Welche Browser-Privacy-AntiAdvertising-Security-Sachen nutzt ihr aktuell (Q1/2026)?

[SolarCatcher]

Auf meinem Haupt-Laptop verwende ich auch eine der Blacklists von Steven Black, die täglich die /etc/hosts aktualisiert.

Mein Standard-Browser ist FF. Dort bin ich recht konservativ, was ich zulasse und verwende daher die Extensions uBlockOrigin und uMatrix.

Wenn damit etwas nicht klappt, verwende ich Chromium und dort (nur) Privacy Badger. Gleiches auf dem Familien-Laptop.

Auf dem iPhone verwende ich je nach Bedarf unterschiedliche DNS-Server von Mullvad, die verschiedene Dinge blockenh - sie stellen entsprechende Profile zum Download zur Verfügung. Das sorgt schon weitgehend für werbefreien Genuss, selbst in Apps.

 

[pit234a]

selbst gehostetes Nextcloud für Synchronisierung von Daten, Bildern, Kontakte und Kalender

nehme an, das hat etwas mit smartphone zu tun und weil ich da gerade davor stehe, wäre mir etwas mehr Information ganz lieb.

 

[Andy_m4]

nehme an, das hat etwas mit smartphone zu tun und weil ich da gerade davor stehe, wäre mir etwas mehr Information ganz lieb.

nextCloud (Abspaltung von ownCloud) ist eine Plattform (bzw. Serversoftware) für private Cloud-Speicher und Kollaboration. Damit kannst du Dateien speichern, Kalender, Kontakte und Chats verwalten. Über Desktop- und Mobile-Clients erfolgt die automatische Synchronisation von Dateien und Daten zwischen sowohl Deinen Desktop-PCs als auch Mobildevices a-la Smartphones (so wie es bei Cloud-Krams eben üblich ist).
Der Wikipedia-Artikel zu nextCloud gibt eine ganz gute Übersicht über das Ding.

 

[Andy_m4]

Blacklists von Steven Black

Ergänzung:
Das Problem bei den Steven-Black-Blocklisten ist, das da (je nach Liste) manchmal auch localhost usw. drin steht (erst nach # Custom host records are listed here. kommen wirklich die zu blockenden Domains), was man aber vielleicht nicht noch mal haben will.
Außerdem stehen da Kommentare drin, die man für die Weiterverarbeitung möglicherweise auch nicht will.
Zudem steht da noch die IP-Adresse zu jeder Domain drin (0.0.0.0), was für die /etc/hosts ok ist, aber wenn man damit z.B. seinen eigenen DNS-Server befüllt, dann ist das eher hinderlich.

Man kann sich allerdings mit einem einfachen Shellskript behelfen. :-)

Spoiler: download-StevenBlack.sh

#!/bin/sh

if [ $# -eq 0 ]; then
    echo "Aufruf: $0 <URL>"
    echo "Beispiel: $0 https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts"
    exit 1
fi

# Download von URL
URL="$1"

# Trennlinien-Kommentar
MARKER="# Custom host records are listed here."

# 1. Datei mit fetch herunterladen und nach stdout schreiben
# 2. Mit sed nach dem $MARKER - Zeile
#    suchen und alles davor löschen
# 3. Mit sed Kommentare (beginnend mit #)
#    und Leerzeilen entfernen
# 4. Mit awk den zweiten Spaltenteil extrahieren

fetch -o - "$URL" | \
    sed '1,/^'"$MARKER"'$/d' | \
    sed '/^#/d; /^[[:space:]]*$/d' | \
    awk '{print $2}'

if [ $? -ne 0 ]; then
    echo "Fehler: Datei konnte nicht runtergeladen werden oder Verarbeitung fehlgeschlagen." >&2
    exit 1
fi

Alternativ zu fetch kann man auch
curl -sL "$URL"
oder
wget -qO- "$URL"
benutzen

 

[pooltechniker]

AdGuard Home mit diversen Listen, plus uBlock Origin in den Browsern (hauptsächlich Safari und Brave).

Dazu im Heimnetz AdGuard-Home (sollte sich jeder PiHole nutzer mal ansehen, ich will nicht mehr zurück).

Ich finde AdGuard Home auch schöner als PiHole, und - es läuft auch unter FreeBSD bzw. OpenBSD.

 

[berni51]

Super Hinweise, @medV2 und @pooltechniker , Danke dafür.
Hab gerade AdGuardHome auf einem BPi M5 mit OpenBSD installiert und bin dabei, es zu konfigurieren. Danach folgt der Vergleich mit PiHole.

 

[CommanderZed]

Das sind ja schon mal spannende Einblicke.

Ich verwende bislang etwas uneinheitlich über verschiedene Geräte und Betriebsysteme vor allem einige der hier genannten Browserpugins und configs , aber nicht sehr stringent und mit wenig liebe gepflegt.

Das wollte ich ändern, mich mal tiefer mit beschäftigen und vereinheitlichen und villeicht auch mal sowas wie AdGuard oder PiHole zustäzlich verwenden, z.b. für die iOS Geräte aber auch für Windows-Clients usw

(Ein klein bisschen hab ich deshalb auch den Thread erstellt und wurde nicht enttäuscht, bei dem Thread geht es mir aber eher um den allgemeinen Austausch weil ich das gefühl hatte das interessiert alle ein bisschen - weiter machen!)

 

[pooltechniker]

Das wollte ich ändern, mich mal tiefer mit beschäftigen und vereinheitlichen und villeicht auch mal sowas wie AdGuard oder PiHole zustäzlich verwenden, z.b. für die iOS Geräte aber auch für Windows-Clients usw

Blocker auf DNS-Ebene wie AdGuard Home haben den Vorteil, dass sie auch relativ zuverlässig Werbung aus diversen Apps am Handy rausfiltern. Wenn man dann auf der Firewall noch DNS Requests zu externen Servern auf den eigenen AdGuard Home umbiegt, wird man den meisten Rotz ziemlich gut los.

 

[oenone]

nicht sehr stringent und mit wenig liebe gepflegt

Ich nutzte tatsächlich die Browser-Synchronisation über das Mozilla-Konto. Wenn ich den Firefox (oder Ableger) einrichten möchte (z.B. neuer PC), muss ich händisch nur die Bitwarden-Erweiterung installieren, das dazu nutzen, um mich in das Mozilla-Konto einzuloggen, und die Erweiterungen und großteil der Config ist erledigt. Ich gehe trotzdem nochmal über die Config, um zu prüfen ob alles passt - gerade die Spionage-Einstellungen werden gerne auf Default gelassen. Nur die Config für die Youtube-Erweiterung muss ich extra wiederherstellen.

Da in dem Konto weder Passwörter, noch Zahlungs- oder Adressdaten abgelegt werden, ist mir das für die Bequemlichkeit ausreichend. Außerdem habe ich dann auf allen Geräten Zugriff auf die Bookmarks und offenen Tabs der anderen Geräte.

 

[Andy_m4]

Blocker auf DNS-Ebene wie AdGuard Home haben den Vorteil, dass sie auch relativ zuverlässig Werbung aus diversen Apps am Handy rausfiltern.

Ja. Das ist auf jeden Fall gut. Aber fürs Web ist es gut noch zusätzlich ein Browser-Addon zu haben. Weil manche Dinge kriegst Du allein über Domains nicht weg.

muss ich händisch nur die Bitwarden-Erweiterung installieren

Ich bin ja immer etwas zwiegespalten zu solchen Browser-Erweiterungen. Also gerade beim Passwortmanager ist ja Idee, das man zwei getrennte Prozesse hat damit wenn der Browser mal exploitet wird, der Schadcode nicht potentiell Durchgriff auf die Passwort-Datenbank hat.
(sonst könnte man ja auch gleich den Browser-eigenen Passwortmanager nutzen)
Mit einem Browser-Addon hebt man diese Trennung aber ein stückweit wieder auf.

Zugegebenermaßen müssen ja die Passwörter irgendwie in den Browser kommen und die Alternativen zu Addons wie Keystrokes oder via Clipboard sind jetzt sicherheitstechnisch auch nicht so schön was potentielle "Lauschangriffe" angeht.

Ich nutzte tatsächlich die Browser-Synchronisation über das Mozilla-Konto.
....
in dem Konto weder Passwörter, noch Zahlungs- oder Adressdaten abgelegt werden, ist mir das für die Bequemlichkeit ausreichend

Soweit ich verstanden habe, sind die Daten da auch verschlüsselt, so das Mozilla sie nicht sehen kann.
Aber ja. Mehr als nötig würde ich da auch nicht reinkippen

 

[pooltechniker]

Ja. Das ist auf jeden Fall gut. Aber fürs Web ist es gut noch zusätzlich ein Browser-Addon zu haben. Weil manche Dinge kriegst Du allein über Domains nicht weg.

Das ist klar, steht auch in meinem Ursprungspost, dass ich im Browser zusätzlich noch uBlock Origin einsetze

 

[Andy_m4]

Das ist klar, steht auch in meinem Ursprungspost, dass ich im Browser zusätzlich noch uBlock Origin einsetze

Ja. Ich wollte Dir auch gar nicht widersprechen, sondern das nur noch mal ergänzend anmerken.

 

[SolarCatcher]

Ergänzung:
Das Problem bei den Steven-Black-Blocklisten ist, das da (je nach Liste) manchmal auch localhost usw. drin steht (erst nach # Custom host records are listed here. kommen wirklich die zu blockenden Domains), was man aber vielleicht nicht noch mal haben will.
Man kann sich allerdings mit einem einfachen Shellskript behelfen. :-)

Ja, guter Hinweis! Ungefähr so ein Skript wie Du verwende ich auch. Hauptsächlich, weil ich auf dem Rechner noch eine Webserver-Jail habe, mit der ich manchmal lokale Tests mache. Die Test-Domains und ihre lokale IP-Adresse stehen dann in einer Datei mit Customs Hosts, die an der entsprechenden Stelle der Steve-Black-Liste eingebaut wird. So bleiben diese Einträge in /etc/hosts auch nach dem täglichen Update der Blockliste erhalten.

 

[Andy_m4]

.... So bleiben diese Einträge in /etc/hosts auch ...

Manchmal wäre so ein include-Statement ganz nützlich. :-)

 

[Azazyel]

Zugegebenermaßen müssen ja die Passwörter irgendwie in den Browser kommen und die Alternativen zu Addons wie Keystrokes oder via Clipboard sind jetzt sicherheitstechnisch auch nicht so schön was potentielle "Lauschangriffe" angeht.

Kommt darauf an, ob man Wayland oder X11 nutzt.

Unter Wayland hat nur das aktive Fenster Zugriff auf das Clipboard. Es gibt auch extra den Parameter --paste-once, d.h. ein Abgreifen des Inhalts ist kaum möglich.

Unter X11 ist das Clipboard Freiwild, d.h. jede Anwendung darf den Inhalt jederzeit abgreifen, auch wenn sie irgendwo unsichtbar im Hintergrund läuft.

 

[Andy_m4]

Kommt darauf an, ob man Wayland oder X11 nutzt.

Das stimmt. Bei Wayland ist die Situation entspannter.
Danke für die Ergänzung.

 

[pit234a]

Unter Wayland hat nur das aktive Fenster Zugriff auf das Clipboard

weshalb man dann dort auch einen "Clipboard-Manager" braucht und wieweit das dann sicher gemacht werden kann? Ich weiß nicht.

 

[Azazyel]

weshalb man dann dort auch einen "Clipboard-Manager" braucht und wieweit das dann sicher gemacht werden kann? Ich weiß nicht.

Sowohl bei X11 als auch bei Wayland ist ein Clipboard-Manager optional (z.B. für Clipboard-Historie).

Auch ohne Clip-Manager willst du aber ebenso bei X11 mit xsel oder xclip wie unter Wayland mit dem von mir erwähnten wl-clipboard eine niederschwellige Möglichkeit haben, das Clipboard in deinem Shell-Skript oder allgemein auf der Kommandozeile zu verwenden.

Der Vorgang des Copy-Paste funktioniert unter Wayland konzeptionell etwas anders als unter X11 (Details siehe Wayland - data sharing between clients).

Wenn deine Anwendung unter Wayland keinen Fokus hat, gibt es auch niemals ein wl_data_offer vom Compositor. Es gibt unter Wayland kein Gegenstück zu XConvertSelection und verwandeten X11-Funktionen, die du in deiner Anwendung für den unkontrollierten Zugriff auf die Zwischenablage nutzen könntest.

 

[medV2]

Zum Thema Passwortmanager und Zwischenablage und Browser: Ich versuche seit 2-3 Jahren so ziemlich alles auf Passkeys umzustellen, damit hat man die ganzen Sorgen nicht. Ist auch sehr praktisch, zumindest wenn man ausreichend Keys hat dass überall wo man ihn brauchen könnte einer liegt. Support wird auch immer besser.

 

[Andy_m4]

so ziemlich alles auf Passkeys umzustellen, damit hat man die ganzen Sorgen nicht

Spannend.
Ich check das mit den ganzen Passkeys nicht. Also ja. Das Grundprinzip ist mir klar. Man hat irgendwie Private-Public-Key-Krypto und und der Key wird auch nicht direkt benutzt usw.
Aber wie man an einen Passkey kommt und wie man den dann in der Praxis benutzt, erschließt sich mir irgendwie bisher noch nicht.

 

[medV2]

Spannend.
Ich check das mit den ganzen Passkeys nicht. Also ja. Das Grundprinzip ist mir klar. Man hat irgendwie Private-Public-Key-Krypto und und der Key wird auch nicht direkt benutzt usw.
Aber wie man an einen Passkey kommt und wie man den dann in der Praxis benutzt, erschließt sich mir irgendwie bisher noch nicht.

Also den Passkey kauft man. ZB Yubikey oder Nitrokey. Letzterer ist Made in Germany, hat aber nur die FIDO L1 Zertifizierung, manche Dienste (ZB ID Austria in Österreich) erfordern aber L2, da bleibt dann derzeit nur der YubiKey oder IdemKey.

Beim Registrieren an einen Dienst steckst du den Key ein, tippst deine PIN ein und registrierst dich so beim Dienst. Das ist halt je nach Dienst/Website etwas unterschiedlich. Wenn du wie ich mehrere Keys hast, musst du die alle dann registrieren.
Fürs Anmelden gibts dann 2 Varianten. Mit Residentcredentials, da sind auf dem Key Userinfos gespeichert und man muss wirklich nur den Key einstecken, PIN eingeben und fertig. Oder ohne Residentcreds, dann muss man den Username eingeben.

Probier es doch einfach hier im Forum mal aus (hier ist leider keine Absicherung mit Userpin möglich, das stört mich auch etwas, da jeder, der an den pysischen Key kommt, dann zB auf das Forum zugreifen kann. Ist aber die einzige Seite bisher, wo dass der Fall war).

Technisch ists etwas komplizierter und rafinierter, als du beschrieben hast, aber da gibts einige gute Dokumente im Internet, wenn dich das wirklich interessiert. Ist etwas längere Lesestoff.

 

[Andy_m4]

Also den Passkey kauft man.

Das würde mich ja schon nerven. Also ja. Auf der einen Seite ist es natürlich gut dedizierte Hardware zu haben, über die man so Challange-Response-mäßig benutzen kann ohne das der Private-Key den Chip verlässt. Auf der anderen Seite: Wie mache ich das Recovery, wenn das Ding kaputt geht? Kopieren geht ja aus Sicherheitsgründen nicht.

Also brauche ich ja schon mindestens zwei Passkeys.

Keine Ahnung, wie viel man normalerweise bezahlt, aber beispielsweise auf der Yubikey Homepage steht irgendwas von 69€. Puh
Und dann gibts vermutlich auch noch ein Limit was die Anzahl der Dienste angeht (jedenfalls hatte ich das so verstanden, das pro Dienst ja irgendwie Speicher auf dem Chip benötigt wird und i.d.R. ist der wohl nicht gerade üppig).

YubiKey

Hinzu kommen diverse Sicherheitsprobleme. Das weckt nicht unbedingt vertrauen.

Beim Registrieren an einen Dienst steckst du den Key ein, tippst deine PIN ein und registrierst dich so beim Dienst.

Und wie erzeuge ich das Private-Public-Keypair ?
Und was heißt einstecken? In USB? Das bedingt ja, das ich einen passenden USB-Treiber hab?
Und das bedingt dann auch, das der Browser auf USB zugreifen kann? Etwas, was man ja eigentlich aus Sicherheitsgründen gar nicht will.

Technisch ists etwas komplizierter und rafinierter, als du beschrieben hast

Ja. Es war etwas runtergedampft auf das Nötigste.

Aber ja. Das klingt alles ganz nett. Und ja. Ich hab nicht mehr das Problem, das ein "Keylogger" mir meine Anmeldedaten "stiehlt". Allerdings heißt "Keylogger" ja im Prinzip "PC infiziert". Und wenn ich Malware auf meinen PC habe, kann die dann auch einfach nach dem Login die Session übernehmen.
Sprich: Das Schadpotential ist dann immer noch groß genug.

 

[medV2]

Das würde mich ja schon nerven. Also ja. Auf der einen Seite ist es natürlich gut dedizierte Hardware zu haben, über die man so Challange-Response-mäßig benutzen kann ohne das der Private-Key den Chip verlässt. Auf der anderen Seite: Wie mache ich das Recovery, wenn das Ding kaputt geht? Kopieren geht ja aus Sicherheitsgründen nicht.

Also brauche ich ja schon mindestens zwei Passkeys.

Ich würde es aus Bequemlichkeit empfehlen. Ich zB habe einen am Schlüsselbund, einen am PC im Arbeitszimmer und einen in Wohnzimmer bei meinem Notebook.

Nötig ist es aber nicht, wenn man sowas registriert gibts eigentlich immer einen "Recovery Code" dazu, mit dem man sich zur Not anmelden kann. Bei mir landet der dann immer in meinem Keepass. Bzw. kannst du ja dennoch Passwort+2nd Faktor (zB TOTP Code) weiter aktiv lassen, wenn du es 99% der Zeit nicht nutzt, hast du dennoch die Sicherheitsvorteile und den Bequemlichkeitsvorteil.

Keine Ahnung, wie viel man normalerweise bezahlt, aber beispielsweise auf der Yubikey Homepage steht irgendwas von 69€. Puh
Und dann gibts vermutlich auch noch ein Limit was die Anzahl der Dienste angeht (jedenfalls hatte ich das so verstanden, das pro Dienst ja irgendwie Speicher auf dem Chip benötigt wird und i.d.R. ist der wohl nicht gerade üppig).

Der IDEM von Gotrust kostet 33 Euro und ist L2 Zertifiziert, also mit das beste was man kaufen kann. Die Yubikeys können idr. mehr, zB Smartcard support oder ähnliches. Braucht man meist aber nicht. Auch Yubikey hat ein günstiges Model um die 40 Euro.

Was Platz betrifft: Nur die Resident-Credentials benötigen Speicher. Normale Authentifizierung mit Username+Key nicht. Je nach Key kann man 30-50 solcher Residents speichern. Ich habe ca 10 belegt und nutzte das wo ich kann. Ist also erstmal nicht das Thema, die meisten Websites nutzen das nicht.

Hinzu kommen diverse Sicherheitsprobleme. Das weckt nicht unbedingt vertrauen.

Bei Yubikey gabs in den letzten 10 Jahren eine relevante Sicherheitslücke für FIDO2 und die war eher so in Richtung ein Nachrichtendienst mit viel Zeit und Geld kann eventuell deinen Stick clonen - für den Privatuser uninteressant. Aber auch da wurde schnell reagiert und vorbildlich kommuniziert.

Achtung ich spreche hier nur vom FIDO Standard. Yubikey kann je nach Model mehr.

Und wie erzeuge ich das Private-Public-Keypair ?

Das erzeugt der Stick. Der Browser bekommt dann den pubic key und einen symetrisch verschlüsselten private key. Der wird nämlich für jeden dienst neu generiert und mit dem im Stick fest eingebrannten HW Key verschlüsselt. Gespeichert wird das beim Dienst-Anbieter. (Wieder etwas vereinfacht).

Und was heißt einstecken? In USB? Das bedingt ja, das ich einen passenden USB-Treiber hab?
Und das bedingt dann auch, das der Browser auf USB zugreifen kann? Etwas, was man ja eigentlich aus Sicherheitsgründen gar nicht will.

Ja, dieses Problem hast du. Aber vom Design her ist das Protokoll selbst gegen einen MITM Angriff auf die Kommunikation mit dem Stick gesichert.
Was Treiber betrifft: Ja natürlich aber ich hatte noch auf keinem meiner Geräte ein Problem damit.

Aber ja. Das klingt alles ganz nett. Und ja. Ich hab nicht mehr das Problem, das ein "Keylogger" mir meine Anmeldedaten "stiehlt". Allerdings heißt "Keylogger" ja im Prinzip "PC infiziert". Und wenn ich Malware auf meinen PC habe, kann die dann auch einfach nach dem Login die Session übernehmen.
Sprich: Das Schadpotential ist dann immer noch groß genug.

Das mit der Session stimmt leider. Je nach Dienstanbieter hilft hier, sich immer ausloggen. Dann sollte das Cookie wertlos sein.

 

[Andy_m4]

Vorab Danke für Deine Erklärungen.

wenn du es 99% der Zeit nicht nutzt, hast du dennoch die Sicherheitsvorteile und den Bequemlichkeitsvorteil.

Das stimmt zwar. Aber dennoch fühlt es sich ein bisschen an wie: "Wie haben diese super sichere neue Panzertür. Aber für Notfälle lassen wir unsere klapprige Holztür, die wir vorher benutzt haben, drin" :-)

Der IDEM von Gotrust kostet 33 Euro und ist L2 Zertifiziert

Das hört sich schon mal besser an.

für den Privatuser uninteressant

Das stimmt. Trotzdem weckt das erst mal nicht unbedingt Vertrauen.

Außerdem dadurch, das es nur wenige Anbieter gibt und die aber Hardware bauen für interessante Geheimnisse, das wäre für mich als Bad Guy die erste Adresse wo ich Mitarbeiter einschleuse.

Aber vom Design her ist das Protokoll selbst gegen einen MITM Angriff auf die Kommunikation mit dem Stick gesichert.

Meine Sorge wäre auch nicht allein und primär, das die meinen einen Lauschangriff auf den Yubikey machen. Wenn erst mal ein Pfad zur Hardware existiert, dann ist das ja für sämtliche Hardware schlecht.
Ich mein, Browser haben heutzutage alle eine Sandbox. Das war das Learning daraus, das Browser zu komplex sind als das man sie sicher bauen kann. Und in der Folgezeit wurden aber - für Features - immer mehr Löcher in die Sandbox gebohrt.
Und das Browser nach wie vor ein Sicherheitsproblem sind, kann man ja auch nach wie vor beobachten. Allein zu chromium gibts ja jede Woche mehrere Security-Advisories. Und das seit Jahren. Es ist also nicht davon auszugehen, das das auf absehbare Zeit besser wird.

Und dem Ding soll man jetzt auch noch mehr Zugriffe auf die Hardware geben? Klingt für mich erst mal nicht nach einem schlauen Plan.

Je nach Dienstanbieter hilft hier, sich immer ausloggen. Dann sollte das Cookie wertlos sein.

Ja. Aber ich kann ja nicht darauf hoffen, das die Malware erst aktiv wird, wenn ich mich ausgeloggt habe.

Ich will das jetzt auch nicht überdramatisieren oder so. Aber das Argument war sinngemäß: Malware ist bei Passkeys kein Problem, weil da gibts nix Verwertbares zu belauschen. Und es gibt sicher genug gute Gründe für Passkeys (zum Beispiel eine signifikante Phising-Resistenz).
Aber dieses Argument zieht aus genannten Gründen eben nicht ganz so gut.

 

[medV2]

Vorab Danke für Deine Erklärungen.


Das stimmt zwar. Aber dennoch fühlt es sich ein bisschen an wie: "Wie haben diese super sichere neue Panzertür. Aber für Notfälle lassen wir unsere klapprige Holztür, die wir vorher benutzt haben, drin" :-)

Naja, die klapprige Holztüre wird in dem Fall aber nur zum Problem (Phishing, Malware, ausspionieren, ..) wenn man sie benutzt. Unbenutzt ist sie so sicher wie die Panzertüre (2FA vorausgesetzt)

Das stimmt. Trotzdem weckt das erst mal nicht unbedingt Vertrauen.

Außerdem dadurch, das es nur wenige Anbieter gibt und die aber Hardware bauen für interessante Geheimnisse, das wäre für mich als Bad Guy die erste Adresse wo ich Mitarbeiter einschleuse.

Mag stimmen. Für staatliche Akteure. Andererseits benutzen die selbst alle das Zeug. Ist halt wie immer mit der Sicherheit eine Sache des Abwägens. Von YubiKey gibts aber sogar FIPS zertifizierte Keys, da sollte das nochmal weniger Problem sein, da tatsächlich inspiziert. Die sind aber wirklich teuer.

Meine Sorge wäre auch nicht allein und primär, das die meinen einen Lauschangriff auf den Yubikey machen. Wenn erst mal ein Pfad zur Hardware existiert, dann ist das ja für sämtliche Hardware schlecht.
Ich mein, Browser haben heutzutage alle eine Sandbox. Das war das Learning daraus, das Browser zu komplex sind als das man sie sicher bauen kann. Und in der Folgezeit wurden aber - für Features - immer mehr Löcher in die Sandbox gebohrt.
Und das Browser nach wie vor ein Sicherheitsproblem sind, kann man ja auch nach wie vor beobachten. Allein zu chromium gibts ja jede Woche mehrere Security-Advisories. Und das seit Jahren. Es ist also nicht davon auszugehen, das das auf absehbare Zeit besser wird.

Und dem Ding soll man jetzt auch noch mehr Zugriffe auf die Hardware geben? Klingt für mich erst mal nicht nach einem schlauen Plan.

Das hat der Browser ja Standardmäßig. Halt über die Schnittstellen vom OS. Klar das kann man in einer Hochrisikoumgebung einschränken. Man kann (zB unter Linux mit udev Rules und Flatpak) auch den Zugriff auf zB nur seinen Key erlauben.

Ja. Aber ich kann ja nicht darauf hoffen, das die Malware erst aktiv wird, wenn ich mich ausgeloggt habe.

Ich will das jetzt auch nicht überdramatisieren oder so. Aber das Argument war sinngemäß: Malware ist bei Passkeys kein Problem, weil da gibts nix Verwertbares zu belauschen. Und es gibt sicher genug gute Gründe für Passkeys (zum Beispiel eine signifikante Phising-Resistenz).
Aber dieses Argument zieht aus genannten Gründen eben nicht ganz so gut.

Ganz falsch ist die Behauptung nicht, kommt etwas drauf an, wie der Dienst aufgebaut ist. Ein gut gesicherter Dienst würde merken, wenn das Cookie 2 mal benutzt wird. Und von einer anderen IP würde er das sowieso nicht zulassen. Da müsste wirklich die Malware in deinem Browser sein. Dann hilft natürlich alles nichts mehr.