Weg von meiner Paranoia

  • Guten Morgen,

    ich bin wohl ein bisschen überdurchschnittlich verängstigt, was die Datensammelleidenschaft von Formen betrifft. Daher installiere ich wohl so ziemlich jedes Add-On in Forefox, dass mir ein bisschen mehr an »Sicherheit« verspricht. Inzwischen ist mein Firefox aber recht langsam und unkonfortabel geworden. Und daher frage ich euch, welche Add-on überhaupt nötig sind und welche sich ggf. sogar gegeneinander stören. Folgende Add-On benutze ich gerade:

      NoScript: nicht nur gegen die Sammelleidenschaft von Firmen, sondern auch, weil es das Surfen »sicherer« machen soll.

      uBlock Origin: einfach um Werbung auszublenden.

      Tracking Protection Experiment (Innerhalb des Test Pilot): damit ich eben nicht getrackt werde.

      Privacy Badger: weiterer Trackingschutz, immerhin vom EFF.

      HTTPS Everywhere: um httpS zu erzwingen.

    Wie sinnvoll ist das ganze? Kann etwas weg oder durch etwas anderes ersetzt werden?

  • Hallo,

    in erster Linie ist das eine Geschmacksfrage. Dir kann niemand sagen, dass du Add-on X oder Y brauchst oder nicht brauchst, wenn du der Meinung bist, dass das deinen persönlichen Interessen zu Gute kommt - oder eben nicht.

    Mir persönlich zum Beispiel würde sowas wie NoScript niemals auf die Festplatte kommen, da der Sinn von NoScript es ist - wie der Name schon andeutet - JavaScript zu blockieren, was einen der wichtigsten Webstandards darstellt und es einfach wichtig für viele Webseiten ist. Wenn du hingegen glaubst, JavaScript unbedingt blockieren zu müssen, dann ist NoScript vermutlich immer noch besser als JavaScript komplett in Firefox abzuschalten, wofür man überhaupt kein Add-on bräuchte. Das wäre besser, weil du dann zumindest Ausnahmen für einzelne Seiten erstellen kannst.

    Bedenke beim Tracking Protection Experiment (und ähnlichen Erweiterungen), dass es zwar bekannte Tracker blockiert, aber nicht vollständig verhindern kann, dass du getrackt wirst. Konkret der Tracking Schutz von Mozilla nutzt halt eine Liste von Disconnect, um bekannte Tracker zu identifizieren. Was nicht auf der Liste steht, kann nicht blockiert werden. Grundsätzlich gilt für alle Arten von Tracking-Schutz: es gibt einige Scripts von bekannten Trackern, die können nicht blockiert werden, ohne dass die Webseite nicht mehr wie gewünscht funktioniert. Und dann gibt es grundsätzlich nur zwei Möglichkeiten: entweder ein solcher Tracker wird nicht blockiert und du wirst getrackt oder die Webseite funktioniert nicht richtig. Es hängt von der Erweiterung ab, wie damit umgegangen wird. Das ist etwas, was du auch im Hinterkopf behalten solltest. Nicht, dass du dich in falscher Sicherheit wiegst oder glaubst, dass solche Erweiterungen keinen Nachteil hätten. Das muss man einfach abwiegen, ob Kosten/Nutzen hier für einen persönlich in einem guten Verhältnis stehen.

    Für eine Erweiterung wie HTTPS Everywhere sehe ich keinen realen Nutzen. Ob eine Webseite HTTPS anbietet oder nicht, liegt ausschließlich an der jeweiligen Webseite, das kann von außerhalb nicht erzwungen werden. Und wenn eine Webseite HTTPS anbietet, braucht man auch keine Erweiterung, um die HTTPS-Webseite zu nutzen. Meistens gibt es dann sowieso seitens Webseite eine automatische Weiterleitung von HTTP auf HTTPS. Und wenn nicht, installiere ich mir keine Erweiterung nur, um weitergeleitet zu werden, ich kann selbst https:// in die Adressleiste eingeben.

    Ab Firefox 51 (erscheint morgen) kennzeichnet Firefox übrigens von selbst Webseiten als unsicher, welche nicht HTTPS nutzen, aber ein Passwortfeld auf der Webseite haben. Damit sinkt die Bedeutung dieser Erweiterung meiner Meinung nach auch nochmal ein Stück, obwohl das ja nicht Teil dieser Erweiterung ist. Aber eben aus dem Grund, weil Passwort-Felder ein sehr guter Grund für HTTPS sind und man nun von Firefox darauf aufmerksam gemacht wird, wenn das Szenario eintritt.

    Ich nutze kein einziges der genannten Add-ons. Statt uBlock Origin nutze ich Adblock Plus, alles andere nutze ich ersatzlos nicht, weil ich für mich einfach keine Notwendigkeit sehe.

  • Ich habe meine Lesezeichen alle daraufhin überprüft, ob diese auch via https: erreicht werden können...
    Da ich mit der Entwicklung von AdBlockPlus nicht mehr einverstanden war und ich NoScript zu kompliziert fand, sind hier uBlockOrigin und uMatrix installiert.
    Zusätzlich nutze ich noch die Erweiterung Canvas Blocker [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]
    Informationen gibts zu der Erweiterung auf dieser englischsprachigen Webseite: https://www.browserleaks.com/canvas
    Ansonsten gilt der Satz vom Vorredner:


    ..in erster Linie ist das eine Geschmacksfrage.


    Wichtiger finde ich ein tragendes Sicherheitskonzept. Meins findest du in meiner Signatur..

  • Vielen Dank für eure ausführlichen Antworten.

    In der Tat ist es Geschmacksache! Mal sehen, was mir so liegt. NoScript geht mir ein bisschen auf den Geist. Ich werde es deinstallieren und mir GEdanken machen, was es eigentlich machen soll. der Privacy Badger kommt mir auch unnütz vor. Aber mir kommt das Surfen jetzt schneller vor! Ist ja schon mal ein Vorteil.

  • Man sollte bedenken dass man als Enduser im Grunde immer auf der Verliererseite sitzt, dementsprechend muss man überlegen wie sehr man sich das Surferlebnis einschränken will.

    Bei solchen Fingerprinting-Methoden, und da irgendwelche privaten Firmen und Geheimdienste direkt an den Internetknoten sitzen und sich nehmen können, was sie wollen, ist der Kampf ohne möglichst weltweit bessere Gesetze eh verloren:
    https://www.heise.de/newsticker/mel…ie-3597078.html

    Einen Scriptblocker halte ich für sinnvoll, allein um Malware zu blocken (dürfte mehr bringen als jeder Virenscanner), alles andere ist aus meiner Sicht ziemlich beliebig. Da würde ich uBlock Origin empfehlen, das ist performant und quelloffen.

    Der PrivacyBadger soll eine identifizierbare ID verschicken. Lässt sich evtl. deaktivieren.


  • Man sollte bedenken dass man als Enduser im Grunde immer auf der Verliererseite sitzt, dementsprechend muss man überlegen wie sehr man sich das Surferlebnis einschränken will.

    Das ist eine Frage der Perspektive, ich sehe mich auf gar keinen Fall auf der Verliererseite. ;) Ich für meinen Teil bin nämlich zum Beispiel kein Gegner kontextbezogener Werbung, was nun einmal mittels Tracking-Methoden umgesetzt wird. Ich denke mir ganz einfach: wenn ich schon Werbung sehe, dann will ich wenigstens Werbung sehen, die meinen Interessen entspricht und nicht vollkommen irrelevante Werbung. Da hat die werbende Firma mehr davon und da habe ich selbst mehr davon, das ist eine Win-Win-Situation.

    Ich nutze zwar selbst auch einen Werbeblocker, aber ich lege Wert darauf, dass ich einen Werbeblocker einsetze, der es mir erlaubt, Ausnahmen zu setzen. Auf diese Weise "schütze" ich mich vor Werbung auf Seiten, auf denen ich einmalig per Zufall lande. Sobald ich Inhalte einer bestimmten Seite regelmäßig konsumiere, wird die Werbung entweder erlaubt oder ich spende direkt an die Seite, um den Ausfall zu kompensieren. Das ist das Mindeste, was man als Konsument kostenfreier Inhalte tun sollte. Darum ist das Thema Werbung für mich trotz Werbeblocker relevant.

    Einen Scriptblocker halte ich für sinnvoll, allein um Malware zu blocken (dürfte mehr bringen als jeder Virenscanner)

    Ist das nicht eher unwahrscheinlich? Ich meine das vor dem Hintergrund der folgenden Frage: Wie können dir Scripts denn etwas Böses tun? Ich sehe da die folgenden Möglichkeiten:

    1. Die Webseite will dir absichtlich schaden. Dann hast du sowieso verloren. Da gibt es dann noch ganz andere Möglichkeiten, um dir zu schaden.
    2. Die Webseite wurde kompromittiert. Aber auch dann gilt wieder: dann hast du sowieso verloren, denn wenn das gelingt, können auch andere Aspekte der Webseite manipuliert worden sein. Das ist genau gleich zur ersten Option, mit dem einzigen Unterschied, dass der Täter jemand anderes ist.
    3. Schadhafter Code wird per Werbung durch einen Drittanbieter eingeschleust. Kann vorkommen, der Fall wird aber, wenn du eh schon Werbung blockierst, eh durch den Werbeblocker vollständig abgedeckt.

    Oder übersehe ich da etwas, was diesen doch eher hohen Preis rechtfertigt, Scripts zu blockieren? Mit hohen Preis meine ich, dass die Auswirkungen davon sehr deutlich im Web spürbar sind.

    Da vertraue ich lieber auf die Sicherheitsmechnismen des Browsers, wie Erkennung schadhafter Downloads per SafeBrowsing, Sandboxing usw. Eine Webseite sollte normalerweise gar nicht in der Lage sein, das System zu gefährden. Ein Einfallstor hierfür waren ja auch NPAPI-Plugins, was nun wegfällt (optional noch Adobe Flash, andere Plugins gibt es gar nicht mehr für mich als Nightly-Nutzer). Und als Nightly-Nutzer mit aktiviertem e10s ist auch das Sandboxing schon einiges restriktiver als in der finalen Version von Firefox.

  • Ich nutze zwar selbst auch einen Werbeblocker, aber ich lege Wert darauf, dass ich einen Werbeblocker einsetze, der es mir erlaubt, Ausnahmen zu setzen.

    .. dann kannst du uBlock Origin durchaus nutzen, denn hier gibts eine Whitelist, in die Webseiten eingetragen werden können, auf denen uBlock nicht aktiv sein soll.. :)

    Zitat

    Whitelist-Regeln schreiben vor, auf welchen Webseiten uBlock₀ nicht aktiv sein soll


    Zitat aus den Einstellungen..

  • Ich weiß, ich nutze aber lieber ABP, da mir das Interface mehr zusagt, ich den Palant für einen sehr kompenten Entwickler halte und ich mir um die Zukunft von ABP keine Sorgen machen muss. Das Interface ist eine Geschmacksfrage, der Rest trifft auf uBlock Origin vermutlich auch zu, aber dann kommt der Punkt zum Tragen, dass ich ein Add-on nicht wechsle, wenn ich keinen Grund dafür sehe. Ich könnte vermutlich mit beiden Erweiterungen glücklich werden, aber ABP arbeitet bei mir so viele Jahre zuverlässig, dass ich es weiter arbeiten lasse, bis es mir einen Grund gibt, das neu zu bedenken. ;)

  • Sören nutzt ABP? Etwas in meiner Welt ist gerade gestorben ;)

    uBlock Origin ist quelloffen, performanter und lässt sich nicht von der Werbeindustrie bezahlen (meines Wissens). Ich wechsle regelmäßig Addons, wenn es bessere Alternativen gibt. Bin auch von All-in-one-Sidebar zur Omnisidebar gewechselt.

    Das ist eine Frage der Perspektive, ich sehe mich auf gar keinen Fall auf der Verliererseite. ;) Ich für meinen Teil bin nämlich zum Beispiel kein Gegner kontextbezogener Werbung, was nun einmal mittels Tracking-Methoden umgesetzt wird. Ich denke mir ganz einfach: wenn ich schon Werbung sehe, dann will ich wenigstens Werbung sehen, die meinen Interessen entspricht und nicht vollkommen irrelevante Werbung. Da hat die werbenede Firma mehr davon und da habe ich selbst mehr davon, das ist eine Win-Win-Situation.


    Ich bin auch niemand der Werbung immer wegblockt, aber ich habe auch kein gutes Gefühl dabei, wenn ich gar keine Kontrolle darüber habe was mich alles so mittrackt.
    Privatsphäre endet ja nicht bei der Werbung.

    Zitat

    Ist das nicht eher unwahrscheinlich? Ich meine das vor dem Hintergrund der folgenden Frage: Wie können dir Scripts denn etwas Böses tun? Ich sehe da die folgenden Möglichkeiten:

    1. Die Webseite will dir absichtlich schaden. Dann hast du sowieso verloren. Da gibt es dann noch ganz andere Möglichkeiten, um dir zu schaden.
    2. Die Webseite wurde kompromittiert. Aber auch dann gilt wieder: dann hast du sowieso verloren, denn wenn das gelingt, können auch andere Aspekte der Webseite manipuliert worden sein. Das ist genau gleich zur ersten Option, mit dem einzigen Unterschied, dass der Täter jemand anderes ist.
    3. Schadhafter Code wird per Werbung durch einen Drittanbieter eingeschleust. Kann vorkommen, der Fall wird aber, wenn du eh schon Werbung blockierst, eh durch den Werbeblocker vollständig abgedeckt.


    Da die meisten Websitenbetreiber heute standardmäßig nicht mehr in der Kontrolle ihrer Website sind, da oft über die Hälfte der Quellen auf anderen Servern liegt, halte ich das nicht für unwahrscheinlich.
    Kommt selbst auf seriösen Websiten häufiger mal vor, dass man plötzlich mit einem ungewünschten Mobilfunkabo dasteht, die Website gigabitweise Daten nachlädt (besonders schön bei Volumentarifen) oder eben Malware verteilt. Allein das ist alles schon bei gamestar.de passiert.

    Zitat

    Oder übersehe ich da etwas, was diesen doch eher hohen Preis rechtfertigt, Scripts zu blockieren? Mit hohen Preis meine ich, dass die Auswirkungen davon sehr deutlich im Web spürbar sind.


    Damit meinte ich nicht dass ich Javascript etc. blocke. Ich nehme eben diverse Filterlisten, die so im Internet kursieren und das Nachladen aus anderen Quellen blockieren.

    Zitat

    Da vertraue ich lieber auf die Sicherheitsmechnismen des Browsers, wie Erkennung schadhafter Downloads per SafeBrowsing, Sandboxing usw. Eine Webseite sollte normalerweise gar nicht in der Lage sein, dem System zu schaden. Ein Einfallstor hierfür waren ja auch NPAPI-Plugins, was nun wegfällt (optional noch Adobe Flash, andere Plugins gibt es gar nicht mehr für mich als Nightly-Nutzer).


    Bei mindestens zwei der obigen Fälle kann der Browser gar nichts machen, da er meist nicht mal erkennt dass was ungewünschtes passiert.


  • Sören nutzt ABP? Etwas in meiner Welt ist gerade gestorben ;)

    uBlock Origin ist quelloffen, performanter und lässt sich nicht von der Werbeindustrie bezahlen (meines Wissens).

    Wieso ist in deiner Welt etwas gestorben? Dich sollte nicht überraschen, dass ich rationale Entscheidungen treffe. ;)

    Punkt Quelloffenheit: uBlock Origin und Adblock Plus stehen unter der exakt gleichen Lizenz, es gibt nicht den geringsten Unterschied zwischen beiden Erweiterungen in diesem Aspekt. Punkt performanter: Werbung wird in ABP blockiert, ohne dass es irgendeinen spürbaren Negativeffekt hätte. Das heißt, selbst wenn uBlock Origin in irgendwelchen Messungen "performanter" sein sollte, ist das menschlich nicht wahrnehmbar und interessiert mich damit auch nicht. Mich interessiert ausschließlich wahrnehmbare Performance und schneller als absolut verzögerungsfrei ist für die menschliche Wahrnehmung einfach nicht möglich. Ich bin niemand, der Benchmarks hinterherjagt. Und zum letzten Punkt: mir stellt sich wirklich die Frage, wie es mir schaden kann, wenn Eyeo hinter seiner Erweiterung ein Geschäftsmodell hat. Die Antwort ist ganz einfach: kann es nicht. Wenn ich das Feature nicht mag, nutze ich das Feature nicht, so einfach ist das. Das ist die freie Entscheidung eines jeden Nutzers. Sich an einem optionalen Feature in einer kostenfreien Erweiterung zu empören, halte ich für keine sehr reflektierte Sichtweise. Aber nicht nur, dass es mich nicht stört, ich finde das Konzept (https://adblockplus.org/de/acceptable-ads#info) sogar gut!

    Bitte vergiss eines nicht, wenn du über mich urteilst: ich bin nicht nur ein Konsument des Internets, ich bin auch ein Schöpfer von Inhalten. Ich betreibe mehrere eigene Projekte, die durch Werbung Einnahmen generieren, welches es mir überhaupt erst erlaubt, Seiten wie meinen dir sicher nicht unbekannten Mozilla-Blog zu betreiben. Fallen die Einnahmen weg, kann ich es mir nicht mehr leisten, so viel Zeit zu investieren und die Qualität, die man von meinem Blog gewohnt ist, wäre dann schlicht und ergreifend nicht mehr möglich. Diese Qualität kostet sehr viel Zeit, die nur zur Verfügung steht, wenn ich nicht darauf angewiesen bin, in dieser Zeit anders Geld zu verdienen, um Miete (oh, Salzburg ist teuer…), Katzenfutter etc. zu bezahlen. Das heißt, ich habe ganz automatisch eine Perspektive auf das Thema, die nicht nur einseitig beim Nutzer liegt, ich kenne mich auch bestens auf der anderen Seite aus und weiß, wie es immer schwieriger wird, kostenlos Qualität anzubieten. Und wenn man diese Seite kennt, ist es sehr naheliegend, dass man keine so einseitige Sicht mehr darauf hat. ;)


    Bei mindestens zwei der obigen Fälle kann der Browser gar nichts machen, da er meist nicht mal erkennt dass was ungewünschtes passiert.

    Auf was genau beziehst du das? Durch den Wegfall von NPAPI-Plugins fällt der Haupt-Zugriffspunkt auf das Dateisystem weg, den man für Malware nutzen könnte. Per JavaScript gibt es nur die FileSystem-API (ein Google-Ding, kein Standard!), die Firefox überhaupt erst seit Firefox 50 unterstützt und auch das nur sehr eingeschränkt. In Firefox können, im Gegensatz zu Chrome, damit keine Dateien geschrieben werden. Die Hauptgefahr besteht damit durch Sicherheitslücken im Browser. Und da sollte Sandboxing vor ungewünschtem Zugriff auf das Dateisystem schützen und das Risiko erheblich reduzieren. SafeBrowsing kennt unzählige nicht vetrauenswürdige Downloads und Downloadquellen, stellt damit ebenfalls einen sehr guten Schutz dar, der mehrfach am Tag aktualisiert wird.

    Einen hundertprozentigen Schutz gibt es natürlich nie, aber dass der Browser "gar nichts machen kann", lässt mich zumindest fragen, was genau du als vollkommen wirkungslos siehst.