Firefox/Sicheres Surfen

Ausbaufähige Anleitung

Dieser Anleitung fehlen noch einige Informationen. Wenn Du etwas verbessern kannst, dann editiere den Beitrag, um die Qualität des Wikis noch weiter zu verbessern.

Inhaltsverzeichnis
  1. Aktualisierung
  2. Sichere Passwörter
    1. Eingebaute Passwortverwaltung
    2. PwdHash
  3. Umgang mit Cookies
  4. Tracking-Schutz
    1. Eingebauter Tracking-Schutz
    2. Ghostery
  5. JavaScript
    1. NoScript
  6. Umgang mit Referrern
    1. Eingebauter Referrer-Schutz
    2. Smart Referrer
  7. Bleachbit
  8. Punycode aktivieren
  9. Links
    1. Intern
    2. Extern

Firefox/firefox-logo.png Man kann fragen: Warum sicheres Surfen? Wir arbeiten ja mit Linux und mit Firefox. Da kann ja nichts mehr passieren. Natürlich hat man mit dieser Aussage zum Teil Recht: Von Windows-Würmern und -Viren, die durch ActiveX das System infiltrieren, kann unter Linux nicht die Rede sein.

Es gibt aber auch Sicherheitslücken, die alle Betriebssysteme und Anwendungen betreffen, z.B. die bekannt gewordenen Schwachstellen in Intel-, AMD- und ARM-Prozessoren (Spectre). Hier müssen nicht nur die Prozessoren selbst, sondern auch Betriebssysteme und Anwendungen wie der Firefox-Webbrowser gepatcht werden.

Ein anderer Aspekt ist der Schutz der Privatsphäre im Internet: Das Surfverhalten jedes einzelnen wird protokolliert und zu Persönlichkeitsprofilen zusammengestellt. Mit Hilfe einiger Add-ons, die hier vorgestellt werden, kann man das Tracking erschweren und so seine Privatsphäre ein Stück weit schützen. Wer jedoch wirklich sicher und anonym im Internet unterwegs sein will, dem sei der Artikel Sicherheit/Anonym Surfen empfohlen.

Aktualisierung

In der Voreinstellung sucht Firefox beim Starten und anschließend 2-mal täglich selbständig nach einer aktualisierten Version auf dem Mozilla-Server. Gibt es ein Update, weist Firefox den Benutzer durch eine entsprechende Nachricht darauf hin.

Man kann auch manuell prüfen {de}, ob eine neue Firefox-Version verfügbar ist.

Hinweis:

Da das Bereitstellen neuer Pakete in den offiziellen Ubuntu-Repositories einiges an Zeit in Anspruch nimmt, kann es sein, dass Firefox zwar auf eine neue Version hinweist, diese aber noch nicht in Ubuntu verfügbar ist. Ein Update-Versuch über die Firefox-Hinweisnachricht, Hilfeseite oder Einstellungen schlägt dann fehl, sofern man Firefox über die Ubuntu-Paketquellen installiert hat.

Bei kritischen Sicherheits-Updates kann es daher sinnvoll sein, eine neue Firefox-Version – sobald diese verfügbar ist – von der offiziellen Mozilla-Homepage {de} herunterzuladen und manuell zu installieren. Weitere Informationen dazu sind auf der Wiki-Seite Firefox/Installation zu finden.

Eine Liste aller Fehlerbehebungen und neuen Funktionen der jeweils aktuellen Version ist hier {en} zu finden.

Sichere Passwörter

Jeder kennt das Problem, man registriert sich bei der x-ten Internetseite mit dem selben Login-Namen und dem selben Passwort. Unterschiedliche Logins zu verwenden ist ja unbequem und wer kann sich denn schon zig unterschiedliche Passwörter merken...

Am Ende nutzt man für "unwichtige" (und vielleicht sogar wichtige?!) Websites das tolle Passwort "1234", wie 2,5% der Surfer einer Chat-Community, deren verschlüsselte Passwort-Datenbank frei zugänglich war. Solch ein Passwort ist jedoch über eine Wörterbuchattacke in Sekunden geknackt.

Aber was tun? Sichere Passwörter lassen sich wie im Sicherheits 1x1 beschrieben erstellen. Doch auch hier stellt sich wieder das Problem, möchte man für jede Website ein eigenes Passwort nutzen, hat man gegen die inflationäre Vergrößerung des eigenen Passwort-Pools zu kämpfen. Schließlich benutzt man doch immer wieder das eigene "sichere" Passwort auf unterschiedlichen Websites und setzt sich der Gefahr aus, dass ein schwarzes Schaf unter den Websitebetreibern das übermittelte Passwort missbraucht oder es von jemand anderem "geklaut" wird.

Eingebaute Passwortverwaltung

Firefox bietet die Möglichkeit, alle eingegebenen Anmeldedaten (Benutzername und Passwort) für Webseiten intern zu speichern. Beim erneuten Aufruf derselben Webseite werden die gespeicherten Anmeldedaten dann automatisch in die Webseite eingetragen. Diese Option muss in den Sicherheitseinstellungen von Firefox nachträglich aktiviert werden.

Außerdem besteht die Möglichkeit, mehrere verschiedene Anmeldedaten pro Webseite zu verwalten, und einzelne Login-Daten wieder zu löschen. Mehr dazu im entsprechenden Support-Artikel {de} von Mozilla.

Achtung!

Mozilla empfiehlt {de} die lokal auf der Festplatte gespeicherten Anmeldedaten mit einem Master-Passwort zu schützen. Die Daten werden dann verschlüsselt gespeichert. Außerdem muss anschließend für die Benutzung dieser Funktion nach jedem Start von Firefox das Master-Passwort eingegeben werden, um auf die verschlüsselt gespeicherten Anmeldedaten zugreifen zu können.

Sicherheitsforscher haben allerdings schon seit längerem herausgefunden {de}, dass für diese Verschlüsselung ein unsicheres Verfahren angewendet wird. Die verschlüsselt gespeicherten Daten können somit von jedem relativ einfach entschlüsselt werden, sofern dieser Zugriff auf die lokale Festplatte hat.

Um das Problem zu umgehen, wird daher empfohlen auf einen separaten Passwortmanager zurückzugreifen.

PwdHash

./pwdhash.png An einer anderen Stelle setzt die Open-Source Lösung PwdHash {en} der Mitarbeiter Blake Ross, Dan Boneh und John Mitchell des Stanford Security Lab an. Die Erweiterung PwdHash {en} für Webbrowser wie Firefox verwandelt das für eine Website eingegebene Passwort zusammen mit der zugehörigen Domain automatisch in einen Hash-Wert.

Wie soll das Ganze nun funktionieren? Der User installiert das Plugin in seinen Browser und surft auf die die gewünschte Website (z.B. www.geheim.de), dort legt er sich einen neuen Account an, drückt jedoch vor der Eingabe des Passwortes F2 bzw. setzt vor das eigentliche Passwort zwei "@" Zeichen.

Dies sagt dem Add-on, dass das eingegebene Kennwort als Hash übermittelt werden soll, woraufhin es aus der Domain "www.geheim.de" und dem Passwort "ganzgeheim" das für diese Kombination absolut einmalige Passwort "EBLc2MnbBd2y" generiert und übermittelt.

Will man sich später wieder auf der Website einloggen muss man nicht dieses komplizierte Passwort eingeben, sondern drückt vor der Eingabe des Passwortes wieder F2 bzw. gibt "@@ganzgeheim" als Passwort an, was wieder PwdHash veranlasst den Hash zu übermitteln.

Möchte man existierende Accounts mit besseren Passwörtern versehen, so loggt man sich einfach mit den bekannten Daten ein und ändert das Passwort, wobei man die schon genannten Methoden F2 bzw. "@@" für das neue Passwort nutzt. Nach der Änderung ist das Hash-Passwort aktiv.

Sitz man also an einem Rechner auf dem ein Browser mit der PwdHash-Erweiterung installiert ist, muss man sich nur ein (oder natürlich auch mehrere) Passwörter merken, die man als Grundlage für die Hash-Codes verwendet, nicht jedoch kryptische Zeichenfolgen. Man hat also ohne ein Quentchen Komfort zu verlieren, ein Höchstmaß an Sicherheit!

  1. Passwörter wie EBLc2MnbBd2y, die nur durch extreme Gewalt (sprich Rechenzeit) zu knacken sind.

  2. Für jede Webseite ein eigenes Passwort.

Was aber wenn man am Arbeitsplatz oder an der Universität in einem Rechnerpool sitzt und die Erweiterung nicht installieren kann? Für diesen Fall wurde die Website https://pwdhash.github.io/website/ {en} eingerichtet. Auf dieser Seite läuft ein JavaScript, in das man die gewünschte Website und das Passwort eingeben kann und so den Hash-Code erhält. Dieses Script läuft lokal auf dem Rechner des Benutzers, sodass die Daten, laut den Angaben auf der Website, nicht an den Webserver der Stanford Universität übermittelt werden. Wegen möglicher Sicherheitsprobleme bei JavaScript (s. Kapitel JavaScript), sollte man allerdings eher das Add-on verwenden.

Umgang mit Cookies

Ein Cookie besteht aus einem Namen und dem dazugehörigen, meist kryptischen Wert, der für sich genommen eigentlich keinen Sinn ergibt. Cookies bieten den Betreibern von Webseiten aber die Möglichkeit, individuelle Einstellungen permanent im Browser des Besuchers zu hinterlegen. So kann beispielsweise eine Liste aller betrachteten Artikel auf einer Shopping-Seite einem Cookie zugeordnet werden. Die Liste wird auf dem Webserver in einer Datenbank gespeichert, das Cookie im Browser des Besuchers. Beim nächsten Aufruf der Shopping-Seite sendet der Browser dann das Cookie an den Webserver. Dieser sucht über das Cookie in seiner Datenbank nach der Liste der zuvor gespeicherten Artikel, und zeigt diese dem erstaunten Internet-Surfer auf der Eingangsseite an.

Cookies haben ihre Vor- und Nachteile. Sie machen einem das Surferlebnis leichter, indem man sich z.B. nicht immer wieder bei Foren oder anderen Webseiten anmelden muss. Sie erlauben jedoch auch Rückschlüsse auf das Surfverhalten des Internetbenutzers und können Sicherheitsrisiken darstellen. Eine optimale Konfiguration für Cookies ist im Artikel Sicherheit/Anonym Surfen beschrieben.

Firefox bietet einige Optionen {de} an, um mit Cookies umzugehen. In neueren Firefox-Versionen kann man nicht nur allgemein, sondern auch ganz gezielt für einzelne Webseiten Berechtigungen festlegen, die von den Standardeinstellungen abweichen. Dies ist im Sicherheits-1x1 beschrieben.

Alle Cookies einer bestimmten Webseite lassen sich ebenfalls über die Firefox-Einstellungen löschen {de}. Nur einzelne Cookies einer Webseite zu löschen macht im Allgemeinen keinen Sinn, da dessen genaue Bedeutung sowieso nur der Betreiber der jeweiligen Webseite kennt. Firefox bietet diese Option daher auch nicht an. Wer das trotzdem möchte, muss dazu ein entsprechendes Add-on installieren.

Ebenfalls besonders erwähnenswert sind Cookies von Drittanbietern, die häufig für Werbezwecke eingesetzt werden. Was sich genau dahinter verbirgt, und wie man diese blockiert, beschreibt Mozilla auf einer eigenen Support-Seite {de}.

Wer neugierig ist, kann sich alle Cookies der aktuellen Webseite im sogenannten Speicher-Inspektor ansehen (Menüpunkt "Web Entwickler" -> "Speicher-Inspektor").

Tracking-Schutz

Da in der Browser-Konfiguration die Verwendung von Cookies stark eingeschränkt werden kann (s. oben), verwenden Webseitenbetreiber andere und immer ausgefeiltere Methoden, um einen Benutzer über mehrere Webseiten hinweg zu verfolgen. Neben eindeutigen Elementen innerhalb der Webseite (z.B. kleine Bilder), können beispielsweise auch Größe und Position des Browser-Fensters, leichte Unterschiede in Grafik- und Audio-Ausgabe oder sogar vom Benutzer installierte Schriftarten ausgewertet werden, um einen Webseitenbesucher eindeutig zu identifizieren. Weitere Information darüber sind im Wiki-Artikel Sicherheits-1x1 zu lesen.

Eingebauter Tracking-Schutz

Ab Version 42 verfügt Firefox über einen eigenen Tracking-Schutz, der allerdings erst manuell in der Konfiguration aktiviert {en} werden muss. Alternativ dazu führt eine Mozilla-Webseite {de} durch die Konfiguration und erklärt die Funktionsweise. Anschließend wird über ein Symbol links in der Adresszeile angezeigt, sobald Tracking-Inhalte auf einer Webseite blockiert werden. Durch einen Klick auf das Symbol wird ein Button angezeigt, um geblockte Inhalte auf dieser Seite wieder zuzulassen. Im sogenannten "Privaten Modus" ist der Tracking-Schutz automatisch aktiviert.

Mehr dazu auch vom Mozilla-Support unter Schutz vor Verfolgung von Aktivitäten in Firefox {de}.

./ghostery_bubble.png

Ghostery

Ghostery {en} ist ein Add-on, das ebenfalls anzeigt, ob das Surfverhalten auf der gerade besuchten Seite ausgespäht wird und blockiert die Tracker gegebenenfalls. In der Statusleiste wird nach der Installation ein kleines Geist-Symbol wie z.B. ./ghostery_block.png eingeblendet, welches die Anzahl der gefundenen Zählpixel (Web-Wanzen) anzeigt. Außerdem wird beim Besuch einer neuen Internetseite in einer kleinen Infobox angezeigt, mit welchen Mitteln die jeweiligen Seite das Surfverhalten erfasst. Der Quellcode der gefundenen Skripte kann mit der Erweiterung eingesehen werden.

Nach der Übernahme von Ghostery durch die Burda-Tochter Cliqz {de} zu Beginn des Jahres 2017 ist das Tool allerdings vermehrt in die Kritik geraten, u.a. wegen der kommerziellen Verknüpfung zu Cliqz und der schlechten Erkennungsraten in der Grundeinstellung {de}. Um mehr Transparenz zu schaffen, wurde Ghostery 2018 in Open-Source-Software umgewandelt. Die Erkennungsrate versucht Ghostery mit Künstlicher Intelligenz (KI) zu verbessern.

JavaScript

JavaScript (JS) ist eine objektbasierte Skriptsprache, die von der ehemaligen Firma Netscape entwickelt wurde, um statische HTML-Seiten dynamisch zu gestalten. Das Skript wird dabei im Browser, also auf dem Endgerät des Benutzers, ausgeführt. Damit lassen sich praktische Dinge wie interaktive Menüs gestalten, aber auch nervende und prozessorlaststeigernde Werbeticker, Bitcoin-Miner {de} oder animierte Schneeflocken erzeugen, welche speziell zur Weihnachtszeit ein Muss für manche Websites sind. Auf kommerziellen Webseiten wird JavaScript häufig genutzt, wenn man z.B. nach bestimmten Produkten suchen möchte oder den Support-Bereich verwendet.

Achtung!

Leider gab es schon öfters Schwachstellen in der Implementierung von JavaScript in Webbrowsern oder Email-Programmen, so dass auch echte Sicherheitslecks durch JS bestanden.

Bezüglich der Spectre-Sicherheitslücken in Prozessoren gilt Firefox aber durch eine Anpassung der JavaScript-Engine als eher sicher {de} . Völlig ausschließen können Sicherheitsforscher die Ausnutzung der Spectre-Sicherheitslücke "Variante 1" unter Firefox allerdings nicht {en}.

Firefox bietet selbst nur die Möglichkeit, JavaScript komplett, d. h. auf allen Seiten zu deaktivieren. Da aber viele Seiten nur mit JavaScript vollständig funktionieren, ist dieses Vorgehen wenig empfehlenswert. Für Firefox gibt es das Addon NoScript, das einem erlaubt, aktive Inhalte generell zu deaktivieren und erst mit einem Mausklick zu erlauben oder eine Ausnahmeregel für eine Seite festzulegen. Das Pendant für Chromium heißt ScriptBlock {en}.

NoScript

Die Firefox-Erweiterung NoScript {en} bietet die Möglichkeit, eine JavaScript-Whitelist (auf Deutsch: eine Positiv-Liste) aufzubauen. In dieser Liste werden alle Websites aufgeführt, die JavaScript ausführen dürfen. Bei allen anderen Websites wird JavaScript geblockt.

./NoScript2.png

Durch Linksklick auf das NoScript-Symbol und auf "xyz erlauben" wird die Seite xyz automatisch (und auch zukünftig!) mit den neuen Einstellungen neu geladen - ein manuelles Einfügen in die Whitelist ist daher unnötig. Sofern auf der Seite auch Skripte von anderen Websites enthalten sind, sind diese im NoScript-Menü extra erwähnt. Häufig handelt es sich dabei um "Datensammler" wie DoubleClick oder Google Analytics - diese Websites müssen üblicherweise nicht in die Whitelist aufgenommen werden, da die eigentliche Website trotzdem funktioniert. In diesem Fall wird von NoScript in der Firefox-Statusleiste die Meldung ausgegeben: "Skripte sind teilweise erlaubt".

Außer JavaScript kann NoScript außerdem noch Plugins blockieren. Dies lässt sich in den NoScript-Einstellungen unter "Eingebettete Objekte" konfigurieren. Ist auch bei "Platzhaltersymbol anzeigen" ein Haken gesetzt, wird auf geblockten Seiten mit z.B. einer Flash-Animation an deren Stelle ein "Platzhalter" angezeigt, der ähnlich wie ein "Parkverbot"-Schild aussieht - ein Beispiel ist auf der Noscript-Homepage zu sehen. Ein Klick auf diesen Platzhalter erlaubt in diesem Falle Flash temporär, ohne dass die Seite in die Whitelist aufgenommen werden muss.

Was von Noscript geblockt wird, wird im Übrigen in der Firefox-Statusleiste angezeigt. Beispiel:

Skripte sind momentan verboten | <SCRIPT>: 8 | <OBJECT>: 1

Das bedeutet, dass 8 JavaSkript- und 1 Plugin-Element geblockt werden. Diese Informationsleiste lässt sich auch über "Benachrichtigungen" in den NoScript-Einstellungen deaktivieren oder nach einer gewissen Zeit ausblenden.

Mehr Informationen zu den weiteren Funktionen von NoScript bietet die NoScript-Website {en}.

Umgang mit Referrern

Browser senden beim Aufruf einer Webseite dem Webserver (und den z.B. in der Webseite eingebundenen Werbenetzwerken) die URL der zuletzt besuchten Webseite (siehe Referrer). Nicht nur der Host und Pfad in der URL können dabei unerwünschte Rückschlüsse zulassen, sondern insbesonders auch an die URL angehängte Abfrageinformationen.

Eingebauter Referrer-Schutz

Um das zu verhindern, blockiert Firefox im Privaten Modus die Weitergabe des Referrers an Dritte {en}. Der Referrer wird also weiterhin an denselben Webserver übertragen, nicht aber an andere Webserver oder Werbenetzwerke. Über about:config kann das Verhalten auch für den normalen Modus konfiguriert {en} werden.

Smart Referrer

Mit Smart Referrer {en} sendet der Browser einen Referrer nur, solange man auf der gleichen Domain einer Website bleibt. Weitergehend konfigurieren lässt sich das Add-on unter "Extras -> Add-ons -> Smart Referrer -> Einstellungen". Dort lassen sich beispielsweise Ausnahmen definieren wie mit Subdomains umgegangen wird, oder wie der Referrer ersetzt werden soll.

Bleachbit

Das Programm ist als Systembereinigungsprogramm nicht nur für Firefox interessant. Weitere Informationen sind im separaten Artikel Bleachbit zu finden.

Punycode aktivieren

Viele Browser zeigen statt des Unicode-Zeichens den entsprechenden Punycode in der Adresszeile an. Bei Firefox muss diese Funktion allerdings extra freigeschaltet werden. Um zu überprüfen, ob der eigene Browser anfällig für diese Art von Phishing ist, kann man folgende Webseite besuchen: https://www.xn--e1awd7f.com. Erscheint in der Adresszeile der (offensichtlich falsche) Text https://www.еріс.com, sollte man Firefox entsprechend umkonfigurieren.

Hierzu muss wieder about:config aufgerufen werden. Dort sucht man nach IDN_show_punycode. Den Wert setzt man durch einen Doppelklick auf true. Ein Neustart des Browsers ist nicht notwendig.

Intern

Extern