Der Webbrowser Firefox bietet bereits viele nützliche Werkzeuge zum Schutz von Privatsphäre und der Sicherheit. Die richtigen Erweiterungen machen den Browser zur wahren Festung gegen Bedrohungen aus dem Internet.

Die wichtigste Internetanwendung ist zweifelsohne der Webbrowser. Weil er damit natürlich auch im Fokus der Angreifer steht, ist er aber auch das am meisten gefährdete Programm jedes Rechners. Die Angriffsziele betreffen sowohl Designfehler im Code, aber auch die Unachtsamkeit und Unerfahrenheit der Anwender. In beinahe allen Fällen bietet Firefox [1] per se ein recht hohes Maß an Sicherheit, setzt aber eine richtige Konfiguration voraus. Mit den passenden Erweiterungen erhöhen Sie das Sicherheitsniveau nochmals deutlich. Wie Sie diese installieren, beschreibt der Kasten Firefox-Plug-ins installieren.

Tricks zum sicheren Surfen

Bereits das richtige Konfigurieren von Firefox hilft dabei, dessen Sicherheitsniveau deutlich zu erhöhen. Das Konfigurationsfenster öffnen Sie über Bearbeiten / Einstellungen. Unter Sicherheit finden Sie die Checkboxes Hinweis anzeigen, falls die besuchte Webseite als attackierende Webseite/Betrugsversuch eingeschätzt wird. Wenn Sie diese Funktion aktivieren, lädt der Browser von der Mozilla-Homepage im Turnus von etwa 30-60 Minuten eine Blacklist herunter, welche die URLS der gefährlichen Seiten enthält. Besuchen Sie eine davon, erscheinen ein Warnhinweis und die Nachfrage, ob Sie die Seite wirklich öffnen möchten. Allerdings erfasst diese Blacklist lediglich 80% der gefährlichen Seiten, weswegen auch mit aktiviertem Schutz Vorsicht geboten ist.

Im gleichen Fenster finden Sie im Bereich Warnmeldungen beim Klick auf Einstellungen… Sicherheitswarnungen, die der Browser bei bestimmten Ereignissen ausgibt, etwa wenn die besuchte Seite eine zu schwache Verschlüsselung verwendet. Da in sehr Fällen der Besuch einer verschlüsselten Seite mit dem Transfer persönlicher Daten einhergeht, sollten Sie höchsten Wert auf eine möglichst umfassende Information über potentiell unsichere Vorgehensweisen legen.

Viele Webbetrüger nutzen so genannte Redirectors (Umleitungen), um den Besucher auf eine präparierte Seite zu ziehen. Um das zu verhindern, aktivieren Sie in der Rubrik Erweitert die Checkbox neben Warnen, wenn Websites versuchen umzuleiten oder neuzuladen.

Die zentrale Anlaufstelle zur Konfiguration des Browser rufen Sie mit http://about:config auf. Hier verbergen sich auch Einstellungen, die Sie über die gewöhnlichen Firefox-Einstellungen nicht erreichen. Einen Überblick über die Einstellmöglichkeiten von http://about:config finden Sie unter [3]. Hüten Sie sich aber davor, Vorgaben zu verändern, von denen Sie nicht genau wissen, was sie bewirken. Andernfalls könnte es passieren, dass die Software komplett ihren Dienst versagt.

Wenn auch Andere Ihren Rechner und damit Firefox mitbenutzen, sichern Sie die gespeicherten Passwörter mit einem Masterpasswort. Wechseln Sie dazu im Konfigurationsfenster in den Reiter Sicherheit und aktivieren Sie die Checkbox vor Master-Passwort verwenden. Detaillierte Einstellungen, etwa die Gültigkeitsdauer des Passworts, erreichen Sie über die Eingabe von http://chrome://pippki/content/pref-masterpass.xul.

Profile Password

Alle persönlichen Daten speichert Firefox in einem Nutzerprofil, das er im Home-Verzeichnis des Anwenders unter .mozilla/firefox anlegt. Es enthält neben den Bookmarks auch die gespeicherten Passwörter, Cookies, installierte Erweiterungen und den Brower-Cache. Dieses Profil lädt der Browser beim Start und stellt es dem Nutzer zur Verfügung. Wenn Sie verhindern möchten, dass andere Personen den Browser ungefragt mit Ihren Einstellungen starten, installieren Sie die Erweiterung Profile Password [4]. Danach legen Sie die Zugangskennung fest, die dafür sorgt, dass künftig bei jedem Start des Browsers eine Passwortabfrage erfolgt.

Die Erweiterung gewährt allerdings lediglich den Schutz davor, das Profil im Browser zu laden. Den Zugriff auf die lokalen Nutzerdaten verhindert es nicht.

NoScript

Alle aktiven Webelemente, die der Browser auf dem lokalen Rechner ausführt, stellen ein potentielles Sicherheitsrisiko dar. Die bekannteste und am häufigsten verwendete Attacke namens Cross-Site-Scripting basiert auf JavaScript. Sie dient dazu, beispielsweise Cookies an den Rechner des Angreifers weiterzuleiten, damit sich dieser mit der Identität des Opfers z. B. bei Ebay oder Amazon anmelden kann, um dort seine Betrügereien fortzusetzen. Den besten Schutz vor solchen Attacken bietet das komplette Abschalten aller aktiven Webelemente, führt aber dazu, dass die meisten Seiten zum Teil erheblich in ihrer Funktion eingeschränkt werden.

Abhilfe schafft hier die Erweiterung NoScript [5]. Sie erlaubt Ihnen, genau festzulegen, welche Seite in welchem Umfang aktive Inhalte ausführen darf. Nach der Installation erscheint in der Informationsleiste ein durchgestrichenes “S” als Zeichen dafür, dass die Erweiterung aktiv ist. Betreten Sie eine Seite, erscheint am unteren Browserrand ein gelber Balken, der Sie darauf hinweist, dass Elemente auf der Seite blockiert wurden. Klicken Sie auf Einstellungen…, um zu sehen, welche es sind und von wo sie stammen (Abbildung 1).

Abbildung 1: Mit der Erweiterung NoScript verhindern Sie wirkungsvoll, dass Webseiten ungefragt Skripte auf Ihrem Rechner ausführen.

Ein Klick auf Domainname freigeben fügt die Seite der Liste den erlaubten Webseiten hinzu. Diese öffnen Sie, indem Sie im Menü auf den ersten Punkt Einstellungen… und darin auf den Reiter Positivliste klicken. Welche Elemente NoScript in welchem Umfang blockieren soll, legen Sie auf dem Reiter Plug-ins fest.

Controle de Scripts

JavaScript gilt im Web mit Abstand als höchstes Sicherheitsrisiko, da es wegen seiner Komplexität für Browserhersteller sehr schwierig ist, auf der einen Seite alle Möglichkeiten zu nutzen, aber auf der anderen Seite zu verhindern, dass Skripte unerlaubte Aktionen ausführen. Während NoScript den eher radikalen Weg geht und Skripte unbekannter Webseiten generell verbietet, verfolgt das Plug-in Controle de Scripts [6] (Abbildung 2) den Ansatz, deren Berechtigungen einzuschränken.

Abbildung 2: Mit “Controle de Scripts” schränken Sie die Rechte von JavaScript auf Ihrem Rechner ein.

Im Reiter Berechtigungen der Konfigurationsoberfläche stellen Sie ein, welche Verhaltensweisen Sie JavaScript generell verbieten. Dazu zählen beispielsweise das Deaktivieren oder Austauschen des Kontextmenüs oder das Ändern bzw. Austauschen des Statuszeilentextes. Vor allem Letzteres verwenden viele Trickbetrüger, um das wahre Ziel eines Links zu verschleiern.

Unter Pop-up-Fenster legen Sie fest, welche Ereignisse, z. B. das überfahren eines Links mit der Maus, ein Pop-up öffnen dürfen. Die richtige Konfiguration erfordert allerdings ebenso wie die Einstellungen der Rubrik Erweitert ein eingehendes Studium des Online-Manuals [7], das alle Optionen sehr genau erklärt.

Derzeit ermöglicht die Erweiterung lediglich das globale Setzen dieser Berechtigung. Seitenspezifische Einstellungen sind nicht möglich.

CookieCuller

Cookies stellen zwar nur in seltenen Fällen eine echte Gefahr für die Datensicherheit dar, bieten aber eine Menge Möglichkeiten, das Nutzerverhalten des Surfers nachzuvollziehen. Wem seine Privatsphäre wichtig ist, der sollte deshalb darauf achten, welche Cookies er auf seinem Rechner zulässt. Ein exzellentes Hilfsmittel dafür bietet CookieCuller [8] (Abbildung 3).

Abbildung 3: CookieCuller ermöglicht Ihnen auf einfache Weise die Kontrolle den auf Ihrem Rechner gespeicherten Cookies.

Zum einen zeigt es detailliert den Einsatzzweck und die übertragenen Daten des Cookies, zum anderen erlaubt es weitreichende Beschränkungen im Umgang damit. Sie wählen aus der Liste der Einträge die Cookies, die Sie behalten möchten, und klicken danach auf Cookie schützen. Damit verhindern Sie, dass das gewählte Cookie beim Säuberungsdurchlauf gelöscht wird. Um mehrere gleichzeitig auszuwählen, halten Sie [Strg] gedrückt. Ein Klick auf Alle nicht geschützten Cookies entfernen löscht die restlichen. Wurde die Checkbox neben Webseiten, deren Cookies einmal entfernt wurden, kein erneutes Setzen von Cookies erlauben gesetzt, bleiben Sie künftig davon verschont.

SecurePassword Generator

Nicht selten zeigt sich, dass Anwender beim Erstellen neuer Passwörter wenig Kreativität an den Tag legen. Meist verwenden Sie die Namen ihrer Partner, Haustiere oder Lieblingsautomarke: ein gefundenes Fressen für jeden Passwort-Cracker, der solche Zeichenketten binnen weniger Sekunden duchtesten und finden. Hier hilft der SecurePassword Generator [9] (Abbildung 4).

Abbildung 4: Mit em SecurePassword Generator erzeugen Sie sichere Passwörter nach eigenen Vorgaben.

Mit ihm legen Sie zunächst fest, aus welchen Elementen sich das Kennwort zusammensetzen soll und wie lang es sein darf. Als Faustregel gilt, dass es mindestens acht Zeichen lang sein und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthalten sollte. Welche Sonderzeichen Sie einbeziehen möchten, legen Sie ebenso fest wie die Gewichtung, welche Zeichengruppe wie stark im Passwort vertreten sein sollen. Danach genügt ein Klick auf Erstellen, und Ihr sicheres Passwort ist fertig.

httProxy

Jeder Anwender, der im Web surft, hinterlässt unweigerlich eindeutige Spuren, die auf seine Identität schließen lassen. Das wichtigste Indiz dabei ist die IP-Adresse, die, zumindest seit Inkrafttreten der verdachtsunabhängigen Vorratsdatenspeicherung, für sechs Monate eindeutige Rückschlüsse auf den Anwender zulässt, der sie benutzt hat.

Zwar ändern Sie diesen Umstand nicht, wenn Sie über Proxy-Server surfen, aber die IP-Adresse in den Log-Dateien der besuchten Webseiten zeigen nicht mehr Ihre IP-Adresse, sondern die des Proxies, den Sie verwendet haben, was eine Rückverfolgung deutlich erschwert.

Am einfachsten zu bedienen sind so genannte Webproxies wie Anonymouse [10]. Hier reicht es, auf deren Webseite die gewünschte URL einzugeben, um das Ziel anonymisiert aufzurufen. Noch einfacher geht das mit httProxy [11] (Abbildung 5).

Abbildung 5: Die Erweiterung httProxy ermöglicht es Ihnen, Webseiten auf Knopfdruck anonymisiert aufzurufen.

Hier reicht nach der Installation ein Klick auf das Icon Retrieve via httProxy oben rechts im Browser, um die Seite mit dem zuvor eingestellten Anonymisierungsdienst aufzurufen. Zur Auswahl stehen neun voreingestellte Services, die Sie nach Belieben um eigene Einträge erweitern.