|image]] [abb:ffhelper]

Auf dem Reiter Anwendungen im Dialog Einstellungen können die Helper-Applications wie im Bild [abb:ffhelper] für jeden Dateityp auf ``Jedes Mal nachfragen`` gesetzt werden. Diese Einstellungen sind natürlich nur sinnvoll, wenn der Surfer kritisch hinterfragt, ob die Aktion wirklich dem entspricht, was er erwartet. Wer unkritisch bei jeder Nachfrage auf Öffnen klickt, muss sich nicht wundern, wenn sein Computer infiziert wird.

HTTPS nutzen[Bearbeiten]

Viele Websites bieten HTTPS-Verschlüsselung an. Diese sichere Datenübertragung wird häufig nicht genutzt. Mit wenig Konfigurationsaufwand lässt sich die Nutzung von HTTPS für eine definierte Liste von Websites erzwingen.

NoScript Enforce HTTPS[Bearbeiten]

NoScript Enforce HTTPS ist einfach konfigurierbar, kann aber nur http:// durch https:// für eine Liste von Websites ersetzen. Die Liste muss man per Hand erstellen. Im Dialog Einstellungen findet man auf dem Reiter Erweitert unter HTTPS eine editierbare Liste von Websites.


[htb]

[[Image:../screenshots/noscript_STS.png|image]] [abb:noscriptsts]

Standardmäßig ist die Liste leer. Wer das Webinterface eines E-Mail Providers nutzt, sollte die Domain hier eintragen. Außerdem sollte man die Webseite der Bank entragen, wenn man Online-Banking nutzt.

HTTPS-Everywhere[Bearbeiten]

Das Firefox Add-on HTTPS-Everywhere[51] der EFF.org kann auch komplexe Umschreibungen der URLs realisieren, wie es beispw. für Wikipedia notwendig ist. Das Add-on bringt aber bereits über 2500 Regeln für häufig genutzte Webseiten mit. Die Konfiguration eigener Regeln ist aufwendiger als bei NoScript und erfolgt über XML-Dateien.


Bei HTTPS-Everywhere sind Regeln standardmäßig deaktiviert, wenn der Server ein SSL-Zertifikat von CAcert.org nutzt (z.B www.ccc.de) Wenn Sie das Root-Zertifikat von CAcert.org im Browser importiert haben, dann können Sie diese Regeln in den Einstellungen von HTTPS-Everywhere mit Klick auf das Kreuz aktivieren (Bild [abb:httpseverywherecacert]).

[htb]

[[Image:../screenshots/httpseverywhere.png|image]] [abb:httpseverywherecacert]

HTTPS-Finder[Bearbeiten]

Das Add-on HTTPS-Finder[52] kann erkennen, ob eine Webseite auch via HTTPS erreichbar ist und erzwingt dann die Nutzung von HTTPS. Es können automatisch Regeln für HTTPS-Everywhere erstellt und aktiviert werden. Das Add-on ist eine gute Ergänzung für HTTPS-Everywhere und erspart das komplexe Erstellen der XML-Dateien von Hand.


Vertrauenswürdigkeit von HTTPS[Bearbeiten]

IT-Sicherheitsforscher der EFF kommen in einer wissenschaftlichen Arbeit[53] zu dem Schluss, dass Geheim­dienste mit gültigen SSL-Zertifikaten schwer erkennbare man-in-the-middle Angriffe durchführen können. Diese Angriffe können routinemäßig ausgeführt werden, schreibt die EFF:

Certificate-based attacks are a concern all over the world, including in the U.S., since governments everywhere are eagerly adopting spying technology to eavesdrop on the public. Vendors of this technology seem to suggest the attacks can be done routinely.

Ein erster Angriff dieser Art gegen iranische Internet Nutzer wurde im August 2011 nachgewiesen. Er betraf neben Google die Webdienste mehrerer Geheimdienste (MI6, CIA, Mossad) und außerdem www.torproject.org. Bei diesem Angriff wurde keine Zertifikate einer standardmäßig vertrauenswürdigen Certification Authority genutzt, sondern die niederländische Certification Authority DigiNotar wurde gehackt, um gültige Zertifikate zu erlangen. Insgesamt wurden 531 SSL-Zertiifkate kompromittiert.[54]


Neben DigiNotar wurden 2011 die Certification Authorities Comodo, InstantSSL und zwei weitere Sub-Registrare von Comodo erfolgreich angegriffen [55]. Die Angreifer konnten sich unbefugt gültige Zertifikate für die Webseiten von Google, Yahoo, Mozilla und Skype erstellen. Nach Beobachtung des SSL-Observatory der EFF wurden bei den Angriffen mindesten 248 Zertifikate erfolgreich kompromittiert. Auch in diesen Fällen soll der Angriff vom Iran ausgegangen sein. StartSSL wurde offenbar erfolglos mit dem gleichen Ziel angegriffen.


Die Software für einen man-in-the-middle Angriff mit den gefälschten Zertifikaten gibt es als Open Source, z.B. den mitm-proxy[56] der Stanford University oder dsniff [57]. Auf der ISS World (Messe für Übewachungstechnik) werden fertige Appliances angeboten, gegen Aufpreis auch mit gültigem CA-Zertifikat.


Wer Kosten (für den Aufpreis) oder Mühen (für das Hacken einer CA) scheut, kann sich so einfach als Unberechtigter ein gültiges SSL-Zertifikat für einen Mail- oder Web-Server ausstellen zu lassen [58]. Man muss nur einen der zulässigen E-Mail Accounts für SSL-Admins registrieren und kann ein gültiges Fake-Zertifikat erstellen. Par ordre du mufti werden webmasterdomain.tld, postmasterdomain.tld, ssladmindomain.tld, ssladministratordomain.tld u.a.m. von den Certification Authorities akzeptiert. Nicht immer sind diese Adressen reserviert und geschützt.

Verbesserung der Vertrauenswürdigkeit von HTTPS[Bearbeiten]

Es gibt einige Möglichkeiten, die Vertrauenswürdigkeit der HTTPS-Verschlüsselung zu verbessern und Angriffe mit falschen Zertifikaten zu erschweren.

  • Zertifikate speichern: Beim ersten Besuch der Webseite wird das SSL-Zertifikat gespeichert. Bei späteren Besuchen wird das aktuelle Zertifikat mit dem gespeicherten Zertifikat verglichen. Bei seltsamen Abweichungen wird eine Warnung angezeigt, die der Surfer allerdings bewerten muss. (Firefox Add-ons: Certificate Patrol, JonDoFox)
  • Vergleich mit Anderen: Beim Besuch einer HTTPS-verschlüsselten Webseite wird das Zertifikat mit den Ergebnissen an anderen Punkten der Welt verglichen. Wenn alle Teilnehmer des Netzes das gleiche Zertifikat sehen, ist es wahrscheinlich Ok. Dieser Vergleich kann mit einer zeitlich begrenzten Speicherung kombiniert werden.

(Firefox Add-ons: HTTPS-Everywhere, Perspectives, Convergence.io)
Obwohl die Idee auf den ersten Blick einleuchtend ist, gibt es einige Probleme bei großen Serverfarmen wie Google, Facebook, Amazon, PayPal... Diese Serverfarmen verwenden nicht immer ein einheitliches Zertifikat. Das führt zu Verwirrung bei einem externen Beobachter und zu inkonsistenten Ergebnissen der Notary Server.

  • Certificate Pinning: Nur der Betreiber einer Webseite kann wirklich wissen, welche Zertifikate gültig sind. Diese Information muss verteilt und ausgewertet werden. Das wäre ein besserer Weg, als der Vergleich mit externen Beobachtern.

Über einen unabhängigen Weg wird festgelegt, welche Zertifikate für die HTTPS-Verschlüsselung einer Webseite genutzt werden dürfen. Nur diese Zertifikate werden vom Browser akzeptiert. Google hat die Fingerprints der Zertifikate seiner Webseiten fest im Browser Chrome codiert. Dieses Verfahren skaliert aber nicht. Möglich wäre auch die Nutzung von DNSSEC mittels Sovereign Keys. Brauchbare Ideen zum Certificate Pinning sind noch in der Entwicklung.

Firefox Add-ons[Bearbeiten]

Ein paar kleine Erweiterungen für Firefox, welche die Vertrauenswürdigkeit der Zertifikate bei der Nutzung von HTTPS-ver­schlüsselten Verbindungen deutlich erhöhen können.

HTTPSEverywhere[Bearbeiten]

HTTPS-Everywhere[59] kann das SSL-Obervatory der EFF.org nutzen. Wenn man diese Funktion in den Einstellungen des Add-on aktiviert (Bild [abb:sslobservatory]), werden die SSL-Zertifikate der besuchten Webseiten an das SSL-Observatory gesendet. Ist das Zertifikat nicht ok, wird man ab Version 3.0 gewarnt. Es wird eine Datenbasis von weltweit verteilten Nutzern aufgebaut.


Hinweis: Aufgrund eines Bug im Proxy-Handling sollte das SSL-Observatory nicht mit dem Anonymisierungsdienst JonDonym genutzt werden. Die Proxy-Einstellungen werden von HTTPSEverywhere ignoriert. In Kombination mit TorButton (TorBrowser) soll dieser Bug nicht auftreten.

[p]

[[Image:../screenshots/ssl-observatory.png|image]] [abb:sslobservatory]

Certificates Patrol[Bearbeiten]

Certificates Patrol [60] speichert Informationen zu den Zertifikaten einer Website in einer internen Datenbank. Beim Erstbesuch wird mit einem Informationsbalken am oberen Seitenrand auf ein neues Zertifikat hingewiesen. Man kann es bei Bedarf überprüfen. Am einfachsten kann man ein SSL-Zertifikat prüfen, wenn die Fingerprints vom Webmaster veröffentlicht wurden.


[p]

[[Image:../screenshots/patrol.png|image]] [abb:certificatespatrol]

Hat sich das Zertifikat bei späteren Besuchen der Website geändert, zeigt das Add-on Informationen oder Warnungen zum Zertifikatswechsel wie im Bild [abb:certificatespatrol] gezeigt. Der Gefahrenwert wird dabei anhand einer Heuristik ermittelt. Im Beispiel wurde überraschend ein neues Zertifikat für die Webseite der EFF gefunden, obwohl das alte Zertifikat noch lange gültig gewesen wäre. Außerdem wurde die CA gewechselt. Der Nutzer muss bei Warnungen das neue Zertifikat bestätigen, da es ein Hinweis auf einen Angriff sein. Wie kann man prüfen, ob der Zertifikatswechsel ok ist?

  1. Häufig veröffentlicht der Webmaster der Seite eine Information zum Zertifikatswechsel im Blog mit den Informationen zum neuen Zertifikat.
  2. Bei Banken u.ä. Diensten kann man telefonisch nachfragen, ob das SSL-Zertifikat geändert wurde.
  3. Man kann prüfen, welches Zertifikat andere Teilnehmer im Netz sehen, beispielsweise mit dem Add-on Perspectives (siehe unten). Das Projekt bietet auch eine Demo-Webseite [61], wo man die Informationen der Notary Server abfragen kann.

Perspectives[Bearbeiten]

Perspectives[62] vergleicht SSL-Zertifikate mit den bei Notary Servern bekannten Zertifikaten. Wenn alle Notary-Server das gleiche Zertifikat über einen längeren Zeitraum sehen, ist es wahrscheinlich gültig. Leider gibt es noch nicht viele, international verteilte Notary Server. Alle standardmäßig im Add-on enthaltenen Server werden vom MIT bereit gestellt.


Aufgrund der nicht immer eindeutigen Resultate und der Performance der Notary Server ist Perspectives nicht unbedingt für eine ständige Validierung aller SSL-Zertifikate geeignet. Der Server awxcnx.de ist im Moment nur bei der Hälfte der Notary Server bekannt. Das führt zu einem Fehler bei Perspectives, obwohl eigentlich alles Ok ist.


Ich empfehle daher die Abfrage der Notarys bei Bedarf (wenn man ein Zertifikat genauer prüfen möchte). Dafür sind die Einstellungen in den Preferences wie im Bild [abb:perspectives] zu setzen.


[htb]

[[Image:../screenshots/perspectives.png|image]] [abb:perspectives]

Zukünftig kann man mit einem Klick der rechten Maustatste auf das Perspectives-Symbol in der Statusleiste einen Check des Zertifikates der Webseite erzwingen und sich die Notary Results anzeigen lassen.


Convergence.io[Bearbeiten]

Convergence (Beta): Während Certificate Patrol und Perspectives auf dem alten Zertifikats­system aufsetzen und es etwas verbessern, vollzieht Convergence.io einen radikalen Bruch. Das Add-on ersetzt die Validierung der Zertifikate im Firefox vollständig durch ein eigenes System. Dabei werden ähnlich wie bei Perspectives die Beobachtungen von Notary Server genutzt und mit dem aktuellen Zertifikat verglichen.


Ich habe (noch) keine Erfahrungen mit Convergence.io gesammelt.

HTTPS Tracking[Bearbeiten]

Beim Aufbau einer verschlüsselten HTTPS-Verbindung wird eine sogenannte Session initialisert. Die kryptografischen Details sollen an dieser Stelle nicht erläutert werden.


Es ist möglich, diese HTTPS-Session für das Tracking zu nutzen und für bis zu 48h immer wieder zu erneuern. Dieses Tracking-Verfahren ist so gut wie nicht nachweisbar, da es voll­ständig durch den Webserver realisiert wird und keine Spuren im Browser hinterlässt. Man kann davon ausgehen, dass dieses Tracking als Ergänzung zu (Ever-) Cookies genutzt wird. Der Tracking-Service Woopa verwendet seit 2008 HTTPS Session Tracking.


Für HTTPS Session Tracking gibt es zwei Möglichkeiten:

Tracking via Session Resumption

ist im RFC 5077 beschrieben.

Gegen Tracking via Session Resumption kann man sich schützen, indem man im Firefox unter about:config die folgende Variable auf FALSE setzt:

  security.enable_tls_session_tickets    false  

Das führt zu geringen Einbußen der Performance, da für jede Seite eine neue SSL-Session ausgehandelt werden muss. Um die Performance-Einbußen etwas zu kompensieren, kann man SSL False Start aktivieren. Dabei werden verschlüsselte Daten bereits gesendet, wenn die Verifizierung der SSL-Session noch nicht abgeschlossen ist. Ein Sicherheitsrisiko besteht dabei nicht. Sollte die Verifizierung der SSL-Session fehlschlagen, werden die bereits empfangenen Daten verworfen.

  security.ssl.enable_false_start    true  
Tracking via SSL-Session-ID

wird ebenfalls von allen Webserven unterstützt. Auch Webshops können die Session-ID für das Tracking verwenden, z.B. die xtcModified eCommerce Shopsoftware[63].

Gegen das Tracking via Session-ID schützen nur das TorBrowserBundle und der JonDoBrowser (Beta). Man kann sich nicht durch Konfigurationseinstellungen oder Add-ons schützen, da der Source-Code des Browser dafür modifiziert werden muss.

Starke Passwörter nutzen[Bearbeiten]

Jeder kennt das Problem mit den Passwörtern. Es sollen starke Passwörter sein, sie sollen für jede Site unterschiedlich sein und außerdem soll man sich das alles auch noch merken und auf keinen Fall auf einen Zettel unter der Tastatur “speichern”.

  • Was ist ein starkes Passwort? Diese Frage muss man unter Beachtung des aktuellen Stand der Technik beantworten. Wörterbuchangriffe sind ein alter Hut. Das Passwort darf kein Wort aus dem Duden sein, das ist einfach zu knacken. Für zufällige Kombinationen aus Buchstaben, Zahlen und Sonderzeichen kann man Cloud Computing für Brute Force Angriffe nutzen. Dabei werden alle möglichen Kombinationen durchprobiert. Ein 6-stelliges Passwort zu knacken, kostet 0,16 Euro. Eine 8-stellige Kombination hat man mit 400 Euro wahrscheinlich und mit 850 Euro sicher geknackt. Man sollte mindestens 10...12 Zeichen verwenden. (Stand: 2011)
  • Warum sollte man nicht das gleiche Passwort für viele Logins verwenden? Diese Frage beantwortet der Hack von Anonymous gegen HBGary. Den Aktivisten von Anonymous gelang es, Zugang zur User-Datenbank des Content Management Systems der Website zu erlangen. Die Passwörter konnten geknackt werden. Die Passwörter wurden vom Führungspersonal für weiterer Dienste genutzt: E-Mail, Twitter und Linked-In. Die veröffentlichten 60.000 E-Mails waren sehr peinlich für HBGary [64].

Das Add-on PwdHash[65] vereinfacht den Umgang mit Passwörtern. Wenn man vor der Eingabe des Passwortes die Taste F2 drückt oder mit einem doppelten @@ beginnt, wird es in einen einen Hash aus dem Master Passwort und der Domain umgerechnet. Das Ergebnis der Berechnung ist eine 10-stellige zufällige Kombination von Buchstaben und Zahlen und wird als Passwort gesendet. Damit ist es möglich, ein merkbares Master-Passwort für alle Sites zu nutzen, bei denen PwdHash funktioniert. Wichtig ist, dass die Domains der Webseiten für die Änderung und Eingabe der Passwörter identisch sind.


PwdHash schützt auch vor Phishing-Angriffen. Da die Seite des Phishers von einer anderen Domain geliefert wird, als die originale Website, wird ein falscher Hash generiert, der für den Angreifer wertlos ist.


Sollte man unterwegs auf einem Rechner das Add-on nicht installiert haben, ist das Login-Passwort natürlich nicht zu erraten. Auf der Website des Projektes [66] steht der Algorithmus auch als Javascript Applet zur Verfügung. Man kann sein Master Passwort und die Domain eingeben und erhält das generierte Login Passwort. Das kann man mit Copy & Paste in das Passwort Eingabefeld übernehmen.

Passwortspeicher[Bearbeiten]

Passwortspeicher sind kleine Tools, die Username/Passwort Kombinationen und weitere Informationen zu verschiedenen Accounts in einer verschlüsselten Datenbank verwalten. Es gibt mehrere Gründe, die für die Verwendung eines Passwortspeichers sprechen:

  • Viele Programme wie Pidgin oder Jitsi speichern Passwörter unverschlüsselt auf der Festplatte, wenn man die Option zur Speicherung aktiviert (nicht empfohlen!). Andere Programme bieten keinen Möglichkeit zur Speicherung von Passwörtern, fordern aber die Nutzung einer möglichst langen, sicheren Passphrase (z.B LUKS oder Truecrypt).
  • Bei vielen Accounts muss man sich neben Unsername und Passwort weitere Informationen merken wie z.B. die Antwort auf eine Security Frage oder PINs bei Bezahldienstleistern.
  • In der Regel enthalten Passwortspeicher eine Passwortgenerator, der wirklich zufällige und starke Passwörter generieren kann.
  • Das Backup wird deutlich vereinfacht. Man muss nur die verschlüsselte Datenbank auf ein externes Backupmedium kopieren.

Mir gefällt Keypass[67] (Windows) bzw. KeepassX (Linux) sehr gut. Die Bedienung ist über­sichtlich. Man kann Einträge gruppieren, komplizierte Passworte können über die Zwischen­ablage in die Eingabefelder kopiert werden und müssen nicht (fehlerhaft) abgetippt werden. Um krypto­analytische Angriffe zu erschweren, kann man die Datenbank mehrere 10.000x mit AES256 verschlüsseln.


[htb]

[[Image:../screenshots/keypass.png|image]] [abb:keypass]

Einige Passwortspeicher werben mit der Möglichkeit, die Datenbank zwischen verschiedenen Rechnern und Smartphones zu synchronisieren. Dabei wird die Datenbank in der Cloud gespeichert. Das ist für mich ein Graus, vor allem, weil der geheimdienstliche Zugriff auf Daten in der Cloud immer mehr vereinfacht wird.[68]

HTTP-Header filtern[Bearbeiten]

Neben der Verwendung von Cookies wird auch der Inhalt des HTTP-Header für die Gewinnung von Informationen über den Surfer genutzt. Das Projekt Panopticlick [69] der EFF.org zeigt, dass anhand des Fingerprint des HTTP-Headers 80% der Surfer eindeutig erkennbar sind. Eine Verknüpfung dieser Information über mehrere Websites hinweg kann eine Verfolgung von Nutzern ermöglichen. Kombiniert man diese Verfolgung mit Daten von Sozialen Netzen (Facebook, Xing), ist eine vollständige Deanonymiserung möglich.

  • Beispiel User-Agent: Die meisten Browser senden Informationen über den verwendeten Browser und das Betriebssystem. Ein Beispiel zeigt, wie detailliert der Browser Auskunft gibt:

    Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-DE) AppleWebKit/419.3 
    (KHTML, like Gecko) Safari/419.3

    Beim US-Reiseportal Orbitz werden Surfern mit MacOS (am User-Agent erkennbar) die Hotelzimmer 20-30 Dollar teuerer angeboten, als anderen Kundern[70]. Außerdem können anhand der Informationen gezielt Lücken in der verwendeten Software ausgenutzt werden.

  • Ergänzende Informationen wie zum Beispiel die bevorzugte Sprache, installierte Schrift­arten und Größe des Browserfensters können einen individuellen Fingerprint des Browsers ergeben. Viele Werte können per Javascript ausgelesen werden Bei der Google-Suche und beim Trackingdienst Multicounter[71] wird die innere Größe des Browser­fensters ausgelesen. Die Firma bluecave[72] nutzt z.B. im Trackingscript BCAL5.js u.a. Informationen über installierte Schriftarten.

    Deshalb sollte man Javascript nur für vertrauenswürdige Webseiten erlauben und das Auslesen der Werte behindern (soweit möglich).

Installierte Schriftarten verstecken für Firefox[Bearbeiten]

Um die installierten Schriftarten zu verstecken, deaktiviert man in den Einstellungen die Option Webseiten das verwenden von eigenen Schriften erlauben. Man findet die Option in den Firefox Einstellungen auf dem Reiter Inhalt. Klicken Sie auf den Button Erweitert, um im folgenden Dialog Bild [abb:schriftarten] die Option zu deaktivieren.


[htb]

[[Image:../screenshots/schriftarten.png|image]] [abb:schriftarten]

Damit kann man nur ’’3’’ Schriftarten auslesen. Der Browser verwendet aber auch nur die drei Standardschriften zur Darstellung der Webseiten. Damit sehen nicht alle Webseiten exakt so aus, wie es sich der Designer wünscht. Um die Lesbarkeit zu verbessern, sollten man außerdem gut lesbare Standardschriften verwenden. Unter Windows eignet sich Arial, unter Linux nutzt man am besten Liberation Sans (siehe Screenshot).

User-Agent modifizieren für Firefox[Bearbeiten]

Es ist nicht so einfach, den User Agent plausibel zu faken. Um durch unsachgemäße Änderung keine eindeutige Kennung zu generieren, sollte man nachdenken, bevor man etwas ändert.


Man kann für einen Firefox nur eine andere Firefox-Kennung verwenden. Da die Browser durch individuelle Header erkennbar sind, ist eine Tarnung mit dem User-Agent eines anderen Browsers leicht als Fake zu identifizieren und man ist eindeutig identifizierbar. Einige Firefox Versionen unterscheiden sich nicht nur im User-Agent, sondern auch sehr subtil in einigen anderen HTTP-Headern. Man beachte das Leerzeichen nach dem Komma bei FF 10.0:


 ACCEPT-ENCODING "gzip,deflate"      (Firefox 3.6.x)
 ACCEPT-ENCODING "gzip, deflate"     (Firefox 10.0.x)

Deshalb muss man auch eine ähnliche Firefox-Version für den Fake nutzen, die sich in den übrigen HTTP-Headern nicht unterscheidet.Die meisten Firefox-User nutzen Windows als Betriebssystem. Daher sollte man einen Fake von Firefox für Windows nutzen, um in einer größeren Anonymtätsgruppe abzutauchen. Für Windows Nutzer empfehle ich keine Fakes, da man durch kleine Fehler nur eindeutiger identifizierbar wird.


Um die User-Agent Kennung zu ändern, gibt man in der Adresszeile "about:config" ein und setzt die angebenen Variablen auf die Werte. Alle Werte sind vom Typ String. Die folgenden Einstellungen des JonDoFox und TorBrowser kann man für Firefox 10.0.x (esr) und auch für Firefox 11|12|13 nutzen, wenn man einen ein eher seltenes Betriebssytem nutzt.

<thead> </thead> <tbody> </tbody>
Variable Wert
general.useragent.override Mozilla/5.0 (Windows NT 6.1; rv:10.0)
Gecko/20100101 Firefox/10.0
general.appname.override Netscape
general.appversion.override 5.0 (Windows)
general.oscpu.override Windows NT 6.1
general.platform.override Win32
general.productSub.override 20100101
general.buildID.override 0
general.useragent.vendor
general.useragent.vendorSub

Im Firefox 17.0 haben die Mozilla-Entwickler ein paar kleine subtile Änderungen an den gesendeten HTTP-Headern vorgenommen, so dass der Fake des Firefox 10 nicht mehr passt. Bei einem Firefox 17.0 sind folgende Werte zu setzen, um einen plausiblen Fake zu erstellen:

<thead> </thead> <tbody> </tbody>
Variable Wert
general.useragent.override Mozilla/5.0 (Windows NT 6.1; rv:17.0)
Gecko/17.0 Firefox/17.0
general.appname.override Netscape
general.appversion.override 5.0 (Windows)
general.oscpu.override Windows NT 6.1
general.platform.override Win32
general.productSub.override 20100101
general.buildID.override 0
general.useragent.vendor
general.useragent.vendorSub

Geolocation-API deaktivieren[Bearbeiten]

Mit Hilfe der Geolocation-API kann die geografische Position des Surfer relativ genau bestimmt werden. Zur Ortsbestimmung können je nach vorhandener Hardware im Rechner die WLANs in der Umgebung genutzt werden, GPS-Hardware oder …Im ungünstigsten Fall kann der Standort nur anhand der IP-Adresse bestimmt werden. Die Nutzung der Geolocation API erfolgt mit Javascript. Da man Javascript auf vielen Seiten frei­geben muss, ist eine Deaktivierung der Geolocation-API sinnvoll. Dann kann ein Webserver den Standort nur relativ ungenau anhand der IP-Adresse ermitteln.


Bei Firefox wird die Geoloacation API wird unter about:config deaktiviert, indem folgende Variabale auf FALSE gesetzt wird:

   geo.enabled = false

Diese Einstellung ist wichtig, wenn man die eigene IP-Adresse mit VPNs oder Anonymisierungsdiensten versteckt.

Kill Switch für Add-ons abschalten[Bearbeiten]

Die extension blocklist[73] kann Mozilla nutzen, um einzelne Add-ons im Browser zu deaktivieren. Es ist praktisch ein kill switch für Firefox Add-ons und Plug-ins. Beim Aktualisieren der Blockliste werden detaillierte Informationen zum realen Browser und Betriebssystem an Mozilla übertragen.

   https://addons.mozilla.org/blocklist/3/%7Bec8030f7-c20a
   -464f-9b0e-13a3a9e97384%7D/10.0.5/Firefox/20120608001639
   /Linux_x86-gcc3/en-US/default/Linux%202.6.37.6-smp%20
   (GTK%202.24.4)/default/default/20/20/3/

Ich mag es nicht, wenn jemand remote irgendetwas auf meinem Rechner deaktiviert oder deaktivieren könnte. Unter about:config kann man dieses Feature abschalten:

   extensions.blocklist.enabled = false

Snakeoil für Firefox (überflüssiges)[Bearbeiten]

Auf der Mozilla-Website für Add-ons findet man tausende von Erweiterungen. Man kann nicht alle vorstellen. Ich bekomme immer wieder Hinweise auf dieses oder jenes privacyfreundliche Add-on und habe ein paar Dinge zusammengestellt, die ich nicht in die Empfehlungen aufnehme.


Als Grundsicherung empfehle ich die Kombination von CookieMonster + NoScript + AdBlock Plus + HTTPS Everywhere + RefControl. Viele Add-ons bieten Funktionen, die von dieser Kombination bereits abgedeckt werden. Andere sind einfach nur überflüssig.

Google Analytics Opt-Out[Bearbeiten]

Das Add-on von Google verhindert die Ausführung der zu Google-Analytics gehörenden Scripte. Die Scripte werden jedoch trotzdem von den Google Servern geladen und man hinterlässt Spuren in den Logdaten. Google erhält die Informationen zur IP-Adresse des Surfers und welche Webseite er gerade besucht (via Referer). Außerdem gibt es über hundert weitere Surftracker, die ignoriert werden.


Die Add-ons NoScript und AdBlock erledigen diese Aufgabe besser. Kategorie: echtes Snakeoil

GoogleSharing[Bearbeiten]

Das Add-on verteilt alle Anfragen an die Google-Suche, Google-Cookies usw. über zentrale Server an zufällig ausgewählte Nutzer von GoogleSharing. Die Ergebnisse werden von den zufällig ausgewählten Nutzern über die zentralen Server zurück an den lokalen Firefox geliefert.


Nach unserer Meinung verbessert man seine Privatsphäre nicht, indem die Daten einem weiteren Dienst zur Verfügung stellt. Das der eigene Rechner dabei auch unkontrolliert Daten von anderen Nutzern stellvertretend an Google weiterleitet, ist ein unnötiges Risiko. Google speichert diese Informationen und gibt sie breitwillig an Behörden und Geheimdienste weiter. So kann man unschuldig in Verwicklungen geraten, die man lieber vermeiden möchte. Bei daten-speicherung.de findet man aktuelle Zahlen zur Datenweitergabe von Google an Behörden und Geheimdienste:

  • 3x täglich an deutsche Stellen
  • 20x täglich an US-amerikanische Stellen
  • 6x täglich an britische Stellen

Statt GoogleSharing sollte man lieber privacy-freundliche Alternativen nutzen: die Suchmaschine Ixquick.com oder Startpage.com, für E-Mails einen Provider nutzen, der den Inhalt der Nachrichten nicht indexiert, openstreetmap.org statt Google-Maps verwenden…Kategorie: gefährliches Snakeoil

Zweite Verteidigungslinie?[Bearbeiten]

Eine Reihe von Add-ons bieten Funktionen, welche durch die oben genannte Kombination bereits abgedeckt werden:

  • FlashBlock blockiert Flash-Animationen. Das erledigt auch NoScript.
  • ForceHTTPS kann für bestimmte Webseiten die Nutzung von HTTPS erzwingen, auch diese Funktion bietet NoScript.
  • Targeted Advertising Cookie Opt-Out und Ghostery blockieren Surftracker. Es werden Trackingdienste blockiert, die auch AdBlock Plus mit der EasyPrivacy Liste sehr gut blockiert. Außerdem gibt es immer wieder Probleme mit Ghostery auf einigen Webseiten, da das Add-on kein Whitelisting kennt.
  • No FB Tracking blockiert die Facebook Like Buttons. Auch das kann AdBlock Plus besser. Die SocialMediaBlock Liste von MontzA blockieren nicht nur Facebook Like Buttons sondern andere Social Networks.

Wer meint, es nutzen zu müssen - Ok.

Quellen[Bearbeiten]

  1. http://www.mozilla-europe.org/de/firefox
  2. http://mozilla.debian.net
  3. https://www.anonym-surfen.de/jondofox.html
  4. https://www.anonym-surfen.de/jondobrowser.html
  5. https://duckduckgo.com/goodies.html
  6. http://yacy.net
  7. http://java.sun.com
  8. http://www.yacy-websuche.de/wiki/index.php/De:DebianInstall
  9. http://mycroft.mozdev.org/
  10. http://heise.de/-1288914
  11. https://addons.mozilla.org/de/firefox/addon/cookie-monster/
  12. [de/flashplayer/help/settings\_manager.html|http://www.macromedia.com/support/documentation/ de/flashplayer/help/settings_manager.html]
  13. http://smorgasbork.com/component/content/article/84-a-study-of-internet-users-cookie-and-javascript-settings
  14. http://www.law.berkeley.edu/privacycensus.htm
  15. http://samy.pl/evercookie/
  16. [[1]]
  17. http://www.bluecava.com
  18. http://www.multicounter.de/features.html
  19. http://heise.de/-1787511
  20. https://addons.mozilla.org/de/firefox/addon/noscript
  21. http://www.heise.de/Adblocker-auf-heise-online-1164703.html
  22. http://www.vgwort.de/metis.php
  23. https://www.datenschutzzentrum.de/facebook
  24. https://cyberlaw.stanford.edu/node/6730
  25. https://addons.mozilla.org/en-US/firefox/addon/adblock-plus/
  26. https://addons.mozilla.org/en-US/firefox/addon/disable-anti-adblock/
  27. http://cseweb.ucsd.edu/users/lerner/papers/ccs10-jsc.pdf
  28. http://heise.de/-919076
  29. http://www.w2spconf.com/2010/papers/p26.pdf
  30. http://heise.de/-1288914
  31. http://w2spconf.com/2011/papers/privacyVsProtection.pdf
  32. https://addons.mozilla.org/de/firefox/addon/refcontrol/
  33. http://heise.de/-979037
  34. http://www.linux-magazin.de/Heft-Abo/Ausgaben/2010/01/Geisterstunde
  35. http://heise.de/-990544
  36. http://heise.de/-981631
  37. [[2]]
  38. http://www.pdfreaders.org/index.de.html
  39. http://view.samurajdata.se
  40. http://heise.de/-1485195
  41. http://heise.de/-1677249
  42. http://heise.de/-1780850
  43. http://heise.de/-1671203
  44. [[3]]
  45. http://www.nbcnews.com/technology/technolog/us-warns-java-software-security-concerns-escalate-1B7938755
  46. https://blog.fefe.de/?ts=ae0f1f75
  47. http://keepvid.com
  48. http://www.share-tube.de/flvdownload.php
  49. https://addons.mozilla.org/en-US/firefox/addon/unplug
  50. https://addons.mozilla.org/de/firefox/addon/video-downloadhelper
  51. https://www.eff.org/https-everywhere
  52. https://addons.mozilla.org/de/firefox/addon/https-finder/
  53. https://eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
  54. [[4]]
  55. http://heise.de/-1213999
  56. http://crypto.stanford.edu/ssl-mitm/
  57. http://www.monkey.org/ dugsong/dsniff/
  58. [[5]]
  59. https://www.eff.org/https-everywhere
  60. https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  61. [[6]]
  62. https://addons.mozilla.org/en-US/firefox/addon/perspectives/
  63. [7]
  64. http://www.heise.de/ct/artikel/Ausgelacht-1195082.html
  65. https://addons.mozilla.org/de/firefox/addon/pwdhash/
  66. https://www.pwdhash.com
  67. http://keypass.en.softonic.com
  68. https://www.awxcnx.de/gedanken-bestandsdaten.htm
  69. http://panopticlick.eff.org
  70. http://heise.de/-1626368
  71. http://www.multicounter.de/features.html
  72. http://www.bluecava.com
  73. https://addons.mozilla.org/en-US/firefox/blocked