Performance und Sicherheit

[Lixos]

Hallo !

Mich beschäftigt seit einiger Zeit die Frage des sicheren Surfens im Internet.
Keine Ahnung ob ihr euch da ein wenig auskennt. Aber ich kann ja mal kurz abreißen, was mich auf dieses Thema gebracht hat.

Ich nutze den Browser Firefox, wie sicherlich viele andere User auch.
Ich habe dann im Internet einen Artikel über sogenannte Tracker gelesen und über das Plugin Ghostery ziemlich schnell festgestellt, dass auf fast jeder Website mehrere solcher Tracker im Hintergrund das Surfverhalten ausspähen.
So habe ich nun in meinem Browser Firefox nur noch den privaten Modus aktiv, die Plugins Adblock Plus, Noscript und Ghostery laufen und surfe, wenn es sicherer sein soll über das Tor-Netzwerk.
Nun wurde aber gestern ein Bericht auf Golem veröffentlicht, wo drinsteht, dass auch das Tor-Netzwerk nicht mehr sicher ist.

http://www.golem.de/1012/80364.html

Die BSD Systeme sollen ja recht sicher sein. Nur einen Browser benötigt man ja auch auf diesen Systemen... wo doch eigentlich die Anfälligkeit begründet liegt. Desweiteren sind die BSD Systeme langsamer als Linux und Windows 7 ... zumindest kommt das bei den Benchmarks auf der Website Phoronix so raus.

http://www.phoronix.com/scan.php?page=category&item=Operating Systems

Was mich stört ist, dass mein Surfverhalten ausspioniert werden kann und ich das gern verhindern will. Gleichermaßen möchte ich aber auch ein System haben, was performant läuft.

WIE LÖST IHR DAS ?

Mich stört es irgendwie schon leicht, dass man hier zum gläsernen Internetbenutzer wird... deshalb möchte ich mal eure Meinung dazu wissen.

Gruß Lixos


P.S.: Nutze derzeit Windows 7

 

[oenone]

Was mich stört ist, dass mein Surfverhalten ausspioniert werden kann und ich das gern verhindern will.

Ganz einfache Lösung: trenne deinen PC vom Internet. Oder ändere dauernd dein Verhalten.

 

[mrtonik]

Noch wesentlich mehr tun dagegen kann man nicht (zumindest ohne vertretbaren Aufwand).
Was die Performance angeht. Im alltäglichen Betrieb als Privatanwender wirst du vermutlich keine großen Unterschiede merken (OpenBSD mal als Ausnahme*scnr*).

 

[Fusselbär]

Schätzungsweise sind wir uns alle sehr sicher, dass wir mit einem BSD Useragent fast überhaupt nicht aus der Masse an Microsoft Windosen auffällig hervorstechen.
Da mache ich mir keinen Kopf, um irgendwelche Werbespamer, die meinen irgendwelche Scripte zum User verfolgen auf ihren Webseiten meinen laufen lassen zu wollen.
Das nehme ich sportlich, ist mir besonderes Vergnügen zum Beispiel so was zu blockieren:

*.facebook.com/*
||ivwbox.de^

Über tausend mal damit getroffen, heute.

 

[Yamagi]

Ja, ich bei Opera in meiner urlfilter.ini auch diversen Müll geblockt. Viel mehr kann man da auch kaum tun... Mich regt es dabei auf, dass immer mehr dieser Sozial-Datenkraken wie Facebook versuchen mich zu tracken, indem sie ihre "Gefällt mir!"-Buttons durch das ganze Netz verteilen. Aber blockt man sie, ist da Ruhe im Karton.

Zur Performance: Wer misst misst Mist. Und traue nur dem Benchmark, den du selbst gefälscht hast. Ich kann dir genauso gut ein Szenario konstruieren, indem FreeBSD alle anderen zersäbelt. Ich will die zu genüge geführte Debatte nicht neu beginnen, daher nur ganz kurz. Es ist sehr schwer bis unmöglich Betriebssysteme fair gegeneinander zu testen, da sie sich sehr unterscheiden und ihre Leistung vor allem von der Konfiguration abhängt. Linux kommt meist in agressiver Vorkonfiguration, FreeBSD in konservativer und Windows ist irgendwo dazwischen. Außerdem sind es nur synthetische Zahlen. Meiner bescheidenen Erfahrung nach nehmen sich FreeBSD, Linux und Windows auf durchschnittlicher Hardware an praktischer(!) Performance nichts mehr. NetBSD wird da ähnlich sein, OpenBSD leidet sicher (das ist aber ein logischer Schluss und kann nicht untermauert werden) unter seinem grottigen SMP... Kurz gesagt, man sollte Zahlen einfach mal Zahlen sein lassen und nach anderen Punkten entscheiden.

 

[christian83]

Aber blockt man sie, ist da Ruhe im Karton.

Leider trifft man auf immer mehr Seiten die einen den Zugang verweigern wenn man einen aktiven Werbeblocker hat. Hoffe das sich dieser Trend nicht weiter durchsetzt

Grüße

 

[SolarCatcher]

Leider trifft man auf immer mehr Seiten die einen den Zugang verweigern wenn man einen aktiven Werbeblocker hat. Hoffe das sich dieser Trend nicht weiter durchsetzt

Leider muss man für die Suche auf BSDForen ja auch recaptcha.net erlauben und damit Google Einlass gewähren. Ich verstehe, dass Recaptcha z.Z. eine der besten Lösung gegen Spam-Bots ist, aber schade ist es trotzdem.

 

[waki87]

Hallo !

Mich beschäftigt seit einiger Zeit die Frage des sicheren Surfens im Internet.
Keine Ahnung ob ihr euch da ein wenig auskennt. Aber ich kann ja mal kurz abreißen, was mich auf dieses Thema gebracht hat.

Ich nutze den Browser Firefox, wie sicherlich viele andere User auch.
Ich habe dann im Internet einen Artikel über sogenannte Tracker gelesen und über das Plugin Ghostery ziemlich schnell festgestellt, dass auf fast jeder Website mehrere solcher Tracker im Hintergrund das Surfverhalten ausspähen.
So habe ich nun in meinem Browser Firefox nur noch den privaten Modus aktiv, die Plugins Adblock Plus, Noscript und Ghostery laufen und surfe, wenn es sicherer sein soll über das Tor-Netzwerk.
Nun wurde aber gestern ein Bericht auf Golem veröffentlicht, wo drinsteht, dass auch das Tor-Netzwerk nicht mehr sicher ist.

http://www.golem.de/1012/80364.html

Da wirfst du jetzt zwei verschiedene Sachen durcheinander:

1. Du willst, daß dich die Webseiten, die du besuchst (oder meinetwegen auch Dritte wie Google, Facebook etc.), nicht eindeutig identifizieren und kein »Profil« über dich anlegen können. Dagegen schützt Tor in Verbindung mit Torbutton, Privoxy, Adblock und Noscript schon ziemlich gut. Das bisher einzige Manko, das mir bekannt ist, ist, daß Torbutton die HTML-Header nicht »normalisiert« wie es das beim User-Agent tut.

2. Du willst, daß $BoeserBube, der an deinem Internetanschluß oder im internen Netzwerk sitzt, nicht herausbekommen kann, was für Seiten du besuchst. Dagegen ist nun leider auf dem 27c3 ein Angriff veröffentlicht worden, der auf statistischer Analyse der Tor-Pakete beruht. Bei populären Seiten scheint das nun auch ganz gut zu funktionieren. Eine offensichtliche Gegenmaßnahme wäre hier natürlich, ein wenig »Noise« zu erzeugen, um die Analyse zu erschweren. Der Betrieb eines eigenen Tor-Knotens (auch ohne großartige Bandbreite) bietet möglicherweise Schutz.

 

[Athaba]

Natürlich habe ich mir den Angriff auf Tor ebenfalls angesehen, aber es ist kein riesiges unstopfbares Leck. Zum einen ist es für den Angreifer noch immer ein Glücksspiel, wo man die Chance, dass er einen Treffer macht selbst heruntersetzen kann und zum Anderen führt das Auffinden und erforschen solcher Angriffe für Gewöhnlich zu Gegenmaßnahmen, welche man jetzt nach einer praktischen Umsetzung eines Angriffes, der auf Ideen basiert, die eigentlich schon seit einer Weile bekannt auch wirklich beginnen kann. Padding hätte man ja schon seit längerem einbauen können, was aber zumindest in einfacher, wie sich herausstellt nicht wirklich effizient ist und nur Ressourcen verschwendet hätte.

 

[bananenBrot]

1. Du willst, daß dich die Webseiten, die du besuchst (oder meinetwegen auch Dritte wie Google, Facebook etc.), nicht eindeutig identifizieren und kein »Profil« über dich anlegen können. Dagegen schützt Tor in Verbindung mit Torbutton, Privoxy, Adblock und Noscript schon ziemlich gut..

Leider nicht - es gibt schon cookies, die Du quasi nicht mehr aus dem System bekommst und die auch Browserübergreifend funktionieren

http://samy.pl/evercookie/ zb

 

[Athaba]

Dagegen hilft aber das Deaktivieren von JavaScript (zum Beispiel mit NoScript), was ja von waki87 angesprochen hat. Auch Adblock könnte je nachdem welche Regeln man hat das Frame (im Falle von Facebook und ähnlichem), das diese Cookies anlegt blockieren. Müsste man mal testen, aber wenn Firefox das im Private Browsing mode nicht deaktiviert würde ich einen Bugreport schreiben.

Aber diese Dinge sind wirklich ein Problem, wenn es keine sichtbaren Optionen dafür gibt. Im Übrigen gab es so etwas ähnliches in Form von Flashcookies schon länger. Die werden auch sehr gerne übersehen.

Die Sache mit den verschiedenen Varianten von Persistenz ist ja das größte Problem, wenn man sich absichern will. Das mit den visited links war ja auch ziemlich fies. Das hat einen auch identifizieren können, wenn man aus einer Liste von Websites einen Fingerprint erzeugt.

Wenn man aber jedes Detail einstellt, dann öffnet man ja Tür und Tor für ganz andere Angriffe:
https://panopticlick.eff.org/

Die einzige Alternative, die mir da einfällt ist Freenet. Allerdings verfolge ich das schon seit einer Weile nicht mehr. Außerdem will man ja meist was von außerhalb des Darknets. Man kann natürlich auch selbst Anwendung schreiben.

Es gibt zwar viele Möglichkeiten für Angreifer, aber auch eine Vielzahl von Möglichkeiten sich zu schützen oder auszuweichen. Die Bandbreite reicht von Ignorieren bis Stecker raus. Man muss nur schauen, dass man für das was man will das richtige findet.

 

[olhe]

Extremer Schutz und extremer Komfort korrespondieren nicht. Dies muß man sich aus dem Kopf schlagen. "Ich würde ja gerne, aber dann muß ...", ja dann muß man den Komfort einschränken oder im Fall der Fälle gar auf ein Angebot verzichten. Wer dann doch ob des verlustig gehenden Komforts auf Sicherheit verzichtet oder meint, ein wenig Sicherheit sei besser als gar keine, der sollte sich doch überlegen, ob man wirklich eine Gefahr zu sehen glaubt oder mehr dem Hype folgt. Denn Konsequenz gegenüber dem eigenen Handeln geht anders.

 

[rudy]

@bananenbrot

so hab mal ne Anleitung wie Ihr die evercookies loswerdet, aber erst etwas Theorie von Bruce Schneier zu diesem Ärgernis!

# http://www.schneier.com/blog/archives/2010/09/evercookies.html

dann die Anleitung von Jeremiah Grossman einen bekannten White Hat, für >

(a) Chrome Browser analog Chromium
(b) Firefox in der Version 3.6 den nutzen ja die meisten

# http://jeremiahgrossman.blogspot.com/2010/10/killing-evercookie-google-chrome-wo.html

dazu wieder etwas Theorie zu Flash-Cookies>

# http://de.wikipedia.org/wiki/Flash-Cookie

in diesem Zusammenhang sei aber auch auf das History Stealing verwiesen, hier nutzt das Deaktivieren von JavaScript nichts >

# http://www.heise.de/newsticker/meldung/History-Stealing-2-0-Ich-weiss-wo-du-wohnst-1005016.html

dann verweise ich auf einen Beitrag von Heise vom Mai diesen Jahres

# http://www.heise.de/newsticker/meldung/Fast-alle-Browser-sind-eindeutig-identifizierbar-1002375.html

Die Electronic Frontier Foundation demonstrierte im Januar diesen Jahres den Fingerabdruck der Browser!

Wer sich für die Arbeit der EFF interessiert kann mich über die Kontaktmöglichkeiten hier im Forum erreichen....

Anbei die Dokumentation zum History Stealing

So dann noch einen guten Rutsch und alles Gute für euch bin wie immer auf dem Weg zum Flughafen und trete meinen sauerverdienten Urlaub an.

gehabt euch wohl

mfg der rudy

 

[Lixos]

Vielen Dank für eure zahlreichen Postings.
Für die Super-Cookies gibt es beim Firefox das Addon "BetterPrivacy"
ohne viel im Browser rumbasteln zu müssen.

Desweiteren habe ich festgestellt, das der Referer manuell deaktiviert werden sollte um bei Klicks auf Bilder und Links nicht die Ausgangsadresse mitzusenden. Das geht auch recht einfach in der about:config indem man den Eintrag bei "network.http.sendRefererHeader" auf den Wert 0 setzt. Zu Beeinträchtigungen sollte das ja nicht führen, oder?

Wie schaut es beim User Agent aus?
Irgendwie ändert der Firefox meine geänderten Einträge immer wieder zurück.

Insbesondere das Posting von rudy werde ich mir jetzt mal genauer anschauen. Danke dafür ...

@yamagi... was ist am Opera besser im Vergleich zum Firefox? ... Irgendwie störte mich beim Opera, dass da so nen Accountzeugs mit dabei ist, was ich gar nicht will und man die Addons nicht so schön in einer Liste angezeigt bekommt... oder hab ich da nur was übersehen?
Desweiteren würde mich interessieren ob beim Opera auch die Erweiterungen wie beim Firefox in Bezug auf Sicherheit vorhanden sind. Oder braucht man die beim Opera nicht, weil sie schon integriert sind? Laut dem Browsertest Peacekeeper ist ja der Opera nochmal um einiges schneller im Vergleich zum Firefox... was ich bei einer Installation auf meinem Windows 7 auch bestätigen kann. Was meinst du yamagi?

Wenn ich demnächst etwas mehr Zeit habe, werde ich mich am FreeBSD 8.2 mal versuchen ...

 

[Athaba]

Das geht auch recht einfach in der about:config indem man den Eintrag bei "network.http.sendRefererHeader" auf den Wert 0 setzt. Zu Beeinträchtigungen sollte das ja nicht führen, oder?

Kommt auf die Websites an, die du nutzt. Ein paar Schlaumeier meinen auf diesem (im RFC als optional bezeichneten) Header ihr komplettes Sicherheitskonzept aufbauen zu müssen. Allerdings wirst du es bemerken und eine entsprechenden Meldung erhalten. Manche verwendenden es auch, damit Downloads oder Bilder nur von ihren Websites aus funktionieren. Das hängt aber wie gesagt mit den Website zusammen, die du nutzt.

Wie schon erwähnt stichst du allerdings mit dieser Einstellung erst recht hervor. Selbiges gilt für das Deaktivieren des UserAgent-Strings. Witzig, auch in diesem Fall gibt es Websites, welche es als Feature bezeichnen, wenn dieser einer RegEx entsprechen. Die sind aber sehr selten. Sich als Googlebot auszugeben kann einem andererseits Türen öffnen, die einem sonst verwehrt bleiben. Keine Ahnung, wie die "Spionagesysteme" darauf reagieren, wäre aber ganz interessant dahinter zu kommen. Vielleicht wird man ja sogar ignoriert.

 

[Lixos]

Es geht mir dabei weniger um das "Hervorstechen". Denn ich habe nichts zu verheimlichen.
Was mich nur stört, ist dieses Gefühl der stetigen Überwachung durch Tracker und die Verwendung meiner Surfgewohnheiten für irgendwelche Statistiken oder weiß der Geier wozu noch.
Deshalb wollte ich einfach mal wissen, welche Möglichkeiten es da gibt, sowas zu vermeiden ohne das die Performance des Systems leidet.
Der Aspekt, dass man insbesondere dann von der Masse abhebt und es dafür Filter gibt, hab ich so noch nicht bedacht. Wird man also dann mit solchen Einstellungen gleich überwacht...^^...

 

[olhe]

Es geht mir dabei weniger um das "Hervorstechen". Denn ich habe nichts zu verheimlichen.
Was mich nur stört, ist dieses Gefühl der stetigen Überwachung durch Tracker und die Verwendung meiner Surfgewohnheiten für irgendwelche Statistiken oder weiß der Geier wozu noch.
Deshalb wollte ich einfach mal wissen, welche Möglichkeiten es da gibt, sowas zu vermeiden ohne das die Performance des Systems leidet.
Der Aspekt, dass man insbesondere dann von der Masse abhebt und es dafür Filter gibt, hab ich so noch nicht bedacht. Wird man also dann mit solchen Einstellungen gleich überwacht...^^...

Na du widersprichst dir ja schon im zweiten Satz. Natürlich willst du etwas verheimlichen und das ist auch dein gutes Recht. Die Sorge um die Bewegungsdaten, ist keine geringe und damit läßt sich allerhand Unfung treiben bzw. wenn ziemlich viel schief läuft ist auch behände ein Anfangsverdacht generiert.

 

[Athaba]

Das mit dem Verbergen ist wohl Definitionssache.

Mit dem Hervorstechen ist das aber so eine Sache. Je nachdem wie das jeweilige Programm/System zur Sammlung arbeitet könntest du eben statt einer ID in einem Cookie eine ID auf dem Server bekommen, welche mit deinen Einstellungen verbunden. Das meinte ich mit hervorstechen. Dann hast du quasi eine andere Färbung oder einen Fingerabdruck, wenn man diese Metapher verwenden will.

Ob es nun das Cookie oder die Einzigartigkeit in einem System, ähnlich Panopticlick ist macht ja schlussendlich keinen großen Unterschied.

Mit dem ganzen Zeug, das auf Clouds gehostet will man Drittseiten nicht einfach aussperren.

Ziemlich verzwickt. das Ganze. Vielleicht wäre auch ein Gegenangriff ganz gut. Ein System (eine Browserextension?), das mit jedem Request möglichst viel zufälligen Müll mitschickt und der Dataminer keine bzw. nur falsche Interessen mehr feststellen kann. Die Idee kam mir, als ich mir den 27C3 Jahresrückblick mit den neuen Berufsbildern angesehen habe.

 

[Yamagi]

@yamagi... was ist am Opera besser im Vergleich zum Firefox? ... Irgendwie störte mich beim Opera, dass da so nen Accountzeugs mit dabei ist, was ich gar nicht will und man die Addons nicht so schön in einer Liste angezeigt bekommt... oder hab ich da nur was übersehen?

Das kann man so nicht beantworten. Beides sind Browser mit relativ ähnlichem Funktionumfang und daher vor allem Geschmackssache. Ich persönlich mag an Opera, dass seine Konfigurierbarkeit nach wie vor unerreicht und er sich subjektiv wesentlich schneller und reaktionsfreudiger als alle anderen zeigt.

Ansonsten:
- Opera Link (was du wohl mit Account-Zeugs meinst) als Synchronisierungswerkzeug über mehrere Rechner hinweg ist sehr praktisch aber vollständig optional. Gleiches gilt für den Passwortmanager Opera Wand. Kurz gesagt musst du nirgends irgendwelche Accounts erstellen oder persönlichen Daten angeben, wenn du es nicht möchtest.
- Opera hat vieles bereits eingebaut, was bei anderen Browsern per Erweiterung realisiert wird. Auch wenn einige Idioten nach wie vor steif und fest behaupten es gäbe all diese Dinge nicht, hat Opera schon seit langem einen Inhaltsfilter (aka Adblocker) und einen Plugin-Blocker.
- Was du mit Erweiterungen meinst, sind sicherlich die Widgets. Widgets sind gut und schön, aber in meinen Augen eine reichlich sinnlose Angelegenheit. Seit Version 11 hat Opera nun auch echte Extensions - hier Addons genannt - ähnlich wie Firefox. Die ABI ist recht ähnlich zur Mozilla-Familie, das macht das Portieren einfach. Eine Liste aller Erweiterungen findet man unter https://addons.opera.com/ Sowohl Erweiterungen als auch Widgets können genauso wie im Firefox als Liste angezeigt werden: Opera -> Errweiterungen -> Verwalten und Opera -> Widgets -> Verwalten.

Alles in allem ist Opera halt ein Browser wie jeder andere und hat so auch seine individuellen Vor- Und Nachteile. Ob er nun vom Sicherheitsstandpunkt besser oder schlechter als die Konkurrenz ist, kann ich nicht beurteilen. Er ist natürlich Closed Source, für mich war und ist das kein Problem, aber mag sein, dass es dem Einen oder Anderen nicht passt... Muss jeder für sich entscheiden.

 

[bananenBrot]

Was mich nur stört, ist dieses Gefühl der stetigen Überwachung durch Tracker und die Verwendung meiner Surfgewohnheiten für irgendwelche Statistiken oder weiß der Geier wozu noch.

Wenn ich mittlerweile sehe wieviele Seiten google analytics eingebunden haben, wird mir ganz ganz anders...

 

[oenone]

Wenn ich mittlerweile sehe wieviele Seiten google analytics eingebunden haben, wird mir ganz ganz anders...

Da mag ich noscript

 

[Athaba]

Und Adblock! Wenn's Frames oder Bilder sind können auch statische (ist das heutzutage eigentlich noch der richtige Begriff? ) Inhalte missbraucht werden. Eine große Liste gibt's auch mit einer Privacy-Erweiterung.

Zum Beispiel für für die allseits beliebten Facebook- Frames, also diese "Like it"-Buttons. Einfach den Frame mit Adblock blockieren. Sollte sogar funktionieren, wenn man Facebook selbst trotzdem verwendet. Kann's aber nicht testen, weil ich das nicht tue.

Mit NoScript blockt man ja nur das JavaScript. In vielen Fällen ist es mehr.

 

[ernst]

Ich benutz noch Cookie Monster, aber das wird dann schon recht nervig, da einige Seiten ohne Cookies nicht funktionieren.

 

[oenone]

Zum Beispiel für für die allseits beliebten Facebook- Frames, also diese "Like it"-Buttons. Einfach den Frame mit Adblock blockieren. Sollte sogar funktionieren, wenn man Facebook selbst trotzdem verwendet. Kann's aber nicht testen, weil ich das nicht tue.

Mit NoScript blockt man ja nur das JavaScript. In vielen Fällen ist es mehr.

Sicher? Bei mir blockt NoScript alle IFrames... Wenn ich das ausschalte, habe ich trotz Adblock Plus die "Like it"-IFrames.

Auch sonst macht NoScript viel mehr, z.B. alle Plugins sperren, ClearClick-Schutz, XSS, ABE, etc...

 

[kira12]

ja, no-script ist eine sehr schöne Erfindung ;-)