Tobias Scheible Cyber Security & IT-Forensik Dozent
Firefox Datenschutz Optionen

Firefox Security-Tuning in vier Schritten

Die Sicherheit von Web-Browsern hat sich in den letzten Jahren immer weiterentwickelt. Mittlerweile sind alle Browser auf Augenhöhe, selbst der Internet Explorer. Angriffe sind eigentlich nur noch sehr komplex möglich und erfordern viel Know-how und gleichzeitig werden Lücken sehr schnell geschlossen. Allerdings gibt es Angriffsmöglichkeiten über Plugins wie Flash und Java, um die man sich kümmern muss, und die Anonymität kann auch noch deutlich verbessert werden.

Mittwoch, 07. Mai 2014
2 Kommentare

Der Browser-Fingerabdruck

Panopticlick - Electronic Frontier Foundation
Panopticlick – Browser-Fingerabdruck-Test
Panopticlick - EFF Panopticlick – Browser-Fingerabdruck-Test

Jeder Web-Browser hinterlässt gewisse Spuren im Internet. Diese Spuren sind zum einen die technische Eigenschaften des Browsers selbst und zum anderen individuelle Daten, die von Websites in Form von Cookies gespeichert werden. Welche Daten von Websites ausgelesen werden können, zeigt eindrucksvoll der Browser-Fingerabdruck-Test Panopticlick der Electronic Frontier Foundation, eine Nichtregierungsorganisation, die sich für Grundrechte im Informationszeitalter einsetzt. Bei diesem Test wird ein digitaler Fingerabdruck der eigenen Systemkonfiguration erstellt. Und so kann ein Web-Browser wieder erstaunlicherweise eindeutig identifiziert werden. Zum Beispiel sind die vorhandenen Schriftarten davon abhängig, welche Programme installiert worden sind. Mit Flash können sie einfach ausgelesen werden. Diese Methode wird auch schon aktiv von Unternehmen genutzt. Im Nachfolgenden zeige ich euch drei Schritte, wie dies weitgehend verhindert werden kann und dadurch gleichzeitig die Sicherheit erhöht wird.

1. Plugins nur mit Bestätigung ausführen

Firefox Flash bei Bedarf
Firefox – Plugins nur mit Bestätigung ausführen
Firefox Flash Plugins Firefox – Plugins nur mit Bestätigung ausführen

Da verstärkt Angriffe über installierte Plugins wie Java oder Flash stattfinden, sollten diese nicht immer aktiv sein. Früher war es relativ aufwendig, diese immer zu deaktivieren und bei Bedarf wieder zu aktivieren. Mittlerweile bringt Firefox von Haus aus eine Funktion mit, die eine Aktivierung nur bei Bedarf bequem ermöglicht. Um diese Funktion zu aktivieren, musst du einfach ganz rechts oben auf das Icon klicken, um das Menü zu öffnen, und dann „Add-ons“ auswählen. Jetzt wählst du links in der Auswahl „Plugins“ aus und siehst die installierten Plugins. Ganz rechts siehst du bei jedem Plugin ein Dropdownmenü mit dem Eintrag „Immer aktivieren“. Stell dies einfach auf „Nachfragen, ob aktiviert werden soll“, damit sie nicht ständig aktiv sind. Sind noch weitere Plugins installiert, die du eigentlich nicht benötigst, kannst du sie mit der Option „Nie aktiveren“ einfach ausschalten. Nun werden „böse“ Flash- bzw. Java-Inhalte nicht mehr automatisch ausgeführt.

2. Datenschutz Einstellung

Firefox Cookie Einstellung
Firefox Datenschutz Einstellung
Firefox Einstellungen Firefox Datenschutz Einstellung

Im nächsten Schritt nehmen wir uns nun den Cookies an. Dazu öffnest du wieder das Menü und wählst dieses Mal die Einstellungen aus und wechselst im Einstellungs-Dialog auf den Reiter „Datenschutz“. Ich verwende die Einstellung, dass Cookies nur so lange gespeichert werden, wie Firefox geöffnet bleibt und akzeptiere grundsätzlich keine Cookies von Dritten. Um diese Einstellungen vorzunehmen, wähle bei der Rubrik Chronik die Option „nach benutzerdefinierten Einstellungen anlegen“ aus. Und setze danach die Einstellungen „Cookies von Drittanbietern akzeptieren:“ auf „Nie“ und „Behalten, bis:“ auf „Firefox geschlossen wird“.

3. Verfügbare Plugins verstecken

Wie du oben im Fingerabdruck-Test gesehen hast, können die verfügbaren Plugins von Firefox per JavaScript ausgelesen werden. Um dies zu verhindern musst du allerdings die Konfiguration von Firefox manuell ändern. Gib dazu in der Adressleiste „about:config” ein und bestätige deine Eingabe mit der Enter-Taste. Danach erscheint ein Hinweis, den du mit dem Button „Ich werde vorsichtig sein, versprochen!“ ohne weiteres bestätigen kannst. Anschließend suchst du oben im Suchfeld der Einstellungen nach dem Schlüsselwort „plugins.enumerable“. Klicke nun doppelt auf diesen Eintrag um den Wert zu ändern. Lösche alle Einträge aus dem Feld, so dass diese leer ist, und bestätige die Änderungen mit einem Klick auf den Button „OK“.

4. Nützliche Erweiterungen – Firefox Add-Ons

Nachdem die Möglichkeiten der Einstellungen nun ausgeschöpft sind, kannst du mit Add-ons noch eine Feinjustierung vornehmen.

Werbung und Tracking blockieren

Werbe-Blocker
Firefox – AdBlock Edge Add-on
Tracking blockieren Firefox – AdBlock Edge Add-on

Ein sehr nützliches Add-on ist AdBlock Edge. Damit kannst du Werbung, Tracking und Social Media Integrationen blockieren. Was zum einen deine Geschwindigkeit beim Surfen erhöht und zum anderen nervige Schnüffler vom Leib hält. Rufe dazu einfach die Seite auf und klicke auf “Zu Firefox hinzufügen” und dann auf “Erlauben” und nach dem Download noch auf “Jetzt installieren”. Nach einer erfolgreichen Installation kommt die Bestätigungsseite. Um weitere Filter hinzuzufügen, klickst du auf „Filtereinstellungen“, standardmäßig ist nur die “EasyList” hinzugefügt. Klicke rechts oben auf “Filterabonnement hinzufügen…” und wähle anschließend die Liste “EasyPrivacy + EasyList” aus und füge sie mit einem Klick auf den Button “Add” hinzu. Die Liste “Fanboy’s Social Blocking List” kannst du gleich hinzufügen. Durch diese Kombination aus den unterschiedlichen Listen wird jetzt bei dir ein Großteil aller unerwünschten Inhalte geblockt.

Browser-Kennung verschleiern

Firefox Browser und Betriebssystem Kennung
Firefox – Random Agent Spoofer
Firefox Betriebssystem verschleiern Firefox – Random Agent Spoofer

Wie du beim Fingerabdruck gesehen hast, kann ganz einfach der verwendete Web-Browser und das Betriebssystem ausgelesen werden. Diese Daten werden als User-Agent bezeichnet. Um diese Information nicht preiszugeben, gibt es das Add-on Random Agent Spoofer, welches dir nach einer zufälligen Zeitspanne eine neue User-Agent Identifizierung generiert. Nach der Installation erscheint oben in deinem Firefox neben dem Suchfeld die Silhouette einer Person, das Icon des Add-on. Zur Konfiguration klickst du mit der linken Maustaste auf dieses Icon und wählst die Option „Random (Desktop only)“ und direkt darunter „Random“ aus. Wenn du nun mit der rechten Maustaste auf das Icon klickst verfärbt es sich blau und ist somit aktiviert.

Ein Web-Browser kann immer noch durch gezielte Abfragen von Funktionalitäten identifiziert werden. Wenn z. B. nur der Firefox Web-Browser ein Video mit einem bestimmten Codec abspielen kann, so ist dieser eindeutig identifiziert, wenn das Video startet. Diese Verschleierungsmethode sorgt zumindest bei den Tracking-Unternehmen für Verwirrung und nicht alle setzen solche raffinierte Erkennungsmethoden ein.

JavaScript steuern

Als letztes Add-on solltest du noch NoScript installieren, um JavaScript unter Kontrolle zu bekommen. Der optimale Fall ist natürlich, dass JavaScript über die Option „Skripte allgemein verbieten (empfohlen)“ komplett deaktiviert wird und bei Bedarf für eine Seite aktiviert wird. Da aber mittlerweile sehr viele Seiten JavaScript auch für Menüs und ähnliches verwenden, kann es manchmal sehr anstrengend werden. Ich bin dazu übergegangen, JavaScript immer aktiviert zu lassen und nur bei speziellen Seiten zu verbieten. Zwar nicht optimal, aber am praktikabelsten. Hier muss jeder für seine jeweilige persönliche Situation abwägen.

Browser-Fingerabdruck im Check

Firefox abgesichert
Panopticlick – Browser-Fingerabdruck-Test
Firefox optimiert Panopticlick – Browser-Fingerabdruck-Test

Nachdem die ganzen Optionen konfiguriert worden sind, ist es interessant, noch einmal zu Panopticlick zurückzukehren, und den Test noch einmal auszuführen. Als erstes ist sichtbar, dass deine Web-Browser Kennung (User Agent) nicht mehr die gleiche ist und die verwendeten Schriftarten nicht mehr ausgelesen werden können. Es können also nur noch deutlich weniger Daten ausgelesen werden und Teile der restlichen Daten ändern sich kontinuierlich – ein weiterer Schritt in Richtung Anonymität.

Wer noch mehr Sicherheit benötigt, sollte ein Live-Linux von einer DVD aus starten, zum Beispiel das c’t Surfix System. Dies bietet den Vorteil, dass keine Daten verändert werden können.

Wer mehr Anonymität benötigt und die eigene IP-Adresse verschleiern möchte, sollte zum Tor Browser Bundle greifen.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

VDI Cyber Security Workshop - Präsentation & Links › Cyber Security Blog am 26. Mai 2014 um 08:01 Uhr

[…] Security+ Blog: Firefox Security-Tuning in vier Schritten+ Blog: Anonym Surfen mit dem Tor Browser […]

Ivona am 19. Juni 2014 um 11:22 Uhr

Interessante Tipps.
Danke.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.