Firefox, Datenschutz & Sicherheit – welche Plugins & Add-Ons gegen Tracking & Co. helfen

Diese Tips waren mal Teil meines Artikels zu Windows 10 und Datenschutz. Nun habe ich einen eigenen Artikel daraus gemacht – weil diese Tips ja für Firefox generell gelten – und nicht nur für Windows 10. Zudem gab es mit Firefox 57 (‘Quantum’) auch einiges an Änderungen -> viele altbekannte Plugins laufen nicht mehr, so das ich hier einmal alles aktualisiert habe.

Datenschutz & Privacy-Plugins – uBlock Matrix, NoScript & Co.

Wer einen Web-Browser ohne irgendwelche Plugins betreibt, der bekommt heute nur noch ein buntes Webe-Internet zu sehen und wird ganz krass getrackt. Beim Tracking geht es darum einen Nutzer über eine einzelne Webseite hinaus zu verfolgen und zu schauen wo er überall hinsurft, was er anschaut, wie lange er wo verweilt, ob und wann er wieder kommt, etc. pp. Um sich gegen das ganz grob zu ‘schützen’ kommen folgende Plugins für mich in Frage:

  • uMatrix – Für alle die die Ausführung von Scripten, das Laden von CSS, Bildern, Fonts und das Speichern von Cookies im absoluten Detail kontrollieren möchten.
    • Eher etwas für Privacy-‘Freaks’.
  • uBlock Matrix – Eine Alternative zu ‘AdBlock Plus’, uMatrix & Co. die konfigurationslos funktioniert (vom Autor von uMatrix)
    • Etwas für ‘einfache’ Anwender bzw. zum Installieren und vergessen.
  • NoScript – Blockt erst einmal alle Scripts, die dann selektiv erlaubt werden können – und damit potentielle Virenfallen.
    • Einfacher zu bedienen als uMatrix, jedoch weniger Leistungsfähig. Weiter unten wird noch eine Alternative vorgestellt: ScriptSave.
  • Cookie-Autodelete – Cookies werden z.B. gelöscht wenn der letzte Tab einer Seite in Browser geschlossen wird.
    • Funktioniert perfekt.
  • HTTPS Everywhere – Versucht überall hin möglichst immer HTTPS Verbindungen aufzubauen, EFF.
    • Installieren und vergessen.

Dann gibt es noch eine Reihe von für mich ‘optionalen’ Plugins, die Sicherheit und Datenschutz verbessern:

  • Multi Account Containers – Separiert verschiedene Tabs voneinander, so das sich die Tabs wie komplett eigene Browser verhalten und Scripte, Cookies, etc. pp. voneinander isoliert sind.
    • Sehr interessant für Onlinebanking & Co.
  • DecentralEyes – vermeidet das nachladen vieler externer ‘CDN’ Scripte durch lokales Hosting
    • Ebenfalls Installieren und vergessen.
  • PrivacyBadger – Verhindert Tracker, WebBugs & Co. Herausgeber ist die EFF, welche ein excellentes Renommee hat.
    • Effektiv und einfach zu bedienen. Überschneidet sich stark mit uMatrix, uBlock und Disconnect.
  • Disconnect – Verhindert Verbindung zu Werbung, Trackern, u.a. auch von Social-Media Seiten, OpenSource
    • Effektiv und einfach zu bedienen. Überschneidet sich stark mit uMatrix, uBlock und PrivacyBadger.
  • Smart Referer – Eliminiert den ‘Referer’ Header des Browsers.
    • … damit Webseiten nicht wissen auf welcher Webseite man vorher war bzw. von wo man ‘hersurft’.
  • CanvasBlocker um JavaScript Canvans- und WebGL Fingerprintingtechniken zu begegnen.
  • Ganz optional: User Agent Switcher – Ändert den User-Agent auf einen, der ggf. bekannter ist
    • Dieser ‘Schutz’ ist jedoch schon recht schwach und zweifelhaft, macht jedoch durchaus Sinn wenn man mit den ‘Nightly’-Versionen von Firefox surft oder mit seltenen Browsern wie Iron, Vivaldi, Opera & Co.

Was ich nicht mehr nutze ist Ghostery – auch ein sehr effizientes Plugin gegen Tracking. Warum nutze ich es nicht mehr?  Weil dieses Plug in der Standardeinstellung sehr ‘geschwätzig’ in Richtung Hersteller ist und diesem mitteilt wohin man überall surft  – absolut inakzeptabel!

Wer die Google-Suche nutzt und nicht möchte, das Google trackt welcher Link in den Suchergebnissen geclickt wurde, der mag auch:

  • Google-Search Link Fix installieren.
    • Ich nutze gleich lieber eine Suche wie DuckDuckGo, was auch in Firefox einfach als Standard-Suchmaschine eingestellt werden kann.

Ach ja, da Firefox mit der Version 57 auf die Chrome-Plugin API umgestellt hat finden sich die meisten dieser Erweiterungen auch im Chrome Web Store von Google und können so in Chrome, Iron, Opera, Vivaldi & Co. eingesetzt werden.

ScriptSafe als ‘bessere’ Alternative für NoScript & Co. ?

ScriptSave Popup-Menü über das Rechte für Webseiten verwaltet werden können – und ggf. erkannte Fingerprinting-Techniken angezeigt werden.

Alternativ kann man auch

  • ScriptSafe als Ersatz für:
    • NoScript, CanvasBlocker, SmartReferer und UserAgentSwitcher

nutzen, was seit Firefox 57 auch zur Verfügung steht. Der Vorteil: ScriptSafe bietet noch mehr Unterstützung bestimmte Java-Script API’s zu blockieren, welche für Fingerprinting-Techniken verwendet werden (siehe auch nebenstehendes Bild…). Zudem gibt es auch eine Export-Funktion mit der alle Einstellungen, Black- und Whitelists gesichert und auf andere PC’s übertragen werden können. Auch gut: Weniger aktive Plugins.

Der Nachteil: Wenn man alle Optionen nutzt, dann man muss sich mit diesen etwas mehr auseinandersetzen – weil die blockierten APIs auch legitime Einsatzzwecke haben können (-> ‘White-Listing’ für bestimmte Domains). Teils gibt es auch Probleme mit einem unterdrückten Referer-Header. Wer Smart-Referer nutzt kann das Verhalten viel Icon in der Toolbar dann einfacher Ein- und Ausschalten als mit ScriptSafe.

Welche Fingerprintig-APIs bzw. Techniken werden durch ScriptSafe kontrollierbar?

  • Browser Plugin Enumeration – Schutz vor Zugriff auf Plugin-Details durch andere Webseiten
  • Canvas Fingerabdruck-Schutz – Schutz vor Fingerprinting-Versuche durch <canvas> Elemente
  • Audio-Fingerprinting – Verhindert Fingerprinting über die AudioContext API
  • WebGL Fingerprinting – Verhindert Fingerprinting über das WebGL-API
  • Batterie-Fingerprinting – Verhindert Fingerprinting über die Batterie-API
  • Device Enumeration – Verhindert, dass Hardware-Geräte über die WebRTC-API erkannt werden
  • Gamepad Enumeration – Verhindert, dass Geräte über das Gamepad API erkannt werden
  • WebVR Enumeration – Verhindert, dass Geräte über das WebVR API erkannt werden
  • Bluetooth Enumeration – Verhindert, dass Geräte über das Bluetooth API erkannt werden
  • Canvas-Font-Zugang – Verhindert, dass Systemschriften durch <canvas> Elemente aufgezählt werden

Schon krass, oder? Meist ist das alles Krams was für das normale Surfen niemals benötigt wird, denn Browser sind heute viel mehr als noch vor 5 oder 10 Jahren. Sie zeigen nicht nur einfache Webseiten an, sondern sind inzwischen fast kleine Betriebssysteme mit weitreichendem Zugriff auf die Funktionen von Windows, Linux,  Android, OS X & Co. – mit allen Folgen.

uMatrix – für Profis

uMatrix Einstellungen für eine Webseite

Die Aufgabe: Ich möchte keine Google-Fonts (fonts.gstatic.com) nutzen, keine Ajax-APIs von Google (ajax.googleapis.com), etc. pp. – weil mich Google mit dem Zugriff auf diese beim normalen Surfen Tracken kann. Wenn ich jedoch auf booklooker.de (als 1st Level Domain) surfe dann möchte ich diese Sachen erlauben, weil sonst einiges nicht funktioniert. Ach ja: ausgezeichnet.org möchte ich generell blockieren. (Oder: Nur wenn ich auf Google-Maps surfe möchte ich den ganzen anderen Google-Krams zulassen – sonst jedoch nicht.)

Sowas geht meiner Kenntnis nach nur mit uMatrix! Bei allen anderen Blockern (u.a. ScriptSafe) muss ich immer global entscheiden ob ich etwas zulassen möchte oder nicht – ich kann es jedoch nicht in Abhängigkeit der Hauptseite (bzw. Hauptdomain) einstellen.

Um so was einzustellen zeigt uMatrix an, was aus welcher Kategorie (css, image, scripts, etc. pp) von wo geladen wird – und wie viel. Nun kann man durch einen Click ganz oben, in der ersten Zeile eine komplette Kategorie in Abhängigkeit der Hauptdomain erlauben. Möchte man generell etwas für eine Domain verbieten oder erlauben – so clickt man auf das entsprechende Kästchen im Kreuzungspunkt einer Kategorie & Domain – oder auf den Domainnamen (für alle Kategorien).

Hört sich zuerst kompliziert an – wird jedoch schnell sehr, sehr effizient!

Welche Plugins sind sinnvoll?

Als Minimalausrüstung würde ich auf jeden Fall: uBlock Matrix, HTTPS Everywhere und Cookie Autodelete empfehlen. Optimal ergänzt wird das Trio dann durch DecentralEyes (Konfigurationslos) und natürlich ScriptSafe – eine kleine Einarbeitung die sich lohnt. NoScript würde ich heute nicht mehr nutzen, denn seit Firefox 57 ist ScriptSafe wirklich die Alternative – denn NoScript musste aufgrund des Wechsels der Plugin-Architektur in Firefox 57 komplett neu geschrieben werden (und vermisst noch viele Funktionen).

Wer dann noch genug Lust- und Laune sowie Paranoia hat, der installiert sich uMatrix und arbeitet sich dort ein – es ist jedoch das komplexeste aller Plugins, macht jedoch eine sehr feingranulare Filterung möglich.

Ob es etwas bringt Disconnect und PrivacyBadger parallel zu den anderen Plugins laufen zu lassen? Keine Ahnung. Technische Probleme gab es bei mir damit nicht – es wird jedoch sicher etwas auf die Geschwindigkeit des Browsers gehen -> Also ggf. ausprobieren und / oder selber entscheiden.

Was heißt eigentlich “Fingerprinting”?

Mittels Fingerprinting versuchen die großen Werbenetzwerke & Co. genau DICH eindeutig zu identifizieren – also unabhängig von IP-Adresse, etc. pp. Das geht recht gut, weil jeder Browser dem ‘gegenüber’ Namen des verwendeten Betriebssystems, die Version, installierte Fonts, die eingestellte Sprache, akzeptierte Datenformate & Co. senden. Wenn dann noch Java-Script aktiviert ist, dann gibts auch noch Informationen über die Bildschirmauflösung & Co. und Zugriff auf die WebGL und Canvas-Schnittstellen – auf Basis derer eine spezielle und sehr Rechnerabhängige Prüfsumme (basieren auf Grafikkarte & Co.) generiert werden kann. Letztere macht den eigenen PC oder Notebook fast individuell identifizierbar (-> und damit trackbar!).

Wenn man sich dann irgendwo mit seinen realen Daten einloggt (eBay, Google, Amazon, Facebook, andere Onlineshops), dann können diese potentiell die Realnamen-Daten und diesen Fingerprint miteinander verbinden – und wissen dann wohin Herr oder Frau XYZ so alles surfen. Das ist problematisch, weil heute fast überall irgendwelcher Google, Amazon, Facebook & Co. Code mit den Webseiten verwoben ist. Die laden dann irgendwelche Google- oder Facebook-Scripte & Icons nach, Fonts die bei Google gehostet werden – oder irgendwelche externen Java-APIs. Durch diese ist es dann wiederum für Google, Facebook, Amazon & Co. möglich den User zu tracken und so zu verfolgen wo GENAU DU überall so hinsurfst.

Die Summe der oben genannten Plugins versucht das ganze zumindest etwas abzumildern. Eine Garantie gibt es nicht – und wer eine Nummer sicherer gehen möchte, der sollte auf jeden Fall den TOR-Browser nutzen. Das ist zwar teils langsam und umständlich – bietet sich jedoch für einige Sachen durchaus an. Wichtig hier: Bei Onlinebanking, Online-Shopping & Co. würde ich darauf verzichten. Warum? Dazu später in einem eigenen Blogartikel ggf. mal mehr.

Firefox & die Nightly Versionen

Ich selber nutze seit einigen Jahren die Firefox ‘Nightly’-Versionen zum Surfen. Dies ist die aktuelle und täglich neu gebaute Entwicklerversion von Firefox, welche dem ‘offiziellem’ Firefox ca. 2 Versionsnummern voraus ist.

Der (gedankliche) Vorteil für mich: Irgendwelche Exploits die speziell auf Fehler in den aktuellen Versionen abzielen dürften sollten in dieser Version deutlich weniger Chancen haben schaden anzurichten. Der Nachteil: Ab und zu (so alle 3-4 Monate) funktioniert irgend etwas mal für 1-2 Tage etwas komisch und durch die Browser-Kennung ist man ggf. einfacher Trackbar, weswegen auch der User Agent Switcher verwendet werden sollte -> Mit einem User-Agent String der aktuellen Firefox-Version, z.B.:

Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0

Das gibt dann den Browser als Firefox 57 in der 64-Bit Version unter Windows 7 an – eine recht unauffällige Variante, selbst wenn unter Windows 10 oder Linux gesurft werden sollte.

Noch ein paar Tips (Rechner mit einer SSD & Videos downloaden)

Wer eine SSD im Rechner nutzt, der mag noch eine sinnvolle Einstellung im Browser vornehmen, welche verhindert das der Browser unentwegt Daten auf die Platte schreibt (geht auf die Haltbarkeit der SSD). Hier die Anleitung in Deutsch. In Kürze:

  • ‘about:config’ eintippen
  • ‘browser.sessionstore.interval’ von 15 Sekunden auf 30 Minuten setzten.

Wer Videos von Youtube, Vimeo & Co. als MP4 archivieren möchte, dem empfehle ich ‘mit Vorsicht’ folgendes Plugin:

  • VideoDownload Helper (um Youtube-Videos & Co. lokal zu speichern).

Ich nutze das oft, da ich auf meinem Tablet kein WLAN mehr nutze. So kann ich Videos über den PC downloaden, dann per USB auf das Tablet kopieren und mir dann dort die Videos anschauen oder anhören. Das ‘mit Vorsicht’ schreibe ich deswegen, weil das Plugin ggf. die Links auf die Videos zum Hersteller senden könnte oder tut – je nach verwendeten Optionen.

Mein Fazit

Ich mag zwar nicht gerne so viele Plugins am laufen haben – weil auch ich nicht überblicke welche nun legitim und wirklich vertrauenswürdig sind. Zumindest bei HTTPS Everywhere und Privacy Badger bin ich mir recht sicher, da diese von der EFF zur Verfügung gestellt werden. Disconnect hatte in 2016 sogar eine Auszeichnung bekommen (New York Times) und uMatrix sowie uBlock Matrix genießen bei mir auch recht viel vertrauen – aufgrund der großen Nutzerbasis und der langen Historie. Was ist mit ScriptSafe? Ebenfalls OpenSource, eine gute Privacy-Policy und schon Jahrelang dabei (als Chrome Extension).

Das das ganze Plugin- und Add-On System auch missbraucht werden kann, hat das WOT (Web Of Trust) Plugin eindrucksvoll aufgezeigt. Wer die ganze Story dazu lesen möchte – und auch den Vortrag vom 33C3 (Chaos Communication Congress) schauen möchte, der schaue mal bei Netzpolitik.org rein. Gruselig! Selbst ich bin selber ab und zu auch hin- und her-gerissen welchen Plugins ich nun letztendlich trauen soll – oder kann. Aber es gibt auch anderweitige Probleme mit einigen Erweiterungen – weswegen ich hier sehr vorsichtig bin.

Es ist zwar krass, das man heute solch einen Aufwand betreiben muss um wenigstens etwas weniger Datenspuren im Web zu hinterlassen – aber so ist das aktuell nun mal. Besser so – als gar nicht.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst diese HTML Tags und Attribute benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>