Unsichere Add-Ons – Was ist noch sicher?

Gerade geistert das Gespenst der bösen Add-ons durch die Medien.
Der NDR hat recherchiert und festgestellt, dass die Erweiterung Web of Trust (wot) nicht nur Daten sammelt, sondern diese auch weiterverkauft.

Mich wundert dieses Verhalten ehrlich gesagt nicht. Add-Ons mit einer Firma im Hintergrund sind oft gewillt mit ihrer Software Geld zu verdienen.
Das ist nicht nur bei Web of Trust so, auch Add-ons wie AdblockPlus oder Ghostery sind da kritisch zu betrachten. 

Anwender solcher Erweiterungen machen sich selten die Mühe AGBs durchzulesen, auch bei WOT war in den Datenschutzbestimmungen nachzulesen, dass Daten erhoben werden.

wotDas Web of Trust Daten an Dritte weitergibt ist natürlich nicht schön, aber auch kein riesiger Skandal. Wer solche Add-ons verwendet, ist teilweise selbst Schuld. (Weitere Details zu diesem Thema können bei Kowabit nachgelesen werden).

Dank des offenen Quellcodes hätte jeder die genauen Abläufe des Add-ons nachvollziehen, vorausgesetzt er versteht, was da vor sich geht. Ich schätze die meisten Wot Anwender konnten dies nicht. Somit stellt sich die Frage, welchen Add-ons nun Vertrauen schenken?

Um in Zukunft solchen Enthüllungen aus dem Weg zu gehen, sind weiterhin OpenSource Add-ons zu empfehlen, hier kann jeder den Quellcode einsehen und eventuelle Datenweitergaben aufspüren.

Allerdings sollte ein wenig darauf geachtet werden, wer für die Entwicklung solcher Add-ons verantwortlich ist und was in den Datenschutzbestimmungen steht.

Die besten Open Source Sicherheits Add-ons für Firefox

Erweiterungen der Electronic Frontier Foundation können als relativ unbedenklich angesehen werden. 
Die EFF ist eine amerikanische Organisation, welche sich für Rechte im Informationszeitalter einsetzt. Bekannte Persönlichkeiten wie Bruce Schneier gehören der Organisation an.


PrivacyBadger  - von der Electronic Frontier Foundation, um Tracking zu umgehen bzw. zu blockieren.

privacybadger

 

HTTPS Everywhere - von der Electronic Frontier Foundation, um HTTPS zu nutzen.

HTTPS-Everywhere

uBlock Origin - um Werbung zu blockieren. Als Alternative zum bekannteren AdblockPlus.

ublock-origin

Self-Destructing Cookies  - um unnötige Cookies automatisch zu entfernen

selfdestructingcookies

 

User Agent Switcher - Damit können Webseiten andere Browser untergejubelt werden. Wer also seinen Fingerprint nicht hinterlassen möchte, der kann den Switcher nutzen.

User-Agent-switcher

Alle hier erwähnten Add-Ons können auf GitHub eingesehen und analysiert werden. Für ein einigermaßen absichertes Surfen sollten diese fünf Add-ons ausreichen. Natürlich gibt es noch weitere wie disconnect und Co, aber das darf jeder selbst entscheiden.
 

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

thomasdodo am :

> Dank des offenen Quellcodes hätte jeder die genauen Abläufe des Add-ons nachvollziehen (können) ... Das ist doch gar nicht der Punkt. Es geht darum, was die Firma mit den Daten macht. Nicht oder schlecht anonymisiert an Dritte weitergeben ist auf jeden Fall nicht okay.

tux. am :

Um Addons zu vertrauen, muss man erst mal dem Browser vertrauen. Gibt es dazu einen Anlass?

tmuxer am :

Wegen des User Agent Switchers ist Vorsicht geboten, damit man sich damit nicht eindeutig identifizierbar macht. Hab' das auch erst heute gelesen: https://www.privacy-handbuch.de/handbuch_21e.htm Ich verwende seit kurzem kein uBlock und NoScript mehr, sondern nur noch uMatrix. uMatrix ist eine sehr komfortables Firewall-AddOn fuer den Firefox-Browser. https://github.com/gorhill/uMatrix https://addons.mozilla.org/en-US/firefox/addon/umatrix/ uBlock und Privacy Badger installiere ich Anwendern, die eher etwas automatisches, als etwas manuelles brauchen. Im bereits erwaehnten Privacy Handbook habe ich (heute) von zwei sehr interessanten AddOns gelesen: dem CanvasBlocker und dem NoResourceUriLeak. https://addons.mozilla.org/de/firefox/addon/canvasblocker/ https://addons.mozilla.org/de/firefox/addon/no-resource-uri-leak/ https://www.privacy-handbuch.de/handbuch_21browser.htm Disconnect muss man gar nicht mehr als AddOn installieren. Firefox liefert das mit. Es ist allerdings nur im privaten Modus aktiv. Um es im normalen Modus zu aktivieren in "about:config" folgende Einstellung machen: privacy.trackingprotection.enabled;true http://www.zdnet.com/article/mozilla-abandons-firefox-tracking-protection-initiative/ Gruss

John Doe am :

Wegen des User Agent Switchers ist Vorsicht geboten, damit man sich damit nicht eindeutig identifizierbar macht. Hab' das auch erst heute gelesen: https://www.privacy-handbuch.de/handbuch_21e.htm Ich verwende seit kurzem kein uBlock und NoScript mehr, sondern nur noch uMatrix. uMatrix ist eine sehr komfortables Firewall-AddOn fuer den Firefox-Browser. https://github.com/gorhill/uMatrix https://addons.mozilla.org/en-US/firefox/addon/umatrix/ uBlock und Privacy Badger installiere ich Anwendern, die eher etwas automatisches, als etwas manuelles brauchen. Im bereits erwaehnten Privacy Handbook habe ich (heute) von zwei sehr interessanten AddOns gelesen: dem CanvasBlocker und dem NoResourceUriLeak. https://addons.mozilla.org/de/firefox/addon/canvasblocker/ https://addons.mozilla.org/de/firefox/addon/no-resource-uri-leak/ https://www.privacy-handbuch.de/handbuch_21browser.htm Disconnect muss man gar nicht mehr als AddOn installieren. Firefox liefert das mit. Es ist allerdings nur im privaten Modus aktiv. Um es im normalen Modus zu aktivieren in "about:config" folgende Einstellung machen: privacy.trackingprotection.enabled;true http://www.zdnet.com/article/mozilla-abandons-firefox-tracking-protection-initiative/ Gruss

John M am :

Ich verwende pihole auf einem Raspberrypi als DNS Server, erspart mir einige AddOns. https://github.com/pi-hole/pi-hole

Anon am :

> Mich wundert dieses Verhalten ehrlich gesagt nicht. Add-Ons mit einer Firma im Hintergrund sind oft gewillt mit ihrer Software Geld zu verdienen. Was für ein Unfug, als ob die Rechtsform des Betreibers irgendwas am Verhalten ändern würde. Wenn ich heute eine UG / GmbH für ein Browser-Addon gründen würde, würde das an meinem moralischen Kompass auch nichts ändern. Andersrum wird es immer auch Privatpersonen geben, die ohne ein Firmenkonstrukt das Ausspähen praktizieren werden. Und ob ich nun als Firma oder Einzelperson auftrete: Dass ich nicht unbegrenzt unentgeltlich Entwicklungszeit in Projekte stecken kann, versteht sich hoffentlich von selbst. Jeder Mensch und auch Programmierer muss seinen Lebensunterhalt bestreiten, sollte dafür aber natürlich nicht das Vertrauen seiner Nutzer missbrauchen. > Anwender solcher Erweiterungen machen sich selten die Mühe AGBs durchzulesen, auch bei WOT war in den Datenschutzbestimmungen nachzulesen, dass Daten erhoben werden. Stimmt leider nur teilweise. Die Datenschutzbestimmungen auf der Mozilla Addon-Seite hatten noch einen alten Stand, in dem der tatsächliche Umfang der Datensammlung & -weitergabe nicht erwähnt wird. Und damit zum eigentlich Kernproblem... > Das Web of Trust Daten an Dritte weitergibt ist natürlich nicht schön, aber auch kein riesiger Skandal. Auch wenn die Datenschutzbestimmungen auf der WOT-Website die Datenweitergabe erwähnen, wird hier doch eine Anonymisierung versprochen, so dass keine Rückschlüsse auf den einzelnen Nutzer mehr möglich sind. Eben dies ist aber nicht passiert. Entweder weil man technisch nicht dazu in der Lage war ohne die Daten wertlos zu machen (Anonymisierung ist wesentlich schwieriger, als man das so naiv denken würde), oder weil man ganz bewusst lieber etwas wertvollere, nicht anonymsierte Daten verkaufen wollte. > Wer solche Add-ons verwendet, ist teilweise selbst Schuld. Warum ist man selbst schuld, wenn 1. der wahre Umfang der Informationsverarbeitung verschwiegen wird (Mozilla Addon-Seite). 2. die versprochene Anonymisierung nicht umgesetzt wird. 3. die meisten Menschen, wie du schon richtig sagst, die Funktionsweise eines Addons nicht nachvollziehen können. 4. es über die Infrastruktur von Mozilla angeboten wird, einer Organisiation die sich u.a. dem Datenschutz verschrieben hat und durchaus die Möglichkeit gehabt hätte, den Quellcode fachkundig zu bewerten. 5. selbst wenn man die Funktionsweise des Addon-Codes nachvollziehen kann, dies ohne den Server-seitigen Code für eine Bewertung gar nicht ausreicht. 6. WOT von vielen Seiten genauso undifferenziert als sinnvolle Erweiterung empfohlen wurde, wie du hier fünf andere Addons empfiehlst.

Anon am :

> Um in Zukunft solchen Enthüllungen aus dem Weg zu gehen, sind weiterhin OpenSource Add-ons zu empfehlen, hier kann jeder den Quellcode einsehen und eventuelle Datenweitergaben aufspüren. Technisch bedingt ist der Quelltext aller Addons für Firefox, Chrome, Opera, Edge... einseh- und überprüfbar, unabhängig von der verwendeten Lizenz. Dein Argument für OpenSource würde nur bei Programmen eine Rolle spielen, die in kompilierter (oder zumindet verschlüsselter) Form verbreitet werden.

greebo am :

User Agent Switcher können ganz nützlich sein um Webseiten mit kaputten Webdesign gangbar zu machen (was heutzutage gottseidank nicht mehr so oft notwendig ist). Um seine Anonymität zu steigern sind sie allerdings extrem kontraproduktiv. Halbwegs kompetente Browser-Fingerprints basieren schon lange nicht mehr auf einen HTTP Header, sondern sammeln ein ganze Portfolio an Daten, von denen gerade "Ausreißer" wie installierte PlugIns zur Nutzeridentifizierung verwendet werden. Beispiel: Es gibt so und soviel Millionen FF, IE, Safarie u.s.w. Nutzer, aber nur ein halbes Dutzend mit Addon XY, Browserbuild Z und so weiter. Wechselt man dann nur die Browserkennung ist der Identifikationsvektor ziemlich unbeeindruckt. Im Fall von WOT war aber nicht einmal das das Problem. Die Firma kann sich auch guten Gewissens auf die Fahnen schreiben keine nutzerspezifischen Datensätze gesammelt zu haben. Aber wenn die Datensätze dann personalisierte URLS enthalten (Facebook Profil u.ä.) ist die Recherche egal welchen Browser/AddOn man verwendet halt nicht schwer.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.