AA_123rf-9705929_TonoBalaguer-123RF.jpg

© Tono Balaguer, 123RF

Hut auf

Sicherheitsorientierter Webbrowser Xombrero

17.04.2014
Die beliebten Webbrowser Firefox und Chrome schützen Sie ohne spezielle Erweiterungen nur unzulänglich vor Tracking und schädlichen Skripts. Dass es auch anders geht, zeigt der minimalistische Webbrowser Xombrero.

Für das freie Betriebssystem Linux gibt es eine große Auswahl an Webbrowsern. Neben den Platzhirschen Mozilla Firefox und Google Chrome zählen dazu unter anderem auch die Internet-Application-Suite Seamonkey, Opera sowie die Browser der großen Desktop-Umgebungen wie etwa Konqueror. Ein noch recht unbekannter, aber nichtsdestotrotz äußerst interessanter Webbrowser nennt sich Xombrero [1].

Ihn entwickelt die Firma Conformal Systems LLC und stellt ihn unter die BSD-ähnliche ISC-License. Der in C implementierte Browser nutzt die Webkit-Rendering-Engine und ging aus Xxxterm hervor. Dabei zählt er zu den minimalistischen Vertretern seiner Gattung und legt großen Wert auf Sicherheit: Diese soll von Anfang an gegeben sein und nicht erst dann, wenn der Anwender eine Reihe zusätzlicher Plugins und Erweiterungen installiert.

Zu Xombreros weiteren Merkmalen gehört eine umfangreiche Tastatursteuerung mittels Vi-ähnlicher Shortcuts. Damit eignet sich der Browser bestens für Anwender, die sich auf der Kommandozeile auskennen und nur ungern die Maus über den Schreibtisch schubsen.

Xombrero installieren

Xombrero fehlt bislang in den offiziellen Paketquellen der großen Distributionen. Daher müssen Sie in aller Regel selbst zum Compiler greifen. Den Quellcode des Browsers laden Sie mit folgendem Befehl auf den heimischen Rechner:

$ git clone https://opensource.conformal.com/git/xombrero.git

Im dabei neu entstandenen Verzeichnis xombrero finden Sie mehrere Unterverzeichnisse für die unterstützten Betriebssysteme Linux, Mac OS X und BSD. Xombrero verzichtet auf die praktische ./configure, die prüft, ob sich alle benötigten Pakete bereits auf dem System befinden. Als Abhängigkeiten nennt Conformal Systems Libbsd, WebKit und deren Entwicklerpakete sowie die Gtk-2/3-Entwicklerpakete und den GCC. Deren Vorliegen müssen Sie also selbst sicherstellen, anderenfalls verabschiedet sich der Übersetzungslauf mit einer Fehlermeldung.

In den Makefiles müssen Sie gegebenenfalls noch angeben, welche GTK-Version Sie verwenden. Als Vorgabe dient hier Gtk3 – nutzen Sie ein älteres System, können Sie stattdessen zu Gtk2 greifen. Das funktioniert jedoch oft nur mit älteren Xombrero-Versionen, wie sie Conformal Systems als Snapshots auf der Webseite bereitstellt [2]. Die Installation erfolgt in jedem Fall mit folgendem Kommando:

$ make && sudo make install

Sofern der Prozess fehlerfrei durchläuft, können Sie den frisch übersetzten Webbrowser anschließend mittels des Kommandos xombrero starten.

Sicher unterwegs

Wie bereits erwähnt, handelt es sich bei Xombrero um einen minimalistischen Webbrowser. Dementsprechend karg präsentiert er sich nach dem ersten Aufruf. Es gibt immerhin Tabs, eine Eingabezeile für die Webadresse, ein Textfeld für Suchbegriffe und im sogenannten Kommandomodus auch eine Zeile, auf der Sie Steuerungsbefehle absetzen (Abbildung 1).

Abbildung 1: Der minimalistische Webbrowser Xombrero gibt sich völlig schnörkellos – dafür aber deutlich sicherer als seine großen Brüder.

Die Konfiguration des Browsers erfolgt über eine Textdatei mit dem Namen .xombrero.conf in Ihrem Heimatverzeichnis. Möchten Sie mit verschiedenen Konfigurationsdateien experimentieren, geben Sie die jeweils zu verwendende beim Start des Browsers über einen Kommandozeilenparameter an:

$ xombrero -f /Pfad/zur/Konfig-Datei.conf<C>

Das Quelltextverzeichnis des Programms enthält eine Beispiel-Konfigurationsdatei, die Sie kopieren und als Grundlage für eigene Anpassungen nutzen können. Die Optionen darin tragen gut nachvollziehbare Bezeichnungen, sodass wir im Folgenden nicht auf alle eingehen.

Zur Sicherheit akzeptiert das Adressfeld nur URLs und startet keine Websuche, wenn Sie nur einzelne Wörter eingeben. Das soll eine ungewollte Weitergabe von Passwörtern und Nutzernamen an Google und Konsorten verhindern. Der Browser unterstützt Sie auch dabei, sich Tracking-Versuchen zu entziehen, indem er Cookies nur kurzzeitig speichert und ausschließlich jene von explizit in einer Whitelist hinterlegten Seite dauerhaft setzt. Ferner deaktiviert Xombrero standardmäßig DNS- und Link-Prefetching, sodass es weder Providern noch Seitenbetreibern möglich ist, anhand entsprechender Lookups auf einen Besucher rückzuschließen [3]. Dieses Feature müssen Sie allerdings in der Webkit-Bibliothek beim Übersetzen aktivieren.

Um Trackern ein Schnippchen zu schlagen, aktivieren Sie in der .xombrero.conf den Browser-Modus "Whitelist", indem Sie das Kommentarzeichen (#) vor dem Eintrag browser_mode = whitelist entfernen. Um ein Cookie dauerhaft zu speichern, wechseln Sie mit [Esc] (Vi lässt grüßen) in den Kommandomodus und geben den Befehl :cookie save ein.

Um zu sehen, was sich alles in der Keksschachtel befindet – und vielleicht, um einige Cookies wegzuputzen – genügt das Kommando :cookiejar. Indem sie den Wert der Option user_agent in der Konfigurationsdatei anpassen, verschleiern Sie Webseiten gegenüber, mit welchem Browser sie unterwegs sind, und schlagen Datensammlern ein weiteres Schnippchen.

Auch bei in Webseiten eingebetten Skripts sperrt sich Xombrero, solange sich die zugehörige Webseite nicht in einer Whitelist befindet. Um bestimmte Skripts dauerhaft zu erlauben, genügt die Eingabe von :js save beim Besuch der entsprechenden Seite. Um Cookies und Skripts nur für eine Sitzung zuzulassen, betätigen Sie den Play/Pause-Schalters links neben dem Eingabefeld für die URL. Auf die gleiche Weise unterbinden Sie Cookies und Skripts. Das voreingestellte Verhalten lässt sich in der Config-Datei ändern, etwa indem Sie Skripts und Cookies generell zulassen.

Auch bei Browser-Zertifikaten gebärdet sich Xombrero ungewöhnlich. Statt, wie andere Browser, blind einer Zertifizierungsstelle zu vertrauen, verlangt er, dass Sie das Zertifikat selbst prüfen. Solange das nicht geschieht, erscheint die Adresszeile rot hinterlegt (Abbildung 2).

Abbildung 2: Der Browser vertraut nur dem Nutzer allein: Unbestätigte Zertifikate quittiert die Software mit einer rot hinterlegten Adresszeile.

Um Zertifikate einzusehen, wechseln Sie in den Kommandomodus ([Esc]) und geben :cert ein. Mit :cert save übernehmen Sie das Zertifikat in die zuständige Whitelist. Mit den Tastenkombinationen [Alt]+[Pfeil-links] und [Alt]+[Pfeil-rechts] beziehungsweise [Rückschritt] und [Strg]+[Rückschritt] navigieren Sie zwischen den besuchten Seiten.

Viele Betreiber liefern ihre Webseiten sowohl über das unverschlüsselte HTTP-Protokoll als verschlüsselt via HTTPS aus. Xombrero ermöglicht, für bestimmte Domains HTTPS zu erzwingen. Das ist vor allem für Seiten interessant, die sensible Inhalte transportieren, wie etwa Webmail, Webshops, Web-Analysewerkzeuge oder in der Wolke gehostete Geschäftsanwendungen. In Form der Zeile

force_https = [sub].domain.tld

oder mithilfe des Kommandos :https save hinterlegen Sie in der .xombrero.conf jene Seiten, die Sie grundsätzlich mit HTTPS öffnen möchten.

Schnell ans Ziel

Wie bereits erwähnt, lässt sich der Browser gänzlich via Tastatur steuern. Zwar funktioniert auch die Bedienung per Maus, allerdings kennt die Software keine Mausgesten.

Die Tastaturbefehle lehnen sich zum Großteil an jene des Editor Vim an. So wechselt [Esc] in den Kommandomodus und [I] in den Einfügemodus. Eine Textsuche leiten Sie mit [Umschalt]+[**7**] oder [Umschalt]+[ß] (vorwärts/rückwärts) ein. Mit [H],[J],[K] und [L] beziehungsweise den Pfeiltasten scrollen Sie durch Inhalte.

Ein Druck auf [F6] und [F7] wechselt den Fokus ins URL-Eingabe- beziehungsweise Suchfeld, [F5] aktualisiert den Inhalt der Seite. Mit [Alt]+[D] starten Sie den Download-Manager, ein Klick auf [F] versieht sämtliche Links und Eingabefelder auf einer Webseite mit Nummern. Bei Eingabe der entsprechenden Ziffer landet der Fokus im zugehörigen Feld oder folgt dem Link (Abbildung 3). Verwenden Sie [Umschalt]+[F], öffnet Xombrero die gewünschten Links in einem neuen Tab.

Abbildung 3: Der Druck auf F versieht Eingabefelder und Links mit einer Ziffer. Geben Sie die entsprechende Zahl ein, wechselt der Fokus dorthin oder öffnet sich der Link.

Neue Tabs öffnen Sie mittels [Strg]+[T],[Strg]+[W] schließt sie wieder. Zwischen den Tabs wechseln Sie mit [Strg]+[**1**]…[**9**] oder mithilfe von [Pfeil-links] beziehungsweise [Pfeil-rechts]. [Strg]+[P] startet den Ausdruck der Seite, was auch mit dem Kommando :print klappt. Sämtliche definierte Tastenkombinationen listet die Manpage auf. In der .xombrero.conf passen Sie auf Wunsch die Tastenkürzel an.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 08/2015: Cloud-Speicher

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Plugins bei OPERA - Linux Mint 17.1
Christoph-J. Walter, 23.07.2015 08:32, 1 Antworten
Beim Versuch Video-Sequenzen an zu schauen kommt die Meldung -Plug-ins und Shockwave abgestürzt-....
Wird Windows 10 update/upgrade mein Grub zerstören ?
daniel s, 22.07.2015 08:31, 5 Antworten
oder rührt Windows den Bootloader nicht an? das ist auch alles was Google mir nicht beantw...
Z FUER Y UND ANDERE EINGABEFEHLER AUF DER TASTATUR
heide marie voigt, 10.07.2015 13:53, 2 Antworten
BISHER konnte ich fehlerfrei schreiben ... nun ist einiges drucheinander geraten ... ich war bei...
PCLinuxOS lässt sich nicht installieren
Arth Lübkemann, 09.07.2015 18:53, 6 Antworten
Hallo Leute, ich versuche seit geraumer Zeit das aktuelle PCLinuxOS KDE per USB Stick zu insta...
Fernwartung oder wartung im haus
heide marie voigt, 29.06.2015 10:37, 2 Antworten
gerne hätte ich jemanden in Bremen nord, der mir weiter hilft - angebote bitte mit preis HMVoigt