Was braucht man zum sicheren Surfen wiklich?

Ich benutze von deiner Liste gerade mal den Werbeblocker uBlock Origin sowie Disable HTML5 Autoplay da ich diesen Automatismus nicht mag, aber mit Sicherheit hat das ja nichts zu tun.

Das einzige, was ich als sinnvoll erachte, ist uBlock Origin.
Diese Erweiterung hat mit Sicherheit aber nichts zu tun.

Viel wichtiger als Erweiterungen wäre dieses:

Sicherheitskonzept für Windowsnutzer [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]

Ich verwende hinsichtlich der Sicherheit im Netz neben meinem bereits verlinkten Sicherheitskonzept uMatrix [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] und blocke erst mal alles... wie Zitronella schön erklärte..

Zitat

1. uMatrix (scharf eingestellt, dh. ich lasse grundsätzlich auf keiner Seite Skripte zu und erst wenn eine Seite mein Vertrauen hat, erlaube ich für ausgewählte Seiten auch Skripte.

Quelle [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

Zitat von hwww

Es gibt sehr viele Erweiterungen zum sicheren Surfen im Netz.Was brauche ich aber wirklich dringend (außer einen kühlen Kopf vom Bildschirm das ist mir auch klar)?

Kein einziges der genannten Add-ons. Klar lässt sich Sicherheit vielleicht noch durch die eine oder andere Erweiterung steigern. Aber würde davon irgendetwas dringend benötigt werden, damit du sicher unterwegs bist, wäre dafür keine Erweiterung nötig, sondern es wäre fix in Firefox integriert. Du kannst davon ausgehen, dass der Standard-Auslieferungszustand von Firefox als sicher anzusehen ist.

Mit welchen Erweiterungen du nun deinen Firefox noch erweiterst, das hängt wirklich davon ab, was du eigentlich erreichen willst. Die meisten der genannten Erweiterungen erachte ich für mich persönlich als sinnlos bis sogar kontraproduktiv. Aber wenn die Erweiterungen Dinge abdecken, die du gerne hättest, haben diese Add-ons für dich eben einen Sinn, den sie für mich nicht haben.

hwww
Aus der Diskussion über einzelne Erweiterungen halte ich mich heraus. Ehrlich gesagt kenne ich dazu viel zu wenige, um mir ein Urteil zu erlauben. Ich benutze selbst insgesamt nur drei.

Eine Korrektur sei aber angebracht. UBlock ist zwar in erster Linie ein Add-Blocker, trägt aber auch ein wenig zur Sicherheit bei. Malware und Tracker können sich auch hinter einer harmlos aussehenden Werbung verbergen. Außerdem fragt uBlock auch Malware-Listen ab und blockiert den Zugriff auf bekannte Schad-Domains. Eine solche Funktion hat der Firefox übrigens auch integriert. Ein guter Schutz ist das aber nicht.

Viele Angriffe über den Browser werden über Javascript durchgeführt. Das lässt sich abschalten, aber dann geht das Vergnügen im Internet auch schnell gegen Null.
Einen Mittelweg gehen die Scriptblocker. Hier kannst du auswählen, welche Scripts auf welchen Seiten zugelassen werden sollen und welche nicht. Das kann mitunter immer noch ziemlich hinderlich sein, bietet aber zumindest etwas zusätzlichen Schutz.

Wenn du dich möglichst sicher im Internet bewegen möchtest, darfst du nicht allein auf den Browser, die Erweiterungen und eine AV-Lösung verlassen.
Dazu musst du weitere Schutzmaßnahmen ergreifen. Die können die Sicherheit dafür wesentlich erhöhen.

Es gibt sie aber nicht umsonst. Sie sind mit mehr oder weniger Aufwand und manchmal auch mit Einschränkungen verbunden. Die Bandbreite ist hoch. Ich möchte dir ein paar weitere sehr effektive Maßnahmen nennen. Dabei beschränke ich mich auf die Absicherung des Browsers, also nur auf diesen Teilaspekt.
Siehe es als Hinweise an, welche weitere Möglichkeiten sich dir bieten.

Es beginnt mit den Maßnahmen, die hier als "Sicherheitskonzept" gehandelt werden. Die Punkte haben ihre Berechtigung. Eigentlich sollte man sie gar nicht erwähnen müssen. Es sind Binsenweisheiten und sollten eine Selbstverständlichkeit sein.

Wenn du den Browser weiter effektiv absichern willst, musst du zusätzliche Verteidigungslinien errichten. Störe dich nicht an dem militärischen Begriff. Er ist durchaus üblich. In professionellen Landschaften hat man eine DMZ, eine demilitarisierte Zone.

Die nächste Verteidigungslinie, die du errichten kannst, ist die, den Browser vom Rest des Systems zu entkoppeln. Dazu gibt es eine Reihe von Möglichkeiten:

• 
  Sandboxen
  Bei vielen Linux-Derivaten wird die Sandbox Firejail standardmäßig mitgeliefert. Unter Windows gibt es zum Beispiel das Tool Sandboxie.
  Beide haben vorkonfigurierte Profile für den Firefox und sind selbst für Laien sofort nutzbar. Der Sicherheitsgewinn ist groß und lässt sich durch manuelle Konfiguration noch verbessern. Man kann sogar bewusst ein schädliches Programm darin ausprobieren und schauen, was es so anrichten würde.
  Eine Malware bekommt im Idealfall dann ohne deine explizite Erlaubnis überhaupt keinen Zugriff auf die Festplatte mehr, nicht einmal auf das Profil des Firefox. (Das Profil ist bei der Standardinstallation zunächst erlaubt.)
  Du kannst den Firefox weiterhin ganz normal benutzen. Es gibt fast keine Einschränkungen während einer Session. Erweiterungen und eigene Scripte funktionieren meist sofort bzw. lassen sich durch Anpassen der Sandbox zum Laufen bringen.
  Aufgrund der Abschottung kannst du aus der Sandbox heraus natürlich nichts dauerhaft installieren. Um z.B. den Firefox oder eine Erweiterung abzudaten, musst du den Firefox außerhalb der Sandbox starten. Auch neue Lesezeichen lassen sich je nach Konfiguration der Sandbox nicht dauerhaft speichern, es sei denn, du verwendest dafür Firefox Sync, also die Cloud.
  Dateien, die du bewusst aus dem Internet herunterlädst und abspeicherst, musst du natürlich trotzdem auf Malware prüfen.
  
• Virtuelle Maschine
  Noch mehr Sicherheit gewinnst du, wenn du den Browser in einer virtuellen Maschine betreibst. Die lässt sich per Snapshot nach jeder Session wieder auf den Ausgangszustand zurücksetzen. Sollte dich eine Malware erwischt haben, ist sie danach weg.
  Für Downloads gilt das Gleiche wie oben.
  

  Der Aufwand ist hier etwas höher als bei einer reinen Sandbox. Die Lösung lässt sich auch mit der Sandbox kombinieren.

• BitBox
  Es gibt vorgefertigte Lösungen wie die Bitbox, die hier heute bereits in einem anderem Beitrag erwähnt wurde. Das ist ist eine fertige VM mit einem gehärteten Linux, in dem bereits ein Firefox oder Chrome vorinstalliert ist.
  Das ist etwas einfacher zu handhaben als selbst eine VM einzurichten. Ich weiß allerdings nicht, wie gut und schnell die BitBox mit Updates versorgt wird.
  Der Sicherheitsgewinn ist auch hier hoch. Eigene Konfigurationsmöglichkeiten sind allerdings eingeschränkt.

Es gibt noch weitere Möglichkeiten, die hier aber den Rahmen sprengen würden. Für den Hausgebrauch genügen die erwähnten aber locker und bringen einen großen Sicherheitsgewinn. In jedem Fall deutlich mehr als Erweiterungen.

Wobei zu erwähnen sei, dass der Firefox selbst in einer eigenen Sandbox läuft. Und dies seit gut drei Jahren https://www.soeren-hentzschel.at/firefox/firefo…windows-nutzer/

Und dazu möchte ich ergänzen, dass eine fremde Sandbox nicht unbedingt weiß, auf welche Orte Firefox zugreifen muss, und das wiederum kann zu Problemen unterschiedlicher Art führen. Die Firefox-Sandbox sollte absolut ausreichend sein.

Wieso sollte Mozilla diese Erweiterungen nicht zulassen? Welchen Grund könnte es dafür geben, auch nur eine dieser Erweiterungen abzulehnen? Ich verstehe den Gedankengang nicht. Mal ganz von dem abgesehen, was ich außerdem schrieb:

Zitat von Sören Hentzschel

Klar lässt sich Sicherheit vielleicht noch durch die eine oder andere Erweiterung steigern.

sowie

Zitat von Sören Hentzschel

Mit welchen Erweiterungen du nun deinen Firefox noch erweiterst, das hängt wirklich davon ab, was du eigentlich erreichen willst. Die meisten der genannten Erweiterungen erachte ich für mich persönlich als sinnlos bis sogar kontraproduktiv. Aber wenn die Erweiterungen Dinge abdecken, die du gerne hättest, haben diese Add-ons für dich eben einen Sinn, den sie für mich nicht haben.

Ich verstehe jetzt, ehrlich gesagt, die Intention eurer Antworten nicht. Ich will den Firefox ja gar nicht kritisieren sondern lediglich einen Weg aufzeigen, das Browsen im Internet sicherer zu machen. Und das macht eine externe Sandbox ohne Frage. Völlig unabhängig davon, welchen Browser man verwendet.

Man kann in einer solchen Sandbox auch komplette Programme installieren, ohne dabei Änderungen am Rechner, wie zum Beispiel an der Registry, befürchten zu müssen.
Ich installiere mir manchmal sogar bewusst Schädlinge innerhalb der Sandbox und einer VM, um mal zu schauen, was die so für Änderungen vornehmen möchten und welche Dateien sie anlegen.
Wie ich lesen konnte, macht Zitronella das auch, bittet sogar um Links auf schädliche Seiten. Diese Sicherheit kann kein Browser allein bieten. (Das soll jetzt bitte keine Empfehlung sein, es ebenfalls so weit zu treiben!)

Zitat von AngelOfDarkness

Wobei zu erwähnen sei, dass der Firefox selbst in einer eigenen Sandbox läuft. Und dies seit gut drei Jahren

Das ist zwar richtig. Aber du solltest nicht den Eindruck erwecken, als würde diese einen gleich guten Schutz bieten. Die interne Sandbox schützt bei weitem nicht so gut, wie eine "richtige", externe. Die Sandbox des Firefox kapselt nicht den gesamten Firefox ab.
Das macht in Hinblick auf die Sicherheit einen großen Unterschied. Als Beispiel sei der hier jüngst diskutierte Bug 1416608 genannt, der den Firefox durch unerwünschte Installation eines Plugins lahmlegen konnte. In einer "richtigen" Sandbox kann das Plugin gar nicht erst dauerhaft installiert werden. Ein Neustart der Sandbox und alles ist, wie es vorher war.

Downloads werden zunächst auch geschützt abgelegt. Führt man aus Sandboxie heraus ein Programm aus, wird es ebenfalls sicher in der Sandbox gestartet. Auch das kann die interne Sandbox des Firefox nicht.

Es gibt viele weitere, auch gravierendere Beispiele. Die sogenannten BKA-Trojaner seien noch genannt. Die konnten einen PC komplett blockieren, einfach durch den Besuch einer Seite. In einer externen Sandbox war das nicht möglich.

Grundsätzlich kann man sagen, dass eine externe Sandbox den Benutzer auch dann schützt, wenn ein Angreifer Bugs oder Sicherheitslücken im Browser nutzt, die noch nicht gelöst, vielleicht sogar noch gar nicht bekannt sind. Und solche Bugs gibt es in jedem Programm.
Um ein gleich ein zu erwartendes Argument vorweg zu nehmen. Solche Bugs gibt es natürlich auch in der Sandbox selbst. Nur müsste ein Angreifer nun gleich mindestens zwei solcher Lücken in unterschiedlichen Produkten ausnutzen: Eine im Browser und eine weitere in der Sandbox. Weiter gedacht dann sogar eine im Browser, eine in der Sandbox und zusätzlich solche in der VM und den benutzen Betriebssystemen.
Ich habe noch nie davon gehört, dass es einen solchen Angriff gegeben hätte. Im Gegensatz zu den BKA-Trojaner, die wohl fast jedem bekannt sind.

Das soll jetzt bitte nicht als Argument gegen den Firefox verstanden werden. Es betrifft alle Browser. Mozilla ist sehr schnell darin, bugs zu fixen, keine Frage. Trotzdem kann niemand bestreiten, dass es solche Bugs immer wieder gab und auch künftig geben wird. Eine externe Sandbox schützt davor.

Zitat von Sören Hentzschel

Und dazu möchte ich ergänzen, dass eine fremde Sandbox nicht unbedingt weiß, auf welche Orte Firefox zugreifen muss, und das wiederum kann zu Problemen unterschiedlicher Art führen.

Dieses Problem existiert so nicht. Um beim Beispiel Sandboxie zu bleiben. In der Standardkonfiguration erstellt Sandboxie zur Laufzeit eine geschützte Kopie aller benötigten Dateien. Es muss also gar nicht wissen, auf welche Orte der Firefox zugreifen will. Sandboxie erstellt einfach eine geschützte Kopie und löscht diese später wieder.
Aus Gründen des Komforts erlauben solche Sandboxen, ausgewählte Speicherorte frei zu geben. Damit kann man zum Beispiel erreichen, dass Lesezeichen dauerhaft gespeichert werden können oder dass Erweiterungen installiert werden können. In der Standardkonfiguration von Sandboxie ist deshalb das Profil, wie beim "normalen" Firefox freigegeben. Das kann man aber ändern.

Es sollte erwähnt werden, dass es in der Vergangenheit Fälle gab, in denen Sandboxie mit einer neuen Version des Firefox zunächst nicht lief. Das war zum Beispiel so, als Mozilla die interne Sandbox eingeführt hat. Das wurde aber behoben. Außerdem lässt sich in solche Fällen der Firefox ja zwischenzeitlich weiterhin ohne Sandboxie nutzen. Insofern ist das kein Argument, dass gegen die Sandbox spricht.

Ich würde sagen, Interessierte mögen es einfach ausprobieren. Ihr werdet sehen, dass das ohne große Vorkenntnisse sofort mit dem aktuellen Firefox funktioniert. Bis auf eine etwas längere Startzeit zum Erstellen der geschützten Kopien und der Tatsache, dass ihr Downloads noch mal freigeben (wiederherstellen) müsst, werdet ihr gar nicht merken, dass der Browser in der Sandbox läuft.

Firejail ist nicht ganz so komfortabel einzurichten und benötigt mehr Kenntnisse. Das sind die Linuxer aber gewohnt.

Zitat von Casali

Dieses Problem existiert so nicht.

Natürlich existiert dieses Problem und gegenteilige Behauptungen wären zu beweisen. Mein Punkt ist nicht, ob solche Probleme nicht irgendwann von der externen Sandbox behoben werden können, sondern dass die Probleme überhaupt erst einmal auftreten können. Zumal du auch im Sandboxie-Forum Berichte (Plural) finden wirst, nach denen Firefox bei gleichzeitigier Verwendung von Sandboxie abstürzte. Solche Probleme gab es bereits in der Vergangenheit.

Zitat von hwww

Du hast ja recht in #10!Habe da wohl zu schnell geschossen.Natürlich muss Mozilla die Erweiterungen nicht ablehnen.Dachte halt nur das es einfach zu viele dieser Erweiterungen gibt und nicht so erfahrene User wie ich dann fast alles was es gibt drauf macht (um sicher zu sein?).Man liest auch sehr unterschiedliche Beiträge in verschiedenen Foren über den Sinn oder Unsinn der einzelnen Erweiterungen.Werde mir in Zukunft sehr genau überlegen was zu Installieren ist und was nicht!

Unterschiedliche Nutzer haben unterschiedliche Anforderungen und Geschmäcker. Letztlich muss man sich die Beschreibungen ansehen und dann überlegen, ob die Erweiterung etwas machst, was du wirklich brauchst / willst. Du kannst natürlich auch in diesem Forum gezielt nach Meinungen zu bestimmten Erweiterungen fragen. Aber am Ende bist du derjenige, der entscheiden muss.

Zitat von Sören Hentzschel

Natürlich existiert dieses Problem und gegenteilige Behauptungen wären zu beweisen.

Den Beweis kann jeder leicht selbst erbringen. Probiere es aus, und du wirst sehen, dass Sandboxie von jeder Datei auf die schreibend zugegriffen werden soll, eine geschützte Kopie anlegen wird, sofern dafür keine Ausnahme festgelegt wurde. Lesenden Zugriff gewährt es sowieso.

Zitat von Sören Hentzschel

Zumal du auch im Sandboxie-Forum Berichte (Plural) finden wirst, nach denen Firefox bei gleichzeitigier Verwendung von Sandboxie abstürzte.

Ja, das stimmt. Dass es solche Probleme gab und vielleicht auch wieder geben könnte, hatte ich oben selbst erwähnt. Wie der Firefox, so ist auch Sandboxie nicht fehlerfrei. Wie bei Mozilla auch, werden bekannte Fehler aber behoben.
Und wie gesagt: Sollte in Sandboxie ein Fehler auftreten, durch den den Firefox nicht läuft, kann man ihn ja immer noch ohne Sandboxie benutzen, bis der Bug behoben ist. Dadurch hat man also überhaupt keinen Nachteil.

Ich möchte dich/euch bitten, keine Nebendiskussion daraus zu machen und die Dinge nicht zu vermischen. Dass ein Produkt wie Sandboxie auch Bugs hat, hat nichts mit dem eigentlichen Thema zu tun, nämlich wie man Browser sicherer machen kann.

Ich habe eine Reihe Punkte aufgeführt, die zeigen, dass eine Sandbox ein Maß an Schutz bietet, den kein derzeitiger Browser bieten kann.
Wenn es deiner Meinung nach Fakten gibt, die zeigen, dass das nicht stimmt, dann liefere bitte die technischen Details. Ich hatte mir die Mühe gemacht und sogar konkrete Beispiele angeführt, in denen die Sandbox besser schützt als ein Browser allein.

Ich bin diesbezüglich nicht voreingenommen. Ich bin auch nicht auf ein Produkt fixiert, auch wenn ich zwei explizit erwähnt habe. Die beiden habe ich nur wegen ihrer Bekanntheit erwähnt und weil ich sie aus eigener Erfahrung kenne.

Der Fokus sollte aber bitte darauf liegen, wie man das Surfen im Internet sicherer machen kann. Neben dem Sandboxen hatte ich deshalb als weitere, sehr wirkungsvolle, Maßnahme auch den Einsatz einer VM erwähnt. Ich bitte das zu beachten, damit wir uns nicht in einer Diskussion über ein bestimmtes Produkt verlieren.

//

Zitat von Boersenfeger

... und blocke erst mal alles... wie Zitronella schön erklärte..

Quelle [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

hm, bin etwas verwundert weil vor nicht allzu langer Zeit schriebst du noch:

Zitat von Boersenfeger

... Ein grundsätzliches Blocken halte ich nicht für notwendig..

Hast du dein Verhalten bezüglich uMatrix nun doch geändert?

Casali #6+11+15
Exzellente Beschreibung. :klasse:

// Zitronella: Richtig, ich habe alle von mir dauernd besuchten Seiten, denen ich vertraue, entsprechend freigegeben, alle anderen, die ich neu besuche, werden nun zunächst voll gefiltert...
Da habe ich mir deinen Vorschlag einfach mal zu eigen gemacht...