Am 12.12.2015 habe ich beim CryptoAdvent im KITZ meinen ersten Vortrag zur Browser-Sicherheit gehalten auf dem dieses Dokument basiert. Dieses Dokument wird gelegentlich auf den aktuellen Stand der Technik gebrach. Sollte etwas nicht aktuell sein oder es enthält eine Fehlinformation, so bitte ich um eine kurze Nachricht an mich, damit ich das korrigieren kann.
Aktualisiere Browser und Betriebssystem regelmäßig
Die regelmäßige Aktualisierung des Browsers und Betriebssystems ist einer der wichtigsten Schritte, um sicher zu surfen. Jede neue Version enthält Sicherheitsupdates, die Deine Online-Erfahrung sicherer machen. Viele Browser und Betriebssysteme aktualisiert sich normalerweise automatisch, aber es ist wichtig, sicherzustellen, dass diese Option aktiviert ist.
Es sollte natürlich noch darauf geachtet werden, ob es überhaupt noch Sicherheitsupdates für das Betriebssystem gibt, ansonsten gleich weg damit.
Welcher Browser ist der Beste?
Die Wahl des besten Browsers ist schwierig, da es viele verschiedene Browser gibt. Jeder Browser hat Vor- und Nachteile und jeder Benutzer hat unterschiedliche Bedürfnisse. Einige bevorzugen schnelles Browsen, während andere Sicherheit und Datenschutz bevorzugen. Es ist wichtig, verschiedene Browser auszuprobieren und zu vergleichen, um den besten für sich zu finden.
Firefox
Ich persönlich bevorzuge Firefox als Browser, weil er eine hohe Priorität auf Datenschutz und Sicherheit legt. Der Browser verfügt über eine Vielzahl von Sicherheitsfunktionen, die den Schutz meiner Daten und Identität im Netz verbessern, wie zum Beispiel den Schutz vor Tracking-Cookies und Schadsoftware. Auch der Open-Source-Ansatz von Firefox ist für mich ein wichtiger Faktor, da ich den Quellcode einsehen und so sicher sein kann, dass keine versteckten Funktionen eingebaut sind.
Mozilla hat auch in der Vergangenheit Kritik dafür erhalten, dass sie mehr auf die Integration von Diensten wie Pocket oder dem Werbeblocker „Cliqz“ fokussiert waren, anstatt sich auf die Verbesserung des eigentlichen Browsers zu konzentrieren.
Google Chrome / Chromium
Möchte man unbedingt einen Chrome-Browser benutzen wollen, empfehle ich dringend die Finger von Google Chrome zu lassen. Benutzt anstatt Google Chrome lieber die Open-Source variante Chromium.
Google Chrome macht es schwierig anonym zu surfen. In Google Chrome wird ein Tracking direkt mitgeliefert in Form des „RLZ Identifiers“ welcher ein mal bei der Installation vergeben wird und von Google eindeutig identifizieren lässt. Da der Quellcode von Google Chrome nicht öffentlich ist, lässt sich nicht mit gewissheit sagen ob sich der „RLZ Identifier“ abschalten lässt.
Einer der Nachteile ist, das Chromium keine Digitale Rechteverwaltung (DRM) hat, und somit Netflix und Co nicht funktionieren. Ob das jetzt wirklich en Nachteil ist, mag Geschmacksache sein. Ich kaufe meine Bücher doch lieber auf Totholz und schaue meine Filme auf VHS DVD … oh come on … Blu-ray.
Es gibt eine große Zahl an Browsern die auf Chromium basieren. Kurz gesagt: Finger weg. Viele sind veraltet und haben noch Sicherheitslücken welche in Chromium längst geschlossen sind. Ebenfalls ist der Quellcode oft nicht verfügbar und bei einigen Browsern gibt es den Verdacht das diese die Benutzeraktivitäten speichern und verkaufen. Dies ist heutzutage leider ein sehr lukratives Geschäftsmodel.
Allgemeine zur Sicherheit
Cookies
Cookies haben in der Tat viele nützliche Funktionen, die das Surfen im Web erleichtern. Zum Beispiel können sie Login-Informationen speichern, damit du dich nicht jedes Mal erneut anmelden musst, wenn du eine Website besuchst. Cookies helfen auch, personalisierte Inhalte anzuzeigen und das Surfen schneller zu machen, indem sie Informationen zwischenspeichern. Darüber hinaus sind Cookies nur auf der Domain gültig, von der sie stammen, und können nicht von anderen Websites ausgelesen werden.
Allerdings gibt es auch Cookies, die weniger nützlich sind und dein Surfverhalten aufzeichnen, um gezielte Werbung zu schalten. Diese werden als Drittanbieter-Cookies bezeichnet und können von Werbenetzwerken oder Analyse-Tools verwendet werden. Es gibt jedoch Tools wie Browser-Erweiterungen, die Drittanbieter-Cookies blockieren können, um dein Surfen zu schützen.
Insgesamt sind Cookies also nicht so schlimm, wie man oft hört, solange man bewusst mit ihnen umgeht und gegebenenfalls die richtigen Schutzmaßnahmen ergreift. Es liegt in deiner Hand zu entscheiden, welche Cookies du zulässt und welche du blockierst, um deine Privatsphäre und Sicherheit zu wahren.
Javascript
Javascript ist ein potenzielles Risiko, es lässt sich aber einfacher kontrollieren als Plugins wie zum Beispiel Flash. Browserhersteller Patchen Javascript in der Regel sehr schnell. Das Einschränken oder gar abschalten von JavaScript halte ich nicht für Notwendig, da es ist ein wichtiger Bestandteil moderner Webseiten ist und vieles schlicht und ergreifend nicht mehr funktioniert.
Für paranoide Menschen verweise ich auf die Erweiterungen „NoScript“ für Firefox sowie „ScriptSafe“ für Chrome. Hier mit kann man JavaScript selektiv aktivieren bzw. deaktivieren.
Suchmaschine
Die Verwendung einer sicheren Suchmaschine wie DuckDuckGo oder StartPage kann Deine Privatsphäre schützen und verhindern, dass Deine Suchanfragen von anderen verfolgt werden. Diese Suchmaschinen respektieren Deine Privatsphäre und speichern keine persönlichen Daten oder IP-Adressen.
Sichere Verbindungen benutzen
Die Verwendung sicherer Verbindungen im Browser ist von entscheidender Bedeutung, da sie den Schutz Deiner sensiblen Daten und Informationen gewährleisten. Wenn Du eine unsichere Verbindung verwendest, können Deine Daten von Dritten abgefangen und gestohlen werden. Durch die Verwendung von Verschlüsselung und Authentifizierungstechnologien wie HTTPS, SSL und TLS werden Deine Daten verschlüsselt und können nur von den vorgesehenen Empfängern gelesen werden. Darüber hinaus gewährleistet eine sichere Verbindung auch die Authentizität der besuchten Website, was bedeutet, dass Du sicher sein kannst, dass Du tatsächlich mit der Website kommunizieren, die Du besuchen möchtest, und nicht mit einer gefälschten oder betrügerischen Website. Insgesamt trägt die Verwendung sicherer Verbindungen zu einer sichereren und vertrauenswürdigeren Online-Erfahrung bei und sollte daher immer priorisiert werden. Alle modernen Browser zeigen inzwischen eine Warnung an, wenn versucht wird eine nicht sichere Webseite aufzurufen.
Plugins und Erweiterungen
Plugins sind eine Schnittstelle zum System und externen Programmen, zum Beispiel Video Codecs, FlashPlayer oder PDF-Anzeige. Fehler in Plugins können daher besonders gut benutzt werden, um das ganze System anzugreifen.
Erweiterungen haben nur einen sehr eingeschränkten Zugriff auf das System. Meist geht es Erweiterungen darum Inhalte von Webseiten zu ändern oder auszuwerten, wie zum Beispiel Werbeblocker. Da Erweiterungen Zugriff die Inhalt im Browser hat sollte man auch hier vorsichtig sein. Es gibt immer wieder Erweiterungen, welche in der Vergangenheit die Privatsphäre ausgehebelt haben, darunter leider auch sehr beliebte Erweiterungen wie WOT, welches ich hier auch beworben hatte.
Unsichere Plugins
Java / Flash
Grundsätzlich sind Java und Flash zwei interessante Technologien, haben aber im Browser nichts zu suchen. Beides wird als Plugin eingebunden und hat in der Vergangenheit immer wieder für schwere Sicherheitsprobleme gesorgt.
Java hat im Webbrowser keine relevanz mehr und wenn überhaupt ist es nur für sehr wenige Spezialseiten notwendig.
Flash hat leider noch einige Anhänger, zum Glück sind die großen Webseiten schon auf aktuellere Webstandards wie HTML5-Video gewechselt.
Adobe PDF ist bei Firefox und Chrome ein Sicherheitsrisiko. Moderne Browser können PDF direkt anzeigen.
Plugins für die Privatsphäre
Decentraleyes
Decentraleyes ist ein Browser-Plugin, das entwickelt wurde, um Benutzern mehr Privatsphäre und Sicherheit zu bieten, während sie das Web durchsuchen. Es bietet eine Lösung für ein weit verbreitetes Problem: Das Laden von Ressourcen wie Bildern und Skripten von Content Delivery Networks (CDNs), die oft von großen Unternehmen bereitgestellt werden. Diese Ressourcen können Informationen über den Benutzer sammeln und an Dritte weitergeben. Decentraleyes löst dieses Problem, indem es die benötigten Ressourcen lokal speichert und somit verhindert, dass sie von einem CDN geladen werden müssen. Dadurch werden Tracking und andere Datenschutzprobleme vermieden.
Nachteil: Decentraleyes kann bei bestimmten Webseiten, die lokal gespeicherte Ressourcen von Drittanbietern verwenden, Probleme verursachen und zu Fehlfunktionen führen.
uBlock Origin
Das Plugin uBlock Origin ermöglicht eine schnelle und effiziente Blockierung von Anzeigen, Skripten, Trackern und anderen schädlichen Elementen im Internet. uBlock Origin zeichnet sich durch seine hohe Leistung und Effektivität aus, da es den Netzwerkverkehr direkt im Browser analysiert und blockiert. Es bietet auch die Möglichkeit, spezifische Elemente auf Webseiten zu blockieren oder zu erlauben und bietet eine benutzerfreundliche Oberfläche zur Konfiguration. Ein weiterer Vorteil von uBlock Origin ist, dass es ressourcenschonend ist und somit den Browser nicht verlangsamt. Das Plugin wird regelmäßig aktualisiert, um neue Bedrohungen zu erkennen und zu blockieren
Wie auch bei Decentraleyes kann es bei uBlock Origin passieren das fälschlicherweise harmlose Inhalte auf Webseiten Blockiert werden.
Referenzen
- KITZ
- Kilux
Veranstalter des CryptoAdvents - Netzpolitik.org – Auch das Browser-Plugin Proxtube sendet deinebesuchten Webseiten an Dritte.
Leider existiert die ursprüngliche Quelle nicht mehr.