Welche Browser-Privacy-AntiAdvertising-Security-Sachen nutzt ihr aktuell (Q1/2026)?

[CommanderZed]

Moin,

inspiriert aus dem Desktop-Thread wollte ich mal fragen was ihr für Sachen nutzt um das Browsen

-> Sicherer zu machen (z.B. Javascript zu Blocken)
-> Die Privatsphäre zu erhöhen
-> Nerfige Werbung auszublenden
-> Das Surferlebniss sonst wie zu verbessern.

Da gehts mir weniger um die "offensichtlichen" Vanilla-Browser-Internen optionen (z.B. Cookies strenger einstellen) sondern eher um externe sachen wie:

-> Forks der großen Browser (Librewolf, Iridium, Ungoogled-Chromium, Brave usw)
-> Browser-Plugins für die "großen" Browser wie NoScript, u-Block-Origin usw
-> Externes DNS-Basiertes Blocking ala PiHole
-> Externes komplexeres Blocking (Klassischer Proxy, Packetfilter usw)
-> Tor, Torbrowser
-> Selbstgestrickte VPN-Sachen
-> Kommerzielle Lösungen (Ich denke hier vor allem an diese ganzen VPN-Anbieter die von Influencern wie Sauerbier angeboten werden usw)=

Mir gehts hier mehr um einen Erfahrungsaustausch als zu sagen "Das ist das beste Produkt" - also würden mich auch interessieren welche Schwächen ihr warnimmt, wo ihr villeicht den Komfort-Sicherheitstradeoff grenzwertig findet oder wo ihr villeicht auch bewusst auf zusätzliches verzichtet weil es wieder auch eine Angriffsfläche sein könnte.

Denkt bitte bei der sicher aufkommenden Diskusion dadrann das jeder eigene Schwerpunkte hat und es eine sehr große Bandbreite an richtig/falsch nach dem individuellen Nutzerverhalten gibt. (Offensichtlich krasser Bullshit wie mein bekannter der "Windows 7 mit ner 15 Jahre alten Firefox version" kombiniert weil nur so ist er vor Microsoft sicher" sollte man natürlich auch als solchen bezeichnen, ihr wisst schon)

 

[midnight]

Unter Firefox kann man seine Spuren im Internet schon etwas reduzieren. Eine weitere Quelle ist das Privacy Handbuch Je nach Grad der Einstellungen funktionieren allerdings einige moderne Webseiten nicht mehr. Hier kann man dann bei Bedarf Ausnahmen festlegen. Ich persoenlich versuche solche Webseiten zu meiden.

 

[berni51]

Ich mach ebenfalls einiges über die FF-Einstellungen und hab pi-hole auf 2 BananaPis redundant laufen.

 

[turrican]

FireFox, mit den üblichen Verdächtigen:

• YT Enhancer (wobei ich YT, wenn, dann nurmehr über FreeTube (Linux, Windows) und pipepipe (Android) schaue)
• Adblock Plus
• uBlock Origin
• Disable Javascript
• ClearURLs
• PrivacyBadger

VPN wenn, dann Mullvad - man kann da noch anonym in bar zahlen, ohne Namens/ID-Nennung (schauen wir mal, wie lange noch), und angeblich wird nichts geloggt.

NordVPN wurde wenigstens schon einmal gehackt, Userdaten samt Kreditkarteninfos flossen ab - und wenns ein YouTuber bewirbt, dann isses sowieso nix für mich, kommt auf eine Negativliste.

Andere Anbieter hab ich nicht weiter verfolgt, solange Mullvad noch so zu haben ist wie bisher,

Ich denke aber, dass dieses "du brauchst zwingend ein VPN" Gehabe ähnlich zu bewerten ist wie grade der Protein- und der Sauerkraut - "it's a SUPERFOOD!!!" Hype - erstmal langsam, brauchts das wirklich? Ich sage: nein - und benutze es wenn, dann eh nur in Ausnahmefällen (z.B. offenes (Hotel-)WiFi auf Reisen in der Wallachei etc).

 

[Rakor]

Ich nutze meist den Firefox, stelle ihn halbwegs vernünftig ein und installiere folgende Plugins die ich gerne nutze:

• Decentraleyes
• Firefox Multiaccount-Containers
• Simple Tab Groups
• uBLock Origin

(Kann sein, dass eines der Addons mittlerweile überholt ist.... ).
Früher hab ich den uBlock Origin noch ziemlich paranoid eingestellt, JS grundsätzlich verboten, etc. pp. Aber mal ehrlich, man ist dabei eigentlich nur genervt beim Browsen, also läuft er aktuell ziemlich auf Standardeinstellung. Ich verzichte auf den Aluhut und gehe Richtung best effort

Zusätzlich läuft im Netzwerk ein PiHole der auch einen nicht unerheblichen Teil an Werbung und Tracking raushält-

 

[Rakor]

Ich denke aber, dass dieses "du brauchst zwingend ein VPN" Gehabe ähnlich zu bewerten ist wie grade der Protein- und der Sauerkraut - "it's a SUPERFOOD!!!" Hype - erstmal langsam, brauchts das wirklich? Ich sage: nein - und benutze es wenn, dann eh nur in Ausnahmefällen (z.B. offenes (Hotel-)WiFi auf Reisen in der Wallachei etc).

"Du brauchst zwingend VPN" sagen, meines Erachtens, nur die VPN-Anbieter. Denn das Einzige was Du damit tust ist den Trust von Deinem ISP (Telekom, Vodafone, etc.) zu einem mysteriösen Unternehmen in Überseh zu verschieben.... Ob das aus Privacy-Gründen sinnvoll ist muss jeder für sich entscheiden.

 

[Andy_m4]

Das wird jetzt vielleicht etwas FreeBSD-fokussiert. Aber so im Grundsatz funktioniert das auf anderen Systemen natürlich auch.

DNS-Blocking:​

Ich verwende im LAN einen eigenen DNS-Server. Nämlich unbound (der ja auch FreeBSD beiliegt). Der macht dann auch gleich das DNS-Blocking, so das ich schon mal zumindest sowas wie ein Grundschutz für alle Geräte im LAN hab ohne das ich da extra was konfigurieren muss.
DNS-Listen gibts ja verschiedenste im Netz wie beispielsweise https://github.com/StevenBlack/hosts
Ich hab dann ein CRON-Job mit einem Skript am laufen. Das Skript lädt sich die passende Liste runter und erzeugt daraus eine Konfig.datei
/var/unbound/conf.d/blacklist.conf
wo dann im Wesentlichen sowas drin steht wie

server:
  local-zone: "www.facebook.com" always_nxdomain
  local-zone: "www.doubleclick.com" always_nxdomain
  # usw. usw. usw.

Pi-Hole bietet noch ein bisschen mehr aber im Grunde ist es genau das und für meine Zwecke reicht das auch so.

Zudem nutze den unbound dann auch gleich noch für Caching, DNSSEC und DNS-over-TLS.

IP-Blocking:​

Ähnliches gilt auch für IP-Adressen die man automatisiert in seinen Paketfilter eintragen lassen kann. Zum Beispiel bei ipfw die Table-Funktionalität nutzen:
ipfw table blockliste create type addr or-flush
und dann kann man mit
ipfw table blockliste add 1.2.3.4
IP-Adressen hinzufügen (z.B: in einem Skript via Schleife)
und dann braucht man nur noch sowas wie ein:
ipfw add drop all from 192.168.178.0/24 to 'table(blockliste)'
Fertig. :-)
Listen finden sich z.B. hier: https://opendbl.net/ Wenn man nicht Serverbetreiber ist, sind natürlich eher die Outgoing-Listen am interessantest.

VLAN:​

Wenn man eh schon ein Paketfilter betreibt, kann man das natürlich auch gleich benutzen um via VLAN SmartTV und ähnliche Gammel-IT vom eigentlichen internen Netz zu trennen. Wenn man für diese Trennung weniger Konfigurationsaufwand betreiben will, kann man dafür auch die Gast-WLAN-Funktionalität der Fritz!Box (sofern vorhanden) benutzen. Damit kriegt jeder VLAN hin. :-)

Browser:​

Was Browser angeht, versuche ich Dinge zu trennen. Wie bereits im Nachbarthread gesagt sind ja Browser besonders exponiert. Daher lohnt sich die auch entsprechend abzusichern.
Ich versuche auch zu trennen. Einmal zwischen wichtige Dinge (Banking etc.) und einmal für das "umhersurfen". Beides sollte nicht in einer Browser-Instanz laufen, damit eine Bad-Site nicht durch ein Security-Bug durchgreifen kann auf die Banking-Seite.

Unter FreeBSD hat man ja Jails, womit man einen abgetrennten Bereich schaffen kann, was insbesondere für das "umhersurfen" ganz praktisch ist. Idealerweise fängt man auch Schreibzugriffe ab (bei ZFS geht das ja easy mit einem eigenen Dataset und Snapshots). Nach jeder Session setzt man auf den Snapshot zurück. Dann kann selbst ein erfolgreicher Exploit im Browser sich nicht durch Tricks permant festsetzen.
Man braucht dafür auch nicht unbedingt ein full-Jail. Es genügt einfach das vom Host-System (natürlich als ro) reinzumounten, was man braucht. Es geht ja nur um den Isolationsaspekt.

Das Blocking im Browser angeht, so kann man gut uBlock Origin benutzen. Oder auch uMatrix, was noch eine feingranularere Einstellung erlaubt. Man kann auch beides parallel benutzen (so mach ich das).

Kommerzielle Lösungen

Diese ganzen VPN-Geschichten sehe ich eher durchwachsen.
Weil man tauscht ja im Prinzip nur ein "mein Internetprovider sieht, was ich mache" gegen "mein VPN-Anbieter sieht was ich mache".
Und klar, bei gewissen Szenarios kann das Sinn machen (unsicheres Hotel-WLAN ; oder auch: Geoblocking umgehen). Aber so wirklich überzeugend (im Sinne von Privatsphäre) ist das nicht.
Das ist eher eine Krücke während TOR ja zumindest den Anspruch hat, eine technische Lösung zu finden, bei dem ein einzelner Netzwerk-Node i.d.R. zu wenig Information hat um Rückschlüsse zu ziehen (sprich: nicht sehen zu können welcher Sender an welchem Empfänger was schickt).

Librewolf

Kleine Anmerkung:
Der Librewolf ist ja lediglich ein angepasster Mozilla Firefox.
Wer jetzt aus Gründen lieber einen Firefox einsetzen möchte als ein LibreWolf, der kann zumindest die Einstellungen aus about:config aus dem LibreWolf übernehmen (sind ja alles im Grunde nur Javascript-Dateien).
https://codeberg.org/librewolf/settings/src/branch/master/librewolf.cfg
Wobei man diese Sachen quasi auch alle im Kuketz-Blog (#2) erwähnten arkenfox findet und das ist dann auch etwas zugänglicher.

Fürs (werbefreie) Youtube hat sich auf Android-Mobildevices newpipe sehr bewährt. Das gibt einem gleich auch Features für die man sonst einen Account bei Youtube braucht und hilft somit aktiv bei der Datensparsamkeit. Das gibts auch bei f-droid, so das man nicht auf Googles widerlichen PlayStore angewiesen ist.
Wenns was für den Desktop sein soll, kann man FreeTube nehmen.

Ansonsten hängt einfach auch viel Sicherheit und Privatsphäre am eigenen Verhalten. Wer überall Accounts anlegt, seine Lebensgeschichte auf Social-Media breit tritt, als Passwort pw1234 benutzt, auf alles Mögliche klickt was zappelt, dem nützt auch der sicherste/bestkonfiguriertste Browser und anonymisierenste VPN nix. :-)

 

[Andy_m4]

(Kann sein, dass eines der Addons mittlerweile überholt ist....

Da Du es erwähnst:

Firefox Multiaccount-Containers

Inzwischen bietet Firefox Cookie-Site-Isolation ab Werk. Das nimmt etwas die Notwendigkeit dieses Addons.

Simple Tab Groups

Tab-Groups werden inzwischen ebenfalls standardmäßig supportet.

 

[CommanderZed]

"Du brauchst zwingend VPN" sagen, meines Erachtens, nur die VPN-Anbieter. Denn das Einzige was Du damit tust ist den Trust von Deinem ISP (Telekom, Vodafone, etc.) zu einem mysteriösen Unternehmen in Überseh zu verschieben.... Ob das aus Privacy-Gründen sinnvoll ist muss jeder für sich entscheiden.

Ja, absolut wichtiger Punkt finde ich. Ich hab sowas aus ebendiesen gründen nicht.

Ansonsten, sehr spannend bislang alles.
Ich such nichts konkretes, ich dachte das man sich hier mal ganz nett gegenseitig etwas inspirieren kann

 

[medV2]

Moin,

inspiriert aus dem Desktop-Thread wollte ich mal fragen was ihr für Sachen nutzt um das Browsen

-> Sicherer zu machen (z.B. Javascript zu Blocken)
-> Die Privatsphäre zu erhöhen
-> Nerfige Werbung auszublenden
-> Das Surferlebniss sonst wie zu verbessern.

Firefox mit:

• uBlock
• noScript
• multi account containers
• facebook container

Dazu im Heimnetz AdGuard-Home (sollte sich jeder PiHole nutzer mal ansehen, ich will nicht mehr zurück).

VPN wenn, dann Mullvad - man kann da noch anonym in bar zahlen, ohne Namens/ID-Nennung (schauen wir mal, wie lange noch), und angeblich wird nichts geloggt.

Bringt das wirklich was? Mullvad hat ja dennoch die IP von der aus du dich verbindest. Wenn sie das Loggen, ist die Anonymität auch dahin, wenn du ihnen vertraust, kannst du auch einem Dienst vertrauen, der sagt die Zahlungsdaten werden anonymisiert.


Ich selbst habe ein aktives NordVPN Abo - einfach weil ich das mal für 9 Euro / Jahr für 2 Jahre bekommen habe. Ich nutze es direkt mit OpenVPN Configs, also nicht über deren App und um für Netflix und Co mal schnell den Ort zu wechseln, nicht für "Sicherheitszwecke", letzteres ist sowieso Humbug, und die Probleme was Anonymität betrifft, wurden ja schon angesprochen.

 

[turrican]

obs was bringt? ja, nein, vielleicht - das muss jeder für sich entscheiden;
wie gesagt, ich bin meist eh ohne VPN im Netz unterwegs;

Mullvad loggt angeblich keine IP [1];
obs wirklich so is - kann ichs überprüfen: nein!
wenn, dann muss ich deren Aussage blind vertrauen;

jedoch, ich wage zu behaupten: sämtliche US geführten (kommerziellen!) Unternehmen müssen loggen - ob sie wollen oder nicht, aber das wäre eine Diskussion für einen eigenen Thread;

[1] Sektion "What we don't log" unter https://mullvad.net/en/help/no-logging-data-policy#overview

 

[Andy_m4]

AdGuard-Home (sollte sich jeder PiHole nutzer mal ansehen, ich will nicht mehr zurück).

Was sind denn aus Deiner Sicht die wesentlichen Vorzüge von AdGuard Home im Vergleich zu Pi-Hole?

Mullvad loggt angeblich keine IP

Immerhin legt Mullvad sehr anschaulich da, was sie genau wann speichern.
Wenn man das so mit den üblichen Datenschutzerklärungen vergleicht, wo man nach 3 Seiten aufhört zu lesen weil man nicht wirklich versteht, was die meinen, ist zumindest das bei Mullvad vorbildlich. Unabhängig jetzt davon, ob sie sich dran halten oder nicht.

 

[medV2]

Was sind denn aus Deiner Sicht die wesentlichen Vorzüge von AdGuard Home im Vergleich zu Pi-Hole?

Also ich meine natürlich nicht die Appliance, sondern das OS Projekt dahinter: https://github.com/AdguardTeam/Adguardhome

Erstmal die subjektiven Gründe: Cleaneres, aufgeräumteres UI, dazu besseres Dashboard und einfachere Config (Eigene Hostnames im Netz, Blocklisten, Regeln, ..). Einfache Installation als Container.

Objektiv: Zumindest damals hat PiHole kein QUIC unterstützt, wie es jetzt aussieht weiß ich nicht. Die Performance: Auf einem rpi3 hat Hole merklich Last gefressen (10% wenn man was gemacht hat), AdguardHome gönnte sich maximal 3%. Bin mittlerweile auf einen Pi4 migriert da merkt man den garnicht mehr. Bessere Cachingoptionen (asynchroner Refresh wenn der Cache ausläuft).

 

[turrican]

Nachtrag:
als DNS nutze ich LAN-intern ein pihole (3,68 Mio Domains blocked), mit externem DNS von dns.sb von xTom GmbH:
v4: 185.222.222.222 bzw 45.11.45.11
v6: 2a09:: bzw 2a11::

die loggen angeblich auch nichts (ich glaubs denen mal, gutgläubig wie ich bin)

EDIT: Typo in erster v4 Adresse (185.222.222.222 anstatt 185.222.222.22)

 

[pit234a]

In letzter Zeit nur noch FF, weil am zuverlässigsten, ansonsten auch einen Chrome mit Einstellungen, die weitgehend vom Ungoogled kommen.
VPN wegen Geo-Blocking mit OpenVPN und bei einem schweizer Anbieter.
Im FF:
Cookie AutoDelete
NopeCHA (Captcha Solver)
Privacy Badger
AdNauseam
uBlock Origin

Früher lief der Fuchs in einer Jail, die ich von GhostBSD oder so was abgeguckt hatte. Aus Bequemlichkeit habe ich das nun gelassen.
Edit: ebenso den unbound.

Ich sehe so gut wie nie YT oder nutze generell den Browser nicht für Multimedia, sondern eben "nur als Browser", auch ohne Facebook und Co.

 

[medV2]

Nachtrag:
als DNS nutze ich LAN-intern ein pihole (3,68 Mio Domains blocked), mit externem DNS von dns.sb von xTom GmbH:
v4: 185.222.222.222 bzw 45.11.45.11
v6: 2a09:: bzw 2a11::

die loggen angeblich auch nichts (ich glaubs denen mal, gutgläubig wie ich bin)

EDIT: Typo in erster v4 Adresse (185.222.222.222 anstatt 185.222.222.22)

Kann der ECS und wie sind die mittleren Antwortzeiten? Ich bin derzeit bei Quad9, und immer auf der Suche datenschutzfreundlichen nach Alternativen, die meisten sind leider schlicht zu langsam.

 

[turrican]

lmlitffy (let me look in the faqs for you)


Answer: no

DNS.SB - Free, Fast & Privacy-First DNS Resolver

DNS.SB is a free, fast, and privacy-focused DNS resolver service. Supports DNS over HTTPS (DoH) and DNS over TLS (DoT) with no logging.

dns.sb

zu den Antwortzeiten kann ich nicht viel sagen, für meine Zwecke hats gereicht - ich hab keine Zeiten gemessen oder erfasst

hängt vermutlich auch stark davon ab, über welches AS man reinkommt (Danke, Telekom-Peering)

EDIT1: Answer
EDIT2: Antwortzeiten

 

[Yamagi]

Sowas kann man sich auch ohne große Schmerzen selbst bauen, das Stichwort ist RPZ: Einen DNS-Server wie BIND9, die Rootzone spiegeln und eine der frei verfügbaren Blocklisten als RPZ rein. Zum Beispiel der Klassiker von https://pgl.yoyo.org/adservers/ oder diverse aggregierte Listen von https://github.com/StevenBlack/hosts Das hat auch gleich den Vorteil, dass man das Datenleck DNS so gut stopft, wie man es in Anbetracht der nicht unbedingt datenschutzfreundlichen Architektur von DNS denn kann.

 

[Andy_m4]

Kann der ECS und wie sind die mittleren Antwortzeiten?

Wobei EDNS Client Subnet natürlich auch potentiell ein Privacy-Problem darstellt.

Und was etwaige Probleme mit Antwortzeiten angeht: Das kann man eigentlich recht gut abfedern in dem man halt die Antworten cached, so das zumindest wiederholte Anfragen nicht durchs Netz müssen.

 

[medV2]

Sowas kann man sich auch ohne große Schmerzen selbst bauen, das Stichwort ist RPZ: Einen DNS-Server wie BIND9, die Rootzone spiegeln und eine der frei verfügbaren Blocklisten als RPZ rein. Zum Beispiel der Klassiker von https://pgl.yoyo.org/adservers/ oder diverse aggregierte Listen von https://github.com/StevenBlack/hosts Das hat auch gleich den Vorteil, dass man das Datenleck DNS so gut stopft, wie man es in Anbetracht der nicht unbedingt datenschutzfreundlichen Architektur von DNS denn kann.

Habe ich da nicht erst recht das Problem, dass alle DNS Anfragen unverschlüsselt übers Netz gehen und der ISP alles mitbekommt?

 

[medV2]

Wobei EDNS Client Subnet natürlich auch potentiell ein Privacy-Problem darstellt.

Ist mir bekannt, leider ist es extrem hilfreich bei Seiten, die eben durch die großen CDNs ausgeliefert werden. Das ist nicht nur Mess, sondern deutlich Spürbar.

Und was etwaige Probleme mit Antwortzeiten angeht: Das kann man eigentlich recht gut abfedern in dem man halt die Antworten cached, so das zumindest wiederholte Anfragen nicht durchs Netz müssen.

Ja, wird bei mir auch gemacht, mit async refresh, vielleicht versteife ich mich da auch immer etwas zu sehr.

 

[serie300]

FF mit ublock origin . Und ich habe 2 Unix User angelegt. Einen für im Internet stochern mit begrenteren Rechten, scharf eingestelltem ublock und löschen der Cookies / cache und einen für ernsthafte Dinge ( Logins, verläßlichere Webseiten ). Und vorne dran ist noch der Router / Fritz.

 

[Ashrak]

Ich habe uBlock Origin und NoScript am Laufen, aber wenn ich so höre in welche Richtung sich Surveillance-Tech hin entwickelt, fühlt sich das nach einem ziemlich ärmlichen Trostpflaster an, selbst wenn ich noch alle anderen Möglichkeiten aussschöpfen würde, die im Startpost so genannt werden.

 

[marzl]

Zentral: Eine OPNsense mit diversen Unbound Block Listen
Client: Firefox mit uBlock Origin, Decentraleyes, ClearURLs

 

[oenone]

Auf Desktop:

Firefox mit überarbeiteten Einstellungen:

• Empfehlungen aus
• Leere Startseite und neue-Tab-Seite
• Startpage als Suchmaschine
• Aktivitätenverfolgung aus
• DoNotTrack an
• kein Speichern von Passwörtern/Adressen/Zahlungsmethoden
• Nur-HTTPS-Modus (mit vereinzelten Ausnahmen)
• DNS-over-HTTPS aktiv

Sowie die Erweiterungen:

• "uBlock Origin" zum Blockieren von schädlichen Inhalten
• "Improve Youtube" für sauberere Youtube-Oberfläche (Einstellungen dafür separat gesichert)
• "Bitwarden" für Passwortmanagement.

Neben Browser noch:

• selbst gehostetes Vaultwarden für Paswortmanagement
• selbst gehostetes Nextcloud für Synchronisierung von Daten, Bildern, Kontakte und Kalender
• E-Mails über mailbox.org und verknüpfter eigener Domain

Auf Handy (Android):

• Browser ebenfalls Firefox
• Suchmaschine ebenfalls Startpage
• Bitwarden für Passwortmanagement
• AdAway zum Blockieren von schädlichen Inhalten
• wenn möglich, Apps aus F-Droid
• z.B. Kalender und Galerie von fossify.org (früher SimpleMobileTools)