[[Vorlage(Getestet, general)]] {{{#!vorlage Wissen [:Sicherheits-Einmaleins:] [:Firefox/Sicheres Surfen:Sicheres Surfen mit Firefox] [:Rechte: Rechte für Dateien und Ordner ändern] }}} [[Inhaltsverzeichnis(2)]] >Wir befinden uns im Jahre 2015 n.Chr. Das ganze Internet wird von der NSA kontrolliert... Das ganze Internet? Nein! Eine von unbeugsamen Kryptographen und Entwicklern bevölkerte Open Source Welt hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für die Legionäre, die als Besatzung in den befestigten Lagern NSA, GCHQ, CSEC, GCSB und ASIS liegen... ([heise:-2514013:Quelle] {de}) Dieser Artikel beschäftigt sich mit den Grundlagen des [wikipedia:Anonymität: anonymen] Surfens. Es gibt inzwischen sehr ausgefeilte Techniken, Internetnutzer im Netz zu verfolgen und ein ausführliches [https://www.selbstdatenschutz.info/datenkraken/ Persönlichkeitsprofil] {de} von jedem einzelnen Menschen zu erstellen. Durch [wikipedia:Tracking:] wird aus kleinen, weit verteilten Datenbröckchen und Spuren, die beim Surfen hinterlassen werden, mit großer Treffergenauigkeit ein umfassendes Profil zu Interessen, Kontaktpersonen, Einkommen, Aufenthaltsorten, Arbeitsverhältnis, Kaufinteressen, sexuellen Vorlieben, Gesundheitszustand und vielem mehr erstellt. Dahinter stehen hauptsächlich wirtschaftliche und politische Interessen. Die wirtschaftlichen Interessen liegen insbesondere in der Werbung und damit auch im Handel mit persönlichen Daten und Vorlieben. Die Größe dieses Markts wird zumeist unterschätzt. Politische Interessen sind vorbeugende Überwachung der Bürger und die Suche nach Rechtsvergehen im kleinen wie im großen Maße. Sehr bekannte Datensammler aus dem Bereich der Wirtschaft sind z.B. [wikipedia:Google:] und [wikipedia:Facebook:], die weit mehr Daten sammeln, als freiwillig bekannt gegeben werden. Auf fast jeder Webseite ist Google im Hintergrund präsent und verfolgt die Aktionen der Besucher. Auch Facebook sammelt die Bewegungsdaten seiner Besucher und analysiert sie, auch über facebook.de hinaus - über den "like"-Button werden Facebook-Besucher wiedererkannt, auch wenn sie ihn nicht anklicken. Auch Werbeeinblendungen verschiedenster Anwender enthalten Code zum Sammeln von Informationen. Die umstrittene [wikipedia:Vorratsdatenspeicherung:] in Deutschland von 2007 wurde 2010 vom Bundesverfassungsgericht gestoppt. Diese Entscheidung wurde Anfang 2014 indirekt vom Europäischen Gerichtshof (EuGH) bestätigt, der die dem deutschen Gesetz zu Grunde liegende EU-Richtlinie für ungültig erklärte. Dennoch stimmte der Deutsche Bundestag im Oktober 2015 und der Bundesrat im November 2015 für einen erneuten Gesetzentwurf der Bundesregierung zur Wiedereinführung der Vorratsdatenspeicherung – wenn auch in geringem Umfang und mit besseren Kontrollmechanismen. Mehrere Organisationen und Personen haben Beschwerden gegen das Gesetz vor dem Bundesverfassungsgericht angekündigt. {{{#!vorlage Warnung Anonym zu surfen ist ein Konzept und kann nicht durch die alleinige Installation eines Programms erreicht werden. Es ist notwendig, sich selbst weiter zu informieren. Ausführliche Hintergrundinformationen finden sich z.B. auf der Seite [https://www.selbstdatenschutz.info/ selbstdatenschutz.info] {de} und im [https://www.privacy-handbuch.de/ Privacy-Handbuch] {de}. }}} = Browser = Während es früher noch genügte, die eigene IP-Adresse zu verschleiern und [wikipedia:Cookie:Cookies] und [wikipedia:JavaScript:] zu deaktivieren, ist dies heute bei weitem nicht genug. Der technische Fortschritt ist auch in der Analyse und Wiedererkennung der Browser gewaltig vorangeschritten. Einen ersten Eindruck verschafft [#Erkennungsmerkmale-beim-Surfen Erkennungsmerkmale beim Surfen]. Komplettpakete, die die technische Seite der Anonymität gut abdecken, sind z.B. das [:Tor/Installation:Tor Browser Bundle] (TBB) und [:Tor/Programme zur Nutzung von Tor konfigurieren#Anonymisierung-mit-JonDoFox:JonDoFox] bei Verwendung von Tor und/oder Jondo. Andere Browser außerhalb der Komplettpakete lassen sich leider nur sehr schlecht anonymisieren. [#berpruefung-der-Anonymitaet-des-eigenen-Browsers Überprüfung der Anonymität des eigenen Browsers] == Einschränkungen durch anonymes Surfen == Bei Nutzung der Komplettpakete fällt auf, dass JavaScript, Cookies und Flash deaktiviert sind. Dies hat den Grund, dass sich über JavaScript die echte ID des Surfers (und noch einiges mehr) ermitteln lässt und Cookies über Jahre hinweg das eindeutige Wiedererkennen eines Surfers ermöglichen. Flash verrät ebenfalls die echte ID und setzt eine besondere Form von "Supercookies" ein. JavaScript, Flash und Cookies sind also Sicherheitslücken und dürfen nur in Ausnahmefällen bei sehr vertrauenswürdigen Webseiten aktiviert werden (wobei bedacht werden muss, dass auch vertrauenswürdige Webseiten unwissentlich kompromittiert sein können). Leider funktionieren einige Webseiten nur mit JavaScript, Flash und/oder Cookies. Für solche Fälle bieten die Komplettpakete zur Kontrolle und Verwaltung das Add-on NoScript und ein Cookie-Add-on an. Siehe dazu [#Aktive-Inhalte Aktive Inhalte] und [#Cookies Cookies]. Die Suchmaschine von Google verweigert oft ihren Dienst, wenn man anonym surft. Gute Alternativen sind [https://duckduckgo.com/ DuckDuckGo] {de} {en}, [https://startpage.com/deu/ Startpage] {de}, [https://www.qwant.com/ qwant.com]{de}, und [https://www.metager2.de/ Metager2] {de}. Beispielsweise Startpage liefert Google-Ergebnisse, ohne dass man Google selbst aufrufen muss. Eigene Suchergebnisse und und einen starken Fokus auf Datenschutz bietet die französische Suchmaschine Qwant. == Google Chrome == Der Browser [wikipedia:Google Chrome:] wird vielfach kritisch betrachtet, da Google einer der größten Datensammler der Welt ist. Die unter Ubuntu aus den offiziellen Paketquellen installierbare freie Browser-Variante [:Chromium:] ist von diesen Problemen weniger betroffen, hängt aber dennoch stark von Google ab. Siehe auch [:Chromium#Unterschiede-zwischen-Google-Chrome-und-Chromium:Unterschiede zwischen Google Chrome und Chromium]. Allerdings ist darauf [:Chromium#Datenschutz-und-Privatsphaere:hinzuweisen], dass die Unterschiede hinsichtlich der Privatsphäre über entsprechende Einstellungen auch in Google Chrome reduziert werden können. Einige der im folgenden vorgestellten Maßnahmen gelten für alle Browser und nicht nur für Google Chrome bzw. Chromium, dürften jedoch mit Blick auf Bedenken hinsichtlich eines "User-Trackings" durch Google besonders relevant sein: * In Menü ''Einstellungen'' -> ''Erweiterte Einstellungen anzeigen'' -> ''Inhaltseinstellungen'' empfiehlt sich, die Punkte "Drittanbieter-Cookies und Websitedaten blockieren" und "Lokale Daten nach Beenden des Browsers löschen" zu wählen. Damit erreicht man, dass Cookies und andere Webseitendaten nur für die jeweilige Browser-Sitzung gespeichert werden, während sog. Drittseiten-Cookies (und -Daten) generell geblockt werden. Ein radikaleres Vorgehen ist das grundsätzliche Verbieten von Cookies, das allerdings dazu führt, dass viele Webseiten nicht mehr richtig funktionieren. Das Erlauben von Sitzungscookies ist daher ein pragmatischer Kompromiss. * Als Standardsuchmaschine ist Google vorgegeben, Alternativen sind jedoch bereits unter ''Einstellungen'' -> ''Suche'' -> ''Suchmaschinen verwalten'' vorhanden. Weitere Suchmaschinen wie [https://startpage.com/deu/ Startpage] {de}, die großen Wert auf die Privatsphäre legen, können leicht hinzugefügt und jeweils über ''Suchmaschinen verwalten'' als Standardsuchmaschine festgelegt werden. * Als Chrome- und Chromium-spezifische Maßnahme kann zusätzlich zur Installation eines [:Chromium/Erweiterungen#Werbeblocker:Werbeblockers] der folgende [:Chromium#Startparameter:Startparameter] hinzugefügt werden (wodurch die genannten Google-Dienste geblockt werden): {{{ --host-rules="MAP *.google-analytics.com 127.0.0.1","MAP *.googleadservices.com 127.0.0.1","MAP *.doubleclick.net 127.0.0.1" }}} Einfacher geht es mit einer von Google selbst angebotenen [#Google-Analytics-Opt-Out Erweiterung], die für verschiedene Browser angeboten wird. * Eine ganze Reihe weiterer Einstellungen für den Bereich Privatsphäre lässt sich durch das Add-on [https://chrome.google.com/webstore/detail/privacy-manager/giccehglhacakcfemddmfhdkahamfcmd Privacy Manager] komfortabel festlegen. U.a. lässt sich damit einstellen, dass bei einem Neustart von Google Chrome z.B. der Inhalt des Browsercache und andere Daten automatisch gelöscht werden. Für das manuelle Löschen solcher Daten während einer Sitzung eignet sich die Add-ons [https://chrome.google.com/webstore/detail/history-eraser/gjieilkfnnjoihjjonajndjldjoagffm?hl=de History Eraser] {de} und [https://chrome.google.com/webstore/detail/clickclean/ghgabhipcejejjmhhchfonmamedcbeod Click&Clean] {de}. Eine Übersicht der von Google Chrome lokal gepeicherten Daten findet man unter [https://www.hotcleaner.com/web_storage.html Google Chrome Browser Client-Side Storage] {en}. * Auch der [:Adobe_Flash:Flash-Player] speichert Daten, die die Privatsphäre berühren. Hinweise zum Einstellungs-Manager finden sich auf der Webseite von [https://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager.html#124401 Adobe] {de}. Zu beachten ist, dass bei Google Chrome (nicht bei Chromium) eine Version des Adobe Flash Players [:Chromium#Unterschiede-zwischen-Google-Chrome-und-Chromium:integriert] ist. Dieser speichert Flash-Cookies nicht im [:Adobe_Flash#Flash-Cookies:üblichen] Ordner ab, sondern unter '''~/.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects'''. Bereits vorhandene Flash-Cookies kann man mit dem folgenden Befehl entfernen: {{{#!vorlage Befehl rm -rf ~/".config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/" }}} Eine Alternative ist das o.g. Add-on Click&Clean: Hier sollte man die Option ''"Plug-in-Daten löschen"'' aktivieren. Schließt man zukünftig Google Chrome mit Klick auf das Add-on-Symbol und "Browser sicher schließen", werden alle Daten unterhalb des genannten Ordners gelöscht (das Hinzufügen einer ''deny''-Regel für diesen Ordner in einem eventuell vorhandenen [:AppArmor:]-Profil für Google Chrome empfiehlt sich nicht, da dann Videos auf diversen Seiten nicht mehr funktionieren). * Weitere Hinweise/Tipps hinsichtlich der Privatsphäre finden sich in der Anleitung [https://anonymous-proxy-servers.net/wiki/index.php/Anonym_Surfen_mit_Google_Chrome Anonym Surfen mit Google Chrome] {de} (zuletzt aktualisiert am 22.01.2016). = E-Mail = E-Mails enthalten sehr personengebundene und oft intime Daten, die sich eindeutig zuordnen lassen, und sind damit für Datensammler besonders wertvoll. Ein großes Problem geht bereits vom den E-Mail-Anbietern selbst aus, die private E-Mails beispielsweise an Behörden weitergeben können bzw. müssen oder die Kundendaten für Werbezwecke auswerten und die gewonnenen Informationen verkaufen. Prominente Beispiele sind meist die kostenlosen Anbieter wie [https://www.gmx.de GMX] {de} , [https://www.t-online.de T-Online] {de} oder [https://www.web.de web.de] {de} und nicht zuletzt [:Gmail:]. Versteckt in den AGB erklärt sich jeder Nutzer mit der Weitergabe persönlicher Daten einverstanden. Ein anderes Problem ist, dass E-Mails traditionell unverschlüsselt über mehrere Zwischenschritte übertragen werden und somit auf dem Transportweg ausgespäht oder manipuliert werden können. Zwar kommt auch hier zunehmend verschlüsselte Übertragung zum Einsatz, sie wird aber nicht erzwungen, sodass man immer davon ausgehen muss, dass an verschiedenen Stellen mitgelesen werden kann. Siehe dazu auch das [https://www.privacy-handbuch.de/handbuch_31.htm Privacy-Handbuch zum Thema E-Mails] {de}. == E-Mail-Provider == Es kostet viel Geld, einen zuverlässigen Mailservice bereitzustellen. Daher sollte man sich immer fragen, womit ein Anbieter sein Geld verdient. Kostenlose E-Mail-Provider leben in der Regel von Werbung und Datenverkauf. Insbesondere amerikanische Anbieter wie [wikipedia:Gmail#Kritik:Gmail] analysieren sogar die Inhalte ein- und ausgehender E-Mails, um daraus Kapital zu schlagen. Es ist durchaus sinnvoll, die Mentalität „alles kostenlos“ zugunsten eines kostenpflichtigen aber vertrauenswürdigen Mailproviders fallen zu lassen. Eine 100%ige Sicherheit kann für keinen E-Mail-Provider gewährleistet werden; selbst der wohlgesinnteste Provider kann die Beschlagnahmung von Servern durch den Staat oder gerichtlich erzwungene Herausgabe von Daten und Passwörtern nicht vermeiden. Auch durch Hackerangriffe können Millionen privater E-Mails und andere sensible Daten öffentlich werden. Mailprovider können diese Risiken aber durch Datensparsamkeit, Verschlüsselung und Standhaftigkeit gegenüber Behörden minimieren. Relevant ist auch, welcher rechtlichen [wikipedia:Zuständigkeit:] und welchen Gesetzen der Anbieter und seine Server unterliegen. Allerdings hat man als Nutzer nicht die Möglichkeiten, alle diesbezüglichen Versprechungen der Anbieter direkt zu überprüfen. Wichtige Entscheidungshilfen können Transparenzberichte der Anbieter selbst, sowie Tests und Vergleiche von unabhängiger Seite sein. Ausführliche Informationen finden sich beispielsweise bei [https://www.privacy-handbuch.de/handbuch_31.htm privacy-handbuch.de – E-Mails (allgm.)] {de} oder [https://digitalcourage.de/support/digitale-selbstverteidigung/adventskalender2015/04-vertrauenswuerdige-mailanbieter Digitalcourage e.V. – Vertrauenswürdige E-Mail-Anbieter] {de}. Die Umsetzung kryptographischer Standards beim persönlichen Zugriffs auf Mails ([wikipedia:Webmail:], [wikipedia:POP3:], [wikipedia:IMAP:] und kundenseitiges [wikipedia:SMTP:]) sowie auf dem Transportweg zu bzw. von Servern anderer Anbieter kann man mit [https://www.ssllabs.com/ssltest/ SSL Server Test von Qualys SSL Labs] {en} bzw. dem [https://de.ssl-tools.net/ Mailserver Check von SSL-Tools] {de} testen. Oft empfohlen werden [https://mailbox.org/ mailbox.org] {de} und [https://posteo.de/ Posteo] {de}. == E-Mail-Client == Die Verwendung eines E-Mail Clients wie [:Thunderbird:], [:Evolution:] oder [:KMail:] ist gegenüber von [wikipedia:Webmail:]-Oberflächen zu bevorzugen. E-Mail-Clients sollten so konfiguriert sein, dass sie verschlüsselte Verbindungen zum Senden und Empfangen ([wikipedia:Transport Layer Security:TLS] bzw. [wikipedia:STARTTLS:]) aufbauen. Dies verhindert ein Abfangen von Zugangsdaten und E-Mails zwischen dem eigenen Computer und dem Server des eigenen E-Mail-Anbieters. Bei Verwendung eines E-Mail-Clients genügt es nicht, einen Anonymisierungsdienst wie Tor zu verwenden. Tatsächlich bringt es kaum einen Nutzen, da durch die E-Mail-Adressen die Daten eindeutig zugeordnet werden können. Werden E-Mails (oft automatisch) abgerufen, während man surft, kann man sich für einige Momente lang während des Surfens sogar verraten, da E-Mail-Client und Browser dieselbe temporäre IP haben können. == E-Mail-Header == Der [wikipedia:Header (E-Mail):Header] von E-Mails wird standardmäßig weder von Webmailern noch von E-Mails-Clients vollständig angezeigt, enthält aber recht [:Mailheader analysieren:aufschlussreiche Informationen]. Das Thunderbird-AddOn [https://addons.mozilla.org/de/thunderbird/addon/paranoia/ ''Paranoia''] {en}{dl} bereitet daraus Informationen zur Transportwegverschlüsselung bei empfangenen E-Mails anschaulich auf. Allerdings muss man beachten, dass Header-Daten auch (teilweise) gefälscht sein können. Man sollte sich auch bewusst machen, dass man beim Versenden von E-Mails über den Header selbst Metadaten wie den ''User Agent'' oder die eigene IP-Adresse preisgibt. == E-Mail-Verschlüsselung == Um den Inhalt der E-Mails zu schützen, empfiehlt es sich, zumindest vertrauliche E-Mails mit [wikipedia:OpenPGP:] (siehe [:GnuPG:] und ggf. [:Thunderbird/Enigmail:Enigmail]) oder mit [wikipedia:S/MIME:] zu [https://www.selbstdatenschutz.info/e-mail_verschluesseln/ verschlüsseln] {de}. Verschlüsselung ist nur dann sicher, wenn die privaten Schlüssel vom Nutzer selbst verwaltet und nicht an Dritte weitergegeben werden. (Beispiel: Die Initiative [wikipedia:E-Mail made in Germany:] wirbt zwar mit „Verschlüsselung“; die Schlüssel sind den Anbietern aber stets bekannt, so dass diese selbst die verschlüsselten E-Mails weiterhin lesen können und die Verschlüsselung lückenhaft ist.) Außerdem ist zu beachten, dass sowohl bei OpenPGP, wie auch bei S/MIME nur der Nachrichtenkörper und gegebenenfalls Anhänge verschlüsselt werden – der [wikipedia:Header (E-Mail):Header] (insbesondere Absender- und Empfängeradresse, Zeitstempel, Betreffzeile und ggf. User Agent) wird unverschlüsselt übertragen. == Alternativen zu E-Mail == E-Mail-Adressen, die man im Alltag nutzt, sind nicht für anonyme Kommunikation geeignet. In Anonymisierungsnetzwerken wie [:I2P:] gibt es spezielle E-Mail-Dienste (vgl. [:I2P#E-Mail:Susimail und SecureMail/I2P-Bote]). Daneben gibt es auf dem [wikipedia:Peer-to-Peer:]-Prinzip basierende Programme zur dezentralen anonymen Kommunikation wie [:Bitmessage:] oder [:RetroShare:] (vgl. [https://prism-break.org/en/all/#email-alternatives Email-Alternatives bei prism-break.org] {en}). = Erkennungsmerkmale beim Surfen = Beispielhaft werden hier einige Faktoren aufgezählt, anhand derer ein Surfer im Internet erkannt wird. Oft reichen nur Teile dieser Informationen für Datensammler aus, um einen Surfer eindeutig zu identifizieren und sein Nutzerprofil zu erweitern. Diese Liste ist unvollständig. Es ist zwar möglich, auf die einzelnen Faktoren durch Browsereinstellungen Einfluss zu nehmen, doch reicht dies beim heutigen Stand der Technik nicht mehr aus, den Datensammlern zu entgehen. Eine Übersicht zu Erkennungsfaktoren inkl. Testmöglichkeiten geben [http://browserspy.dk/ browserspy.dk] {en} und [https://panopticlick.eff.org/ panopticlick.eff.org] {en}. {{{#!vorlage Warnung Es ist zwar möglich, durch Add-ons und manuelle Konfigurationen des Browsers viele typische Sicherheitslücken abzudecken, jedoch wird dadurch oft eine sehr individuelle Browserkonfiguration geschaffen, die eine eindeutige Wiedererkennung möglich macht und dadurch die Anonymität wieder aufhebt. Dazu kommt: Fehlerhafte Add-ons oder PlugIns können Sicherheitslücken öffnen ([https://bradconte.com/foxyproxy-firefox-dns-leaking.html Beispiel foxyproxy] {en}). Auch "telefonierende" Add-ons heben die Anonymität teilweise auf (Beispiel: [https://addons.mozilla.org/de/firefox/addon/wot-safe-browsing-tool/ WOT] {de} s. auch [https://www.tagesschau.de/inland/tracker-online-103.html "Web of Trust" späht Nutzer aus] {de}). Als Lösung bietet es sich an, im der Masse der anonymen Internetnutzer von Tor oder JonDo unterzutauchen, die ein weitgehend einheitliches Erscheinungsbild geben und so die Wiedererkennung von individuellen Surfern erschweren. }}} == IP-Adresse == Im Internet verrät man beim Aufruf einer jeden Webseite seine [wikipedia:wiki/IP-Adresse:IP-Adresse] {de}. Diese Adresse (im Folgenden nur noch IP genannt) ist eine eindeutige Identifikationsnummer. Jeder Internetnutzer bekommt sie von seinem Internetprovider zugeteilt. Dadurch wissen Server, an welchen Rechner sie ihre Pakete schicken sollen und von wem die Anfrage dazu kam. Die IP ist unersetzlich, wenn man im Internet unterwegs ist. Nachteil ist jedoch, dass jeder Server im Internet diese Adresse auch einfach speichern kann. Mehrere Webseiten können dies auch zusammen tun, und wenn man sich zum Beispiel als "Max Mustermann" bei dem E-Mail-Dienst [https://mail.google.com Google Mail] {de} anmeldet und danach mit [https://www.google.de Google] {de} nach Autos sucht, so können diese beiden Dienste durch Zusammenlegung ihrer Daten herausfinden, dass sich "Max Mustermann" für Autos interessiert. Durch die Anfang 2008 in Kraft getretene, aber mittlerweile (Stand: Mai 2012) vom Bundesverfassungsgericht gestoppte Verbindungsdatenspeicherung werden überdies hinaus die Internetprovider verpflichtet, mindestens sechs Monate lang zu speichern, welchem Nutzer sie zu welcher Zeit welche IP zugewiesen haben. == Fingerprint == Eine heutzutage wichtig gewordene Methode, einen Internetnutzer wiederzuerkennen, ist der [https://www.zeit.de/digital/datenschutz/2010-01/browser-fingerabdruck-eff "Fingerprint"] {de} des Browsers. Dazu werden sämtliche vom Webserver aus erkennbaren Eigenschaften des Browsers ermittelt und zu einem individuellen "Fingerabdruck" zusammengestellt. So unbedeutend die Details sein mögen, in der Summe ergeben sie ein oft sehr eindeutiges Wiedererkennungsmerkmal. Mögliche Bestandteile des "Fingerprints" sind: * Innere Größe des Browserfensters * User-Agent * Installierte Schriftarten * Installierte Add-ons/Plugins * Erlaubte/verbotene Einstellungen zu JavaScript, Cookies etc. * weitere individuelle Feinheiten [https://panopticlick.eff.org/ Analyse des eigenen Browser-Fingerprints] {en} == Aktive Inhalte == Aktive Inhalte sind ein zweischneidiges Schwert. Es gibt heutzutage vielerlei Technologien wie [wikipedia:JavaScript:], [wikipedia:Java_(Programmiersprache):Java] oder [wikipedia:Adobe_Flash#Datenschutz-Probleme:Flash], durch die das Surfen bisweilen langsam und beschwerlich werden kann. Noch dazu stellen eine Menge dieser Plugins ein erhebliches Sicherheitsrisiko für den Nutzer dar, sind oft der Ausgangspunkt browserabhängiger Attacken und machen anonymes Surfen nahezu unmöglich, da die Plugins für diese aktiven Inhalte wie Flash und Java die Proxy-Einstellungen des Browser unterwandern und somit Webseiten über diese die wahre Identität eines Nutzers erfahren können. Auf der anderen Seite jedoch gibt es eine Menge eher vertrauenswürdiger Seiten im Web, die diese Plugins zwingend voraussetzen. Ein simples Deinstallieren dieser Plugins stellt also keine zufriedenstellende Lösung dar. Am Besten ist es, diese generell zu deaktivieren und nur für eine Webseite zu erlauben, von der man annimmt, dass sie vertrauenswürdig ist. Moderne Browser machen dies für den Anwender einfacherer. Für [:Firefox:] gibt es das Addon [:Firefox/Sicheres_Surfen: NoScript], das einem ebenfalls erlaubt, aktive Inhalte generell zu deaktivieren und erst mit einem Mausklick zu erlauben oder eine Ausnahmeregel für eine Seite festzulegen. Das Pendant für [:Chromium:] heißt [https://chrome.google.com/extensions/detail/odjhifogjcknibkahlpidmdajjpkkcfn?hl=DE NotScripts] {en}. Leider kommt es nicht eben selten vor, dass harmlose Webseiten gehackt werden und darüber anschließend Schadsoftware in Form manipulierter Browserprogramme verbreitet wird. Deshalb sollte man die Ausführung von Plugins nur in begründeten Ausnahmefällen aktivieren. == Cookies == [wikipedia:HTTP-Cookie: Cookies] stellen ebenfalls ein Sicherheitsrisiko dar. Durch sie ist es möglich, Benutzer im Netz zu „tracken“, also zu verfolgen, wodurch sie die Anonymität im Netz gefährden. Daneben sind Cookies der Ausgangspunkt für [wikipedia:CSRF:]-Attacken gegen den Nutzer. Um ein unerlaubtes Ausnutzen von Cookies zu verhindern, sollte man sie entweder nur für bestimmte, vertrauenswürdige Seiten freigeben oder alternativ nur First-Party Cookies erlauben, Cookies von Drittseiten blockieren und beim Beenden des Browsers alle Cookies automatisch löschen. Die verschiedenen Ansätze zur Verwaltung von Cookies sind im [https://www.privacy-handbuch.de/handbuch_21b3.htm Privacy Handbuch] {de} beschrieben. ##Einige Seiten brauchen jedoch Cookies, damit sie funktionieren, wenn man Beiträge verfassen möchte (so zum Beispiel auch ubuntuusers.de). Für [:Firefox:] gibt es die Addons [https://addons.mozilla.org/de/firefox/addon/self-destructing-cookies/ Self-Destructing Cookies] {de}/{en}, [https://addons.mozilla.org/de/firefox/addon/cslite-mod CS Lite Mod] {de} und [https://addons.mozilla.org/de/firefox/addon/cookie-monster/ Cookie Monster] {de} , welche einem wie bei NoScript die Möglichkeit bieten, Cookies generell zu deaktivieren, mit einem Mausklick zu erlauben oder eine Ausnahmeregel für eine Seite festzulegen. ## Die genannten Addons sind nicht mit Firefox Quantum kompatibel. (08.07.2018, Beforge) In [:Chromium:] kann man die Cookies standardmäßig deaktivieren und anschließend beim Aufrufen der privilegierten Seiten in der Adressleiste auf einen kleinen Keks (der nur bei allgemein deaktivierten Cookies angezeigt wird) und „Cookies und andere Websitedaten anzeigen…“ klicken, um Ausnahmen hinzuzufügen. == DOM Storage ("Super-Cookies") == Um [wikipedia:DOM_Storage:DOM Storage] (siehe [#Links Links]) im Firefox zu deaktivieren, setzt man die Option „dom.storage.enabled“ auf „false“. Dazu begibt man sich in die [:Firefox/about:about:config], gibt dort `dom.storage.enabled` im Suchfeld ein und deaktiviert diese Option per Doppelklick, so dass der Wert auf „false“ steht. LSO-Flash-Cookies von [:Adobe_Flash:Flash] kann man verhindern, in dem man für den Ordner '''~/.macromedia''' „Nur Lesen“-Rechte setzt. == ETags == Auch [wikipedia:HTTP_ETag:ETags] lassen sich zum „Tracken“ benutzen. Dies lässt sich vermeiden, indem im Browser der Disk-Cache abgeschaltet wird. Im Firefox ist dazu die Option "browser.cache.disk.enable" auf "false" zu setzen. Chromium bzw. Google Chrome sind mit dem Startparameter `--disk-cache-dir=/dev/null --disk-cache-size=1` zu starten. Ein Nachteil dieser Methode ist allerdings, dass die Surfgeschwindigkeit geringer wird, da Inhalte aus vorherigen Sitzungen nicht mehr auf der Festplatte gespeichert werden. Eine Alternative für Chromium/Google Chrome ist die Erweiterung [https://chrome.google.com/webstore/detail/http-switchboard/mghdpehejfekicfjcdbfofhcmnjhgaag HTTP Switchboard] {en}, die – neben anderen Optionen zum Schutz der Privatsphäre – ein regelmäßiges Löschen des Caches während der Browser-Sitzung als Option anbietet. == Referrer == Der [wikipedia:Referrer: Referrer] verrät, von welcher Seite man gerade kommt, also auf welcher Seite man zuvor auf einen Link geklickt hat, um dahin zu kommen, wo man nun ist. Um diese Information nicht zu verraten, hilft in [:Firefox:] der ''Private Modus'' oder das Add-on [https://addons.mozilla.org/en-US/firefox/addon/smart-referer/ Smart Referer] {en} . Dieses lässt sich restriktiv einstellen, und man kann mittels einer Whitelist bestimmen, für welche Seiten und Domains man das Übertragen von Referrern erlauben möchte. In [:Chromium:]/Chrome lassen sich Referrer über die Erweiterungen [https://chrome.google.com/webstore/detail/http-switchboard/mghdpehejfekicfjcdbfofhcmnjhgaag HTTP Switchboard] {en} und [https://chrome.google.com/webstore/detail/referer-control/hnkcfpcejkafcihlgbojoidoihckciin Referer Control] {en} kontrollieren. == User-Agent == Eine Webseite kann anhand des [wikipedia:User_agent:User-Agents] herausfinden, was für einen Browser und was für ein Betriebssystem man nutzt, teilweise auch, welche Spracheinstellungen man nutzt. Ein User-Agent sieht zum Beispiel so aus: {{{ Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0 }}} Der eigene User-Agent kann mittels der Seite [https://www.whoishostingthis.com/tools/user-agent/ whoishostingthis.com] {en} getestet werden. ## ##Alternativ ein Beispiel in HTML und JavaScript: ## ##{{{#!code html ## ##
##