Mein Online Orakel

In meinem Blogartikel stelle ich anhand des im Jahre 2014 veröffentlichten Artikels „Sicher Surfen mit Firefox - Selbstschutz durch Browser-Konfiguration“ (Autoren: Kai Jendrian, Christoph Schäfer) technische Möglichkeiten und Mittel vor, die Nutzern den Schutz vor Angriffen und Wahrung ihrer Privatsphäre im Web ermöglichen sollen.

Webbrowser haben sich zu uneingeschränkt programmierbaren Werkzeugen entwickelt. Dieser Umstand birgt Gefahren hinsichtlich der eigenen Privatsphäre im Web. Die Autoren stellen eine Auswahl von Add-Ons für den Mozilla-Browser Firefox vor, mit der sich eine sichere Grundkonfiguration „Security by default“ erreichen lässt. Dazu ist jedoch ein tiefergehendes Verständnis von Web-Anwendungen auf Seiten der Nutzer von Nöten.

Firefox bietet von Haus aus Einstellmöglichkeiten an, mit denen der User die Sicherheit beim Surfen zumindest etwas erhöhen sollen. Weitere Möglichkeiten bieten folgende Addons und Erweiterungen an (in Folge in Detail erklärt):

1)Sicherheitseinstellungen im Firefox 

2)NoScript – sperrt aktive Inhalte

3)Request Policy – steuert Anbindung fremder Inhalte

4)Cookies Manager+

5)Better Privacy

6)Ghostery

7)Long URL Please

8)Web of Trust – schätzt Vertrauenswürdigkeit ein

9)LiveHTTPHeaders

10)HTTPS Everywhere

11)PwdHash

1) Sicherheitseinstellungen direkt im Firefox Browser

Do Not Track:

Im Bereich Einstellungen unter dem Reiter „Datenschutz“ kann der User die „Do Not Track“-Funktion aktivieren. Diese bewirkt jedoch lediglich, dass den besuchten Webseiten mitgeteilt wird, dass man eine Verfolgung von Aktivitäten nicht wünscht. Ob diese sich daran halten kann man nicht beeinflussen. Die Aktivierung dieser Funktion ist als Widerspruchserklärung im Sinne von § 15 Abs. 3 TMG zu verstehen. (Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2011, S. 169)

Privater Modus:

Man kann im Firefox einstellen, dass man beim Surfen von Haus aus immer den „Privaten Modus“ verwendet. Diese Einstellung hat zur Folge, dass der Browser keine Chronikeinträge (z.B. besuchte Seiten, Cookies, Downloads, Formulardaten etc.) schreibt.  

2)NoScript – sperrt aktive Inhalte


Mit der Firefox-Erweiterung No-Script (http://www.noscript.net) lassen sich „aktive Inhalte“ sperren. Der Benutzer kann damit die Ausführung „aktiver Inhalte“ aktiv steuern. Die Konfigurationsmöglichkeiten sind sehr vielseitig. Der Nutzer kann Scripts sowohl temporär als auch stufenweise freischalten. Die Verwendung von „NoScript“ hat jedoch auch Nachteile. Aufgrund der Vielzahl von Scripts die beim Surfen aufgerufen werden, kann das Handling mit dem manuellen Freischalten als behindernd empfunden werden. Wer es lieber bequem hat, der wird mit NoSript keine Freude haben und muss abwägen ob ihm Sicherheit oder Bequemlichkeit beim Surfen wichtiger ist. 

3)Request Policy – steuert die Anbindung fremder Inhalte 


Mit der Firefox-Erweiterung Request Policy (http://www.requestpolicy.com ) kann der User steuern ob und welche externen Inhalte auf der besuchten Webseite geladen werden dürfen. Eine solche Vermischung der Inhalte findet z.B. im Bereich der sozialen Netzwerke Anwendung. Wie bereits beim NoScript erwähnt, kommt auch hier der Nachteil zum Tragen, dass ein gewisses Verständnis über die Abläufe im Web seitens des Users vorausgesetzt wird. Das System wir wird mit jeder weiteren Regelsetzung immer spezifischer auf das eigene Surfverhalten abgestimmt. Das kann etwas dauern und der User braucht hier ein wenig Geduld.

4)Cookies Manager+ oder Cookie Controller


Diese Firefox-Erweiterungen (https://addons.mozilla.org/en-US/firefox/addon/cookies-manager-plus/) ermöglichen eine granulare Kontrolle darüber, welche Arten von Cookies von Browser gespeichert werden und welche nicht. Die Speicherung von Cookies ist nicht per se schlecht. Sie werden in den meisten Fällen zur harmlosen Speicherung von Session Daten verwendet. Sie können jedoch auch zur Nachverfolgung von Aktivitäten von Internetusern eingesetzt werden. 

5)Better Privacy – Kontrolle über Super Cookies


Anders als bei den klassischen unter Punkt 4 erwähnten Cookies, handelt es hierbei um die Kontrolle und Verwaltung von sogenannten Super Cookies mit einem im Firefox integriertem Werkzeug. Diese Art von Cookies werden von in Browser ausgeführten Anwendungen wie Adobe Flash oder DOM-Storage geschrieben. (http://www.adobe.com/security/flashplayer/articles/lso/)

6)Ghostery – Blockiert Tracker


Die Firefox Firefox-Erweiterung Ghostery (http://www.ghostery.com) bietet Usern, die beim Surfen auf ihre Privatsphäre achten möchten, die Möglichkeit die Nutzung von Trackingdienstleistern auf Webseiten zu visualisieren und gezielt zuzulassen oder zu blockieren.

7)LongURLPlease - macht kurze URLs wieder lang


Wie der Name bereits vermuten lässt, geht es bei diesem Dienst darum aus verkürzten URLs (wie man es mit Diensten wie bitly machen kann) wieder Langversionen zu machen. Verkürzte URL bergen ein Sicherheitsrisiko in sich, da man keine Chance hat die dahinterliegenden Inhalte zu beurteilen. Mit diesem Add-On kann sich der User vor dem Aufruf der Seite die ursprüngliche URL anzeigen zu (http://www.longurlplease.com).

8)Web of Trust – schätzt Vertrauenswürdigkeit ein


Diese Firefox-Erweiterung hilft dem User die Vertrauenswürdigkeit einer Webseite einzuschätzen, denn dies ist in der Praxis oft gar nicht so einfach. Die Vertrauenswürdigkeit lässt sich durch ein Symbol in der Navigationsleiste erkennen. Der User hat außerdem die Möglichkeit sich zu registrieren und kann dann auch eigene Einschätzungen mit einer Community teilen. Auf diese Weise wächst der Erfahrungsschatz der Community und damit auch die Qualität der einzelnen Bewertungen.

9)LiveHTTPHeaders – mehr über Webvorgänge lernen

Bei den meisten hier erwähnten Maßnahmen war die Rede davon, dass eine tiefergehende Kenntnis, über die Vorgänge beim Surfen, eine bessere Kontrolle der Sicherheit ermöglichen.  Mit dem Firefox-Addon LiveHTTPHeaders kann man den Datenaustausch zwischen Browser und Webseite nachvollziehen und so die Vorgänge besser verstehen. 

10)HTTPS Everywhere – Verschlüsselt die Datenübermittlung

Das Fireforx-Add-On (https://www.eff.org/https-everywhere) wählt automatisch eine verschlüsselte Verbindung sofern diese seitens der Webseite angeboten wird. Für einzelne Seite können individuelle Einstellungen vorgenommen werden. Eine verschlüsselte Verbindung über HTTPS ist vor allem dann sinnvoll, wenn Passwörter oder andere kritische Daten übermittelt werden. 

11) PwdHash – Web-Zugänge doppelt absichern

Mit dieser Firefox-Erweiterung (https://www.pwdhash.com/) kann der User den Zugang zu bestimmten Web-Accounts doppelt absichern. Der User definiert ein Masterpasswort. Dieses Passwort wird mit dem Domain-Namen der Website, an die das Passwort übermittelt werden soll zu einem zufälligen Passwort (via Hashfunktion) umgewandelt. Dabei ist es trotzdem wichtig ein ausreichend langes Passwort zu wählen, damit dieses vom Angreifer nicht durch einfaches Raten und Ausprobieren ermittelt werden kann. 

Fazit: 

Ich muss eingestehen, dass mir die meisten hier vorgestellten Maßnahmen und Tools bisher unbekannt waren. Einzig die Erweiterung NoScript und die direkte Firefox-Einstellmöglichkeit im „Privaten Modus“ zu surfen waren mir ein Begriff. 

Obwohl ich persönlich, durch meine langjährige Tätigkeit im Bereich Online Marketing, mir der Gefahren im Web durchaus bewusst bin, ist es auch für mich heute noch oft schwierig, eine Website hinsichtlich ihrer Vertrauenswürdigkeit einzuschätzen. Generell gilt aber auch für das Web die 80/20 Regel. Mit nur geringem Aufwand und durch den Einsatz von wenigen Tools, kann man die persönliche Sicherheit im Web beträchtlich steigern. Das letzte Quäntchen Sicherheit bleibt aber den Profis vorbehalten.

Die von dir vorgestellten Möglichkeiten beziehen sich auf den Firefox-Browser. Mittlerweile gibt es aber eine Vielzahl an gängigen Browsern, für die wiederum eigene Sicherheitskonzepte gelten bzw. verfügbar sind. Für den 08/15 User ist dieses breite Spektrum nicht durchschaubar. Auch wenn der eine oder andere die Funktionsweise solcher Sicherheitskonzepte durchschaut, sind die in der praxis ablaufenden dahinterliegenden Prozesse mehr als intransparent. Wer weiß schon genau wie zB. eine bestimmte Verschlüsselungstechnik in der Praxis funktioniert und kann darüber hinaus noch beurteilen wie sicher diese ist?

Ich finde die Tools sehr interessant und muss auch gestehen, dass ich die wenigsten zuvor kannte. Ich schließe mich aber auch Darja an, dass ein Problem der Browservielfalt herrscht. Am Computer in meiner Arbeit hab ich z.B. nur die Möglichkeit Firefox zu nutzen (oder E-Explorer, aber das zählt nicht), auf meine privaten Computer habe ich nur Safari oder Chrome. Das heißt ich müsste mir diese Maßnahmen und Tools für jeden einzelnen Browser ansehen und mich damit vertraut machen um mich wirklich ausreichend schützen zu können - was wiederum auf Dauer sehr mühsam werden kann. 

Ich finde deinen Beitrag mit dieser Maßnahmen-Sammlung für ein sichereres Surfen mit Firefox auch sehr interessant, denn er ist äußerst praxisrelevant und auch mir waren als Firefox-Nutzerin einige der genannten Maßnahmen noch nicht bekannt.

Ich finde den Artikel auch wirklich interessant weil er einen enormen Praxisbezug hat. Es verwenden sehr viele Internetuser Firefox (mich eingeschlossen), doch ich bin mir sicher, dass nur die wenigsten diese (alle) Möglichkeiten für ein sichereres Surfen kennen. Und das ist genau das Problem. Ich würde sagen, dass wir oft einfach zu faul sind oder es uns zu große Umstände macht um wirklich zu recherchieren wie man sich ein klein wenig mehr schützen könnte.

Ich hab nur Noscript in Verwendung.

Möchte mich mit LiveHTTPHeaders beschäftigen.

..gerade in Bezug darauf, dass mein Artikel dazu besagt, dass mittels fingerprinting auch Fact wie der private Modus und Do not Track ausgetrickst werden können.

Ich befürchte, dass unter diesem Aspekt, wirklich keine große Chance für einen Schutz besteht. Irgendwie finden die Unternehmen immer ein Schlupfloch um an interessante Daten zu kommen oder an solche, die sie dann zu ihrem Nutzen umwandeln können.