31 Antworten in diesem Thema

[PaulaAbdul]

Aus aktuellem Anlass möchte ich dieses Thema nochmals aufrollen. Die Sicherheit und Anonymität des Browsers sollte in der Szene an erster Stelle stehen und besonders Neueinsteiger sollten sich zuerst mit diesem Thema auseinandersetzen.

 

 

Welchen Browser sollte man verwenden?

 

Definitiv abzuraten ist von Chrome und Opera. In beiden Browsern lässt sich (auch durch Plugins) WebRTC nicht deaktivieren, wodurch trotz der Verwendung von VPN, Socks, Proxy etc. die echte IP des Benutzers durch eine Website herausgefunden werden kann (zum testen auf

Please Login HERE or Register HERE to see this link!

gehen).

 

Der einzige mir bekannte Browser, bei dem sich WebRTC abschalten lässt ist Mozilla Firefox.

 

 

 

Überflüssige Plugins in Firefox abschalten

 

Geolocation API abschalten

 

Mit Hilfe der

Please Login HERE or Register HERE to see this link!

kann die geografische Position des Surfer relativ genau bestimmt werden. Zur Ortsbestimmung können je nach vorhandener Hardware im Rechner die WLANs in der Umgebung genutzt werden oder GPS-Hardware... Im ungünstigsten Fall kann der Standort nur anhand der IP-Adresse bestimmt werden. Die Nutzung der API erfolgt mit Javascript.
 

Aktuelle Firefox Versionen fragen nach, bevor der Zugriff auf die Geolocation API erlaubt wird. Trotzdem habe ich ein besseres Gefühl, wenn man es komplett deaktiviert. Dafür muss man unter "about:config" die folgende Variable setzen:

 

geo.enabled = false

 

Diese Einstellung ist wichtig, wenn man die eigene IP-Adresse mit Anonymisierungsdiensten oder VPNs versteckt.

 

 

WebGL deaktivieren

 

WebGL stellt eine Javascript-API für das Rendering von 3D-Objekten bereit. Es kann für das Fingerprinting der Performance der Grafikhardware und OpenGL Implementierung genutzt werden, wie die Studie

Please Login HERE or Register HERE to see this link!

zeigt.

Außerdem können mit WebGL Schriftarten aus dem Web nachgeladen werden. Das ist ein Sicherheitsrisiko, weil damit Angriffe auf das Betriebssystem möglich werden. Bugs in den Font Rendering Bibliotheken, die Remote Code Execution durch Laden von bösartigen Schriften erlaubten, gab es für Windows (

Please Login HERE or Register HERE to see this link!

), Linux (

Please Login HERE or Register HERE to see this link!

) oder OpenBSD (

Please Login HERE or Register HERE to see this link!

).

Bei Firefox kann man WebGL unter "about:config" deaktivieren:

 

webgl.disabled = true
webgl.disable-extensions= true

 

 

WebRTC deaktivieren

 

WebRTC ist eine Technologie, die direkte Telefonie ud Videochats zwischen Surfern im Browser ermöglichen soll. Derzeit gibt es wenig sinnvolle Anwendungen für diese Technologie und ich würde ein spezialisiertes Programm wie Jitsi bevorzugen. Wer es einmal ausprobieren möchte, kann sich

Please Login HERE or Register HERE to see this link!

oder

Please Login HERE or Register HERE to see this link!

anschauen.

Mit WebRTC kann die lokale IP Adresse des Rechners im LAN und die öffentliche IP Adresse ermittelt werden, wie eine

Please Login HERE or Register HERE to see this link!

zeigt. Auch VPN-Verbindungen können damit ausgetrickst werden. Außerdem kann das Vorhandensein von Kamera und Mikrofon als Feature im Browser Fingerprint genutzt werden.

Bei Firefox kann man WebRTC unter "about:config" deaktivieren:

 

media.peerconnection.enabled = false

 

Ab Firefox 34.0 muss man außerdem "loop" unter "about:config" deaktivieren:

 

loop.enabled = false

 

 

Zugriff auf den Akku-Status deaktivieren

 

Aus mir unbekannten Gründen ist im HTML5-Standard eine API für den Zugriff auf den Status des Laptop Akku vorgesehen. Damit ist es möglich, den Ladezustand des Akku sowie den Status des Stromanschluss abzufragen. Aktuelle Browser haben diese API implementiert.

Um zu verhindern, dass der Ladezustand der Batterie als Tracking Feature genutzt wird oder dass das Vorhandensein eines Akku im Browser Fingerprint genutzt wird, sollte man diese API deaktivieren. Im Firefox kann man die API unter "about:config" deaktivieren:

 

dom.battery.enabled = false

 

 

Gamepad deaktivieren

 

Seit Firefox 28 wird die Gamepad API standardmäßig aktiviert, ein weiteres, überwiegend sinnloses Feature, dass für das Fingerprinting des Browsers genutzt werden kann. Die API kann ebenfalls unter "about:config" deaktiviert werden:

 

dom.gamepad.enabled = false

 

 

Fingerprinting der Grafikhardware verhindern

 

Hardwarebeschleuningung des Rendering kann man deaktivieren, um ein Fingerprinting der Grafikhardware zu verhindern. Einbußen sind für mich kaum erkennbar.

 

gfx.direct2d.disabled = true

layers.acceleration.disabled = true

 

 

Statistiken für Videos deaktivieren

 

Die Statistiken beim Abspielen von Videos (Framerate usw.) können für das Fingerprinting des Browsers verwendet werden. Unter "about:config" kann man dieses Feature abschalten:

 

media.video_stats.enabled = false

 

 

Kill Switch für Add-ons abschalten

 

Die

Please Login HERE or Register HERE to see this link!

kann Mozilla nutzen, um einzelne Add-ons im Browser zu deaktivieren. Es ist praktisch ein kill switch für Firefox Add-ons und Plug-ins. Beim Aktualisieren der Blockliste werden detaillierte Informationen zum realen Browser und Betriebssystem an Mozilla übertragen.

Please Login HERE or Register HERE to see this link!

-464f-9b0e-13a3a9e97384%7D/10.0.5/Firefox/20120608001639
/Linux_x86-gcc3/en-US/default/Linux%202.6.37.6-smp%20
(GTK%202.24.4)/default/default/20/20/3/ Ich mag es nicht, wenn jemand remote irgendetwas auf meinem Rechner deaktiviert oder deaktivieren könnte. Unter "about:config" kann man dieses Feature abschalten:

 

extensions.blocklist.enabled = false

 

 

Update der Metadaten für Add-ons deaktivieren

 

Seit Firefox 4.0

Please Login HERE or Register HERE to see this link!

und sendet eine genaue Liste der installierten Add-ons und die Zeit, die Firefox zum Start braucht. Als Antwort sendet der Server Statusupdates für die installierten Add-ons. Diese Funktion ist unabhägig vom Update Check für Add-ons, es ist nur eine zusätzliche Datensammlung von Mozilla. Unter "about:config" kann man diese Funktion abschalten:
 

 

extensions.getAddons.cache.enabled = false

 

 

HTML5 Beacons deaktivieren

 

Mit Beacons kann ein Browser beim Verlassen/Schließen einer Webseite Daten zur Analyse an den Webserver senden, die via Javascript gesammelte wurden. Eine sinnvolle Anwendung außerhalb von "Analyse des Surfverhaltens" (aka Tracking) fällt mir dafür nicht ein. Unter "about:config" kann man dieses Feature abschalten:
 

 

beacon.enabled = false

 

 

Download der Safebrowsing Datenbank deaktivieren

 

Ab Firefox 34 reicht es nicht mehr, die Nutzung von Googles Safebrowsing Datenbank im Einstellungsdialog zu deaktivieren. Zusätzlich muss man den Download der Datenbank unter "about:config" abschalten, wenn man keine Verbindungen zu Google herstellen will.
 

 

browser.safebrowsing.downloads.enabled = false

 

 

Heartbeat User Rating deaktivieren

 

Mit Firefox 37.0 hat Mozilla das

Please Login HERE or Register HERE to see this link!

eingeführt. Der User soll Firefox bewerten und wird gelegentlich zur Teilnahme an der Community eingeladen. Mozilla hat selbst erkannt, dass dieses Feature nerven könnte:

Unter "about:config" kann man das Feature deaktivieren, indem man die folgende URL auf einen leeren String setzt:
We understand that any interruption of your time on the internet can be annoying.

 

browser.selfsupport.url = ""

 

Quelle:

Please Login HERE or Register HERE to see this link!

 

 

Wichtige und sinnvolle Firefox Addons:

• NoScript - Javascript standardmäßig deaktivieren.
• Default User Agent - User Agent der vom Browser an Websites gesendet wird "manipulieren".
• Refcontrol - Die zuvor aufgerufene Adresse einer Website wird nicht mehr an Websites übermittelt.
• AdBlock Plus - Nervige Werbeanzeigen filtern.
• Canvas Blocker - Trackingmethode blockieren.

[FalkE]

als nachtrag zu den addons eignen sich noch:

• Better Privacy - flash cookies werden automatisch entfernt
• Dolus - X-Forwared-For header bei jedem request, die meisten pages fallen drauf rein
• Self Destructing Cookies - selbsterklärend
• Adblock Edge - die "faire" alternative zu AdBlock Plus (ab plus lässt nämlich auf bestimmten pages werbung zu)

[smc2014]

Als 2ten Nachtrag...

 

DNSCrypt

 

Das kostenlose Tool DNSCrypt verschlüsselt die DNS-Anfragen Ihres Browsers und hilft Ihnen somit, sicherer im Internet zu surfen.
 
Bei jedem Aufruf einer Internetseite wandelt ein DNS (Domain Name System) den Klartextnamen wie zum Beispiel "www.chip.de" in die dazugehörige IP-Adresse um. Dieser Vorgang geschieht immer unverschlüsselt, wodurch das Surfverhalten nachvollzogen werden kann oder der User auf eine gefälschte Website weitergeleitet werden kann.

Um das zu verhindern, verschlüsselt DNSCrypt den Datenverkehr des DNS und schützt Sie somit vor Angreifern. Dafür müssen keine komplizierten Einstellungen vorgenommen werden, welche tief ins System eingreifen. Starten Sie einfach das Tool und aktivieren Sie bei installierter Firewall die Checkbox »DNSCrypt over TCP/ 433 (slower)«. Sobald der Status von "Unprotected" nach "Protected" wechselt, wird der DNS-Verkehr verschlüsselt übertragen.

Fazit: Gratis-Tool, um sicherer im Internet zu surfen. Die einfache Bedienung macht das Tool sogar für unerfahrene Anwender zugänglich und schützt sowohl gegen gefälschte Websites, als auch die Privatsphäre des Users.

Hinweis: DNSCrypt für Mac OS können Sie direkt von der

Please Login HERE or Register HERE to see this link!

laden.

 

Quelle:

Please Login HERE or Register HERE to see this link!

 

ddl:

Please Login HERE or Register HERE to see this link!

 

bearbeitung:

 

hier noc ein Link zum selber testen

Please Login HERE or Register HERE to see this link!

Bearbeitet von smc2014, 05 April 2015 - 22:05 Uhr.

[BlackZetsu]

Random Agent Spoofer
Der Name sagt alles, das Ding besitzt sehr viele Optionen, in meinen Augen einen Blick wert.

Ghostery
Blockiert Tracker, sammelt allerdings selbst ein paar Daten (abstellbar)

Bluhell Firewall
Auch eine Art Anti-Tracking und co. Erweiterung.

Bearbeitet von BlackZetsu, 05 April 2015 - 21:54 Uhr.

[kotzbroedchen]

IPFuck für Chrome, IPFLood für Firefox fehlen noch (Firefox -

Please Login HERE or Register HERE to see this link!

IPFlood generiert zufällige IP´s entsprechend den definierten Einstellungen und täuscht vor, das eure aktuelle IP ein Proxy ist.

 

und für diejenigenm die google als Suchmaschine benutzen: (Firefox -

Please Login HERE or Register HERE to see this link!

Bearbeitet von kotzbroedchen, 05 April 2015 - 23:09 Uhr.

[S4lent]

Was haltet ihr vom Tor-Browser-Paket?

 

Please Login HERE or Register HERE to see this link!

Bearbeitet von S4lent, 05 April 2015 - 23:55 Uhr.

[Emalik Xantier]

 

als nachtrag zu den addons eignen sich noch:

• Dolus - X-Forwared-For header bei jedem request, die meisten pages fallen drauf rein

 

Zusätzlich auch:

 

- User Agent Switcher - user agent kann automatisch/manuell gespooft werden (X-Forwarded-For headers kann auch aktiviert werden)

- Ghostery - Blockt die Tracker

[DR.zydz]

Ich verwende noch

 

- QuickJava - Java, JS, Flash schnell deaktivieren/aktivieren

- WOT - Web of Trust

 

 

 

Was haltet ihr vom Tor-Browser-Paket?

 

Please Login HERE or Register HERE to see this link!

Tor ist nach dem Skandal, dass die amerikanische Regierung das Projekt unterstützt/finanziert, ziemlich in Verruf geraten. Angeblich sind auch Bugs und Vulns vorhanden, die dich traceable machen. Was du daraus schließt, ist deine Sache.

[pdr0]

Sind ja viele Addons aber hat die schon  jemand überprüft? Telefonieren die vielleicht bei einem  Update nach hause? Vielleicht noch mit Browserversion, aktuelle Seite, unverschlüsselt...

 

Ich würde mir gut überlegen welches Addon ich installiere. Lieber Features deaktivieren als ein Tool installieren das die blocked. Klar sind aber manche sinnvoll

[macinchris]

An Addons für den Webbrowser für ich nur diese weiterempfehlen, welche auch hier aufgelistet sind:

Please Login HERE or Register HERE to see this link!

 

Übrigens, eine Verwendung von Ghostery wird nicht empfohlen, da unter anderem der Quellcode nicht einsehbar ist und eure Daten weiterverkauft werden!

Please Login HERE or Register HERE to see this link!

Bearbeitet von macinchris, 07 April 2015 - 13:03 Uhr.

[BlackZetsu]

"die die Daten-Sharing-Funktion Ghostrank des kleinen Programms aktiviert haben"

 

Ghostery
Blockiert Tracker, sammelt allerdings selbst ein paar Daten (abstellbar)

 

Ob man dem jetzt Vertrauen schenkt, ist eine andere Sache, aber offiziell ist es deaktivierbar.

[Emalik Xantier]

 

Übrigens, eine Verwendung von Ghostery wird nicht empfohlen, da unter anderem der Quellcode nicht einsehbar ist und eure Daten weiterverkauft werden!

Please Login HERE or Register HERE to see this link!

Wie BlackZetsu schon gesagt hat nur die, welche Ghostrank aktiviert haben und Sie sagen (behaupten jedenfalls):

 

Unterstützen Sie Ghostery, indem Sie anonyme statistische Daten zurück an den Hauptsitz von Ghostery senden.

Was bedeuten soll, sogar wenn man es aktiviert hat, sollte alles anonym bleiben.

[SYS64738]

Um die Geolocation API abzuschalten, sollte auch "geo.wifi.uri" durch einen leeren String ersetzt werden, um Ermittlungen des Standorts via Wifi zu verhindern.

[alchem1st]

Ein weiteres nützliches Plugin könnte TrackMeNot sein. Es bombt die Suchmaschinen mit sinnlosen Abfragen und erschwert somit eine Profilerstellung. Die sequentiellen Abfragen(Wie viel Abfragen pro MINUTE?) kann der Benutzer selbst konfigurieren, sowie eine Blacklist, mit Wörtern nach denen nicht gesucht werden soll z.B. "Bombe", erstellen.

 

Please Login HERE or Register HERE to see this link!

 

Für "mehr" Info:

Please Login HERE or Register HERE to see this link!

[Terrafaux]

Ich weis nicht wirklich was 100%ig bedeuted, danke fuer die vielen Informationen. Manche schwoeren auf Google Chrome, viele auf FF aber eben dieser bietet doch unzaehlige Plugins die auch fehlerhaft sein koennen. Opera oder Maxthon wird nicht erwaehnt? Gibt es dafuer einen berechtigten Grund?

[Emalik Xantier]

Opera ist vom Grunde gleich aufgebaut wie Chrome, fast nur die Oberfläche ist anders. Mit Maxthon kenne ich mich nicht aus.

Auch wenn sich das vlt. paranoid anhört, aber Googles Produkte würde ich grundsätzlich meiden. Ich mag Google einfach nicht.

EDIT: Da Chrome ein viel 'grösserer' Browser ist, gibt es auch schneller Sicherheitsupdates, mehr/bessere Addons etc. Vor Opera würde ich also dennoch Chrome nutzen.

Bearbeitet von Emalik Xantier, 27 May 2015 - 22:13 Uhr.

[SYS64738]

Wenn Chrome, dann würde ich auf Chromium setzen - Google hat auch hier das Rad nicht neu erfunden, da bleibt man lieber beim Entwickler selbst. Grundsätzlich stimme ich Dir @Emalik Xantier aber zu. Es ist in meinen Augen ein Paradoxum, diesbezüglich auf ein Google-Produkt zu setzen.

 

EDIT: Maxthon ist - wenn ich mich recht erinnere - ein Cloud-Browser. Auch dies würde für mich in Bezug auf Sicherheit/Datenschutz ein Ausschlußkriterium sein. Alles was hier nicht auf "Zero Knowledge" setzt, finde ich bedenklich, wenn man es genauer betrachtet.

Bearbeitet von SYS64738, 28 May 2015 - 04:28 Uhr.

[Terrafaux]

Maxthon ist - wenn ich mich recht erinnere - ein Cloud-Browser. Auch dies würde für mich in Bezug auf Sicherheit/Datenschutz ein Ausschlußkriterium sein. Alles was hier nicht auf "Zero Knowledge" setzt, finde ich bedenklich, wenn man es genauer betrachtet.

Vielen Dank fuer deinen Beitrag.

Das eine Cloud immer Bedenken bringt stimmt wohl, Frage ist nun ob durch die Verschluesselung der DNS Anfragen mit DNSCrypt, Maxthon in Sachen Privacy wieder anonym macht.

 

Tipp:

Wie man das feststellen kann ob DNSCrypt funktioniert sieht man mit dem Kommando:

dig  debug.opendns.com  txt

[SYS64738]

Die verbindung zur Cloud sollte weniger das Problem sein, eher der Schutz der Daten die dort liegen. Zero Knowledge ist daher perfekt, denn nur dann sind die Daten dort verschlüsselt und somit vor dem Zugriff Dritter, als auch Angestellter der Serverbetreiber gesichert, wie z.B. bei Spideroak.

[Terrafaux]

Die verbindung zur Cloud sollte weniger das Problem sein, eher der Schutz der Daten die dort liegen. Zero Knowledge ist daher perfekt, denn nur dann sind die Daten dort verschlüsselt und somit vor dem Zugriff Dritter, als auch Angestellter der Serverbetreiber gesichert, wie z.B. bei Spideroak.

Danke dir fuer den Beitrag, Frage welche Daten liegen dort? Ich meine der Browser wird doch gewoehnlich fuer Seitenaufrufe genutzt, das heist trotz DNS Verschluesselung kann der Betreiber die Seiten lesen und Zwischenspeichern?

LG