Neue Firefox Datenschutz-Addons#

Hier gibt es eine interessante Liste von Firefox-Addons für den Datenschutz. Die meisten verwende ich ohnedies, aber diese beiden kannte ich nicht:

  • Decentraleyes lädt häufig genutzte Libraries und Dateien, die für gewöhnlich von Google, Microsoft, CloudFlare und anderen zentralen Diensten bereitgestellt werden, lokal herunter. Das lässt Websites nicht nur schneller laden, sondern verhindert auch die Zugriffe auf die genannten Dienste. Das Addon gibt es auch für Google Chrome.
  • Google Redirects Fixer & Tracking Remove schreibt die mit Redirects ausgestatteten Google-Links auf die korrekten URIs um.

Beide habe ich sofort installiert und damit auch in meine Beitragsserie zum Thema „Firefox sichern“ aufgenommen.

uBlock Origin: Erweiterter Modus

uBlock Origin wird fast immer als Alternative zu AdBlock Plus und anderen Werbeblockern genannt. Die Klassifizierung als Adblocker ist zwar prinzipiell richtig, aber sieht man sich die Browsererweiterung genauer an, so wird sehr bald klar, dass uBlock Origin nicht nur Werbung blockiert, sondern als „wide spectrum blocker“ konzipiert ist, mit dem Netzwerkanfragen nach bestimmten Regelsets gänzlich oder teilweise, global oder nur auf einzelnen Seiten blockiert (oder zugelassen) werden können. Damit reiht sich uBlock Origin bei den ganz großen (und scharfen) Netzwerk- und Skriptblockern NoScript und RequestPolicy ein – wenn man will. Und man sollte!

Die Vorteile eines Netzwerk- und Skriptblockers sind rasch erklärt: Richtig konfiguriert, werden alle Skripte, die Daten von einer anderen URL als der eben aufgerufenen übertragen, blockiert. Ebenso werden alle iFrames blockiert, deren Quelle nicht die Domain der eben aufgerufenen Seite ist. Es gibt sogar einen noch schärferen Blockademodus, in dem schlichtweg alle Ressourcen von Drittseiten blockiert werden, aber den nennt selbst der Autor der Browsererweiterung „Nightmare Mode“. Warum sollten also, wie ich vollmundig im ersten Absatz behauptet habe, solche Netzwerk- und Skriptblocker trotzdem verwendet werden? Die Antwort zerstört die Vorstellung des Internets als freien und dezentralen Raum: Weil ein sehr großer Teil aller online verfügbaren Ressourcen von einigen wenigen Anbietern zur Verfügung gestellt wird und sie sich leider fast alle direkt oder indirekt mit der Aufbereitung, dem Zurverfügungstellen oder dem Auswerten von Daten finanzieren.

bill-3rdpartyscriptsDie Nachteile eines Blockers dieses Kalibers liegen hauptsächlich in der Zusatzarbeit des Nutzers, Websites, die ohne bestimmte Ressourcen von Drittseiten nach Anwendung der Filterregeln nicht mehr funktionieren, zu reparieren. Konkret bedeutet das, dass Ressourcen von Drittseiten freigeschaltet werden müssen; das ist zwar mit wenigen Klicks erledigt, wird aber trotzdem von den meisten Nutzern als unbequem empfunden. YouTube-Videos werden, um ein Beispiel zu nennen, ohne Zugriff auf YouTube nicht funktionieren. Diese müssen manuell für jede einzelne Seite freigegeben werden.

Ich will hier keinesfalls eine Anleitung zur Verwendung des erweiterten Modus von uBlock Origin zur Verfügung stellen, denn das wäre ein unendlich langer Beitrag, der auf viel Hintergrundwissen über die Zusammenhänge von Diensten, Trackern und Services aufbaut. Stattdessen möchte ich auf die wirklich hervorragende Dokumentation des uBlock Origin Autors selbst verweisen und jeder Leserin, jedem Leser anraten, es 1-2 Monate lang auszuprobieren. Danach sind die am häufigsten besuchten Websites konfiguriert und die Erweiterung fällt einem nur dann auf, wenn man neue Websites besucht.

Hier geht es zur Konfigurationsanleitung: Dynamic Filtering – Quick Guide.

NoScript, die Nuklearoption für sicheres Websurfen

NoScript ist ein mächtiges Werkzeug, mit dem JavaScript komplett oder nur teilweise deaktiviert werden kann und eine „Security Suite“, die vor allerlei Betrugsversuchen und sonstigen Bosheiten schützen kann. Ich kann NoScript jedem User empfehlen, der zumindest ein wenig Ahnung vom Nutzen von JavaScript hat und versteht, warum man es unter welchen Umständen und Bedingungen brauchen kann. Wer nach einer One-fits-all-Lösung sucht, kann (sollte aber nicht) die hier angeratenen Konfigurationseinstellungen übernehmen.

Das Deaktivieren von JavaScript führt aber zu zwei nicht unerheblichen Problemen. Einerseits verwendet praktisch jede moderne Website JavaScript, weshalb ein User jede einzelne, von ihm besuchte Website manuell freischalten müsste, was ein nahezu nicht zumutbarer Aufwand ist. Andererseits ist selektiv deaktiviertes JavaScript ein passives Trackingmerkmal; Tracker erkennen, welche Websites zur Ausführung von JavaScript freigegeben sind – und bilden aus dieser Information ein eindeutig identifizierbares Merkmal. (Selbst das Tor Project argumentiert genauso.) Ob die Vorteile die Nachteile aufwiegen, kann ich nicht beurteilen.

Ich persönlich habe NoScript in Verwendung und aktualisiere meine Konfiguration häufig. Soweit es Sinn macht, veröffentliche ich diese Aktualisierungen ohnedies auf genau dieser Seite.

Download NoScript.

Allgemein

Da die meisten Websites JavaScript benötigen, empfehle ich hier das Erlauben von JavaScript, das unter der eigenen Domain der Website gehostet ist.

noscript-1

Positivliste

In diesem Einstellungsfeld markieren wir alle aufgelisteten Websites und klicken auf „Ausgewählte Websites entfernen“. Keine Sorge, ausgegraute, also für den Betrieb von Firefox notwendige Adressen werden ohnehin nicht gelöscht.

Hier werden zukünftig berechtigte oder temporär berechtigte URLs aufscheinen.

Eingebettete Objekte

Unter „Eingebettete Objekte“ habe ich Java, Flash, Silverlight verboten, da ich es ohnhin nie benötigt habe. Welche Plugins es sind, die mit „andere Plugins“ gemeint sind, weiß ich nicht, das Setzen des Häkchens ist mir aber noch nie negativ aufgefallen.

noscript-2

Aussehen

In diesem Menüpunkt geht es um Bedienelemente, nicht um Funktionalität. Die Einstellungen hier sind also mehr oder weniger nach freiem Ermessen zu setzen. Ich komme mit folgenden Einstellungen gut zurecht.

noscript-3

Benachrichtigungen

Auch hier geht es mehr ums Belieben, ich habe dennoch den Punkt „Informationsleiste anzeigen, wenn Skripte blockiert werden“ deaktiviert.

Erweitert

Hier habe ich den KonfigurationsGAU, den Giorgio Maone den Usern in seinem Plugin zumutet, vereinfacht dargestellt. Die genannten Optionen sind aktiv, alle anderen nicht.

Nicht vertrauenswürdig
Klick-Verfolgung über das PING-Attribut für Links verbieten
XSLT verbieten
Versuchen, JavaScript-Links in normale Links umzuwandeln
Vertrauenswürdig
NOSCRIPT-Element, das einem blockierten SCRIPT folgt, anzeigen
Cross-Site Scripting (XSS)
Anfragen bei Verdacht auf Cross-Site Scripting bereinigen
Cross-Site-POST-Anfragen in datenlose GET-Anfragen umwandeln
HTTPS
Verhalten: leer
Cookies: leer
Berechtigungen: niemals
ABE
ABE (Application Boundaries Enforcer) aktivieren
WAN-IP
ClearClick
nicht vertrauenswürdigen
vertrauenswürdigen Seiten

Ein Klick auf „Okay“ speichert die Einstellungen. Wir sind mit NoScript fertig.

HTTPS Everywhere: Verschlüsselt übertragen, wo’s geht

Für gewöhnlich werden Websites im Klartext, also unverschlüsselt, vom Server zum Client übertragen. Und das, obwohl viele Services die verschlüsselte Übermittlung ohnehin unterstützen würden. Die von der Electronic Frontier Foundation entwickelte Browsererweiterung „HTTPS Everywhere“ erzwingt, wo möglich, die Verwendung einer verschlüsselten Verbindung.

Download HTTPS Everywhere.

firefox-https-everywhere-observatory

Ich habe, aber das ist Geschmackssache, das SSL Observatory aktiviert. Das SSL Observatory behält Kopien aller Sicherheitszertifikate von damit ausgestatteten Websites, um gegebenenfalls Man-in-the-Middle-Attacken feststellen und den Benutzer warnen zu können.