Skip to content

Unsichere Add-Ons – Was ist noch sicher?

Gerade geistert das Gespenst der bösen Add-ons durch die Medien.
Der NDR hat recherchiert und festgestellt, dass die Erweiterung Web of Trust (wot) nicht nur Daten sammelt, sondern diese auch weiterverkauft.

Mich wundert dieses Verhalten ehrlich gesagt nicht. Add-Ons mit einer Firma im Hintergrund sind oft gewillt mit ihrer Software Geld zu verdienen.
Das ist nicht nur bei Web of Trust so, auch Add-ons wie AdblockPlus oder Ghostery sind da kritisch zu betrachten. 

Anwender solcher Erweiterungen machen sich selten die Mühe AGBs durchzulesen, auch bei WOT war in den Datenschutzbestimmungen nachzulesen, dass Daten erhoben werden.

wotDas Web of Trust Daten an Dritte weitergibt ist natürlich nicht schön, aber auch kein riesiger Skandal. Wer solche Add-ons verwendet, ist teilweise selbst Schuld. (Weitere Details zu diesem Thema können bei Kowabit nachgelesen werden).

Dank des offenen Quellcodes hätte jeder die genauen Abläufe des Add-ons nachvollziehen, vorausgesetzt er versteht, was da vor sich geht. Ich schätze die meisten Wot Anwender konnten dies nicht. Somit stellt sich die Frage, welchen Add-ons nun Vertrauen schenken?

Um in Zukunft solchen Enthüllungen aus dem Weg zu gehen, sind weiterhin OpenSource Add-ons zu empfehlen, hier kann jeder den Quellcode einsehen und eventuelle Datenweitergaben aufspüren.

Allerdings sollte ein wenig darauf geachtet werden, wer für die Entwicklung solcher Add-ons verantwortlich ist und was in den Datenschutzbestimmungen steht.

Die besten Open Source Sicherheits Add-ons für Firefox

Erweiterungen der Electronic Frontier Foundation können als relativ unbedenklich angesehen werden. 
Die EFF ist eine amerikanische Organisation, welche sich für Rechte im Informationszeitalter einsetzt. Bekannte Persönlichkeiten wie Bruce Schneier gehören der Organisation an.


PrivacyBadger  - von der Electronic Frontier Foundation, um Tracking zu umgehen bzw. zu blockieren.

privacybadger

 

HTTPS Everywhere - von der Electronic Frontier Foundation, um HTTPS zu nutzen.

HTTPS-Everywhere

uBlock Origin - um Werbung zu blockieren. Als Alternative zum bekannteren AdblockPlus.

ublock-origin

Self-Destructing Cookies  - um unnötige Cookies automatisch zu entfernen

selfdestructingcookies

 

User Agent Switcher - Damit können Webseiten andere Browser untergejubelt werden. Wer also seinen Fingerprint nicht hinterlassen möchte, der kann den Switcher nutzen.

User-Agent-switcher

Alle hier erwähnten Add-Ons können auf GitHub eingesehen und analysiert werden. Für ein einigermaßen absichertes Surfen sollten diese fünf Add-ons ausreichen. Natürlich gibt es noch weitere wie disconnect und Co, aber das darf jeder selbst entscheiden.
 

Privacy Settings und Policy Plugin - Zwei Firefox Add-ons um die Sicherheit schnell und einfach zu erhöhen

Im Januar hatte ich bereits über ein praktisches Add-on berichtet. Secure Login dient als Erweiterung für den Passwortmanager und erlaubt einen schnellen und sicheren Login auf Webseiten via Doppelklick.
Nun ist es wieder an Zeit zwei weitere Firefox Erweiterungen vorzustellen, welche das Surfer Leben verbessern.

Privacy-Settings-Firefox

Privacy Settings

Das kleine Add-on zeigt euch die wichtigsten Sicherheitseinstellungen des Firefox Browsers per Knopfdruck. 
So könnt ihr beispielsweise darüber entscheiden, ob Prefetch und Co aktiviert werden oder ob der integrierte Tracking Schutz angeschaltet ist.
Insgesamt bietet das Tool einen guten Überblick über die für die Privatsphäre relevanten Funktionen. Hier ein Auszug.

Google Safe Browsing:

  • browser.safebrowsing.enabled
  • browser.safebrowsing.downloads.enabled
  • browser.safebrowsing.malware.enabled

Firefox Reporting

  • datareporting.healthreport.service.enabled
  • datareporting.healthreport.uploadEnabled

Statistiken

  • toolkit.telemetry.enabled

Encrypted Media Extensions (DRM)

  • media.eme.enabled
  • media.gmp-eme-adobe.enabled

Firefox Hello (WebRTC)

  • loop.enabled

Pocket Integration

  • browser.pocket.enabled

Such Vorschläge

  • browser.search.suggest.enabled

WebRTC

  • media.peerconnection.enabled

Geolokalisierung

  • geo.enabled

Verschlüsselung

  • security.tls.unrestricted_rc4_fallback

Wer sich bei den vielen Funktionen nicht entscheiden kann, welche Wahl die richtige ist, der kann die bereitgestellten Buttons zu voller Privatsphäre, kompatibler Privatsphäre oder Privatsphäre und Sicherheit verwenden.
Alle diese Einstellungen können auch via about:config gesetzt werden, doch das Security Panel bereit sie einfach und funktional für den Anwender auf.

Privacy Settings


Der Autor empfiehlt ein weiteres Plugin, welches sich ebenfalls sehen lassen kann.

Policy Plugin

Das Policy Plugin macht im Prinzip einen ähnlichen Job wie die oben erwähnten Privacy Settings. Via Symbol lassen sich verschieden Webseiten Inhalte filtern.

Policy-Control-Firefox

Dabei sind Scripte, Medien, Schriften, Stylesheets oder iFrames. Ein ähnlich einfacher Aufbau gibt dem Anwender die volle Kontrolle über Inhalte zurück.


Policy Control

Calomel SSL Validation - SSL Verbindungen per Firefox Addon überprüfen

Vor ein paar Tagen hatte ich das Python Script SSLyze vorgestellt, mit welchem es möglich ist SSL Einstellungen von Servern zu testen. In eine leicht andere Richtung schlägt das Firefox Add-on Calomel SSL Validation.

Calomel SSL Validation - Die Sicherheitsampel für den Browser

Das Add-on überprüft die Sicherheit der SSL Verbindung zwischen Browser und Webseite. Je nach Sicherheitsstufe wird eine Ampel neben der Adressleiste grün, blau, gelb oder rot dargestellt. 

Dies hat den Vorteil, das der Anwender schnell erkennen kann, ob beispielsweise eine Verbindung zu einer Bankenwebseite mangelhafte Sicherheit stellt.

Als Beispiel eine nicht ganz so sichere Verbindung

calomel

Die Sicherheit erreicht laut Addon nur einen Anteil von 33%, was unter anderem auf ein nicht aktiviertes Perfect Forward Secrecy zurückzuführen ist. Diese Einstellung würde das nachträgliche Entschlüsseln verhindern, ist also durchaus relevant. Aber auch auf die verwendete TLS Version, die mit TLS 1.0 nicht die aktuellste, aber auch nicht zu den veralteten und sehr unsicheren wie SSL 2/3 zählt, wird bemängelt.

Ein großer Punkteabzug wir ebenfalls durch die Verwendung von RSA verbucht. Laut FAQ würde Calomel hier ECDHE, DHE oder ECDH besser passen, denn mit Diffie Hellmann und Eliptischen Kurven wäre Schnelligkeit und  PFS gewährleistet.

Als Gegenansicht nun ein positives Beispiel

calomel

Hier wird zwischen Server und Client eine sichere Verbindung mit ECDHE zum Schlüsselaustausch hergestellt, das aktivierte PFD sammelt zusätzlich Punkte, was zu einer grünen Ampel und 100% Sicherheit führt. 100% Sicherheit ist hier wohl etwas schlecht formuliert, maximal mögliche Sicherheit würde wohl besser passen.

Fazit

Das Tool informiert sehr gut über eine bestehende SSL Verbindung zu einem Server und stellt dank der Farbunterscheidung auch für Laien gut erkennbar die gegebene Sicherheit dar. Gleiches gilt für die Punktewertung, die auch ohne tiefere Kenntnis Aussagen zur Sicherheit darstellt.

Dennoch sollte bedacht werden, dass die Verbindung zwischen Server und Browser nicht wirklich etwas über die Sicherheit des Servers selbst aussagt, sondern nur über die Verbindung ansich.

Eine blaue Ampel heißt nicht, dass der Server selbst schlecht konfiguriert ist, es kann sich genauso um einen alten Server handeln, der neue Techniken noch nicht unterstützt und dennoch für seine Verhältnisse die maximale Sicherheitseinstellungen aufweist.

Als Ergänzung zu anderen Tools, welche SSL Verbindungen oder Einstellungen unter die Lupe nehmen, ist Calomel SSL Validation eine willkommene Erweiterung.

Calomel

Performance Analyser - grafische Webseiten Analyse via Browser Erweiterung

Für die Performance Analyse einer Webseite gibt es sicherlich viele Möglichkeiten. Angefangen bei den Firefox Developer Tools, über Firebug bis zu Googles Page Speed, um nur ein paar dieser Tools zu nennen.

Performance-Analyser

Eine weiteres Analyse Tool für Webseiten ist der Performance Analyser. Dieses als Bookmarklet gestartete Github Projekt ist inzwischen als Firefox oder Chrome Erweiterung verfügbar.

performance-analyse

Das Add-on wertet auf Knopfdruck Kennzahlen wie Zugriffsarten, Ladezeiten,  Zugriffsmenge und weiteres aus. Die Analyse erfolgt einerseits in Zahlen, andererseits in praktischen Kuchen und Balkendiagrammen.

Dank einer farblichen Unterteilung und der dazu eingeblendeten Legende, können einzelne Dateien unter die Lupe genommen werden.

performance-analyse-legende

Die Erweiterung kann ohne Neustart installiert werden.

Fazit

Nettes kleines Tool, um eine Webseite schnell auf Herz und Nieren zu prüfen. Für längerfrstige Analysen ist das Add-on jedoch nicht geeignet, denn es bietet keine Funktion, um die gewonnenen Werte abzuspeichern oder zu vergleichen.

Performance-Analyser

Tracking ade - CanvasBlocker, Fingerprinting im Firefox blockieren

Letzten Sommer hatte ich kurz über die neue Canvas Tracking Methode via Browser Fingerabdruck der Werbeindustrie berichtet. Dabei geht es es darum den Browser mit dem "<canvas>" Element eindeutig zu identifizieren, wie im ersten Artikel zu diesem Thema etwas genauer beschrieben.

Browser Fingerprinting im Firefox blockieren

Für den Firefox gibt es ein Add-on, welches genau dieses Element blockiert. Dies hat zum einen den Vorteil, dass Tracking auf diese Methode nicht mehr möglich ist, aber auch den Nachteil, dass eine Warnung auch auf Seiten erscheint, welche nicht tracken, sondern das Element für grafische Zwecke nutzen, wie ursprünglich gedacht.

So hatte zum Beispiel die JavaScript Bibliothek Modernizr v2.5.3 genau diese Meldung hervorgebracht,obwohl diese mit Tracking rein gar nichts am Hut hat. (Quelle)

canvas-blocker

Dennoch ist das Add-on nicht komplett unbrauchbar, er erhöht den Grundschutz auf jeden Fall, macht aber dabei keine Gefangenen, außer der Anwender pflegt die vorhandene Whitelist regelmäßig.

Hier wäre in Zukunft eine vorgefertigte Liste mit bekannten, aber nicht trackenden Seiten wünschenswert.

Eine Empfehlung ist das CanvasBlocker Add-on sicherlich wert.

download canvas blocker