Firefox Teil 6: Optional zusätzliche Flaschen hinzufügen

Tauchanalogie: Beim Tauchen gibt es ein Minimum was Sie benötigen. Trotzdem gibt es Taucher, die würden nie ohne etwas Extrablei oder ein Messer oder Kamera tauchen gehen. Es ist jedem selbst überlassen, was er zu seinem Tauchgang mitnimmt. Menschen haben völlig unterschiedliche Einstellungen zum Tauchen, zur Gefahr, zum Wasser, usw. Daher entscheiden Sie selbst, welche zusätzlichen Tools Sie mitnehmen wollen. Manche vielleicht nur etwas aus Gewohnheit (das Handy, ja, das habe ich schon gesehen) oder aus Angst, weil man dem nicht deutsch-Sprechenden indonesischen Tauchlehrer, der abends noch betrunken war, nicht vertraut. Your Call!

uMatrix (nicht mehr weiterentwickelt)

Wenn Sie uBlock Origin nicht nur als Standard verwenden, sondern sich in die Tiefen einarbeiten, dann kann es noch mehr, und ein wenig auch wie eine Web-Firewall arbeiten. Der Entwickler von uBlock Origin hat bis vor kurzem noch ein anderes Add-On entwickelt: uMatrix. Die Funktionalitäten überlappen sich teilweise, haben aber dennoch einen unterschiedlichen Zweck. uBlock Origin hat den Fokus, Werbung und andere Nervigkeiten wie Cookies zu blockieren und das mit wenig Nutzereingriff. Es verwendet dabei nicht nur Adressen sondern auch eigene Logik um zu erkennen, ob eine Seite oder ein Element evtl. schädlich ist. uMatrix kann sehr granular und genau sehr spezifische Steuerungen vornehmen und agiert daher ein bisschen weniger wie ein Blocker und ein bisschen mehr wie eine Firewall. Ausserdem ist mehr auf Domainnamen angelegt und nicht auf Mustererkennung. Es geht vor allem also auf Adressen ein. Gerade zum Blockieren von Drittanbieteranfragen ist es geeignet. Von der täglichen Benutzung mag und nutze ich uMatrix mehr. Ich benutze beide Add-ons, weil ich uMatrix von der Benutzung passender für mich finde. Wenn Sie das auch wollen, lesen Sie weiter. Aber Sie können problemlos uMatrix weglassen, uBlock reicht vollkommen aus und zum User-Agent Sicher gehen. Ich kannte nur uMatrix als erstes und finde die Benutzung für mich etwas angenehmer. Aber das ist Geschmackssache. Ausserdem wird es nicht weiterentwickelt, d.h. in absehbarer Zeit wird es nicht mehr so wirkungsvoll sein, wie uBlock Origin.

Installieren Sie das uMatrix Add-on wie alle anderen Add-ons. Gehen Sie dann wieder auf die Einstellungen. Die Komforteinstellungen können Sie so lassen, wie sie sind. Bei Privatsphäre sollte alles aktiviert sein, ausser „Lösche nicht blockierte Sitzungscookies“. Diese müssen Sie nicht aktivieren, wenn Sie Cookie AutoDelete installiert haben. Auch hier finden Sie wieder den HTTP Referer, den wir beim SmartReferrer gesehen haben. Die Verwaltung der Regeln folgt analog der Logik von uBlock Origin. Wie Sie sehen, gibt es vielerlei Überlappung, aber das soll Sie nicht stören, es funktioniert trotzdem alles. Denken Sie aber bitte auch daran, dass das Fingerprinting auch ausliest, welche Add-ons Sie installiert haben. Je mehr, desto eindeutiger sind Sie identifizierbar.

Das Add-on installiert ein zusätzliches Symbol in Browser, neben den anderen, das meist grünlich ein Quadrat darstellt. Surfen Sie auf eine Webseite wie www.zeit.dewww.spiegel.de oder andere Zeitschriften und schauen Sie sich die Zahl an. Klicken Sie auf das grüne Viereck mit der Zahl. Sie sehen rote und grüne Kästchen mit Zahlen. Ziemlich weit oben sehen Sie die Elemente, also bspw. Cookie, CSS usw. All das sind Elemente, mit denen Sie überwacht werden können. Zehn Cookies, zwanzig Skripte und vieles andere. Sie können hier einstellen, was Sie erlauben oder unterbinden wollen. Jedes Kästchen besteht aus zwei Hälften, oben und unten. Klicken Sie in ein Kästchen auf den oberen Teil, erlauben Sie diese Funktion auf der Webseite. Klicken Sie auf die untere Hälfte, verbieten Sie diese Funktion von der links gezeigten Webseite. Wie bei uBlock Origin sollten Sie sich mit den Extremen vertraut machen. Z. B. könnten Sie die Vielzahl Cookies auf der Webseite sperren und die Seite neu laden. Auf manchen Seiten erhalten Sie eine Fehlermeldung, dass die Seite versucht hat, ein Cookie zu setzen, dass aber nicht funktionierte und sie daher nicht auf kostenlose Inhalte zugreifen dürfen. Entweder Sie erlauben getrackt zu werden oder Sie müssen bezahlen. Wenn Sie die Einstellungen global vornehmen wollen, weil Sie nicht auf jeder Seite Google-analytics manuell deaktivieren wollen, können Sie mit der Maus über das Sternchen rechts neben der URL fahren und lesen: „Wähle den globalen Geltungsbereich…“. Alle Änderungen, die Sie jetzt vornehmen werden auf alle Seiten, die Sie ab dann ansurfen angewendet.

Ich war lange Zeit ein grosser Freund von dem Add-on: NoScript. Es zeigte mir auf einfache Art und Weise, welche Skripte von wem kamen und sie waren erstmal alle deaktiviert. Erst wenn ich aktiv die Skripte aktiviert habe, wurden sie ausgeführt. Doch mit uBlock Origin und uMatrix habe ich alle Einstellungsmöglichkeiten, die ich brauche. Ausserdem lesen die Webseiten auch die installierten Add-ons aus, um ein genaues Fingerprinting zu erzeugen, daher ist weniger mehr.

User Agent Switcher (Optional auf eigene Gefahr)

Beim Fingerprinting, wie wir gesehen haben, werden Informationen an Datensammler und normale Webseitenbetreiber gesendet, die Sie nicht unterdrücken können. Die Webseitenbetreiber benötigen diese, um die Seite korrekt und möglichst gut für Sie darzustellen. Es macht einen Unterschied, ob Sie eine Webseite auf einem iPhone oder einem Linux Desktop anzeigen wollen. Daher sind das wichtige und richtige Informationen. Doch geben Sie dadurch auch Informationen über Ihren Rechner preis. Diese Informationen stehen im sog. User-Agent. Der kann auf einem macOS Rechner mit Safari beispielsweise so aussehen:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15

Im Artikel zu Fingerprinting habe ich schon erwähnt, dass es Online Webseiten gibt, die die Preise anhand dieser Informationen (nicht nur) anpassen. Die Annahme dabei kann u.a. sein, dass die Verkäufer davon ausgehen, dass iPad Benutzer bereit sind, mehr Geld für eine Reise auszugeben als Windows Vista Nutzer. Ich habe das selber erlebt. Ich habe eine Reise gesucht und war mit dem Preis nicht zufrieden. Eher zufällig bin ich ein paar Tage später wieder auf die Seite, an einem anderen Rechner mit einem anderen Browser und war überrascht, dass der Preis anders war. Also habe ich das untersucht, es hätte ja auch daran liegen können, wie oft ich eine Webseite besuche oder von welchem Netzwerk etc. Aber nein, am selben Rechner mit zwei verschiedenen Browsern und zwei verschiedenen User-Agents habe ich letztendlich 300€ bei der Reise gespart. Und danach nie wieder bei diesem Veranstalter gebucht.

Sie können im Firefox ein Add-on mit dem Namen User-Agent Switcher and Manager installieren. In den Einstellungen können Sie wenige Einstellung vornehmen. Evtl. können Sie sich den Teil Disable Spoofing anschauen und ggf. leeren. Ausserdem können Sie, bei Bedarf, eine Black-Liste oder eine White-Liste anlegen. Im ersten Fall, dem Black-List Mode, geben Sie eine Liste an, auf der Sie den User-Agent nicht ändern wollen, auf allen anderen ist er aktiv. Im White-List Mode ist es genau umgekehrt: Sie geben nur die Seiten an, bei denen Sie den User-Agent ändern wollen. Beispielsweise tragen Sie hier den Reiseveranstalter Ihrer Wahl ein. Dann wird nur dort aus einem Mac ein Windows Rechner. Auf allen anderen Seiten sind Sie normal erkennbar.

Wenn Sie das Add-on installiert haben, sehen Sie in der Icon-Leiste, die Sie jetzt aus dem FF kennen ein kleines Symbol mit einem Männchen mit Hut, wahrscheinlich ausgegraut, was bedeutet, Sie haben nichts aktiviert. Surfen Sie jetzt auf
https://browserleaks.com/ip
und suchen Sie nach der Überschrift HTTP-Headers. Darunter sehen Sie einige Informationen, die die Webseite über Sie erhalten hat, u.a. den User-Agent.
Klicken Sie jetzt auf das Männchen und wählen einen anderen User-Agent aus. Links oben können Sie den gewünschten Browser auswählen und daneben das gewünschte, verfügbare Betriebsystem. Suchen Sie sich eines aus. Sie sehen die Zeichenkette, „userAgent“, die an den Webseitenbetreiber übermittelt wird. Diese können Sie händisch modifizieren, auf eigenen Gefahr. Ein kurzer Hinweis: Es gab einen Hacker, der u.a. am LinkedIn Hack 2012 beteiligt war, der dort etwas sehr Spezielles und aus seiner Sicht Lustiges eingetragen hat. Aber genau darüber konnte das FBI ihn finden. Dieser String wird immer verwendet um Sie zu identifizieren. Etwas Lustiges einzutragen mag Spass machen, macht Sie aber eindeutig identifizierbar. Und genau das wollen wir vermeiden. Drücken Sie auf „Apply (Container on Window oder nur Container)“ und dann „Refresh Tab“. Jetzt schauen Sie sich wieder den User-Agent an. Manchmal zeigt der User-Agent trotzdem Verdächtiges an. Obwohl Sie etwas Window-Like eingetragen haben, steht dort ggf. Gecko, AppleWebKit oder ähnliches, was dann trotzdem, in diesem Fall, auf etwas Mac-Like hinweist. Das können Sie manuell löschen. Aber seien Sie sich bewusst was Sie tun. Manches lässt sich nicht automatisch verbergen.

Das bringt mich dazu: Die Webseitenbetreiber liefern eine Webseite basierend auf Ihrem User-Agent aus. Wenn Sie dort etwas völlig Abstruses eintragen, dann kann es passieren, dass die Webseite nicht gut dargestellt wird. Und die oben genannten Widersprüche, ein Windows NT mit Browser Chrome und Safari, so der User-Agent vielleicht, macht Sie wiederum eindeutiger zuordenbar.

Empfehlung: Installieren Sie das Plug-In und lassen es in Ruhe, ggf. deaktivieren es und aktivieren es nur, wenn Sie es benötigen. Wenn Sie ein Hotel, eine Flugreise in einem Reisebüro oder woanders etwas kaufen wollen, dann probieren Sie einen anderen User-Agent aus und sehen was sich ändert. Erwarten Sie nicht, dass alle dann bessere Preise anzeigen. Es ist eher seltener der Fall. Dazu sollten Sie die Cookies löschen, den Browser neu starten und keine Spur von dem vorherigen Besuch hinterlassen. Am besten zwei Browser auf zwei verschiedenen Rechnern, aber die hat nicht jeder.

(PS: Wenn Sie mit diesem Tipp Geld gespart haben, schreiben Sie mich bitte an, ich sende Ihnen dann mein Bitcoin Konto für meine 10% 😉).

Jetzt haben wir das Flaschentauchen in dunklen Tiefen gut im Griff.

Zeit, ohne Flaschen in die tiefen der dunklen (dark) Welten einzutauchen.