Firefox: Ein Browser für Datenschutzbewusste – Firefox-Kompendium Teil 1 Mike Kuketz, 2018
1. Der Schlüssel zum WWW Man könnte einen Browser als das Tor zur digitalen Welt bezeichnen. Denn dieser ist der »Schlüssel« zum Internet bzw. zum World Wide Web (WWW), mit dem wir sowohl private, als auch berufliche Aufgaben erledigen. Nach meiner Auffassung ist es daher essentiell, einen Browser zu verwenden, der die Sicherheit und Privatsphäre beim Surfen bestmöglich gewährleistet. Diesem Anspruch wird allerdings kein aktueller Browser gerecht – jedenfalls nicht im Auslieferungszustand. Ein sicheres und datenschutzfreundliches Surfen geht immer mit einer Anpassung der Einstellungen und der Installation von zusätzlichen Browser-Addons einher.
Der vorliegende Beitrag ist der Startschuss für die Artikelserie »Firefox-Kompendium«. Inhaltlich richtet sich das Kompendium sowohl an (lernwillige) Anfänger als auch Fortgeschrittene.
Dieser Beitrag ist Teil einer Artikelserie:
• Firefox: Ein Browser für Datenschutzbewusste – Firefox-Kompendium Teil1 • Firefox: uBlock Origin – Firefox-Kompendium Teil2 • Firefox: Decentraleyes – Firefox-Kompendium Teil3
2. Firefox auf Abwegen Der Titel des Beitrags lautet: Firefox: Ein Browser für Datenschutzbewusste Ein Schelm, wer Böses dabei denkt. Denn Fakt ist: In den vergangenen Versionen hat Mozilla verstärkt Funktionen in Firefox integriert, die sich negativ auf die Privatsphäre (und streng genommen auch die Sicherheit) auswirken können. Anbei ein paar Beispiele, die die »Fehltritte« von Mozilla protokollieren:
• Tracking: Tracking via Google Analytics auf der about:addon Seite • Tracking: • Integration von Cliqz zur Sammlung der Surfaktivität • Firefox: Ergänzung zur Cliqz-Integration • Sicherheit / Verunsicherung: • Remote-Installation von Addons • Mozilla: SHIELD Studies Opt-Out durchführen • Privatsphäre: Firefox-Update ändert Suchmaschine auf Google
Das sind nur einige Beispiele aus der jüngsten Vergangenheit, die belegen, dass Mozilla gerne »unnötige« Funktionen in seinen Browser integriert, die das Image des einst datenschutzfreundlichen Browsers empfindlich angekratzt haben.
Das wirft in diesem Zusammenhang die ketzerische Frage auf, ob Mozilla überhaupt tatsächlich weiß, was Datensparsamkeit bedeutet. Denn (das Prinzip der) Datensparsamkeit wird immerhin bei den Vorteilen von Firefox genannt:
Seite 1 von 86 Datensparsamkeit Unser Datenschutz immer mit an Bord, damit Du umso freier surfen kannst.
Und weiter heißt es im Mozilla-Manifest unter Punkt 4:
Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.
Wenn Mozilla die eigenen Prinzipien beherzigen würde, hätten die oben genannten Fehltritte niemals passieren dürfen.
Wer seinen Firefox also wirklich datensparsam nutzen möchte, der muss einige Anpassungen vornehmen und bei jeder neuen Version oder Update von Firefox ein wachsames Auge haben. Denn niemand kann uns garantieren, dass Mozilla aus der Vergangenheit gelernt hat und die »Basteleien« in Zukunft unterlässt. Für Mozilla wird es schwierig das zerstörte Vertrauen in den Firefox-Browser wiederherzustellen.
Trotz dieser Fehltritte kann Firefox ein Browser für Datenschutzbewusste sein – allerdings nicht im Auslieferungszustand.
3. Warum dann doch Firefox? Unser Ziel sollte es sein, einen Browser (inklusive Addons) zu benutzen, der dazu geeignet ist, um unsere Sicherheit und Privatsphäre beim alltäglichen Surfen bestmöglich zu schützen. Neben Firefox gibt es allerdings noch eine ganze Reihe weiterer Browser, die ebenfalls dafür in Frage kommen. Angesichts der bereits genannten »Fehltritte« von Mozilla steht daher die Frage im Raum: Warum sollen wir gerade Firefox unsere Sicherheit und Privatsphäre beim Surfen anvertrauen?
Die erschreckende Wahrheit: Firefox ist das kleinste Übel. Alle anderen weit verbreiteten Browser geben sich beim Ausspionieren des Nutzers noch mehr Mühe oder sind einfach nicht quelloffen.
Quelloffen bedeutet: Der Quellcode ist frei (also offen) von jedem einsehbar. Nach meiner Auffassung ist das eine »zwingende« Voraussetzung, denn Quelloffenheit bedeutet Transparenz – ein wichtiges Element der IT-Sicherheit, denn sie ist eng mit Vertrauen verknüpft. Proprietärer Software muss man vertrauen, dass sie sicher ist und keine Backdoors integriert hat. Bei quelloffener Software (Transparenz) kann dies (und sollte auch regelmäßig) von vielen Augen geprüft werden.
Ich möchte nun aber nicht in eine »Open-Source vs. proprietäre Software« Diskussion abgleiten – wer daran Interesse hat, diese wird aktuell im Kuketz-Forum geführt.
Werfen wir also kurz einen Blick auf die weiteren, weit verbreiteten Standardbrowser:
• Chrome / Chromium: Chrome ist ein Browser von Google. Allein das genügt eigentlich schon, um einen großen Bogen um den Browser zu machen. Googles Dienste und Produkte sind, waren und werden nicht datenschutzfreundlich sein. Egal wie sehr sich Google darum bemüht, es so »aussehen zu lassen«. Datenschutzbewusste Anwender sollten auf Google und seine Dienste verzichten – es existieren genügend Alternativen. Chrome ist nur ein
Seite 2 von 86 weiteres Mosaiksteinchen, um Google mit möglichst vielen (Nutzer-)Daten zu versorgen. Chrome von Google ist ebenfalls nicht quelloffen. Erst Chromium ist vollständig quelloffen und unterscheidet sich von Chrome – aufgrund der Nähe zu Google (Funktionalität wie Safe Browsing oder den Chrome Web Store für Extensions) halte ich Chromium und Forks aus der Datenschutzperspektive allerdings für nicht empfehlenswert. • Safari: Safari ist ein Browser von Apple. Der Browser ist lediglich für die Betriebssysteme macOS und iOS verfügbar und nicht quelloffen – damit scheidet der Browser aus. • Internet Explorer / Microsoft Edge: Bis Windows 10 zählte der Internet Explorer zum Standardbrowser von Microsoft. Seit der Veröffentlichung von Windows 10 übernimmt Edge die Rolle des Standardbrowsers bei Microsoft. Edge ist lediglich für Microsoft-Systeme und für Android / iOS verfügbar. Weiterhin sind die Browser von Microsoft ebenfalls nicht quelloffen. Wenn man sich dann noch vor Augen führt, welche Daten Microsoft vom Nutzer während des Surfens erhebt, dann ist der Browser ungefähr so datenschutzfreundlich wie die Videoüberwachung am Berliner Südkreuz. • Opera: Im Gegensatz zu Chrome oder Firefox sammelt der Browser in der Standardeinstellung weniger (Nutzer-)Daten, allerdings lässt sich die Telemetriefunktion nicht deaktivieren – oder ist jemand eine Lösung bekannt? Weiterhin ist bei Opera nur die HTML-Rendering-Engine Blink quelloffen – der weitere Quellcode basiert auf Chromium und ist proprietär.
Neben diesen weit verbreiteten Browsern existieren selbstverständlich weitere (Nischen-)Projekte, wie bspw. Brave, Vivaldi, Midori oder QupZilla. Diese haben sicherlich alle ihre Daseinsberechtigung, bieten allerdings bei weitem nicht die notwendigen Erweiterungen (Addons), um das Surfen im Netz »sicherer« und »datenschutzfreundlicher« zu gestalten.
Letztendlich führt eigentlich kein Weg an Chromium oder Firefox vorbei – jedenfalls dann nicht, wenn wir unseren Browser mit (bewährten) Addons »aufrüsten« wollen und gleichzeitig auch quelloffen bleiben wollen.
Aber existieren denn nicht viele Chromium- oder Firefox-Forks, die bereits in der Standardauslieferung datenschutzfreundlicher sind als ihre Vorbilder und wenig / keine (Nutzer- )Daten an den Browser-Hersteller übermitteln?
3.1 Aber: Es gibt doch datenschutzfreundliche Forks? Eine Alternative zu Chromium- oder Firefox stellen die Forks dar – also Abspaltungen vom Original Quelltext, die unabhängig vom Mutterprojekt weiterentwickelt oder verändert werden. Werfen wir kurz einen Blick auf bekannte Chrome-Forks, die auf Chromium basieren:
• Ungoogled-Chromium: Der (Haupt-)Entwickler entfernt »Google-Nach-Hause-Telefonieren- Funktionen« größtenteils aus dem Browser und verbessert nach eigenen Angaben die Privatsphäre, Kontrolle und Transparenz. • Iridium-Browser: Der Fokus der Entwickler liegt bei der Verbesserung der Privatsphäre und Sicherheit. Es ist leider nicht ersichtlich, wie viele Entwickler am Projekt mitwirken. • […]
Seite 3 von 86 Und nun noch einen Blick auf bekannte Firefox-Forks:
• GNU IceCat: IceCat basiert auf der offiziellen Extended Support Release (ESR) Version von Firefox, verzichtet allerdings auf die Integration proprietärer Bestandteile wie bspw. DRM oder Encrypted Media Extensions (EME). Standardmäßig wird der Browser mit diversen Plugins ausgeliefert, die eure Privatsphäre beim Surfen im Web schützen soll. Das Projekt wird vom GNU-Projekt betreut. • Waterfox: Ursprünglich wurde Waterfox entwickelt, um eine 64-Bit-Variante von Firefox bereitzustellen. Der (Haupt-)Entwickler entfernt nach eigenen Angaben Code-Bestandteile, die sich negativ auf die Privatsphäre des Nutzers auswirken können. • […]
Das Dilemma ist nicht auf den ersten Blick ersichtlich. Daher rufen wir uns noch einmal kurz das Ausgangsziel in Erinnerung: Wir möchten einen Browser verwenden, der die Sicherheit und Privatsphäre beim Surfen bestmöglich gewährleistet. Vielfach verbessern die genannten Forks die Privatsphäre / den Datenschutz, in dem bestimmte Komponenten bzw. Code-Bestandteile aus Chromium oder Firefox entfernt werden.
Der Pferdefuß ist ein anderer: Die Sicherheit. Die meisten Forks werden lediglich von ein oder zwei Leuten (weiter-)entwickelt. Insbesondere die fehlende Manpower halte ich allerdings für höchst problematisch, was die Sicherheit der Browser anbelangt. Wer die Projekte nämlich über einen längeren Zeitraum verfolgt, der wird mit erschrecken feststellen müssen, dass Sicherheitsaktualisierungen, die in das Mutterprojekt eingeflossen sind, oftmals über Wochen oder auch Monate nicht eingepflegt werden.
Das bedeutet: Die Browser-Forks sind nicht per se unsicher. Die Forks haben allerdings im Vergleich zum Mutterprojekt eben den Nachteil, dass diese meist nur von wenigen Entwicklern supportet werden. Selbst GNU IceCat, dass vom GNU-Projekt betreut wird, hinkt meist (deutlich) bei den Sicherheitsaktualisierungen hinterher.
Allein aus diesem Grund sollten sicherheitsbewusste Anwender auf Browser-Forks verzichten oder stets kontrollieren, ob aktuelle Sicherheitsupdates tatsächlich zeitnah bei den Forks einfließen.
4. Artikelserie Firefox-Kompendium Mit der Umstellung auf die WebExtension APIs hat Mozilla ihrem Firefox ab der Version 57 (Quantum) quasi einen neuen Unterbau spendiert, der viele alte Addons unbenutzbar macht. Schneiden wir also die alten Zöpfe ab und konzentrieren uns auf den Firefox ab Version 57. Hinweis Die Artikelserie »Firefox-Kompendium« berücksichtigt keine Firefox-Versionen die kleiner als Version 57 sind.
4.1 Ziele der Artikelserie Diesen »Disclaimer« möchte ich auch bei diesem Projekt gleich vorausschicken: Auch die Artikelserie »Firefox-Kompendium« schützt euch nicht vor der gezielten Überwachung durch Geheimdienste oder andere Organisationen, die euch ins »Visier« genommen haben. Ungeachtet dieser »Einschränkung« möchte ich mit der Artikelserie Folgendes erreichen: Seite 4 von 86 • Anti-Tracking: Eine größtmögliche Kontrolle über die Daten bzw. Spuren, die ihr beim Surfen im Internet hinterlasst. Insbesondere die Omnipräsenz der Datenkraken wie Google, Facebook und Co. gilt es mit entsprechenden Addons einzudämmen. Warum dies dringend notwendig ist, könnt ihr im Beitrag »Das kranke WWW: Stop using Google Web-Services« nachlesen. • Keine Werbung: Die heile Welt der Online-Werbung hat schon lange ein großes Problem: Malvertising – also die Auslieferung von (Banner-)Werbung, die Schadcode beinhaltet und damit ein Risiko für den Nutzer bzw. seine Daten darstellt. Ein gut funktionierendes Adblocker-Addon zählt heute zur Grundausstattung eines sicherheitsbewussten Anwenders. • Digitale Selbstverteidigung: Ein Browser, der sowohl die Sicherheit als auch den Datenschutz beim Surfen im Internet erhöht, zählt heute zu einem wichtigen Baustein der digitalen Selbstverteidigung. Die Artikelserie kann also auch als ein Bestandteil einer digitalen Selbstverteidigungsstrategie gesehen werden. • Sensibilisierung: Im Fokus der Artikelserie liegt die praktikable Umsetzbarkeit der dargestellten Informationen, insbesondere auf dem korrekten Umgang mit Browser-Addons aus der Empfehlungsecke. Doch auch die Wissensvermittlung soll nicht zu kurz kommen und die Hintergründe beleuchten, weshalb und vor wem wir uns eigentlich schützen (müssen). • Selbstbestimmtes Surfen: Welche komplexen Prozesse im Hintergrund notwendig sind, um eine Webseite im Browser darzustellen, können die meisten Nutzer vermutlich nicht einmal erahnen. Die dahinterliegende Technik arbeitet vielmehr meist völlig geräuschlos und suggeriert einem Nutzer das Gefühl von Freiheit, jeden erdenklichen Informationsschnipsel der Webseite erreichen zu können bzw. nichts auf der Webseite zu verpassen. Dabei ist nur den wenigsten bewusst, wie Webseitenbetreiber durch das Einbinden von externen Ressourcen, wie z. B. JavaScript oder Social-Media-Buttons, die Privatsphäre und insbesondere die Sicherheit ihrer Besucher leichtfertig aufs Spiel setzen. Ihr sollt in die Lage versetzt werden, selbst zu entscheiden, mit welchen (Dritt-)Anbietern ihr eure Daten teilt.
Das hehre Ziel der Artikelserie »Firefox-Kompendium« lässt sich in einem Satz zusammenfassen:
Zurückerlangen der Kontrolle und damit der Selbstbestimmung beim Surfen im Internet.
Inhaltlich richtet sich die Artikelserie an (lernwillige) Anfänger als auch Fortgeschrittene. Neben der Anpassung von (datenschutzunfreundlichen) Firefox-Standardeinstellungen, steht insbesondere der korrekte Umgang mit Browser-Addons im Fokus, die die Sicherheit und Privatsphäre beim Surfen verbessern können.
4.2 Abgrenzung zu »Not my data« Im Jahr 2015 habe ich bereits die vierteilige Artikelserie »Not my data« (aktualisiert im November 2017) veröffentlicht, die sich insbesondere mit dem spurenarmen Surfen im Internet befasst. Das darin vorgestellte »3-Browser-Konzept« basiert im Kern auf der korrekten Anwendung bzw. Trennung von drei unterschiedlichen Browsern. Die Artikelserie »Firefox-Kompendium« soll hier diverse Lücken schließen:
Seite 5 von 86 • Benutzbarkeit / Komplexität: Nicht jeder möchte 3 Browser zum Surfen verwenden und die verschiedenen Kontexte voneinander trennen – auch dann nicht, wenn das hinsichtlich der Privatsphäre sicherlich der empfohlene Weg ist. • Geschwindigkeit: Das (korrekte) Surfen über den Tor-Browser ist unbestritten die beste Möglichkeit, um möglichst spurenarm im Internet zu Surfen. Allerdings ist die Geschwindigkeit oftmals unerträglich. • JonDoBrowser: Der JonDoBrowser stößt nicht bei jedem auf Zuspruch. Wer das 3-Browser- Konzept nutzt, der nimmt als Zweitbrowser häufig einen Firefox und installiert ausgewählte Addons händisch nach. Die Artikelserie »Firefox-Kompendium« kann also auch als Vorlage dienen, um den JonDoBrowser bei der Nutzung des 3-Browser-Konzepts abzulösen.
5. Erste Maßnahme: Suchmaschine anpassen Das Praxisteil der Artikelserie startet ab hier – wir gehen gemeinsam einen ersten, wichtigen Schritt. Die Ausgangslage ist ein frisch installierter (und aktueller) Firefox. Im Auslieferungszustand ist die Suchmaschine von Firefox auf Google eingestellt. Also auf jene Suchmaschine, die von Datenschutz so weit entfernt ist, wie die Menschheit zu einer Reise in eine ferne Galaxie. Wer Gründe sucht, weshalb wir Google nicht als Standard-Suchmaschine belassen können, der kann den Links in der Hinweis-Box folgen.
5.1 Welche Suchmaschine? Bei einem Wechsel der Suchmaschine stellt sich die entscheidende Frage, welche Suchmaschine man nehmen sollte bzw. am besten zu einem passt. An dieser Stelle verweise ich euch auf die Empfehlungsecke, in der ihr alternative Suchmaschinen finden könnt. Wer gerne über (datenschutzfreundliche) Suchmaschinen-Alternativen diskutiert, der findet im Kuketz-Forum ein Thema, das sich mit dieser Fragestellung beschäftigt.
5.2 Suchmaschine in Firefox anpassen Die Anpassung der voreingestellten Suchmaschine ist in Firefox ganz einfach. Mozilla zeigt das in einem Beitrag anhand von Bildern: Die Sucheinstellungen von Firefox anpassen. Hinweis Weshalb Google eine Datenkrake ist bzw. datenschutzsensible Nutzer besser einen Bogen um »Big- Brother« machen:
• Tschüss Datenkrake: Ein Leben ohne Google • Das kranke WWW: Stop using Google Web-Services
Seite 6 von 86 6. Fazit Wir können auf Mozilla und die wenig datenschutzfreundlichen Änderungen aus der Vergangenheit schimpfen, wie wir wollen: Wer beim Surfen im Internet Wert auf Sicherheit und Privatsphäre legt, der kommt nach meiner Auffassung nicht an Firefox (dem Original) vorbei. In der Standardauslieferung ist der Browser zwar nicht unbedingt »datenschutzfreundlich« eingestellt, erhält im Gegensatz zu seinen Forks allerdings stets die neuesten Sicherheitsaktualisierungen.
Die einzig ernstzunehmende Browser-Alternative zu Firefox ist Google Chrome / Chromium. Jedem, dem seine Privatsphäre am Herzen liegt, kann diesen Browser allerdings nicht ernsthaft in Betracht ziehen. Anwender, die Wert auf Sicherheit und Datenschutz legen, wird es wie immer nicht leicht gemacht. Gerade die aktuelle Browser-Situation verdeutlicht dieses Dilemma und führt einem vor Augen, wie schwierig es für Unternehmen / Organisationen offenbar ist, die eigenen Datenschutz- Versprechen einzuhalten.
Seite 7 von 86 Firefox: uBlock Origin – Firefox-Kompendium Teil 2
1. Adblocker Ein Adblocker zählt mittlerweile zur Grundausstattung der digitalen Selbstverteidigung. Denn die heile Welt der Online-Werbung hat schon lange ein großes Problem: Malvertising – also die Auslieferung von Werbung die Schadcode beinhaltet und damit ein Risiko für den Nutzer bzw. seine Daten darstellt. Im vorliegenden Beitrag der Serie »Firefox-Kompendium« möchte ich euch als erstes Addon den Adblocker uBlock Origin vorstellen. Der beliebte Adblocker ist nicht nur äußerst effektiv bei der Filterung von Werbung, Trackern, Social-Media-Buttons und weiteren »Internetkrankheiten«, sondern arbeitet auch effizient bzw. ressourcenschonend.
Weitere Details und Hintergrundinformationen zum Thema Adblocker könnt ihr im Kommentar »Adblocker sind digitale Selbstverteidigung« nachlesen. Der vorliegende Beitrag beschäftigt sich ausschließlich mit den Einstellungsmöglichkeiten des Addons und beleuchtet nicht die negativen Auswirkungen, die durch Malvertising oder Webtracking entstehen können.
2. Anfänger Bevor wir mit der Installation und Konfiguration von uBlock Origin beginnen, möchte ich euch noch ein paar Hinweise mit auf den Weg geben: • Grüne Wiese: Im Idealfall habt ihr euren Firefox neu installiert (oder ein neues Profil angelegt) und habt bisher lediglich den ersten Teil der Artikelserie umgesetzt. • Ausmisten: Wer hingegen sein bestehendes Firefox-Profil als Ausgangspunkt nimmt, der sollte vor der Installation von uBlock Origin zunächst ausmisten und andere Adblocker wie Adblock Plus deinstallieren. Diese oder ähnliche Addons sind nach der Installation von uBlock Origin nicht mehr notwendig – kein Adblocker arbeitet effektiver und effizienter als uBlock Origin.
2.1 Installation Wie bei Firefox üblich wird uBlock Origin am besten direkt über die Addon-Seite von Mozilla installiert. Folgt einfach diesem Link und klickt auf »+ Zu Firefox hinzufügen«.
Anschließend muss die Installation mit einem Klick auf »Hinzufügen« bestätigt werden:
Seite 8 von 86
Nach einer erfolgreichen Installation wird das Icon von uBlock Origin in der Symbolleiste (rechts oben im Eck) auftauchen:
Die Installation ist damit abgeschlossen und uBlock Origin arbeitet mit den Standardeinstellungen, die wir allerdings anpassen werden. Die nachfolgenden Anpassungen (Ziffer 2.2) sind nicht zwingend erforderlich, erhöhen allerdings die Chance, dass Werbung, Tracker und andere privat- oder sicherheitsgefährdende Quellen blockiert werden. Wer hingegen nichts an der Standardeinstellung ändern möchte, der arbeitet nach der Definition von uBlock Origin im sogenannten »easy mode« (default). Das bedeutet:
• Werbung: Werbung wird größtenteils blockiert. • Tracker: Tracker werden reduziert. • Zielgruppe: Insgesamt ist die Standardeinstellung für alle jene interessant, die sich mit einem Adblocker gerne schützen möchten, allerdings wenig Bereitschaft aufbringen, sich mit nicht funktionierenden Seiten auseinanderzusetzen. • Benutzerfreundlichkeit: Mit einer (sehr) hohen Wahrscheinlichkeit werden die meisten Webseiten ohne Probleme funktionieren – eine Interaktion mit dem Addon wird nicht erforderlich sein. • Schutzfaktor: Basisschutz gegen Werbung und Tracker.
Wer es ganz einfach haben möchte, muss keine weiteren Anpassungen vornehmen. Wenn ihr allerdings die Blockierung von sicherheitsgefährdender Werbung und datensammelden Trackern weiter reduzieren wollt, dann solltet ihr weiterlesen. Die Anpassungen sind auch für Anfänger einfach durchführbar.
2.2 Konfiguration Sobald wir Änderungen an den Standardeinstellungen vornehmen, weichen wir vom »easy mode« ab. Mit den nachfolgenden Anpassungen weichen wir allerdings nur marginal vom Standard ab. Das bedeutet: Als Anfänger solltet ihr auch dann auf keine (oder nur sehr wenig) Probleme stoßen, wenn ihr die Anpassungen wie vorgeschlagen umsetzt.
Was wollen wir ändern? uBlock Origin arbeitet auf Basis von Filterlisten. Ist bspw. die Domain »www.xy.com« in einer der Filterlisten enthalten, wird uBlock Origin den Aufruf blockieren und Firefox wird keine Verbindung zur Domain herstellen. Im Folgenden ergänzen wir weitere Filterlisten, die uBlock Origin standardmäßig nicht aktiviert hat.
[1] Zunächst öffnen wir dazu das »Dashboard« von uBlock Origin:
Seite 9 von 86
[2] Anschließend wechseln wir auf den Tab »Vorgegebene Filter« und ergänzen folgende Häkchen bei »Werbung«, »Privatsphäre« und »Regionen, Sprachen«:
[3] Optional könnt ihr noch folgende Häkchen bei »Belästigungen« ergänzen, um nervige Cookie- Hinweise oder Social-Sharing-Buttons (Facebook, Twitter und Co.) zu blockieren:
Wer gerne Social-Sharing-Buttons benutzt, der sollte diese Häkchen allerdings besser nicht setzen. Ansonsten werden Social-Sharing-Buttons (im Beispiel unter einem Artikel bei Zeit-Online) nicht mehr dargestellt:
2.3 Was wir durch die Anpassungen erreichen Unsere Anpassung besteht demnach darin, weitere Filterlisten zu aktivieren, die uBlock Origin zwar mitbringt, aber standardmäßig deaktiviert sind. Das hat einen simplen Hintergrund: Mit den Standardeinstellungen ist das »Risiko« gering, dass Webseiten nicht mehr funktionieren wie ursprünglich vorgesehen. Sobald wir weitere Filterlisten aktivieren, steigt das Risiko, dass gewisse Funktionen oder Inhalte auf Seiten ausgeblendet bzw. blockiert werden. Was erreichen wir allerdings durch die aufgezeigten Anpassungen?:
• Werbung: Werbung wird effektiver gefiltert. • Tracker: Tracker und Social-Media-Buttons werden vermehrt blockiert bzw. am Nachladen gehindert. • Zielgruppe: Anfänger, die sich zutrauen ein paar Änderungen vorzunehmen. • Benutzerfreundlichkeit: Mit einer hohen Wahrscheinlichkeit werden die meisten Webseiten auch nach den Anpassungen ohne Probleme funktionieren – eine Interaktion mit dem Addon kann in Einzelfällen allerdings notwendig sein. • Schutzfaktor: Ein erweiterter, solider Grundschutz gegen Werbung und Tracker.
Hinweis Wenn eine Webseite nach der Erweiterung der Filterlisten nicht mehr wie gewohnt funktioniert, kann es insbesondere für Anfänger schwierig sein, das »Problem« zu beheben. Nutzt daher einfach
Seite 10 von 86 die Kommentarfunktion, wenn ihr auf Probleme stoßt. Wir schauen dann gemeinsam, ob wir eine Lösung finden.
2.4 Erklärung der Anzeige Abschließend werfen wir noch einen Blick auf die Anzeige von uBlock Origin, die sich mit einem Klick auf das Icon in der Symbolleiste aufrufen lässt:
In der Standardeinstellung ist die Anzeige auf das Notwendigste reduziert. Interessante Informationen werden dennoch eingeblendet. Im Beispiel habe ich »www.spiegel.de« aufgerufen:
• Insgesamt werden auf Spiegel-Online 11 externe Verbindungen blockiert. Gemessen an den Gesamtverbindungen, die beim Besuch auf Spiegel-Online vom Browser initiiert werden, beträgt dies 9%. • Insgesamt werden beim Besuch auf Spiegel-Online 3 anstatt 11 Domains aufgerufen. Es werden demnach 8 Domains, die Werbung, Tracker oder ähnliche unnötige »Internetkrankheiten« beinhalten, nicht aufgerufen bzw. blockiert. • Ergänzung: Wer detaillierte Informationen möchte, welche Dritt-Ressourcen (Werbung, Tracker, usw.) Spiegel-Online einbindet, kann dies mit Webbkoll nachvollziehen.
Hinweis Weshalb es nicht nur sinnvoll sondern essentiell geworden ist, Domains / Drittquellen, die Werbung oder Tracker beinhalten, zu blockieren, könnt ihr im Beitrag »Das kranke WWW: Stop using Google Web-Services« nachlesen.
3. Fortgeschrittene Bevor wir mit der Konfiguration von uBlock Origin beginnen, möchte ich euch noch einen zusätzlichen Hinweis mit auf den Weg geben:
• Die vorgeschlagenen Anpassungen von uBlock Origin können Nebenwirkungen auf die Funktionsweise weiterer Addons haben. Wer bspw. zusätzlich NoScript verwendet, der muss selbst abwägen, ob er mit uBlock Origin »Skripte von Drittseiten« standardmäßig blockiert oder die Verwaltung von JavaScript-Ressourcen gänzlich NoScript überlässt.
3.1 Medium mode In der Standardeinstellung ist uBlock Origin ein auf Filterlisten basierter Werbe- und Trackingblocker. Der »easy mode« inklusive der Aktivierung weiterer Filterlisten bietet für Anfänger einen soliden Grundschutz.
Seite 11 von 86 Fortgeschrittene Anwender können durch die weitere Anpassung von uBlock Origin das Risiko vor schadhafter Online-Werbung und Privatsphäre gefährdenden Trackern weiter reduzieren, indem sie zum »medium mode« wechseln.
Bevor wir uBlock Origin anpassen, möchte ich noch kurz auf die Vor- und Nachteile des »medium modes« eingehen:
• Geschwindigkeit: Im Vergleich zum »easy mode« werden Webseiten merklich schneller geladen. Dieses insbesondere deshalb, weil wir das Nachladen von Skripten (JavaScript) aus Dritt-Quellen nicht mehr zulassen. • Werbung: Vergleichbar mit dem »easy mode«, nachdem (wie oben dargestellt) die zusätzlichen Filterlisten aktiviert wurden. Bedeutet: Werbung wird effektiver gefiltert. • Tracker: Merkliche Reduzierung der Tracker, die insbesondere aus Drittquellen stammen, von denen JavaScript (nun nicht mehr) nachgeladen wird. • Zielgruppe: Technisch versierte Anwender, die das Prinzip von der Verwendung / Einbindung von Drittquellen in Webseiten verstanden haben und bereit sind, individuelle Regeln für Seiten zu erstellen. • Benutzerfreundlichkeit: Mit einer (sehr) hohen Wahrscheinlichkeit werden einige Webseiten nicht mehr korrekt funktionieren – eine Interaktion mit dem Addon wird erforderlich sein. • Schutzfaktor: Insbesondere der Schutz der Privatsphäre wird beim »medium mode« verbessert, da viele Drittquellen (insbesondere JavaScript) erst gar nicht mehr in den Kontext einer Webseite nachgeladen werden. Dies geschieht erst dann, wenn wir eingreifen und dies erlauben.
Der Zugewinn an Geschwindigkeit und Sicherheit / Privatsphäre hat seinen Preis: Einige Webseiten werden nicht mehr wie gewohnt funktionieren und eine individuelle Anpassung über die Dynamic- Filtering-Funktion erforderlich machen. Das klingt zunächst aufwendiger und zeitraubender, als es eigentlich ist. Wenn ihr das Prinzip des Dynamic-Filterings verstanden und verinnerlicht habt, dann ist es irgendwann nur noch eine Fingerübung, eine nicht funktionierende Webseite wieder gangbar zu machen.
Anhand von einem Beispiel (Ziffer 3.5) werde ich das später kurz erläutern, empfehle euch allerdings dennoch einen Blick in das uBlock Origin Wiki: Dynamic-Filtering.
3.2 Konfiguration [1] Zunächst öffnen wir das »Dashboard« von uBlock Origin:
[2] Es öffnet sich direkt das Tab »Einstellungen« unter dem wir folgende Häkchen ergänzen:
Seite 12 von 86
[3] Anschließend wechseln wir auf den Tab »Vorgegebene Filter« und ergänzen folgende Häkchen bei »Werbung«, »Privatsphäre« und »Regionen, Sprachen«:
[4] Als letzter Schritt kommt die wohl wichtigste Anpassung unter dem Tab »Meine Regeln«. Ergänzt rechts (Temporäre Regeln) folgende zwei Zeilen:
* * 3p-script block * * 3p-frame block
Anschließend klickt ihr zunächst auf »Speichern« und zum Schluss auf »<-Dauerhaft speichern«. Auf der linken Seite (Permanente Regeln) sollte es dann folgendermaßen aussehen:
Hinweis Im Wiki von uBlock Origin sind für den »medium mode« andere Einstellungen vorgeschlagen, als im vorliegenden Beitrag. Die Abweichungen sind allerdings marginal.
3.3 Was wir durch die Anpassungen erreichen Durch die Anpassungen werden insbesondere drei elementare Änderungen vorgenommen:
• Erweiterter Modus: Wir aktivieren den Modus für »erfahrene Anwender«, der den Zugriff auf das Dynamic-Filtering erlaubt. Unter Ziffer 3.4 gehen wir kurz auf die veränderte Anzeige an. • JavaScript: Durch die Anwendung der Regel (* * 3p-script block) wird JavaScript von Drittseiten nun nicht mehr geladen. Ruft ihr bspw. Spiegel-Online auf, wird JavaScript nur dann im Browser geladen, wenn es direkt von der Domain »www.spiegel.de« ausgeliefert wird. JavaScript von Drittquellen wie bspw. »google.com« wird zunächst blockiert und erst
Seite 13 von 86 nach manueller Freigabe geladen. Diese Einstellung ist vergleichbar mit NoScript, wenn JavaScript aus Erstquellen (1st-Party) automatisch erlaubt ist. • Frames: Durch die Anwendung der Regel (* * 3p-frame block) wird das Einbinden von Frames unterbunden. Frames sind in Praxis ist heute nur noch selten anzutreffen und eher ein Relikt aus der Vergangenheit.
In der Studie (Cross-)Browser Fingerprinting via OS and Hardware Level Features wird aufgezeigt, dass sich über Browser-Merkmale (Bildschirmauflösung, Farbtiefe, etwaige im Browser installierte Plugins oder Schriftarten) 99,24 % der Besucher wiedererkennen lassen. Das Auslesen dieser Merkmale geschieht im Normalfall via JavaScript. Werden diese »Datensammler« bzw. Drittquellen (JavaScript) allerdings via uBlock Origin blockiert, wirkt sich das äußerst positiv auf die Privatsphäre beim Surfen aus.
3.4 Erklärung der Anzeige Abschließend werfen wir noch einen Blick auf die Anzeige von uBlock Origin, die sich mit einem Klick auf das Icon in der Symbolleiste aufrufen lässt:
Aufgrund der Freischaltung »erfahrener Nutzer« werden auf der linken Seite nun alle Domains aufgelistet, die eine Seite (ohne unser Wissen) kontaktiert. Am Anfang einer Zeile (bspw. spiegel.de oder criteo.net) wird farblich markiert, ob Inhalte von der jeweiligen Domain nachgeladen wurden:
• Grün: Alle Aufrufe zur jeweiligen Domain wurden erlaubt. • Gelb: Einige Aufrufe zur jeweiligen Domain wurden blockiert. Bei Spiegel-Online wurde unter anderem blockiert: • Social-Media-Buttons • Hinweismeldung gegen Adblocker • Das Nachladen von Schriften • Rot: Alle Aufrufe zur jeweiligen Domain wurden blockiert.
Der Unterschied zum »easy mode« in Zahlen:
• Insgesamt werden auf Spiegel-Online 25 (zuvor 11) externe Verbindungen blockiert. Gemessen an den Gesamtverbindungen, die beim Besuch auf Spiegel-Online vom Browser initiiert werden, beträgt dies 20% (zuvor 9%). • Insgesamt werden beim Besuch auf Spiegel-Online 2 (zuvor 3) anstatt 11 Domains aufgerufen. Es werden demnach 9 (zuvor 8) Domains, die Werbung, Tracker oder ähnliche unnötige »Internetkrankheiten« beinhalten, nicht aufgerufen bzw. blockiert.
Seite 14 von 86 Wenn ihr nun wissen wollt, welche Ressourcen (Bilder, JavaScript, Schriften, usw.) uBlock Origin durchlässt bzw. blockiert, dann öffnet dazu das »Protokoll der Netzwerkanfragen« und macht euch selbst ein Bild:
Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
3.5 Dynamic-Filtering in Aktion Der »medium mode« blockiert das Nachladen von Skripten und Frames aus Drittquellen – ein guter Kompromiss aus Nutzbarkeit und mehr Sicherheit / Privatsphäre, da CSS (Cascading Style Sheets), Bilder oder Skripte von der aktuell aufgerufenen Seite nicht blockiert werden. Falls eine Webseite also nicht korrekt funktioniert, müsst ihr zwar händisch nachbessern, der Aufwand hält sich allerdings in Grenzen.
Hinweis Ihr müsst die Einstellungen für eine Seite, die nicht wie gewohnt funktioniert, nur einmal vornehmen und könnt die Änderungen dann (dauerhaft) speichern. Beim nächsten Besuch der Seite wird uBlock Origin eure individuellen Einstellungen für die Seite laden.
Am Beispiel von mailbox.org, die bei der Registrierung Google reCAPTCHAs verwenden, möchte ich euch das Prinzip des Dynamic-Filterings demonstrieren. Auf mailbox.org könnt ihr euch ein neues E-Mail-Konto anlegen. Nach dem Aufruf von Registrieren könnt ihr zunächst einen Benutzernamen und ein Passwort auswählen. Mit einem Klick auf »Weiter« gelangt ihr dann zu einer weiteren Seite, auf der ihr weitere Angaben machen sollt und zum Abschluss ein Google reCAPTCHA lösen müsst. Das Problem: Das Google reCAPTCHA ist nicht sichtbar, da uBlock Origin das Nachladen von JavaScript aus Drittquellen (google.com / gstatic.com) verhindert. Wir können das reCAPTCHA also nicht lösen, da es für uns nicht sichtbar ist:
Rufen wir also das Dashboard von uBlock Origin auf:
Seite 15 von 86
Im Dashboard ist erkennbar, dass die Domain google.com (rot) vollständig blockiert wird. Um diese Domain jetzt nur für die aktuelle Webseite (mailbox.org) zuzulassen, klicken wir in der [Spalte: Lokal] / [Zeile: google.com] ganz links auf das grüne Icon [1]. Anschließend können wir die Seite erneut laden [2] und die Änderungen sichtbar machen. Bei Bedarf könnt ihr die Regel mit einem Klick auf das Schlosssymbol [3] dauerhaft speichern – tut ihr das nicht, gilt die Regel nur temporär.
Nach dem erneuten Nachladen der Webseite stellt ihr fest: Das Google reCAPTCHA wird noch immer nicht eingebunden. Werfen wir also erneut einen Blick in das Dashboard:
Wir müssen auch noch die Domain »gstatic.com« freigeben, um das Google reCAPTCHA einzublenden. Also klicken wir erneut in der [Spalte: Lokal] / [Zeile: gstatic.com] mittig auf das graue Icon [1] und erlauben damit das Nachladen der Ressourcen von »gstatic.com«. Anschließend können wir die Seite erneut laden [2] und das Google reCAPTCHA sichtbar machen, um die Registrierung abzuschließen.
Hinweis Anfangs ist es schwierig herauszufinden, welche Domains ihr erlauben müsst, um die vermisste Funktionalität auf der Webseite freizuschalten. Das »Protokoll der Netzwerkanfragen« kann euch bei der Analyse unterstützen – eine einfache Lösung gibt es leider nicht. Generell gilt eine einfach Regel: Gebt nur so viele Domains frei, wie für die Seitendarstellung unbedingt notwendig sind.
Zum Abschluss noch in Hinweis zu den dynamischen Filterregeln:
Wenn ihr ihr das Nachladen von Ressourcen (JavaScript) für Drittquellen erlauben möchtet, habt ihr die Auswahl zwischen drei Farben:
• Grün: Das Nachladen aller Ressourcen von der jeweiligen Domain wird erlaubt.
Seite 16 von 86 • Grau: Das Nachladen von Ressourcen für die jeweilige Domain ist erlaubt, allerdings werden zusätzlich die statischen Filterlisten angewendet. Im Gegensatz zu »grün« habt ihr mit dieser Auswahl einen gewissen Basisschutz, da die Filterregeln angewendet werden. • Rot: Blockiert das Nachladen jeglicher Ressourcen von der jeweiligen Domain.
Empfehlung: Wenn ihr das Nachladen von Ressourcen für eine Domain erlauben müsst, dann solltet ihr es zunächst mit der mittleren Auswahl (grau) versuchen.
4. Fazit uBlock Origin bietet noch mehr Funktionsumfang, als im vorliegenden Beitrag aufgezeigt. Unter anderem bietet es noch einen hard- und nightmare-mode für ambitionierte Anwender und Profis. Aber bereits in der Standardeinstellung »easy mode« erweist sich uBlock Origin als effizienter und äußert effektiver Werbe- und Trackingblocker, der gerade für Anfänger einen guten Grundschutz bietet.
Fortgeschrittene Anwender können im »medium mode« dann weitere Funktionen freischalten und via Dynamic-Filtering steuern, von welchen Domains Inhalte nachgeladen werden dürfen. Im Gegensatz zu uMatrix funktioniert das zwar nicht so feingranular, dürfte für die meisten Anwender allerdings ein guter Kompromiss zwischen Nutzbarkeit und den Zugewinn an Sicherheit / Privatsphäre darstellen.
In den nachfolgenden Teilen der Serie »Firefox-Kompendium« werde ich euch weitere Firefox- Addons und Einstellungen vorstellen. Insbesondere wenn neben uBlock Origin weitere Addons Addons wie NoScript oder Decentraleyes installiert sind, bedarf es weiteren Überlegungen und Anpassungen, damit euch die Addons möglichst effektiv beim Surfen im Internet schützen können.
Seite 17 von 86 Firefox: Decentraleyes – Firefox-Kompendium Teil 3
1. Content Delivery Network Die Grundlage des WWWs ist die Hyper-Text Markup Language (HTML), die es erlaubt, digitale Dokumente (logisch) zu strukturieren. Sofern eine Webseite einmal im Browser geladen wurde, ist sie durch die verwendete HTML-Technik, grundsätzlich nicht mehr veränderbar und somit rein statisch. Um ein wenig mehr Flexibilität zu erreichen, wurde daher Mitte der 90er Jahre die Skriptsprache JavaScript entworfen, die es erlaubt, HTML-Dokumente während der Anzeige im Browser dynamisch zu verändern.
Einige der verwendeten JavaScript-Bibliotheken sind allerdings so bandbreitenintensiv, dass Webseitenbetreiber Content Delivery Networks (CDN) einsetzen, um das JavaScript von dort nachzuladen. Für andere Webseitenbetreiber ist es schlichtweg »bequem«, eine JavaScript- Bibliothek von einer externen Quelle einzubetten, ohne sich die Mühe zu machen, die für die Funktionalität der Webseite benötigen Ressourcen selbst zu hosten.
Im vorliegenden Beitrag der Serie »Firefox-Kompendium« möchte ich euch das Addon Decentraleyes vorstellen. Das Addon kann das Risiko für Sicherheit und Privatsphäre beim Surfen minimieren, das mit der Einbindung externer JavaScript-Ressourcen via CDNs einhergeht.
2. Decentraleyes Bevor wir uns mit der Installation und Konfiguration von Decentraleyes befassen, möchte ich kurz anhand eines Beispiels aufzeigen, was das Addon (im Hintergrund) leistet.
2.1 Webseitenaufruf ohne Decentraleyes Ein jeder von uns dürfte heutzutage mindestens einmal am Tag mit seinem Browser im Internet surfen. Allerdings sind wir uns oftmals nicht bewusst, was bei dieser eigentlich für uns alltäglichen Tätigkeit technisch geschieht. Nach der Eingabe einer Domain in die Adresszeile des Browsers wird die entsprechende Webseite vom Browser aufgerufen. Nach dem Erreichen der Webseite, enthält der Browser entsprechende Informationen, welche Inhalte er laden soll. Nachdem der Ladevorgang abgeschlossen ist, stellt der Browser den Inhalt der Webseite in einer für den Nutzer lesbaren Form dar.
Welche komplexen Prozesse im Hintergrund notwendig sind, um eine Webseite im Browser darzustellen, können die meisten Nutzer vermutlich nicht einmal erahnen. Die dahinterliegende Technik arbeitet vielmehr meist völlig »geräuschlos«. Dabei ist nur den wenigsten bewusst, wie Webseitenbetreiber durch das Einbinden von externen Ressourcen, wie bspw. JavaScript oder Social-Media-Buttons, die Privatsphäre und insbesondere die Sicherheit ihrer Besucher leichtfertig aufs Spiel setzen.
Seite 18 von 86 Viele Webseiten binden bspw. JavaScript-Bibliotheken von Drittquellen (CDNs) wie Google oder Cloudflare ein – hosten diese also nicht selbst. Bei einem Besuch einer Webseite wird daher bspw. eine Verbindung zu
• ajax.googleapis.com • code.jquery.com • […] aufgebaut und dort die entsprechende JavaScript-Ressource (bspw. jQuery) nachgeladen. Durch das Nachladen innerhalb des Browsers wird eure IP-Adresse oder auch HTTP-Headerinformationen an die Drittquelle übermittelt, die diese Informationen gerne zum Browser Fingerprinting »missbraucht«:
Beim Aufruf unserer Beispielwebseite hat der Betreiber externes JavaScript [1] vom Host »ajax.googleapis.com« in den Kontext der Webseite eingebunden. Der Browser wird diese Anfrage im Hintergrund bearbeiten und eine Verbindung zur Adresse »ajax.googleapis.com« aufbauen [2], um das JavaScript von Google nachzuladen. Bei diesem Vorgang übersendet der Browser eine ganze Reihe von Metadaten [3], wie die aktuell besuchte Webseite und die IP-Adresse, an die externe Quelle. Zum Schluss wird die Anfrage des Browsers bearbeitet und das JavaScript vom Host »ajax.googleapis.com« in den Kontext der Webseite [4] nachgeladen.
Insbesondere die Metadaten (Referer, IP-Adresse, usw.) nutzen CDNs oder Giganten wie Google, um den Anwender seitenübergreifend zu Tracken bzw. durch das Internet zu verfolgen.
Hinweis Welche negativen Auswirkungen mit der Einbindung externer Ressourcen (Bilder, JavaScript, etc.) einhergeht, könnt ihr im Detail in folgendem Beitrag nachlesen: Das kranke WWW: Stop using Google Web-Services.
2.2 Webseitenaufruf mit Decentraleyes Schauen wir uns den Verlauf nach der Installation von Decentraleyes noch einmal an:
Seite 19 von 86
Beim Aufruf unserer Beispielwebseite hat der Betreiber externes JavaScript [1] vom Host »ajax.googleapis.com« in den Kontext der Webseite eingebunden. Der Browser wird diese Anfrage im Hintergrund bearbeiten und eine Verbindung zur Adresse »ajax.googleapis.com« aufbauen [2], um das JavaScript von Google nachzuladen. Decentraleyes wird diesen Verbindungsaufbau allerdings »abfangen« und die JavaScript-Ressource lokal [3] zur Verfügung stellen. Anschließend wird der Browser das JavaScript in den Kontext der Webseite [4] nachladen – wie aufgezeigt allerdings von einer lokalen Quelle.
Zusammengefasst: Decentraleyes erkennt das Nachladen von JavaScript-Ressourcen via CDNs, kappt diesen Verbindungsversuch und lädt die Ressource lokal nach (sofern sie vorhanden ist). Das Addon beinhaltet neben einer Verbindungserkennung, also eine ganze Reihe an JavaScript- Bibliotheken (bspw. jQuery, Scriptaculous oder AngularJS), die es dann ausliefert, sobald ein Request erkannt wird.
Die Vorteile von Decentraleyes kurz zusammengefasst:
• Privatsphäre: Zum Schutz der Privatsphäre kappt Decentraleyes die Verbindung zu CDNs, die JavaScript-Ressourcen ausliefern und darüber in der Lage sind, Nutzer seitenübergreifend zu Tracken. • Geschwindigkeit: Das lokale Ausliefern von JavaScript ist erheblich schneller, als die Quellen über ein CDN zu laden. • Benutzbarkeit: Kann Seiten (wieder) benutzbar machen, bei denen man bspw. das Nachladen von »ajax.googleapis.com« blockiert hat – und es jetzt wieder erlaubt, da die Ressource lokal eingebunden werden kann.
Version 2.0.3 von Decentraleyes erkennt den Verbindungsaufbau zu folgenden CDNs und liefert (falls vorhanden) die angefragte JavaScript-Ressource lokal aus:
• Google Hosted Libraries • Microsoft Ajax CDN • CDNJS (Cloudflare) • jQuery CDN (MaxCDN) • jsDelivr (MaxCDN) • Yandex CDN
Seite 20 von 86 • Baidu CDN • Sina Public Resources • UpYun Libraries
3. Anfänger Bevor wir mit der Installation und Konfiguration von Decentraleyes beginnen, möchte ich euch noch ein paar Hinweise mit auf den Weg geben:
• Grüne Wiese: Im Idealfall habt ihr euren Firefox neu installiert (oder ein neues Profil angelegt) und habt bisher lediglich den ersten Teil und zweiten Teil der Artikelserie umgesetzt. • Ausmisten: Wer hingegen sein bestehendes Firefox-Profil als Ausgangspunkt nimmt, der sollte vor der Installation von Decentraleyes wissen, dass insbesondere die Nutzung von Adblockern dazu führen kann, dass Decentraleyes nicht wie vorgesehen funktioniert.
3.1 Installation Wie bei Firefox üblich wird Decentraleyes am besten direkt über die Addon-Seite von Mozilla installiert. Folgt einfach diesem Link und klickt auf »+ Zu Firefox hinzufügen«.
Anschließend muss die Installation mit einem Klick auf »Hinzufügen« bestätigt werden:
Nach einer erfolgreichen Installation wird das Icon von uBlock Origin in der Symbolleiste (rechts oben im Eck) auftauchen:
Die Installation ist damit abgeschlossen und Decentraleyes ist bereits voll einsatzbereit. Über eine Test-Seite könnt ihr dies verifizieren:
Seite 21 von 86 Wer es ganz einfach haben möchte, muss keine weiteren Anpassungen vornehmen. Wer allerdings im zweiten Teil der Artikelserie uBlock Origin den Schritt zum »medium mode« gewagt hat, der sollte unbedingt weiterlesen.
4. Fortgeschrittene Zur Erinnerung: Durch den Wechsel zum »medium mode« bei uBlock Origin verhindern / blockieren wir das Nachladen von JavaScript aus Drittquellen. Damit die in Decentraleyes integrierten JavaScript-Ressourcen ausgeliefert werden können, ist daher eine Anpassung von uBlock Origin notwendig. Wenn wir dies nicht tun, wird das Nachladen der lokalen JavaScript- Ressourcen von uBlock Origin einfach blockiert.
4.1 uBlock Origin anpassen Öffnet zunächst das Dashboard von uBlock Origin und navigiert zum Tab »Meine Regeln«. Ergänzt rechts (Temporäre Regeln) folgende Zeilen:
* ajax.googleapis.com * noop * ajax.aspnetcdn.com * noop * ajax.microsoft.com * noop * cdnjs.cloudflare.com * noop * code.jquery.com * noop * cdn.jsdelivr.net * noop * yastatic.net * noop * yandex.st * noop * libs.baidu.com * noop * lib.sinaapp.com * noop * upcdn.b0.upaiyun.com * noop
Anschließend klickt ihr zunächst auf »Speichern« und zum Schluss auf »<-Dauerhaft speichern«. Auf der linken Seite (Permanente Regeln) sollte es dann folgendermaßen aussehen:
4.2 Decentraleyes anpassen Mit der Anpassung von uBlock Origin erlauben wir den Verbindungsaufbau zu diversen CDN Adressen. Diese Verbindungsversuche werden im Normalfall von Decentraleyes gekappt und die JavaScript-Ressource lokal an den Browser ausgeliefert – es kommt also keine Verbindung zu einer externen Quelle zustande.
Es gibt aber noch einen Sonderfall, den wir beachten müssen: Für den Fall, dass Decentraleyes eine JavaScript-Ressource nicht ausliefern kann (da schlicht nicht vorhanden / mitgeliefert), wird es eine Verbindung zu den in uBlock Origin erlaubten CDNs aufbauen und die JavaScript-Ressource von dort nachladen. Das möchten wir allerdings verhindern, da wir in Teil 2 via uBlock Origin definiert hatten, dass JavaScript aus Drittquellen nicht nachgeladen wird.
Seite 22 von 86 Öffnet daher die Einstellungen von Decentraleyes und aktiviert folgendes Häkchen:
• Blockiere Anfordern fehlender Inhalte: Abgefangene Anforderung unterbinden, falls angeforderte Datei nicht lokal verfügbar ist.
4.3 Erklärung der Anzeige Abschließend werfen wir noch einen Blick auf die Anzeige von Decentraleyes, die sich mit einem Klick auf das Icon in der Symbolleiste aufrufen lässt:
Direkt am Icon in der Symbolleiste können wir oben rechts erkennen, wie viele JavaScript- Ressourcen Decentraleyes auf der jeweiligen Seite lokal ausliefert. In unserem Beispiel handelt es sich um die JavaScript-Ressource jQuery (v. 2.1.4), die die Webseite über das Google CDN (ajax.googleapis.com) nachladen würde.
5. Fazit Angesicht der im WWW vorherrschenden Praxis, Ressourcen wie JavaScript von Drittanbietern einzubinden, wirft sich die Frage auf, ob sich Webseitenbetreiber mit den daraus resultierenden Konsequenzen für die Sicherheit und die Privatsphäre für sich aber insbesondere ihrer Besucher ausreichend auseinandergesetzt haben.
Decentraleyes kann die »Verantwortungslosigkeit« der Webseitenbetreiber durch das lokale Ausliefern häufig verwendeter JavaScript-Ressourcen zumindest ein Stück weit minimieren. CDNs wie Google bieten ihre Dienste nicht aus reiner Nächstenliebe unentgeltlich an, sondern (meist) mit dem Ziel, die Nutzer im Internet seitenübergreifend zu Tracken bzw. weitere Erkenntnisse aus den (Nutzer-)Daten zu gewinnen.
In den nachfolgenden Teilen der Serie »Firefox-Kompendium« werde ich euch weitere Firefox- Addons und Einstellungen vorstellen und diese aufeinander abstimmen.
Seite 23 von 86 Firefox: First Party Isolation – Firefox-Kompendium Teil 4
1. Surf-Container In Cookies (kleine Textdateien) speichern Browser Daten, die beim Besuch einer Webseite angelegt werden. Cookies dienen unter anderem dem Zweck, den Besucher wiederzuerkennen. So speichern Cookies bspw. etwaige Anmeldeinformationen, damit der Nutzer sich bei einem Webseitenbesuch nicht erneut anmelden muss. Im Normalfall speichert der Browser bei einem Besuch auf einer Webseite den ausgelieferten Cookie bzw. aktualisiert ein bereits abgespeichertes.
Doch es sind nicht nur die Cookies die von dem eigentlichen Webseitenanbieter ausgeliefert werden. Vielmehr werden bei einem Besuch auf einer Webseite auch sogenannte Drittanbieter- Cookies mitausgeliefert und vom Browser gespeichert. Mithin kann ein Besuch auf einer Webseite dazu führen, dass nicht nur Cookies von dieser, von einem Nutzer aufgerufenen Domain abgespeichert werden, sondern vielmehr auch Cookies von Drittanbietern (bspw. Werbenetzwerke), die dem Nutzer unbekannt sind. Diese sind somit auch in der Lage, den Nutzer praktisch auf jeder Webseite, wo sie auch vertreten sind, »wiederzuerkennen«. Dieses seitenübergreifende Tracking (Cross-site Tracking) via (Drittanbieter-)Cookies ist noch immer eine beliebte Technik der Werbe- und Marketingbranche, um die Webaktivität von Nutzern nachzuverfolgen und auf sie zugeschnittene Werbung auszuliefern.
Im vorliegenden Beitrag der Serie »Firefox-Kompendium« möchte ich euch das Addon First Party Isolation vorstellen. Das kleine Addon aktiviert das Surf-Container Konzept, mit dem sich das seitenübergreifende Tracking via (Ever-)Cookies verhindern lässt.
2. First Party Isolation Bevor wir uns mit der Installation und Bedienung von First Party Isolation befassen, möchte ich kurz anhand eines Beispiels aufzeigen, was das Addon (im Hintergrund) leistet bzw. wie das Konzept der Isolation funktioniert.
2.1 Webseitenaufruf ohne First Party Isolation In unserem Beispiel besucht ein Nutzer Spiegel- und Zeit Online, die beide mit dem fiktiven Werbenetzwerk »Super-Ads« zusammenarbeiten. Die Darstellung zeigt, wie Cookies zum seitenübergreifenden Tracking missbraucht werden können:
Beim Aufruf von Spiegel Online wird lokal im Browser ein neues Cookie (mit eindeutiger Kennung »ID22321«) von der externen Quelle »super-ads.com« angelegt [1]. Angenommen nach dem Besuch auf Spiegel Online öffnet der Nutzer im Anschluss Zeit
Seite 24 von 86 Online und liest dort ebenfalls ein paar Artikel. Auch Zeit Online arbeitet mit dem Werbenetzwerk »Super-Ads« zusammen, das nun erneut lokal im Browser ein Cookie ablegen möchte. Dabei wird »Super-Ads« allerdings erkennen, dass bereits ein Cookie von »super-ads.com« existiert [2] und kann den Nutzer über die eindeutige Kennung »ID22321« identifizieren / wiedererkennen [3]. Über das Cookie kann »Super-Ads« nun feststellen [4], welche Artikel der Nutzer auf Spiegel- und Zeit Online gelesen hat und kann ihm anschließend interessenbezogene Werbung einblenden. Das bedeutet: Überall dort, wo ein Seitenbetreiber mit dem Werbenetzwerk »Super-Ads« zusammenarbeitet, wird euch das Werbenetzwerk anhand der eindeutigen Kennung »ID22321« wiedererkennen.
Um sich gegen dieses seitenübergreifende Tracking via (Drittanbieter-)Cookies zu schützen, gibt es unterschiedliche Möglichkeiten. Unter anderem könnt ihr Cookies komplett verbieten und müsst anschließend Ausnahmen für Webseiten definieren, die Cookies im Browser ablegen dürfen. Oder ihr benutzt Addons wie Cookie AutoDelete, das die Cookies bspw. beim Schließen eines Tabs wieder entfernt. Die eleganteste Möglichkeit, die zudem auch am wenigsten Aufwand erfordert, ist die Aktivierung der First Party Isolation in Firefox, die nachfolgend erläutert wird.
2.2 Webseitenaufruf mit First Party Isolation First Party Isolation oder auch bekannt als »Cross-Origin Identifier Unlinkability« ist ursprünglich ein Konzept des Tor-Browsers. Die Idee ist, alle Daten, die von einer Webseite abgelegt werden, in einer isolierten Umgebung (Surf-Container) zu halten. Von dieser Abschottung sind folgende Daten betroffen, die beim Besuch einer Webseite anfallen können:
• Cookies • Browser-Cache • HTML5-Storage • HTTP-Authentifizierung • DOM Storage • IndexDB • Flash Cookies • Shared Workers • SSL bzw. TLS-Session Resumption • Fenstername • SPDY bzw. HTTP/2 • Auto-Form Fill • HSTS • HPKP Supercookies • OCSP • Favicons • […]
All diese Daten bzw. Informationen werden pro Webseite / Domain in einem abgeschotteten Container abgelegt. Ist First Party Isolation aktiviert, kann Domain A bspw. nicht auf (Drittanbieter-
Seite 25 von 86 )Cookies von Domain B zugreifen und umgekehrt. Schauen wir uns den Verlauf nach der Installation von First Party Isolation noch einmal an:
Beim Aufruf von Spiegel Online wird lokal im Browser ein neues Cookie (mit eindeutiger Kennung »ID99234«) von der externen Quelle »super-ads.com« angelegt [1]. Angenommen nach dem Besuch auf Spiegel Online öffnet der Nutzer im Anschluss Zeit Online und liest dort ebenfalls ein paar Artikel. Auch Zeit Online arbeitet mit dem Werbenetzwerk »Super- Ads« zusammen, das nun erneut lokal im Browser ein Cookie ablegen möchte. Aufgrund der First Party Isolation kann »Super-Ads« das bereits abgelegte Cookie nicht auslesen und wird für den Surf-Container der Domain Zeit Online ein neues Cookie (mit eindeutiger Kennung »ID27219«) anlegen [2]. Versucht »Super-Ads« den Nutzer seitenübergreifend wiederzuerkennen [3] [4] wird dies aufgrund der Isolation nicht gelingen. »Super-Ads« kann zwar weiterhin feststellen, dass der Nutzer mit der Kennung »ID99234« Artikel auf Spiegel Online liest [5], wird diese Informationen allerdings nicht mit der zweiten Kennung »ID27219« [6] verknüpfen können. Aufgrund der First Party Isolation werden für jeden Surf-Container unterschiedliche Kennungen angelegt, die eine Wiedererkennung des Nutzers und damit das seitenübergreifende Tracking via Cookies verhindert.
Hinweis First Party Isolation bzw. das Konzept der Surf-Container schützt insbesondere vor dem seitenübergreifenden Tracking via (Drittanbieter-)Cookies. Einen allumfassenden Schutz gegen Browser Fingerprinting dürft ihr allerdings nicht erwarten. Werbe- und Trackingnetzwerke stehen noch andere Merkmale wie bspw. die IP-Adresse zur Verfügung, um euch seitenübergreifend zu Tracken. Das bedeutet: First Party Isolation ist lediglich ein kleiner Mosaikstein gegen das allgegenwärtige Tracking und darf nicht als Allheilmittel verstanden werden. Vielmehr ist es auch weiterhin erforderlich, Adblocker wie uBlock Origin einzusetzen und JavaScript nur bei Bedarf zuzulassen.
3. Anfänger Bevor wir mit der Installation und Konfiguration von First Party Isolation beginnen, möchte ich euch noch ein paar Hinweise mit auf den Weg geben:
• Grüne Wiese: Im Idealfall habt ihr euren Firefox neu installiert (oder ein neues Profil angelegt) und habt bisher lediglich den ersten, zweiten und dritten Teil der Artikelserie umgesetzt. • Ab Quantum: Wer hingegen sein bestehendes Firefox-Profil als Ausgangspunkt nimmt, der sei nochmal darauf hingewiesen, dass die Artikelserie lediglich für Firefox ab Version 57 gedacht ist. Seite 26 von 86 3.1 Installation Wie bei Firefox üblich wird First Party Isolation am besten direkt über die Addon-Seite von Mozilla installiert. Folgt einfach diesem Link und klickt auf »+ Zu Firefox hinzufügen«.
Anschließend muss die Installation mit einem Klick auf »Hinzufügen« bestätigt werden:
Nach einer erfolgreichen Installation wird das Icon von First Party Isolation in der Symbolleiste (rechts oben im Eck) auftauchen:
Die Installation ist damit abgeschlossen und First Party Isolation ist bereits voll einsatzbereit. Wer es ganz einfach haben möchte und sich nicht weiter mit der Cookie-Thematik beschäftigen will, muss keine weiteren Anpassungen vornehmen. Wer allerdings Wert auf mehr Privatsphäre legt, der sollte unbedingt weiterlesen.
Hinweis Bei Login-Problemen auf Webseiten könnt ihr die First Party Isolation mit einem Klick auf das Goldfischglas deaktivieren. Das Icon in der Symbolleiste erscheint anschließend rot-orange.
4. Fortgeschrittene Eines gleich vorweg für alle Fortgeschrittenen: Die Installation des Addons First Party Isolation ist nicht zwingend erforderlich. Über die about:config lässt sich der entsprechende Parameter ebenfalls manuell setzen, um die Schutzfunktion bzw. das Surf-Container Konzept zu aktivieren. Das Addon hat allerdings den Vorteil, dass sich das Container-Konzept mit einem Mausklick an- bzw. ausschalten lässt. Für Puristen hier der entsprechende Eintrag für die about:config: privacy.firstparty.isolate = true
4.1 Cookies von Drittanbietern nicht annehmen Standardmäßig ist Firefox so eingestellt, dass der Browser Cookies von Drittanbietern akzeptiert. Trotz der Aktivierung der First Party Isolation dürfen Webseiten demnach auch weiterhin Cookies von Drittanbietern in eurem Browser ablegen. Diese Cookies können euch zwar nicht mehr seitenübergreifend Tracken, erkennen aber weiterhin, wann ihr eine Webseite aufruft und was ihr
Seite 27 von 86 euch dort anschaut. Diese Standardeinstellung werden wir anpassen und die Annahme von Drittanbieter-Cookies generell verbieten. Dazu öffnen wir die »Einstellungen -> Datenschutz & Sicherheit«. Unter »Chronik« ist die Option »Firefox wir eine Chronik« auf anlegen voreingestellt.
Über das Auwahlmenü ändern wir dies zu: nach benutzerdefinierten Einstellungen anlegen
Anschließend ändern wir die Option »Cookies von Drittanbietern akzeptieren«:
Hinweis Persönlich kenne ich (noch) keine Seite, die nach der Verweigerung von Drittanbieter-Cookies nicht mehr funktioniert. Falls ihr eine solche Seite kennt, dann teilt mir das gerne mit. Für den seltenen Fall, dass tatsächlich Probleme mit einzelnen Seiten auftreten, könnt ihr unter »Einstellungen -> Datenschutz & Sicherheit -> Chronik« einfach eine Ausnahme definieren.
4.2 Cookies beim Beenden löschen | Ausnahmen definieren Sobald wir Drittanbieter-Cookies verweigern, dürfen im Browser nur noch sogenannte »First-Party- Cookies« abgelegt werden. Das Wort »First« bezieht sich auf die Domain, von der das Cookie stammt. First-Party-Cookies stammen in der Regel von der Webseite selbst, die ihr gerade besucht und eben nicht von Drittseiten, wie es bei Third-Party-Cookies (Drittanbieter-Cookies) der Fall ist.
Bei einem Besuch von Spiegel Online werden bspw. insgesamt 14 First-Party-Cookies lokal im Browser abgelegt:
Ein einfacher Besucher benötigt all diese Cookies allerdings nicht im Speicher seines Browsers. Dieses insbesondere deshalb, weil Spiegel Online durch die Cookies in die Lage versetzt wird, euch beim nächsten Besuch der Webseite wiederzuerkennen – auch wenn sich eure IP- Adresse geändert hat. Um die Wiedererkennung auf Webseiten via (First-Party-)Cookies zu verhindern, habe ich zwei Vorschläge für euch:
• Cookies beim Beenden löschen: Beim Schließen von Firefox besteht die Möglichkeit alle Cookies zu entfernen. Steuern könnt ihr dies über »Einstellungen -> Datenschutz & Sicherheit -> Chronik« unter der Option »Behalten, bis«
Firefox geschlossen wird
Seite 28 von 86 Viele Anwender schließen ihren Browser allerdings selten, weshalb diese Option eher nicht optimal ist. Weiterhin werden alle Cookies gelöscht, also auch solche, die ihr womöglich gerne behalten würdet.
• Ausnahmen definieren: Persönlich definiere ich immer Ausnahmen für Webseiten, die lokal Cookies ablegen dürfen. Das bedeutet: Die Annahme von Cookies wird vollständig verweigert – also auch für First-Party-Cookies. Über Ausnahmen steuere ich dann manuell, welche Webseiten ein Cookie im Browser ablegen dürfen. Damit liegt die Kontrolle der Cookies in eurer Hand.
Hinweis
Wer seine Cookies selbst verwaltet bzw. Ausnahmen definiert, der benötigt das Addon First Party Isolation zum Schutz gegen das seitenübergreifende Tracking via Cookies im Grunde nicht. Wie bereits kurz angesprochen existieren neben Cookies allerdings noch weitere Tracking-Techniken, gegen die das Surf-Container Konzept einen Schutz bieten kann. Es ist daher empfehlenswert, dass Addon bzw. First Party Isolation aktiv zu lassen.
5. Cookie Addons Die im vorliegenden Beitrag vorgeschlagene Variante zur Vermeidung von seitenübergreifendem Tracking via (Ever-)Cookies beruht im Kern auf dem Surf-Container Konzept. Daneben tummeln sich auf der Addon-Seite von Mozilla etliche Addons (bspw. Cookie AutoDelete), die sich mit der automatischen Löschung von (Drittanbieter-)Cookies befassen. Nach meiner Auffassung sind diese Addons mit der Einführung der First Party Isolation allerdings obsolet.
Wer mehr Kontrolle über seine Cookies möchte, der sollte wie vorgeschlagen die Annahme von Cookies generell verweigern und Ausnahmen definieren.
6. Fazit Das Surf-Container Konzept kann das seitenübergreifende Tracking via (Ever-)Cookies verhindern. Solche technischen Maßnahmen sind einigen Tracking- und Werbenetzwerken verständlicherweise ein Dorn im Auge, da ihr Geschäftskonzept unmittelbar davon bedroht wird.
Anwender, die sich Gedanken um ihre Sicherheit und Privatsphäre beim Surfen machen, werden die First Party Isolation in Firefox allerdings dankend aktivieren – ganz gleich wie laut das Geheul und Säbelrasseln der Werbebranche ausfallen wird.
In den nachfolgenden Teilen der Serie »Firefox-Kompendium« werde ich euch weitere Firefox- Addons und Einstellungen vorstellen und diese aufeinander abstimmen.
Bildquellen:
Seite 29 von 86 Package: Roundicons from www.flaticon.com is licensed by CC 3.0 BY
Seite 30 von 86
kuketz-blog.de Ergänzung: Warum ein JavaScript-Blocker notwendig ist
1. JavaScript Die Grundlage des WWWs ist die Hyper-Text Markup Language (HTML), die es erlaubt, digitale Dokumente (logisch) zu strukturieren. Sofern eine Webseite einmal im Browser geladen wurde, ist sie durch die verwendete HTML-Technik, grundsätzlich nicht mehr veränderbar und somit rein statisch. Um ein wenig mehr Flexibilität zu erreichen, wurde daher Mitte der 90er Jahre die Skriptsprache JavaScript entworfen, die es erlaubt, HTML-Dokumente während der Anzeige im Browser dynamisch zu verändern. Zu den typischen Anwendungsgebieten von JavaScript zählen deshalb unter anderem die Datenvalidierung von Formulareingaben, die Anzeige von Dialogfenstern oder die Anzeige von Suchvorschlägen während der Eingabe. Doch es gibt auch Schattenseiten: Für die Werbe- und Trackingbranche ist JavaScript sowas wie der heilige Gral, um den Nutzer seitenübergreifend zu tracken und anhand von diversen Merkmalen wiederzuerkennen. Folgendes sollte sich jeder vor Augen führen: JavaScript ermöglicht die Erfassung von Informationen, wie die verwendete Bildschirmauflösung, Farbtiefe, etwaige im Browser installierte Plugins oder Schriftarten. In der Studie »(Cross-)Browser Fingerprinting via OS and Hardware Level Features« wird aufgezeigt, dass sich über solche Merkmale 99,24 % der Besucher wiedererkennen lassen. Damit nicht genug, auch die Sicherheit von JavaScript wird aufgrund der mannigfaltigen Funktionen und Möglichkeiten immer wieder kontrovers diskutiert. Dieses insbesondere deshalb, da die meisten der in Browsern bekannt gewordenen Sicherheitslücken oftmals eng mit JavaScript und deren Funktionalität verknüpft sind. Im vorliegenden Begleitartikel zur Serie »Firefox-Kompendium« möchte ich euch die Risiken für Sicherheit und Privatsphäre aufzeigen, die mit der Einbindung von JavaScript-Ressourcen in den Kontext einer Webseite einhergehen. Es soll euch vor Augen führen, weshalb ein JavaScript-Blocker wie NoScript dringend notwendig ist.
2. Warum ein JavaScript-Blocker notwendig ist Bevor wir uns im nachfolgenden Teil der Artikelserie »Firefox-Kompendium« mit der Installation und Konfiguration von NoScript befassen, möchte ich euch kurz anhand eines Beispiels aufzeigen, wie Webseitenbetreiber mit der Einbindung von (externem) JavaScript sowohl eure Sicherheit als auch eure Privatsphäre unbedacht aufs Spiel setzen.
2.1 emetriq GmbH | xplosion interactive GmbH Die emetriq GmbH ist ein Tochterunternehmen der Deutschen Telekom, das seit August 2015 tätig ist. Dahinter steckt eine strategische Partnerschaft zwischen AdAudience und der xplosion interactive GmbH. Das Ziel dieser Protagonisten ist der Aufbau des »größten deutschen Datenpools«, der Advertisern, Agenturen und Vermarktern zur Verfügung steht.
Seite 31 von 86 Die Partner von emetriq sind unter dem Dach der Intelligent Data Alliance (ADAudience) zusammengefasst: G+J Electronic Media Sales (G+J e|MS) Burda Forward Advertising IP Deutschland iq digital media marketing Media Impact SevenOne Media Spiegel Media BurdaForward Interactive Media (Deutsche Telekom Gruppe)
Hinweis Es ist möglich, dass die Partner wechseln. Aufgelistete Partner sind zum Lesezeitpunkt womöglich nicht mehr dabei oder neue Partner sind hinzugekommen.
2.2 Der emetriq- | xplosion-Tracker Da zu den Partnern der Intelligent Data Alliance zahlreiche Verlagshäuser zählen, ist es kaum verwunderlich, dass wir den emetriq-Tracker (emetriq.de) auf zahlreichen News-Portalen antreffen: Zeit Online Spiegel Online Süddeutsche Handelsblatt Kicker […] Beim Besuch eines der genannten News-Portale wird der Browser zum Laden von diversen JavaScripten aufgefordert. Dazu zählt unter anderem auch JavaScript von emetriq bzw. der xplosion interactive GmbH: emetriq.de xplosion.de Das nachgeladene JavaScript (http://ups.xplosion.de/loader/97578/default.js) übermittelt anschließend bei einem Besuch auf Zeit Online folgende Informationen an den Server »ups.xplosion.de«: GET /data?title=ZEIT%20ONLINE%20%7C%20Nachrichten%2C%20Hintergr%C3%BCnde%20und%20Deb atten&hostSiteUrl=http%3A%2F%2Fwww.zeit.de%2Findex&userAgent=5.0%20(X11)&userLang=en -US&color=24&os=Linux%20x86_64&timezone=- 2&screen=1053x1920&event_id=page_view&_sid=97578&_ver=0.1.13&_seg=jsonp&_=89302580 4693 HTTP/1.1 Host: ups.xplosion.de User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: https://www.zeit.de/index DNT: 1 Connection: close Diesem HTTP-Request von unserem Browser lässt sich folgendes entnehmen:
Seite 32 von 86 Titel: Der Titel (title) einer Webseite, hier »ZEIT ONLINE | Nachrichten, Hintergründe und Debatten«. Besuchte Seite: Die besuchte URL / Link (hostSiteUrl) einer Webseite, hier »http://www.zeit.de/index«. User-Agent: Der User-Agent (userAgent) des Browsers, hier »Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0«. Damit lässt sich im Normalfall neben dem verwendeten Betriebssystem eindeutig bestimmen, ob ein Nutzer einen Firefox, Chrome, Safari oder Internet Explorer nutzt. Sprache: Die im Browser eingestellte Sprache (userLang), hier »en-US«. Farbtiefe: Die Bit-Farbtiefe (color) des Monitors bzw. Browser-Fensters, hier »24« Bit. Betriebssystem: Das verwendete Betriebssystem (os), hier »Linux x86_64«. Zeitzone: Die Zeitzone (timezone), hier »-2«. Fenstergröße: Die Fenstergröße (screen) des Browser-Fensters, hier »1053×1920« Pixel. Aktion: Eine Aktion, die der Nutzer ausgeführt hat. In diesem Fall die Anzeige / Darstellung einer Seite, weshalb die Variable »event_id« vermutlich den Inhalt »page_view« hat. Weitere Informationen: o sid = 97578 o ver = 0.1.13 (Vermutlich die Versionsnummer des JavaScript-Trackers) o seg = jsonp (fixer Wert) o Eine Folge von Ziffern, die nicht eindeutig bestimmt werden konnte, hier »893025804693«. Eventuell handelt es sich um eine Kennung. Die Kombination aus User-Agent, eingestellter Sprache, verwendetes Betriebssystem, die Zeitzone und weiteren Merkmalen lässt die eindeutige Wiedererkennung eines Browsers bzw. Nutzers zu einem hohen Maß zu – sozusagen eine Art Fingerabdruck. In der Studie »(Cross-)Browser Fingerprinting via OS and Hardware Level Features« wird aufgezeigt, dass sich über solche Merkmale 99,24 % der Besucher wiedererkennen lassen. Das bedeutet: emetriq kann den Nutzer bzw. Browser eindeutig auf jenen (Verlags-)Seiten wiedererkennen, auf denen der Tracker eingebunden ist. Das lässt eine genaue Analyse der angeklickten Nachrichten bzw. des Surfverhaltens zu. Es ist dabei unklar, ob nur emetriq davon Kenntnis hat, auf welchen Webseiten sich die getrackten Nutzer aufhalten oder ob die Intelligent Data Alliance ebenfalls Zugriff auf den Datenpool erhält.
Hinweis Sowohl das Nachladen des JavaScripts als auch die Übermittlung der gesammelten Informationen erfolgt über eine unverschlüsselte Verbindung – das ist nicht mehr zeitgemäß und insbesondere hinsichtlich der Sicherheit höchst fraglich.
2.3 Kekse gibt es auch! Als Reaktion auf die übermittelten Daten erhält der Browser wiederum ein Cookie von xplosion.de, das lokal im Browser abgelegt wird und unter anderem folgenden Inhalt hat: Set-Cookie: pid=BSakBsa8BiUFBsfZBSf-BiUABifkBSf3WsfABifABifABfrr; Domain=.xplosion.de; Expires=Fri, 12-Apr-2019 13:36:13 GMT; Path=/ Die pid »BSakBsa8BiUFBsfZBSf-BiUABifkBSf3WsfABifABifABfrr« ist eine eindeutig vergebene Kennung aus Zahlen und Buchstaben, die bei jedem Aufruf eines Artikels auf den News-Portalen von Zeit Online, Spiegel Online oder Süddeutsche übermittelt wird. Damit kann der emetriq Tracker einen Besucher im Prinzip auf zweierlei Arten wiedererkennen: Anhand des Cookies, dessen pid bei jedem Besuch einer der Verlagsseiten ausgelesen und übermittelt wird.
Seite 33 von 86 An den Merkmalen, die über das aktive JavaScript-Fingerprinting bei jedem Aufruf einer Seite ausgelesen und übermittelt werden. Über das seitenübergreifende Tracking via (Ever-)Cookies müssen wir uns spätestens seit der Installation des Addons First Party Isolation keine Sorgen mehr machen. Das perfide Tracking via JavaScript werden wir im nachfolgenden Teil der Artikelserie »Firefox-Kompendium« angehen und abstellen.
3. Was bedeutet das für die Privatsphäre? Ihr fragt euch jetzt sicherlich, was emetriq mit den gesammelten Informationen anstellt. Ungefähr das: Es wird analysiert, welche Beiträge bzw. Links ein Nutzer auf den News-Portalen anklickt. Anhand dieser Informationen entsteht ein Nutzerprofil bei emetriq, die jeden Klick erfassen und sich bspw. merken, ob jemand häufig Artikel über Autos / Politik anklickt. Mit der Zeit entsteht auf Grundlage der erhobenen Daten ein aussagekräftiges Profil mit »berechenbaren« Attributen: Männlich oder weiblich Politische Gesinnung Religionszugehörigkeit Drogenkonsum (Alkohol, Zigaretten usw.) Beziehung (Single, Familie usw.) […] Je länger jemand mit der eindeutigen Cookie-Kennung surft bzw. eindeutig vom JavaScript wiedererkannt wird, umso detaillierter und genauer wird sein Nutzerprofil, was letztendlich unter anderem zielgerichtetes Marketing bzw. Werbung ermöglicht. Und genau das ist es, was emetriq auch macht: Es arbeitet mit Werbenetzwerken wie The ADEX, Yieldlab oder der Adality GmbH zusammen. Aufgrund der über den Nutzer gesammelten Daten kann dann zielgerichtete bzw. interessenbezogene Werbung ausgeliefert werden.
3.1 Auch im Login-Bereich Da solche Java-Script-Tracker gerne auch im sensiblen Login-Bereich von Webseiten integriert sind, bekommen sie unter anderem noch weitere Informationen übermittelt. In der Vergangenheit war der emetriq-Tracker im Anmeldebereich bei Zeit Online zu finden und erhielt nach einer erfolgreichen Anmeldung folgende Informationen: GET /data?title=username%20%7C%20Profilseite%20%7C%20ZEIT%20ONLINE %20%7C%20ZEIT%20ON LINE&referrer=http%3A%2F%2Fwww.zeit.de %2Findex&hostSiteUrl=http%3A%2F%2Fcommunity.z eit.de %2Fuser&userAgent=5.0%20(X11)&userLang=de&color=24&os=Linux %20x86_64&timezon e=- 2&screen=1069x1088&event_id=page_view&_sid=97578&_ver=0.1.9 &_seg=jsonp&_=323084067625 HTTP/1.1 Demnach wurde der Nutzer- bzw. Profilname (hier umbenannt in username) an »ups.xplosion.de« übermittelt. Das sind Informationen, die unter anderem auch Rückschlüsse auf reale Personen zulassen und nicht gesammelt werden sollten – schon gar nicht von einem Drittanbieter, der in den Kontext der Seite eingebunden ist.
3.2 Ein Blick in die Datenschutzerklärung Weder in der Datenschutzerklärung von Zeit Online noch in der Datenschutzerklärung der Süddeutschen wird der Nutzer darüber informiert, dass die emetriq GmbH Daten erhebt bzw. um welche Daten es sich hierbei handelt. Nach meiner Auffassung ist die Datenschutzerklärung damit unvollständig.
Seite 34 von 86 Bei Spiegel Online wird die emetriq GmbH zumindest genannt. Welche Daten emetriq vom Nutzer erhebt wird allerdings lediglich kurz angerissen und ist keineswegs vollständig.
4. Was bedeutet das für die Sicherheit? JavaScript kann sich allerdings nicht nur negativ auf die Privatsphäre beim Surfen auswirken, sondern auch auf die Sicherheit des Webservers und damit auch letzten Endes auf seine Besucher. Mit jeder (JavaScript-)Ressource, die ein Webseitenbetreiber einbindet, geht er eine Vertrauensbeziehung mit der jeweiligen Quelle bzw. Domain ein. Das bedeutet wiederum auch, dass die eigentliche Kontrolle über die ausgelieferte Ressource allein beim Drittanbieter liegt. Wird der Drittanbieter allerdings in irgendeiner Form kompromittiert bzw. gehackt, kann das unter Umständen dazu führen, dass der Angreifer die auszuliefernde Ressource gegebenenfalls modifiziert und dass beispielsweise statt eines schadlosen ein schadhafter JavaScript-Code an den Besucher einer Webseite ausgeliefert wird:
Angenommen emetriq, das von Zeit Online mit dem Profiling der Besucher beauftragt wurde, wird kompromittiert. Die Folge: Angreifer verändern den JavaScript-Code und fügen bspw. bösartige Code-Zeilen hinzu. Sobald ein Besucher Zeit Online aufruft, wird der schadhafte JavaScript-Code vom Drittanbieter (emetriq.de) in den Kontext der eigentlich vertrauenswürdigen Webseite von Zeit Online eingebunden und anschließend vom Browser ausgeführt.
4.1 Die Folgen Eine böswillige Veränderung von JavaScript-Code kann unter anderem dazu missbraucht werden, um Cookies aus dem Kontext einer Webseite zu stehlen oder die Login-Daten (Benutzernamen & Passwort) abzugreifen. Für diesen Vorgang benötigt ein Angreifer noch nicht einmal Zugang zur Seite 35 von 86 Webseite von Zeit Online, sondern einzig und alleine zum JavaScript, das er entweder selbst kontrolliert oder entsprechend auf dem Server von emetriq modifiziert hat. Fatal an dieser ganzen Thematik ist, dass Zeit Online praktisch keine Chance hat, von dieser Veränderung etwas mitzubekommen. Vielmehr muss Zeit Online dem Anbieter (emetriq) blind vertrauen und sich damit auch darüber im Klaren sein, dass durch sie durch Einbindung von externem Code zum einen den eigenen Besuchern und damit auch letzten Endes sich selber extrem schaden können. Mittlerweile steht mit »Subresource Integrity« eine Technologie bereit, die die Integrität von JavaScripten sicherstellt, die über Drittseiten eingebunden werden. Darüber ließen sich nachträgliche und auch bösartige Veränderungen an JavaScript-Code erkennen. Allerdings wird diese Technik noch nahezu von keinem Webseitenbetreiber bzw. Drittanbieter verwendet. Reine Theorie? Mitnichten – es gab schon diverse Fälle, wo genau dieses Szenario eingetreten ist. Ein Sicherheitsvorfall auf der Webseite des Finanzdienstleistungsunternehmens Equifax führt einem bspw. vor Augen, welche negativen Auswirkungen mit der Einbindung externen JavaScript- Codes einhergehen kann. Über die Webseite bzw. das eingebundene JavaScript des Drittanbieters wurde Adware ausgeliefert, mit der sich eine bis dato unbekannte Anzahl von Nutzern infizierte.
5. Fazit Der ursprüngliche Zweck von JavaScript (die dynamische Inhaltsveränderung) spielt heute nur noch eine untergeordnete Rolle. Hauptsächlich wird JavaScript von vielen Protagonisten für Zwecke »missbraucht«, die unkalkulierbare Folgen für die Sicherheit und die Privatsphäre eines (Webseiten-)Besuchers haben können. Das im vorliegenden Beitrag gewählte Beispiel von emetriq ließe sich beliebig austauschen. Die meisten News-Portale binden noch einige weitere (JavaScript-)Tracker ein, um ihre Nutzer zu durchleuchten oder interessenbezogene Werbung einzublenden. Insgesamt betrachtet erstreckt sich die Problematik des Missbrauchs von JavaScript fast auf das gesamte Internet. Ein JavaScript- Blocker zählt neben einem Adblocker wie uBlock Origin daher zu einem wichtigen Element der digitalen Selbstverteidigung. Im nachfolgenden Teil der Artikelserie »Firefox-Kompendium« werden wir uns daher mit der Installation und Konfiguration von NoScript befassen. Bildquellen: JavaScript: Smashicons from www.flaticon.com is licensed by CC 3.0 BY
Seite 36 von 86 kuketz-blog.de NoScript – Firefox-Kompendium Teil 5
1. JavaScript Im Begleitartikel zum vorliegenden Beitrag hatte ich euch die (dringende) Notwendigkeit für einen JavaScript-Blocker aufgezeigt. Der ursprüngliche Zweck von JavaScript (die dynamische Inhaltsveränderung) spielt heute nur noch eine untergeordnete Rolle auf Webseiten. Hauptsächlich wird JavaScript von vielen Protagonisten für Zwecke »missbraucht«, die unkalkulierbare Folgen für die Sicherheit und die Privatsphäre eines (Webseiten-)Besuchers haben können. Insbesondere für die Werbe- und Trackingbranche ist JavaScript so etwas wie der heilige Gral, um den Nutzer seitenübergreifend zu tracken und anhand von diversen Merkmalen wiederzuerkennen. Für jeden sicherheits- und datenschutzbewussten Anwender ist es daher essentiell, der Web-Ressource JavaScript mit Skepsis zu begegnen. Im vorliegenden Beitrag der Serie »Firefox-Kompendium« möchte ich euch das Addon NoScript vorstellen, mit dem sich das Risiko für Sicherheit und Privatsphäre minimieren lässt, das mit der leichtsinnigen Einbindung von JavaScript in den Kontext einer Webseite einhergeht.
2. NoScript: Anfänger Bevor wir mit der Installation und Konfiguration von NoScript beginnen, möchte ich euch noch ein paar Hinweise mit auf den Weg geben: Grüne Wiese: Im Idealfall habt ihr euren Firefox neu installiert (oder ein neues Profil angelegt) und habt bisher lediglich den ersten, zweiten, dritten und vierten Teil der Artikelserie umgesetzt. Ausmisten: Wer hingegen sein bestehendes Firefox-Profil als Ausgangspunkt nimmt, der sollte vor der Installation von NoScript zunächst ausmisten und andere JavaScript-Blocker deinstallieren. Grundsätzlich ist NoScript eher für fortgeschrittene Nutzer geeignet. Ich bin allerdings der Meinung, dass Anfänger, die Wert auf Sicherheit und Privatsphäre legen, den Umgang mit NoScript in jedem Fall erlernen sollten. Ein JavaScript-Blocker ist mindestens genauso essentiell geworden, wie ein guter Adblocker (uBlock Origin).
Hinweis Das Addon ScriptSafe ist ebenfalls zur Blockierung / Freigabe von JavaScript geeignet. Allerdings passt NoScript besser in das Konzept der Artikelserie » Firefox-Kompendium «, weshalb ich mich für dieses Addon entschieden habe.
2.1 Installation Wie bei Firefox üblich wird NoScript am besten direkt über die Addon-Seite von Mozilla installiert. Folgt einfach diesem Link und klickt auf »+ Zu Firefox hinzufügen«. Seite 37 von 86 Anschließend muss die Installation mit einem Klick auf »Hinzufügen« bestätigt werden:
Nach einer erfolgreichen Installation wird das Icon von NoScript in der Symbolleiste (rechts oben im Eck) auftauchen:
Die Installation ist damit abgeschlossen und NoScript arbeitet mit den Standardeinstellungen, die wir allerdings anpassen werden. Die nachfolgenden Anpassungen (Ziffer 2.2) sind nicht zwingend erforderlich, erhöhen allerdings die Chance, dass insbesondere Anfänger eher mit NoScript zurechtkommen.
2.2 Konfiguration Was wollen wir ändern? NoScript ist genau genommen ein Content-Blocker, der nicht nur JavaScript, sondern eben auch die Einbindung weiterer Ressourcen (bspw. Schriftarten, Plugins) auf einer Webseite unterbinden kann. Für Anfänger ist das zunächst verwirrend, weshalb wir NoScript einzig für den Zweck einsetzen, die Ausführung von JavaScript zu kontrollieren. Aufgrund dieser »Vereinfachung« ist es notwendig, die Standardeinstellungen von NoScript anzupassen. Dazu öffnen wir über das NoScript-Symbol in der Symbolleiste die Optionen:
Seite 38 von 86
Unter »General« passen wir die Voreinstellung (Preset) von »DEFAULT« an. Außer bei »script« werden alle Häkchen gesetzt.
Beim Aufruf einer Webseite wird nun lediglich JavaScript blockiert und muss bei Bedarf manuell freigegeben werden. Bevor wir uns ein Praxisbeispiel anschauen, werfen wir zunächst einen Blick auf NoScript und die Trust-Zones.
2.3 Vertrauensstufen (Trust-Zones) Jeder Domain in NoScript wird eine Vertrauensstufe (Trust-Zone) zugeteilt. Standardmäßig befindet sich jede Domain zunächst unter der Standard-Vertrauensebene (DEFAULT), die wir unter Ziffer 2.2 gerade angepasst haben. Rufen wir eine Webseite auf, wird jede JavaScript-Ressource der Webseite (bspw. heise.de) zunächst durch NoScript blockiert:
Aus dem Screenshot lässt sich entnehmen, dass heise.de demnach von sieben unterschiedlichen Quellen JavaScript in die eigene Webseite einbindet. Einmal wird JavaScript von »heise.de« selbst eingebunden und anschließend wird JavaScript von sechs Drittanbietern wie »googletagservices.com« oder »ioam.de« nachgeladen. Insbesondere das Nachladen von JavaScript von externen Drittquellen geht mit unkalkulierbaren Risiken für die Sicherheit und Privatsphäre eines Besuchers einher. Um das Nachladen von JavaScript nun zu erlauben, unterscheidet NoScript zwischen verschiedenen Vertrauensstufen (Trust-Zones):
Seite 39 von 86
Die Vertrauensstufen im Detail: Default: Die Vertrauensstufe »Default« gilt standardmäßig für alle Webseiten / Domains. Die Vertrauensstufe gilt so lange, bis wir eine andere Vertrauensstufe definieren. Tun wir das nicht, gilt die Vertrauensstufe »Default« auch beim nächsten Besuch auf einer Webseite. Temp. Trusted: Die Vertrauensstufe »Temp. Trusted« erlaubt das Nachladen von JavaScript (bzw. anderer Ressourcen) temporär. Wird der Browser geschlossen oder innerhalb von NoScript die Funktion »Revoke Temporary Permissions« gewählt, werden alle temporären Freigaben wieder zurückgesetzt / verworfen. Trusted: Unter der Vertrauensstufe »Trusted« wird das Nachladen von JavaScript (bzw. weiterer Ressourcen) dauerhaft erlaubt. NoScript merkt sich diese Einstellung also permanent. Untrusted: Wer einer Webseite / Domain überhaupt nicht vertraut und dort neben JavaScript auch weitere Ressourcen wie Schriftarten oder HTML5-Elemente (Videos, Audio) dauerhaft blockieren möchte, der kann die Vertrauenszone »Untrusted« wählen. Custom: Die Vertrauensstufe »Custom« erlaubt das Nachladen von Ressourcen einzeln zu steuern. Diese Vertrauensstufe ist insbesondere für fortgeschrittene Nutzer von Interesse. Fassen wir zusammen: NoScript unterscheidet zwischen fünf unterschiedlichen Vertrauensstufen, wobei die Vertrauensstufe »Default« die Voreinstellung ist. Als Anfänger werdet ihr vermutlich hauptsächlich mit den Vertrauensstufen »Temp. Trusted« und »Trusted« arbeiten.
2.4 NoScript in Aktion Im Gegensatz zu den bisher vorgestellten Firefox-Addons arbeitet NoScript nicht »geräuschlos« im Hintergrund, sondern macht euer Mitwirken erforderlich. Viele Webseiten erfordern nun mal JavaScript, damit sie (überhaupt) funktionieren und ihr die gewünschten Aktionen ausführen könnt. Eure Aufgabe besteht nun darin, nur jene JavaScripts zuzulassen, die für die aufgerufene Webseite zwingend erforderlich sind. Dies herauszufinden ist nicht immer einfach und oftmals mit Ausprobieren verbunden. Im Folgenden ein Beispiel aus der Praxis: Online-Banking: ING-DiBa Ihr möchtet bspw. Online-Banking betreiben, was eine Anmeldung mit eurem Benutzernamen und korrekten Passwort erfordert. Nach dem Aufruf der Bank-Webseite werden alle JavaScript- Ressourcen zunächst von NoScript blockiert. Erst eine Freischaltung bzw. das Nachladen von JavaScript macht eine Authentifizierung überhaupt möglich – die ING-DiBa weist euch beim Log-In zum Online Banking direkt darauf hin: Javascript ist nicht aktiviert! Bitte überprüfen Sie die Browsereinstellungen und aktivieren Sie Javascript. Einen Hinweis zu den technischen Voraussetzungen erhalten Sie hier. Damit wir uns also beim Online-Banking der ING-DiBa einloggen können, müssen wir zunächst JavaScript erlauben. Das machen wir für die (Top-Level-)Domain »…ing-diba.de« zunächst temporär erlauben und prüfen, ob anschließend alles wie gewünscht funktioniert:
Seite 40 von 86
Funktioniert die Webseite anschließend wie gewünscht, dann könnt ihr die Vertrauensstufe auf »Trusted« setzen und so permanent speichern – also auch für den nächsten Besuch:
Hinweis Das grüne Schlosssymbol signalisiert euch übrigens, dass die JavaScript-Ressource(n) über eine TLS-verschlüsselte Verbindung nachgeladen wird. Wenn das Symbol rot ist, dann vertraut die Domain auch unverschlüsselten Verbindungen. Dies stellt ein Risiko dar, da unverschlüsselte Verbindungen anfällig für sogenannte Man-in-the-Middle-Angriffe (MITM) sind und euch dadurch jemand ein fremdes / schadhaftes JavaScript unterjubeln könnte. Achtet also darauf, dass das Schlosssymbol grün ist, bevor ihr einer Domain vertraut. Das empfohlene Vorgehen nochmal kurz zusammengefasst: Webseite aufrufen: Zunächst ruft ihr eure gewünschte Webseite / URL über Firefox auf. Webseite prüfen: Funktioniert die Webseite ohne JavaScript bzw. wenn alle von euch benötigten Aktionen durchführbar sind, müsst ihr nichts weiter tun. Das ist der Idealfall: Eine Webseite verzichtet vollständig auf JavaScript bzw. funktioniert auch ohne weitere NoScript-Freigabe. Temporär Erlauben: Wird JavaScript hingegen benötigt, dann arbeitet ihr mit den temporären Freigaben (Temp. Trusted). Eure Aufgabe besteht nun darin, nur jene JavaScripts zuzulassen, die für die aufgerufene Webseite zwingend benötigt werden. Dies herauszufinden ist nicht immer einfach und oftmals mit Ausprobieren verbunden. Permanent speichern: Wenn alles wie gewünscht funktioniert UND ihr die Seite häufig besucht, dann können wir die Vertrauensstufe von »Temp. Trusted« auf »Trusted« setzen – NoScript merkt sich die getroffene Entscheidung für die Webseite dann permanent. Im Grunde genommen ist die Nutzung / Bedienung von NoScript gar nicht so schwierig. Es ist lediglich Geduld erforderlich, um herauszufinden, welche JavaScript-Ressourcen auf einer Webseite zwingend freigegeben werden müssen, damit alles wie gewünscht funktioniert. Meist sind das höchstens ein bis zwei JavaScripts – aber Ausnahmen bestätigen bekanntlich die Regel.
3. NoScript: Fortgeschrittene Für fortgeschrittene Nutzer ist eine Kombination aus uBlock Origin und uMatrix vermutlich die bessere Wahl – diese Addon-Kombination bietet insgesamt eine ausgefeiltere / übersichtlichere
Seite 41 von 86 Kontrolle über das Nachladen von (externen) Ressourcen als bspw. uBlock Origin und NoScript. Im Folgenden werde ich dennoch auf die Kombination von uBlock Origin mit NoScript eingehen. Hinweis uMatrix wird in einem späteren Teil der Artikelserie vorgestellt und wird ausschließlich fortgeschrittene Nutzer adressieren.
3.1 Vertrauensstufen (Trust-Zones) anpassen Wie bereits unter Ziffer 2.2 aufgezeigt wird jeder Domain in NoScript eine Vertrauensstufe (Trust- Zone) zugeteilt. Diese Vertrauensstufe beeinflusst das Nachladen von diversen Ressourcen auf einer Webseite. Bevor wir die Standardeinstellung von NoScript anpassen, werfen wir zunächst einen Blick auf die Ressourcen, die NoScript verwalten / kontrollieren kann: script: Dabei handelt es sich um JavaScript, also alles was mit dem