Diese Anleitung ist sehr detailliert und genau. Für alle, die es schnell haben wollen, habe ich die wohl kürzeste Anleitung zur Sicherung von Firefox geschrieben. Dort zeige ich in nur 4 Punkten, wie man den größtmöglichen Schutz beim geringstmöglichen Konfigurationsaufwand erhält.
Websurfen ist heutzutage keinesfalls mehr nur das Besuchen von und das Interagieren mit Websites. Jedes Mal, wenn wir unseren Browser starten und damit Websites aufrufen, werden wir von unzähligen Trackern, die unser Surfverhalten aufzeichnen und analysieren, beobachtet. Die Daten werden gespeichert, analysiert, verarbeitet und verkauft. Datenschutzfreundliches Websurfen ist heutzutage ohne Konfiguration eines passenden Browsers und ohne Zusatzmodule unmöglich.
Safari ist ein an sich toller Browser, ihn aber zu konfigurieren ist nahezu unmöglich; an allen Ecken und Enden hat Apple vorbestimmt, was die User tun dürfen. Sogar die Auswahl einer Suchmaschine ist auf die von Apple vorgegebenen Möglichkeiten beschränkt. Google Chrome ist ebenfalls ein hervorragender Browser (nicht zuletzt durch zahlreiche automatisierte Sicherheitsupdates und das Sandboxing von Flash), er wird aber den dubiosen Touch nicht los, Daten an Google zu senden. Opera ist mittlerweile ein Google Chrome-Klon und interessiert daher niemanden mehr. Internet Explorer ist in jeder Hinsicht eine Katastrophe, Alternativen gibt es praktisch nicht. Es bleibt also im Rennen: Firefox.
Firefox
Im Gegensatz zu allen anderen Browsern wird Firefox nicht von einer profitorientierten Firma entwickelt, sondern von einer Community, die von sich behauptet, „Offenheit, Innovation & Chancen im Web zu fördern“. Der offene Zugang zur Entwicklung des Browsers ermöglicht es jedem Nutzer, datenschutzfreundliche Einstellungen leicht durchzuführen. Mit nur wenigen Klicks kann der Browser – noch vor der Installation des ersten Plugins! – deutlich sicherer gemacht werden.
Download Firefox.
Chronik und Datenschutz
Nach der Installation des Browsers sind einige Änderungen an den Einstellungen notwendig, um den Browser sicherer zu machen. Viele der Einstellungen können ohne Zuhilfenahme von Plugins und Add-Ons leicht vorgenommen werden.
Zuerst deaktivieren wir die Verfolgung von Nutzeraktivitäten, eine ohnehin kaum von Websites respektierte Einstellung, setzen aber fest, dass Cookies von Drittanbietern nicht akzeptiert werden und die Chronik mit Beenden des Browsers gelöscht wird.
Der Button „Einstellungen…“ neben dem Eintrag „Die Chronik löschen, wenn Firefox geschlossen wird“ offenbart weitere Möglichkeiten zur Löschung von Daten. Hier setzen wir fest, dass die wesentlichsten Elemente aus der Chronik und aus den Daten entfernt werden. (Ich habe „Besuchte Seiten & Download-Chronik“, sowie die „Website-Einstellungen“ ausgenommen, da dies Datensätze sind, die intern gespeichert werden.)
Sobald das erledigt ist, klicken wir auf OK und wechseln in den Reiter „Sicherheit“.
Sicherheit
Passwörter (und Formulardaten) sollten niemals im Browser gespeichert, sondern von Passwortmanagern, wie zum Beispiel 1Password oder KeePassX, verwaltet werden. Das Speichern von Passwörtern wird im Reiter „Sicherheit“ deaktiviert.
Zurückgezogene Zertifikate blockieren
Firefox prüft Zertifikate auf ihre Gültigkeit, wenn wir das wollen. Da wir kein Zertifikat vorgesetzt bekommen wollen, das längst vom rechtmäßigen Eigentümer zurückgezogen wurde, aktivieren wir die Option, die das ermöglicht. Unter „Erweitert“ im Abschnitt „Zertifikate“ muss die Option „Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen“ aktiviert sein.
Das Aktivieren des Online Certificate Status Protocol (OSCP) prüft bei jedem HTTPS-Seitenaufruf das vom Server verwendete Zertifikat auf seine Gültigkeit. Das hat zwar den entscheidenden Vorteil, zurückgezogene Zertifikate sofort blockieren zu können, aber auch ein paar Nachteile:
- Jede aufgerufene HTTPS-Seite wird an eine zentrale Certificate Authority (CA) übertragen. Das verzögert das Laden der aufgerufenen Website.
- Die Seriennummer jedes HTTPS-Zertifikats wird an die CA gesendet. Damit ist es der CA möglich, ein detailliertes Profil der geschützten Websites zu erstellen, die eine Person aufruft.
Es gibt eine Lösung für das Problem (OCSP Stapling: nicht der Browser, sondern der ausliefernde Server führt die Checks mit der CA durch), doch kann sie nur vom Serverbetreiber implementiert werden.
Damit sind die Einstellungen abgeschlossen.
Verschlüsselungsalgorithmen
MacLemon hat mich auf einer CryptoParty auf den Aspekt der Sicherheit durch Konfiguration aufmerksam gemacht. Was bedeutet das? Wenn wir Firefox per Konfiguration untersagen, als „wenig sicher“ eingestufte Algorithmen zu benutzen, schaltet Firefox automatisch auf sicherere Methoden um (falls der Server das unterstützt 1).
Um an die Konfigurationeinstellungen, die nicht mehr bequem über das Einstellungen-Menü erreichbar sind, zu gelangen, geben wir in die Adresszeile des Browsers die „URL“ about:config
ein. Das nun folgende Fenster mit dem dramatischen Titel „Hier endet möglicherweise die Gewährleistung!“ quitieren wir mit einem Klick auf „Ich werde vorsichtig sein, versprochen!“.
In der folgenden Tabelle sind alle Soll-Werte für die links angeführten Einstellungen gezeigt. Je neuer der Browser ist, desto eher sind die hier angegebenen Werte ohnehin zur Standardeinstellung geworden.
Einstellungsname | Soll-Wert |
---|---|
security.ssl3.ecdhe_ecdsa_rc4_128_sha | false |
security.ssl3.ecdhe_rsa_rc4_128_sha | false |
security.ssl3.rsa_rc4_128_md5 | false |
security.ssl3.rsa_rc4_128_sha | false |
security.tls.unrestricted_rc4_fallback | false |
security.tls.version.min | 1 |
Wir haben nun als wenig(er) sicher eingestufte Verschlüsselungsalgorithmen browserseitig deaktiviert. Das bedeutet, dass Firefox nun beim Besuch einer Website wie zB amazon.com zuerst darüber verhandelt, welches Zertifikat überhaupt verwendet werden kann.
Ausspähen durch Browserfunktionen
Browserfunktionen, die wir andauernd benutzen, können dazu missbraucht werden, uns auszuspähen. Wem schon einmal aufgefallen ist, dass besuchte Links auf einer Website anders dargestellt werden als noch nicht besuchte, dem sollte jetzt dämmern, worum es hier geht. Wer sich schon einmal gewundert hat, warum die Ansichten in den häufig besuchten Websites im neuen Tab-Fenster immer aktuell sind, ebenso. Diese und weitere „Features“ werden hier deaktiviert.
Auch hier wieder die Einstellungen:
Einstellungsname | Soll-Wert |
---|---|
layout.css.visited_links_enabled | false |
webgl.disabled | true |
geo.enabled | false |
browser.safebrowsing.enabled | false |
browser.safebrowsing.malware.enabled | false |
dom.event.clipboardevents.enabled | false |
network.cookie.cookieBehavior | 1 |
network.cookie.lifetimePolicy | 2 |
browser.send_pings | false |
media.peerconnection.turn.disable | true |
media.peerconnection.use_document_iceservers | false |
media.peerconnection.video.enabled | false |
media.peerconnection.identity.timeout | 1 |
Interner Trackingschutz
Firefox enthält eine interne Liste von Domains, die das Nutzerverhalten aufzeichnen und verfolgen. Diese Liste wird von Haus aus nicht zur Anwendung gebracht („Y u not enable, Mozilla?“) und muss durch den User aktiviert werden. Das ist über die URL about:config
recht einfach möglich. Wir suchen nach privacy.trackingprotection.enabled
und setzen den Wert (durch Doppelklick) manuell auf true
.
Um das Konfigurationsmenü wieder zu verlassen, geben wir statt „about:config“ wieder eine richtige URL ein – zum Beispiel „mkln.org“.
Suchmaschine
Von Haus aus verwendet Firefox die Suchmaschine des größten Sponsors der Mozilla-Foundation, in Europa ist das Google. Ich will mich nicht in die persönlichen Präferenzen bezüglich der Wahl der Suchmaschine einmischen, empfehle jedoch die Standardsuchmaschine auf Startpage zu setzen und die Google-Suche über eine Schlüsselwort zu modifizieren.
Startpage als Standardsuchmaschine
Beim ersten Umstieg von Google auf Startpage habe ich sicherheitshalber nach einer Suche mit Startpage nocheinmal gegooglet. Mittlerweile verlasse ich mich zu 100 Prozent auf die niederländische Suchmaschine. Sie bietet Vollverschlüsselung an und speichert Suchabfragen nicht. Die Suchqualität kann besser nicht sein, denn Startpage setzt auf Google auf, übermittelt allerdings nur anonymisierte Suchanfragen an (und Ergebnisse von) Google.
- Zuerst fügen wir Startpage als Suchmaschine zu Firefox hinzu: Neben „HTTPS“ klickt man auf den „Installieren“-Button und aktiviert die Option, Startpage als Standardsuchmaschine einzurichten. Damit kann aus der dedizierten Sucheingabe mit Startpage gesucht werden.
- Seit Firefox, Version 23, war es das auch schon. Ist Startpage nun im Suchfeld als Suchmaschine ausgewählt, ist sie auch in der Adresszeile automatisch als Suchmaschine ausgewählt.
Google ergänzen und per Schlüsselwort ansprechen
In Firefox kann die angesprochene Suchmaschine während des Suchvorgangs durch ein „Schlüsselwort“ ausgewählt werden. Gibt man bspw. „kaffee“ ein, wird die Standardsuchmaschine verwendet. Gibt man aber „y Kaffee“ ein, wird Yahoo, bei „b Kaffee“ bing, usw. verwendet.
Ich habe mir eine alternative Google-Version, die Klicks auch intern nicht über Trackinglinks umleitet, unter dem standardmäßig an Google vergebenen Sschlüsselwort „g“ eingerichtet.
- In den Einstellungen auf den Link „Weitere Suchmaschnen hinzufügen…“ klicken.
- Auf der folgenden Seite „Google (encrypted)“ auswählen und über „Add to Firefox“ installieren.
- Zurück in den Einstellungen wird das „g“ bei Google als Schlüsselwort gelöscht und bei Google (encrypted) eingesetzt.
- Fertig.
Plugins & Add-Ons
Mit den obigen Einstellungen ist die Konfiguration des Browsers abgeschlossen. Leider ist es damit nicht getan. Zumindest zwei weitere der in dieser Serie genannten Plugins und Add-Ons sind notwendig, um halbwegs sicher zu sein.