Benutzer-Werkzeuge

Webseiten-Werkzeuge


browser

Dies ist eine alte Version des Dokuments!


Notizensammlung vom „How-to CryptoParty“ vom 2014-05-12

How-to CryptoParty 2014-05-12 Browser Sachen: Cookies, wo finden wir sie und wie werden wir sie los. Do-Not-Track (Wird inzwischen von Yahoo völlig ignoriert) Flash? und andere Plugins (Java) OCSP/CRL Wie funktionieren URLs? - worauf sollte ich achten? - was heißt das grüne schlosssymbol da? - wie erkenne ich, ob ich mich auf der richtigen seite befinde? (also nicht erstebank.at.phishing.com) Was heißt „Private Mode“? Und wie wird der in den unterschiedlichen Browsern genannt? Was ist eine Certificate-Authority (CA, Zertifizierungsstelle für digitale Zertifikate)? Eine Firma/Organisation die digitale Zertifiakte ausstellt und unterschreibt. Dein Browser bzw. Dein Betriebssystem kommt mit einer Liste solcher Stellen denen „vertraut wird“. Beim Aufruf einer Webseite über https überprüft Dein Browser den „Ausweis“ (das Zertifikat der Seite) anhand dieser Liste. Wird ein Zertifikat als gültig erkannt und kann überprüft werden kommt die Verbindung zustande. In anderen Fällen gibt es eine Fehlermeldung. Was ist eine CRL? Certificate Revocation List. Manchmal müssen Zertifikate vor ihrem eigentlichen Ablaufdatum zurückgezogen werden. Beispielsweise wenn ein Webserver kompromittiert wurde wie es beispielsweise bei der Heartbleed Sicherheitslücke der Fall war. Dein Browser holt sich regelmäßig eine Liste an solchen zurückgezogenen (revokten) Zertifikaten. Bei einer https Verbindung wird geprüft ob das vom Server präsentierte Zertifikat in dieser Liste enthalten ist. Wenn sehr viele Zertifikate zurückgezogen werden, dann werden diese Listen sehr lange was sich als probematisch erwiesen hat. Was ist OCSP? Um dem Problem länger werdender CRLs entgegenzuwirken wurde OCSP entwickelt. Dein Browser fragt dazu bei jedem https Aufruf bei der CA nach ob das jeweilige Zertifikat zurückgezogen wurde. Dies verlängert die Zeit die eine Seite zum Aufrufen benötigt und bringt auch Privatsphäre Probleme mit sich da die CA nun von allen https Seiten erfährt die aufgerufen werden. In vielen Browsern/Betriebssystemen ist OCSP enthalten aber leider deaktiviert. Das gleiche gilt für CRL. Was ist OCSP-Stapling? Beim OCSP-Stapling liefert die Webseite die Antwort für die OCSP Überprüfung gleich mit damit ein Browser nicht extra nachfragen muß. Dies beschleunigt den Aufruf von https Webseiten und verhindert, dass die CA erfährt, wer wann welche HTTPS-Seite aufruft. OCSP-stapling wird unterstützt von: - Firefox (29) - Firefox für Android (29) - Opera (21) - Opera Next (21) - Chromium (34) - Chrome (34) - Internet Explorer (11) OCSP-stapling wird nicht unterstützt von: - Safari 7.0.3 (OS X 10.9.2, iOS 7.1.1) - Google Chrome auf Android (34) - Opera Mini für Android (7.5) - Tor Browser 3.6.1 (24.5.0 ESR) - Gnome Web (was: Epiphany) - Midori Was kann mein Browser?

  TLS/SSL Fähigkeiten: https://www.howsmytls.com
  TLS, Mixed Content handling, Elliptische Kurven, Protokolle, Ciphers, OCSP-Stapling, TLS-Compression, etc:  https://www.ssllabs.com/ssltest/viewMyClient.html
  OCSP Stapling: https://www.vpnhosting.cz/ocsp/
  Überprüft mein Browser, ob Zertifikate zurückgezogen wurden?
  https://www.cloudflarechallenge.com/
  Die Seite sollte nicht angezeigt werden!

Womit kann mein Browser getrackt/verfolgt/identifiziert werden?

  User Agent
  Cookies
  Flash-Cookies / Plugins allgemein (siehe auch Verhalten von TOR)
  Evercookie
  Browser-Fingerprint 
  Panopticlick ( https://panopticlick.eff.org/ )
  JonDonym ( http://ip-check.info )

Plug-Ins

  Flash
  Java / IcedTea
  Flip4Mac
  iPhoto Plug-In
  Unity Web Player
  Acrobat PDF Viewer
  MS Office Connect
  QuickTime
  DiVX
  Windows Media
  Microsoft Silverlight
  ActiveX Controls?

Grundsätzlich solltest Du alle Plug-Ins abschalten. Add-Ons/Extensions Firefox, Tor Browser Bundle nennen diese Erweiterungen Add-On Safari, Chrome/Chromium, Opera nennen diese Erweiterungen: Extension

  Ghostery
  Disconnect.me
  CertPatrol
  Request Policy (nur Firefox)
  Adblock Edge und andere Adblocker
  HTTPS-„Everywhere“ https://www.eff.org/https-everywhere
  NoScript
  Privacy Badger (Alpha)
  Collusion / Lightbeam
  BetterPrivacy (Firefox) soll Super-Cookies löschen, löscht nur Flash-Cookies?

Settings Wo finde ich die Settings in welchem Browser? Safari 7.0.3 (OS X 10.9.2)

  Einstellungen > Allgemein:
      „Sichere Dateien nach dem Runterladen automatisch öffnen“. (abdrehen).
  Einstellungen > Automatische Ausfüllen:
      Kredit Karten (abdrehen), anderes nach Wunsch
  Einstellungen > Passwörter
      Passwörter für ausgewählte Seiten anzeigen
  Einstellungen > Sicherheit
      Pup-Up Fenster unterdrücken (aufdrehen)
      Bei gefährlichen Webseiten warnen (aufdrehen)
      Plug-Ins: Hier kann pro Domain eingestellt werden ob ein Plug-in (Flash, Java, Flip4Mac, iPhoto, Unity Webplayer, etc.) geladen werden darf oder nicht. Grundsätzlich sollten Plug-Ins geblockt werden. Im Zweifelsfall kann ein Plugin auf „nachfragen“ eingestellt werden.
  Einstellungen > Privatsphäre
      Cookies können hier gelöscht werden, 3rd Party Cookies können unterbunden werden, Ortdungsdienste können eingestellt werden; Do not track einschalten, Suchfeld preload abdrehen, Suchmaschinene Vorschläge unterbinden aufdrehen.
      

Firefox:

  Addons > Plugins > Ask to activate
  Einstellungen > Datenschutz > Chronik:
  Firefox wird eine Chronik: "nach benutzerdefinierten Einstellungen anlegen" auswählen
  Button "Cookies anzeigen":
      Hier werden vorhandene Cookies angezeigt
      Es können einzelne/alle Cookies gelöscht werden.
  Cookies von Drittanbietern akzeptieren: Nie (auswählen)
  Zur genauen Kontrolle der Cookies:
  Behalten, bis: "jedes Mal nachfragen" auswählen.
  Firefox fragt dann bei jedem Cookie, ob man es ablehnen, erlauben oder für diese Sitzung erlauben möchte. Es gibt dann auch die Möglichkeit, die Auswahl bei allen Cookies dieser Seite zu verwenden. (Funktioniert nicht perfekt, fragt manchmal wiederholt nach)
  DNT:
  Einstellungen > Datenschutz:
  Websites mitteilen, meine Aktivität nicht zu verfolgen.
  OCSP:
  Einstellungen > Erweitert > Zertifikate > Button "Validierung":
  OCSP verwenden & Wenn eine OCSP-Server-Verbindung fehlschlägt, das Zertifikat als ungültig betrachten.
  
  Datenübermittlung an Mozilla:
  Einstellungen > Erweitert > Datenübermittlung
  
  URL vollständig anzeigen ("http" nicht ausblenden):
      "about:config" (In URL-Zeile eingeben):
          "browser.urlbar.trimURLs" durch Doppelklick auf "false" setzen.

Thunderbird:

  fast alles wie Firefox, außer:
  Kann keine Plugins on-demand aktivieren
  Thunderbird speichert per default keine Cookies :)

Chrome / Chromium Einstellungen / Erweiterte Einstellungen: deaktivieren: - Navigationsfehler mithilfe eines Webdienstes beheben - Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden - Netzwerkaktionen voraussehen, um die Ladegeschwindigkeit zu verbessern - Rechtschreibfehler mithilfe eines Webdienstes korrigieren - Nutzungsstatistiken und Absturzberichte automatisch an Google senden DNT:

  Einstellungen / Erweiterte Einstellungen:
  "Mit Browserzugriffen eine "Do Not Track"-Anforderung senden" aktivieren

OCSP:

  Einstellungen > Erweiterte Einstellungen > HTTPS/SSL:
  "Serverzertifikate auf Sperrung prüfen" aktivieren
  

Cookies:

  Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen:
  "Drittanbieter-Cookies und Websitedaten blockieren" aktivieren
  Button "Alle Cookies und Websitedaten":
  Hier werden sämtliche Cookies angezeigt.
  Es können einzelne/alle Cookies gelöscht werden.

Click 2 Play (Plugins):

  Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen > Plug-ins:
      "Click-to-Play" auswählen.

Pop-ups

  Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen > Pop-ups
      "Anzeige von Pop-ups für keine Website zulassen (empfohlen)" auswählen.

Opera Einstellungen > Browser (ganz unten): Erweiterte Einstellungen zeigen Einstellungen > Browser > Benutzeroberfläche:

  "Vollständige URL der kombinierten Such- und Adressleiste anzeigen" aktivieren
  

Einstellungen > Datenschutz & Sicherheit > Privatsphäre: deaktivieren: - „Vorhersageservice zur Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden“ - Netzwerkaktionen voraussehen, um die Seitenladegeschwindigkeit zu verbessern„ - „Netzwerkaktionen voraussehen, um die Seitenladegeschwindigkeit zu verbessern“ - „Automatisch Absturz-Berichte an Opera senden“ aktivieren: „Eine »Do Not Track«-Anforderung bei Browserzugriffen mitsenden“ Plugins: Click to Play Einstellungen > Websites > Plug-ins: „Zum Abspielen klicken“ auswählen. Pop-ups: Einstellungen > Websites > Pop-ups: „Keine Website darf Pop-ups öffnen (empfohlen)“ auswählen. Einstellungen > Datenschutz & Sicherheit > Cookies: „Cookies und Websitedaten von Drittabietern blockieren“ aktivieren. Button „Alle Cookies und Websitedaten…“: Cookies auflisten & löschen. Internet Explorer 11 Extras > Internetoptionen > Datenschutz:

  Button "Erweitert": 
      "Automatische Cookieverarbeitung außer Kraft setzen" aktivieren
      Cookies von Erstanbietern (Annehmen/Blocken/Bestätigen, nach belieben)
      Cookies von Drittanbietern Blocken
  Popupblocker erinschalten

Extras > Internetoptionen > Erweitert > Sicherheit:

  "An mit Internet Explorer besuchte Websites 'Do Not Track'-Requests senden" aktivieren
  "Auf gesperrte Serverzertifikate überprüfen" aktivieren
  "Auf gesperrte Zertifikate von Herausgebern überprüfen" aktivieren
  "SSL 2.0 verwenden" deaktivieren
  "SSL 3.0 verwenden" deaktivieren

Cookies:

  Cookies können nicht aufgelistet / angezeigt werden.
  Es ist nicht möglich, einzelne Cookies zu löschen.
  Alle Cookies löschen:
  Extras > Internetoptionen > Allgemein > Browserverlauf:
  Button "Löschen…"
  (oder Extras > Sicherheit > Browserverlauf löschen"
      "Cookies und Websitedaten" auswählen
      Button "Löschen" anklicken

„Datennutzung reduzieren“ Google Chrome (Mobilversion) und Opera haben können den gesamten Datenverkehr über Google- bzw. Opera-Server zu leiten um Verbindungsdaten dort zu komprimieren und so Datenvolumen zu sparen. Diese Funktionen sollten nicht verwendet werden! Google Chrome (Mobilversion):

  Einstellungen > Bandbreitenverwaltung > Datennutzung reduzieren: Aus

Opera

  OS X: Menubar > Opera > Offroad-Modus (daneben sollte kein Hakerl sein)
  Windows: "Opera"-Button links oben > Offroad-Modus (daneben sollte kein Hakerl sein)

Windows: Ciphers, PCT, SSLv2 und SSLv3 deaktivieren: iiscypto.exe https://www.nartac.com/Products/IISCrypto/ Erklärungen: Was ist ein Browser Plug-In? Ein Stück Software mit dem ein installiertes Programm seine Funktionen in einem Browser zur Verfügung stellen kann. Ein Plug-In kann auf Deinem Rechner quasi alles tun und wird dabei von einer Webseite gesteuert. Was ist ein Browser Add-On bzw. eine Browser Extension? Eine Erweiterung die direkt im Browser installiert wird und die Darstellung von Webseiten beeinflussen kann sowie auf die lokalen Daten des Browsers zugreifen kann. (zB Lesezeichen, Cookies, etc.) Was ist der Unterschied zwischen einem Browser Plug-In und einem Add-On/Extension? Ein Plug-In verbindet ein Programm mit einem Browser, ein Add-On/Extension läuft nur im Browser selbst und kann nicht auf die Daten anderer Programme zugreifen. Was ist ein Bookmarklet: Ein Lesezeichen in dem keine Web-Adresse drinnen steht, sondern ein Javascript Programm welches beim Anklicken im Kontext der aktuellen Webseite ausgeführt wird.

browser.1401126286.txt.gz · Zuletzt geändert: 2014-05-26 17:44 von thomasm