Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

Aktualisierungen stehen auch als RSS-Feed zur Verfügung.

Letzte Überarbeitungen im Privacy-Handbuch:
  • Liste der MS Windows Telemetrie Server (29. Juli 2020)

    Die Liste zum blockieren der MS windows Telemetrie Server wurde gemäß BSI SiSyPHuS Win10 Version 1.2 vom April 2020 aktualisiert.
  • Datenträger physisch zerstören (18. Juli 2020)

    Den Datenträger physisch zu zerstören, ist die ultimative Form der Datenvernichtung. Man kann es selbst versuchen mit Bohrmaschine und Flex in der Kellerwerkstatt oder man übergibt die Daten an professionellen Serviceanbieter, der das fachmännisch erledigt.

    Die Berliner Firma Nitrokey bietet mit NiroShred diesen Service für Privatkunden und kleinere Unternehmen in Kooperation mit der Rhenus Data Office GmbH an. Die Datenträger (SSDs, Fest­platten, USB-Sticks, Handys, CDs oder DVDs) werden per Post an die Nitrokey GmbH gesendet, gesammelt der Rhenus Data Office GmbH übergeben und dort gemäß DSGVO, BDSG und DIN 66399 geshreddert. Das Material wird am Ende recycled. Somit eignet sich der Service auch zur sauberen Entsorgung von alten Smartphones (Kosten: 12,-€ + Porto), um das "grüne" Gewissen ein bisschen zu beruhigen.

    Hinweis: Der Postversand innerhalb Deutschlands ist vom BSI für vertrauliche Daten bis zur Geheimhaltungsstufe VS-NfD (Nur für Dienstgebrauch) zugelassen.
  • Firefox 78: Auto-Play deaktivieren (16. Juli 2020)

    Die Einstellungen zum Deaktivieren des automatischen Abspielens von Audiodateien und Videos hat Mozilla immer wieder geändert. In Firefox 78+ deaktiviert man das automatische Abspielen von Videos und Audio mit folgender Einstellung unter "about:config": media.autoplay.default = 5 Das Deaktivieren des automatischen Abspielens von Videos ist auch ein Sicherheits­feature, das den Start eines bösartigen Videos im Hintergrund verhindert und die Angriffsfläche für Drive-by-Download Angriffe verringert.

    Die srenge user.js und die Hostspot unser.js wurden angepasst.
  • Firefox 78: Anpassung der user.js (15. Juli 2020)

    Die Werte zur Deaktivierung des activity-stream wurden in allen Konfigurationen so gesetzt, wie auf der Webseite im Kapitel activity-stream abschalten beschrieben.

    In der minimalen user.js wurde das Referer Blocking geändert und "network.http.referer.XOriginPolicy = 1" gesetzt, da "2" zu streng ist und zu Einschränkungen führt, die bei der minimalen Konfiguration vermieden werden sollen.

    Da jetzt Firefox 78.x die aktuelle ESR Version ist, wurden alle Konfigurationen bereinigt und alte Parameter entfernt, die nicht mehr relevant sind: webgl.disable-extensions
    privacy.userContext.longPressBehavior
    browser.cache.compression_level
    browser.onboarding.enabled
    browser.search.reset.enabled
    browser.search.reset.whitelist
    browser.slowStartup.samples
    browser.urlbar.oneOffSearches
    extensions.blocklist.url
    extensions.htmlaboutaddons.discover.enabled
    privacy.resistFingerprinting.block_mozAddonManager
    browser.newtabpage.activity-stream.enabled
  • Firefox 78: Anpassung der user.js (09. Juli 2020)

    Firefox 78+ zeigt die handverlesenden "Topsites" aus dem Activity Stream zusätzlich in der Liste der Vorschlägen bei Eingabe einer Adresse in der URL Leiste an. Das deaktiviert man mit folgender Option: browser.urlbar.suggest.topsites = false Die user.js Konfigurationen wurden angepasst.
  • BlueKai Datenleck (05. Juli 2020)

    BlueKai ist seit 2014 eine Tochterfirma von Oracle. Ein Datenleck im Juni 2020 zeigte, wie gigantisch und detailiert die Daten­bestände von Bluekai sind.
  • Matrix/Riot: BSI Zulassung für VS-NfD ist Fake News (05. Juli 2020)

    Es wird in letzter Zeit öfters behauptet, Matrix wäre aufgrund sicherer Krypto vom BSI für klassifizierte Kommunikation der Einstufung VS-NfD zugelassen. Das ist eine Legende, die nicht der Wahrheit entspricht, also Fake News. Faktencheck...
  • Stealth Onion Services kann man ja mal erwähnen (03. Juni 2020)

    Stealth Onion Services erfordern einen zusätzlichen Schlüssel für den Aufbau einer Verbindung. Die Informationen in den Hidden Service Directories über mögliche Zugangspunkte zu diesen Onion Services sind verschlüsselt, so dass bösartige Dritte diese Onion Services nicht ausspionieren oder angreifen können...
  • Unbound als lokaler DNS Resolver für Ubuntu 20.04 (31. Mai 2020)

    Eine kleine Anleitung, wie man Unbound als lokalen DNS Resolver unter Ubuntu 20.04 konfiguriert. Die Anleitung ist zwar nur mit Ubuntu getestet, sollte aber auf andere Distributionen übertragbar sein.
  • 2-Faktor-Auth: TOPT mit hashcat knacken (30. Mai 2020)

    Wenn es einem Angreifer gelingt, zwei oder mehr TOTP Token abzugreifen und den Zeitpunkt der Verwendung zu protokollieren, kann er mit dem Passwortknacker "hashcat" versuchen, die Secret Keys ermitteln und dann selbst gültige TOTP Token erzeugen.
  • Firefox 76: unverschlüsseltes HTTP und FTP abschalten (26. Mai 2020)

    In Firefox 76 kann man unverschlüsseltes HTTP und FTP komplett abschalten und nur TLS verschlüsselte Protokolle verwenden. Einige wenige Webseiten sind dann nicht mehr aufrufbar, aber alle relevanten Webseiten sind inzwischen per HTTPS erreichbar. Man findet für (fast) alles Alternativen und eigentlich kann man auf HTTP verzichten.

    Um HTTP und FTP zu deaktivieren sind unter "about:config" folgende Werte zu setzen:
    dom.security.https_only_mode   = true
    network.ftp.enabled= false
    Diese Einstellungen sind in der strengen user.js Konfiguration aktiviert. Die Installation der Add-ons HTTPZ und HTTPSEverywhere kann damit entfallen.
  • Firefox: Zugriff auf lokale URLs und Resourcen im Netz blockieren (25. Mai 2020)

    Die uBlock Origin Filterliste für das Blockieren des Zugriffs auf lokale Resourcen wurde korrigiert und erweitert. (Danke für den Hinweis auf die Fehler.) Außerdem stehen die Regeln auch als Filterliste zum Download bereit, die man als zusätzliche Filterliste einbinden kann, wenn man die Regeln nicht kopieren möchte.

    Update: Regeln für Link Local und Unique Local Adressen hinzugefügt, die von Zeroconf, Apple Bonjour u.ä. für Geräte im lokalen Netz vergeben werden, außerdem die IP Adressbereiche für Carrier Grade NAT Adressen.
  • Fake News in Corona Zeiten (23. Mai 2020)

    Die Corona Krise 2020 ist eine Blütezeit für Fake News. Es gab Meldungen von Medikamenten, die gegen SARS-COV-2 helfen sollen, wie Ibuprofen, Hydroxychloroquin oder Desinfektionsmittel (intravenös). Bill Gates will die kommende Corona Schutz­impfung nutzen, um uns ein Microchip zu implantieren (was 40% der Trump Wähler glauben) oder Bill Gates hat WHO und Bundesregierung gekapert (KenFM)...

    Fake: Mein perönliches Highlight ist diese Meldung aus dem Bundesgesundheits­ministerium vom 14. März (Twitter, Facebook, ZDF, RTL):
    ! Achtung Fake News !

    Es wird behauptet und rasch verbreitet, das Bundesministerium für Gesundheit / die Bundesregierung würde bald massive weitere Einschränkungen des öffentlichen Lebens ankündigen. Das stimmt NICHT! Bitte helfen Sie mit, ihre Verbreitung zu stoppen.
    Wahr: Drei Tage später wurden die Lockdown Maßnahmen verkündet, die ab 23. März in Deutschland in Kraft traten: Kontaktverbot, Schließung der Geschäfte außer Bau­märkte und Lebensmittelversorgung, Schließung der Restaurants, Bars, Spielplätze und des gesamten öffentlichen Lebens, Verbot von Reisen und Demonstrationen...
  • Firefox user.js Konfigurationen aufgeräumt (20. Mai 2020)

    Folgende Parameter wurden als Ballast aus den user.js Konfigurationen entfernt, da sich nicht mehr relevant, überflüssig oder nicht relevant für die Privatsphäre sind: app.normandy.api_url
    browser.aboutHomeSnippets.updateUrl
    browser.newtabpage.activity-stream.telemetry.ping.endpoint
    browser.newtabpage.activity-stream.asrouterExperimentEnabled
    browser.ping-centre.production.endpoint
    browser.ping-centre.staging.endpoint
    browser.newtabpage.activity-stream.feeds.sections
    browser.newtabpage.activity-stream.feeds.snippets
    browser.newtabpage.activity-stream.feeds.systemtick
    browser.newtabpage.activity-stream.feeds.topsites
    browser.newtabpage.activity-stream.feeds.section.topstories.options
    browser.search.geoSpecificDefaults.url
    toolkit.telemetry.server
    extensions.systemAddon.update.url
    plugins.enumerable_names
    devtools.webide.enabled = false
    devtools.webide.autoinstallADBHelper
    camera.control.face_detection.enabled
    camera.control.autofocus_moving_callback.enabled
  • E-2-E Verschlüsselung in Riot standardmäßig aktiviert (06. Mai 2020)

    In der aktuellen Version der Riot Clients für den Messenger Matrix wurde die Ende-zu-Ende standardmäßig aktiviert. Die Verifikation der Kommunikationspartner kann neben Emoji jetzt auch mit Scannen von QR-Codes erfolgen (wie bei anderen Messengern üblich).

    Außerdem wurde Cross-Signing für die eigenen Geräte eingeführt, um neue, eigene Geräte in das Vertrauen bestehender Verifikationen einzuschließen. Verifizierte Kommunikationspartner müssen nicht mehr jedes einzelne Gerät verifizieren, wenn man Cross-Signing aktiviert. Man selbst entscheidet, welche Geräte vertrauens­würdig sind und das verifizierte Vertrauen wird auf die neuen Geräte übertragen.

    (Hinweis: Riot für iOS v.0.11.4 bietet zur Zeit weder Cross-Signing (nicht implementiert) noch Verifikation der Kommunikationspartner (Absturz). Riot für Android wird Cross-Signing nie unterstützen und soll zukünftig durch RiotX abgelöst werden, das derzeit noch im Beta Stadium ist.)
  • Update der user.js Konfigurationen (06. Mai 2020)

    1. In der moderaten, strengen und Hotspot users.js ist WebRTC abgeschaltet. Deshalb kann man auch das OpenH264 Plugin von Cisco deaktivieren und in der Add-on Verwaltung unsichtbar machen. Danke für den Hinweis.
      media.gmp-gmpopenh264.enabled  = false
      media.gmp-gmpopenh264.autoupdate  = false
      media.gmp-gmpopenh264.provider.enabled  = false
      media.gmp-gmpopenh264.visible  = false
    2. Die Variable "browser.search.geoip.url" ist belanglos und wurde aus allen Firefox user.js entfernt.
    3. In allen Konfiguration für Firefox und Thunderbird wurden der deutsche und finnische DNS-over-HTTPS Server von BlahDNS hinzugefügt.
  • DNS Server von BlahDNS.com (06. Mai 2020)

    Der Betreiber von BlahDNS.com hat auf die im Privacy Handbuch geäußerte Kritik der Zensur reagiert und die Filterlisten angepasst. Da es ein hochwertiger DNS Service ist, wurde BlahDNS.com in die Liste der empfohlenen DNS Server mit Tracking und Malware Filterung aufgenommen.
  • Sicherheitsgewinn durch 2FA mit OTP (01. Mai 2020)

    Seit der Verabschiedung des Gesetzes gegen Rechtstrerrorismus durch die Regierung im Feb. 2020 und den Berichten in der Presse über Diskussionen im Bundestag trudeln hier deutlich mehr Fragen zu 2-Faktor-Auth mit OTP ein -... weil ... nunja ... weil es irgendwie sicherer ist.

    2-Faktor-Auth mit OTP verbessert den Schutz gegen Phishing (das ist das Angreifermodell) aber es schützt nicht beim Zugriff staatlicher Behörden auf Passwort Hashes, wie es in dem Gesetz vorgesehen ist. Provider haben bei entsprechenden Anfragen alle Datenquellen zur Beantwortung zu nutzen, und das schließt die Übergabe der OTP Parameter ein. Insbesondere bei dem häufig verwendeten TOTP können unbemerkt gültige Token generiert werden. Gegen diesen Angriff ist auschließlich die Stärke des ersten Faktors (Passwort) relevant und das Hashverfahren, welches der Provider zum Schutz des gespeicherten Passwortes einsetzt.
  • WebRTC Media Device Enumeration hinzugefügt (29. April 2020)

    Trackingdienste können die Media Device Enumeration von WebRTC ausnutzen, um Daten über Kamera und Mikrofon zu sammeln und für das Hardware Fingerprinting zu verwenden....
  • WebRTC mit Firefox (27. April 2020)

    Eine kleine Anleitung zu Konfigurationsmöglichkeiten von WebRTC mit Firefox, um die Privacy Implilationen von WebRTC zu verringern.
  • Kosmetische Änderungen der Firefox user.js (24. April 2020)
    • Die Liste der DNS-over-HTTPS Server in den user.js Konfigurationen wurde aktualisiert, da SecureDNS.eu abschaltet. dnsforge.de wurde neu aufgenommen.
    • Statt "startup.homepage_welcome_url" (entfernt) wird folgender Wert gesetzt, um die Anzeige von Mozillas Werbung nach einem Update zu unterbinden: browser.startup.homepage_override.mstone = ignore
  • Korrekturen zu DNS Servern (24. April 2020)
    1. Beim zweiten DNS Server von dismail.de hat sich ein Fehler bei den IP-Adressen eingeschlichen, der früher schon einmal korrigiert, aber jetzt wieder da war - sorry. Wer diesen Server nutzt, sollte nochmal die IP-Adressen checken.
    2. Die Blocklisten von BLAHDNS.com sind transparent einsehbar - sorry, hätte man mit ein bisschen gründlicher Suche finden können. BLAHDNS.com verwendet die Fake News Blackliste von StevenBlack, die 56.000+ Einträge enthält, die irgendwie als Fake News deklariert wurden.

      Unabhängig von den Diskussionen um Fake News, die wesentlich vom politischen Weltbild der Betrachter abhängen, ist die Sperrung von Informations­angeboten Zensur. Und ein unzensierter Zugang zu Informationen war ein Grund für die Konfiguration eigener DNS-Server.
  • Empfohlende DNS Server erweitert (22. April 2020)

    Nach der Meldung über die Abschaltung von SecureDNS trudelten einige Nachrichten mit Empfehlungen zu alternativen DNS-Servern in der Postbox ein.
    • dnsforge.de wurde übernommen, da der Dienst von M. Kuketz bereits überprüft wurde. Diese DNS Server filtern Tracking- und Malware Domians.
    • BLAHDNS.com wurde als negatives Beispiel erwähnt, das man die Filterung von Malware und Tracking auch übertreiben kann und auf politisch unbequeme Theman ausdehnen kann. Dann wird es aber Zensur, daher wird BLAHDNS nicht empfohlen, vor allem wegen der nicht transparenten Filterliste.
    Wir werden nicht alle möglichen DNS-Server testen und wollen kein vollständiges Kompendium aller möglichen DNS Server erstellen. Es gibt einige Empfehlungen und Kommentare für unterschiedliche Vorlieben. Das sollte reichen.
  • SecureDNS stellt zum 30. April den Dienst ein (20. April 2020)

    Der DNS Provider SecureDNS wurde an (hoffentlich) allen Stellen entfernt, da der Dienst zum 30. April 2020 eingestellt wird. Danke an Rick Lahaye für die kostenlose Bereitstellung des Dienstes.
  • Daten löschen auf SSDs (15. April 2020)

    Der veraltete Artikel zum Löschen von Daten auf SSDs (TRIM) wurde überarbeitet.
  • Firefox: strenge user.js (13. April 2020)

    Der Parameter gfx.direct2d.disabled = true ist versehentlich irgendwann mal aus der strengen user.js und der Hotspot user.js entfernt worden, wurde wieder hinzugefügt, um das Fingerprinting der Grafikhardware zu erschweren.
  • Threema Backups auf dem eigenen WebDAV Server (31. März 2020)

    Das notwemdige Backup des Threema Account wird mit einem Passwort verschlüsselt und kann auf dem Threema Server gespeichern werden oder auf einem beliebigen WebDAV Server. Wenn man das Backup auf einem eigenen WebDAV Server speichern möchte, muss man dort ein Verzeichnis für Threema Safe anlegen (beispielsweise "threema-safe") und ein Unterverzeichnis "backups". In dem Threema Safe Verz. ist eine Datei "config" abzulegen mit folgendem Inhalt: {
    "maxBackupBytes": 524288,
    "retentionDays": 180
    }
    Danach kann man auf dem Smartphone ein Threema Safe Backup erstellen und als Experte die eigene WebDAV Adresse des Threema Safe Verzeichnisses angeben.
  • Firewalls für Linux Distributionen (29. März 2020)

    Es gibt sicherheitsorientierte Linux Distributionen wie RHEL/CentOS oder QubesOS, die standardmäßig eine Firewall und ein GUI zur Konfiguration installieren, welche erstmal alle Verbindungs­versuche von außen blockiert. Die Mainstream Distributionen wie Ubuntu(s), Linux Mint, ARCH Linux und Manjaro verzichten standardmäßig bei der Installation auf eine Firewall. Man kann die Uncomplicates Firewall (UFW) aber schnell nachrüsten. Eine kurze Einführung zu UFW...
  • Onion Browser für iOS mit neuem GUI (27. März 2020)

    Der Onion Browser für iOS von Mike Tsigas hat ein neues GUI, das die Anpassung der Sicherheitslevel für eine Webseite mit zwei Klicks erlaubt. Außerdem kann man die unsicheren Protokolle TLS 1.0 und TLS 1.1 in den Einstellungen deaktivieren.
  • Jitsi Meet Server Liste (27. März 2020)

    Eine schöne Liste von Jitsi Meet Servern, die von Freifunk Gruppen, Golem.de oder L. Neumann betrieben werden.
  • Instant Messaging und Telefonie überarbeitet (26. März 2020)

    Instant Messaging und verschlüsselte Audio- und Videotelefonie wachsen immer mehr zusammen. Typische Messenger kann man auch für verschlüsselte Telefonie nutzen und Telefonie Anwendungen können auch kurze Nachrichten und Dateien austauschen. Deshalb wurden beide Themen zugefasst und überarbeitet. Außerdem wird nicht mehr zwischen Desktop und Smartphone unterschieden, wurde auch hier zusammengefasst.
  • Bootmedium für Linux Installation erstellen (23. März 2020)

    Wenn man das ISO-Image mit dem Installer einer Linux Distribution herunter geladen hat oder das Image eines Live-Systems, muss man daraus irgendwie ein Bootmedium für den Computer erstellen. Man hat die Wahl zwischen einer DVD-RW oder einem USB-Stick....
  • Anonyme E-Mail Accounts mit Tor Onion Router (21. März 2020)

    Der Abschnitt zur Verwaltung anonymer E-Mail accounts mit Tor Onion Router wurde komplett neu geschrieben.
  • Tracking der Bewegungen von Smartphones (21. März 2020)

    In Deutschland wird die Geo-Lokalisierung von Smartphones vom Staatsapparat zur Gewinnung von Informationen genutzt, sobald der Ausnahmezustand einsetzt.

    In der aktuellen Corona Krise wird u.a. anhand der Trackingdaten von Handys bewertet, ob die Bevölkerung mehrheitlich den Empfehlungen folgt, zuhause zu bleiben und soziale Kontakte zu meiden. Die Trackingdaten der Handys beeinflussen auf politische Entscheidungen, ob eine Verschärfung der Maßnahmen durch Einführung einer strikten Ausgangssperre nötig ist oder nicht.

    (Spazierengehen im Park ist (noch) nicht verboten, um mal an frische Luft zu gehen. Aber lasst die Handys dabei zuhause, wie bei jedem anderen Ausnahmezustand.)
  • Kleines Aufräumen der user.js Configs für Firefox (21. März 2020)

    Die user.js für Firefox wurden ein bisschen aufgeräumt, keine Änderungen vorgenommen sondern nur ein paar kleine Altlasten entsorgt.
  • Tor Onion Services aktualisiert und dismail XMPP hinzugefügt (19. März 2020)

    Die Liste der Onion Services wurde ein bisschen aktualisiert. Ein paar V3 Services sind dazugekommen und die Onion Services für den XMPP Service von dismail.de wurden hinzugefügt.
  • Alternative user.js Konfiguration für Thunderbird (17. März 2020)

    Aufgrund eines Bug in Thunderbird funktionieren Add-ons die Daten in der IndexedDB oder DOMStorage speichern wollen nicht mit der TB user.js Konfiguration. Wenn man derartige Add-ons verwenden möchte (beispw. das Add-on CardBook), kann man die alternative user.js für Thunderbird verwenden, die sich in zwei Parametern unterscheidet:
    network.cookie.cookieBehavior1
    network.cookie.lifetimePolicy2
    Außerdem wurde in beiden Konfigurationen für TB die Werbung für den E-Mail Provider Ghandi beim Anlegen eiens neuen Account abgeschaltet mit dem Parameter: mail.provider.enabled = false
  • Updater für Firefox user.js Konfigurationen (17. März 2020)

    Im Git Repository notabug.org steht ein Update Script für die user.js Dateien für Linux (und MacOS?) zum Download zur Verfügung. Das Script kan per Hand gestartet werden oder sich als Cron Job regelmäßig im Hintergrund um Updates kümmern.

    Kommentare und Diskussionen zum Updater bitte in diesem Thread im Kuketz Forum.
  • Freifunk München DNS Server mit DoH und DoT (15. März 2020)

    Freifunk München bietet einen DNS Server mit DNS-over-HTTPS und DNS-over-TLS. Der Server wurde an allen relevanten Stellen im Handbuch zu DNS-over-HTTPS und DNS-over-TLS hinzugefügt.

    Außerdem wurden alle user.js Konfigurationen für Firefox und Thunderbird angepasst, so dass man den DoH-Server im Konfigurationsdialog für Netzwerkeinstellungen auswählen kann.
  • Messenger Wire unter "sonstige" einsortiert (14. März 2020)

    Durch einem Blogartikel von M. Kuketz wurde ich daran erinnert, dass der deutsche Shooting Star unter den Krypto-Messengern sich in letzter Zeit verändert hat und eher unter "sonstiges" einsortiert werden sollte und nicht mehr als Empfehlung als WhatsApp Alternative. Die Versprechungen auf förderale Infrastruktur der Server wurden auf unbekannte Zeit verschoben und Vorteile gegenüber WhatsApp sind gering.

    Wire speichert die Metadaten der Komunikation dauerhaft unverschlüsselt in der europäischen Amazon Cloud, also im direkten Zugriffsbereich US-amerikanischer Dienste. Die gesetzlich Grundlage für den Zugriff liefert der "Clarifying Lawful Overseas Use of Data Act". Laut Wire ist diese Speicherung technisch nötig. Im Privacy Statement findet man keinen Hinweis auf diese Mini-VDS und keine Hinweis, wie lange die Metadaten gespeichert werden.
  • Nur Open Source Messenger sind sicher. Wiklich? (23. Februar 2020)

    Im Gegensatz zu einigen Open Source Dogmatikern bin ich nicht der Meinung, dass die dezentrale Infrastruktur "freier Messenger" gegen die Installation von Backdoors auf den Servern schützt. Während bei Threema oder Signal App immer wieder angzweifelt wird, ob dort wirklich die auditierte bzw. veröffentlichte Software auf den Servern läuft, werden die Open Source Admin von Jabber oder Matrix Servern per Definition zu Heiligen erklärt, die niemals nie etwas anderes installieren würden als die offizielle Serversoftware und niemals neugierig die Metadaten beschnüffeln würden.

    Für diese Glorifizierung der Open Source Admins gibt es keinen Grund. Als wir vor einigen Jahren noch Jabber/XMPP mit OTR-Verschlüsselung verwendeten, haben wir gehofft, das die Admins der Server nicht mit dem Modul mod_otr - man in the middle module for Off-the-Record spielen oder es zumindest nicht gegen uns anwenden. Man musste vertrauen, so wie man heute Threema oder Signal App vertrauen muss.

    Die Gründe für Vertrauen sind sehr individuell. Manch einer sagt sich "Ich vertraue dem Admin, weil es ein Bekannter ist." und ein anderer denkt "Ich vertraue dem Admin nicht, weil es ein Bekannter ist und die Neugier und Verführung zu einer kleinen Schnüffelei, die niemand bemerken würde, unter Bekannten größer ist." (Stichwort Love-INT o.ä.)
  • Updates für die Firefox Konfiguration (16. Februar 2020)

    In den Empfehlungen für spurenarmes Surfen wurden einige Umbauten vorgenommen:
    • Das Add-on CanvasBlocker gehört jetzt zur Standard­empfehlung für Spurenarmes Surfen. Es kann Zugriffe auf Canvas-API, Screen-API und Audio-API faken (geringfügig modifizieren) um ein Fingerprinting des Browsers zu verhindern. Als Einstellungen sind die Steahlt Settings empfehlenswert.
    In den user.js Konfigurationen wurden folgende Anpassungen vorgenommen:
    1. Die Option privacy.resistFingerprinting wird in unseren Empfehlung nicht mehr verwendet. Grund dafür ist in erster Linie der nicht vollstäng plausibele Fake der User-Agent Kennung, die mit der Aktivierung dieser Option verbunden ist. Die Option wurde für den TorBrowser entwickelt und ist dort sinnvoll, um eine Anonymitätsgruppe zu definieren. In-th-wild ist es mit mit einem normalen Firefox eher kontraproduktiv, diesen User-Agent Fake zu aktivieren, da es die Unterscheidbarkeit von anderen Firefox Nutzern erhöht statt zu verringern.
    2. dom.webaudio.enabled wurde auf den Default Wert true zurück gesetzt, da es unauffälliger ist, die AudioContext-API mit dem Add-on CanvasBlocker zu faken statt die API komplett zu deaktivieren.
    3. ui.use_standins_for_native_colors und ui.systemUsesDarkTheme wurden hinzugefügt, um keine bevorzugten Farbeinstellungen das Desktops via CSS oder Canvas zu verraten.
    4. browser.search.widget.inNavBar wurde entfernt, da es nicht über die user.js gesetzt werden kann.
    5. Es wurden einige Einstellungen entfernt, die nicht mehr relevant sind (shield.savant.enabled, browser.search.countryCode, browser.search.reset.status, dom.idle-observers-api.enabled, browser.chrome.favicons).
  • Google-freie Versionen von Threema und Riot (05. Februar 2020)
    • Im Webshop von Threema gibt es eine Google-freie Version für Android Smartphones, die keine Bibliotheken von Google enthält und keine Google Server für Push Notifications nutzt.
    • Im F-Droid Store gibt es eine Google-freie Version von Riot für Android Smartphones, die keine Google Services für Push Notifications nutzt. Statt dessen wird ein Hintergrundprozess für die Synchronisation der Nachrichten verwendet.
    Diese Versioen benötigen ein bisschen mehr Energie vom Akku, da sie ständig (alle 15min) den Server nach neuen Nachrichten fragen.
  • Firefox 72+ und die privacy.resistFingerprinting Option (19. Januar 2020)
    Aufgrund der Änderung an der User-Agent Kennung ist diese Option privacy.resistFingerprinting=true nur für Nutzer eines Firefox ESR empfehlenswert! Beim Firefox Release 72+ wurde der HTTP-Accept-Header geändert. Damit ist der Fake nicht plausibel und es ist einfach zu erkennen, dass ein Release Firefox sich als Firefox ESR tarnen möchte. Diese Kombination ist sehr selten und erleicht das Tracking via Browser Fingerprinting statt es zu erschweren. Javascript ist für dier Erkennung des Fake nicht nötig.
  • Hardware für hohe Sicherheit: NitroPad X230 (13. Januar 2020)
    Das NitroPad X230 basiert auf den etwas älteren, robusten ThinkPad X230 Business Laptop von Lenovo. Die Integrität des Coreboot BIOS, des TPM und des Kernels des Betriebssystems kann mit einem Nitrokey Pro oder Nitrokey Storage verifiziert werden. Die Intel Management Engine (ME) wurde aus Sicherheitsgründen entfernt. Die Laptops werden werden wahlweise mit einem vorinstalliertem Ubuntu LTS oder QubesOS als Betriebssystem ausgeliefert. Eine vollständige Verschlüsselung der Festplatte ist dabei eingerichtet - sofort startfertig.

    Das Angebot richtet sich an Anwender mit hohen Sicherheitsanforderungen, die einen gehärteten Arbeitsplatz zu schätzen wissen. Dazu zählen neben Journalisten auch IT-Administratoren für kritische Infrastrukturen, die Bearbeiter vertraulicher Daten oder Reisende in Länder, deren Grenzkontrollen manchmal zu neugierig sind.

    Insbesondere in Kombination mit QubesOS sollte man dem System einen i7 Prozessor gönnen, deutlich mehr RAM als die 4GB der Standardausstattung und eine SSD Fest­platte. Der 12' Bildschirm ist auch klein. Auf dem Schreibtisch sind ein zusätzlicher Monitor, Maus und Tastatur empfehlenswert für ergonomisches Arbeiten.
  • Chatten mit Matrix/Riot (19. Dezember 2019)
    Nach dem Vergleich von Jabber/XMPP mit Signal App und Threema hinsichtlich kryptografischer Sicherheit haben mich mehrere Leser gebeten, auch mal etwas über Matrix/Riot zu schreiben. Ich habe mir die Specs (oberflächlich) angeschaut und ein bisschen damit gespielt. Das Ergebnis wird Open Source Enthusiasten nicht unbedingt erfreuen.
  • Firefox Tracking Protection abschalten (17. Dezember 2019)
    Bei Aktivierung der Tracking Protection werden aber nicht nur die Filter aktiviert sondern auch "Do-not-Track" (DNT). Mit jedem HTTP Request wird ein DNT Header gesendet. "Do-not-Track" ist politisch gescheitert, es wird von Tracking­diensten ignoriert. Die Aktivierung des DNT Headers schafft aber ein Differenzierungs­merkmal für das Browser Fingerprinting, wie auch die DNT Working Group des W3C in der Spezifikation anmerkt. Also abschalten: privacy.trackingprotection.enabled = false Das gleiche gilt auch für den "Private Browsing Mode". Im PBM wird die Tracking Protection standardmäßg aktiviert und es wird damit ein DNT Header gesendet, womit das Fingerprinting des Browsers erleichtert wird. Mit folgender Option deaktiviert man die Tracking Protection im "Private Browsing Mode" unter Adresse "about:config": privacy.trackingprotection.pbmode.enabled = false
  • Linux Distribution CentOS hinzugefügt (17. Dezember 2019)
    CentOS ist eine linzenzkostenfreie Version von RHEL, für die es keinen kommerziellen Support gibt. Updates sind ebenfalls kostenlos und man profitiert von der Entwicklungs­schwer­punten bei RHEL hinsichtlich Sicherheit. CentOS ist binärkompatibel mit RHEL.

    CentOS Versionen werden sehr lange gepflegt. Updates gibt es für 6 Jahre. Beim Wechsel auf eine neue Major Version ist eine Neuinstallation empfehlenswert.
  • Vergleich von Jabber/XMPP mit Signal App und Threema hinsichtlich kryptografischer Sicherheit (12. Dezember 2019)
    Im Vergleich zu den im Punkt Sicherheit führenden Messengern hinkt Jabber/XMPP bei der Umsetzung moderner Sicherheitsfeature hinterher. Die Ursachen dafür liegen in der förderalen Serverstruktur und der Community-basierten Entwicklung. Gerade diese beiden Punkte sind für Open Source Dogmatiker die Pluspunkte von Jabber/XMPP und werden vehement verteidigt, ohne die resultierenden Nachteile bezüglich Sicherheit zu erwähnen. weiterlesen...
  • Firefox Add-on HTTPZ (08. Dezember 2019)
    Das Add-on HTTPZ kommt ohne Datenbank aus und versucht, eine Webseite via HTTPS aufzurufen, wenn eine HTTP URL eingegeben wurde. Wenn der Aufruf via HTTPS fehlschlägt, wird die Webseite unverschlüsselt via HTTP geladen. Es ist eine gut funktionierende Ergänzung.

    Das Add-on HTTPZ ändert nur den initialen Aufruf einer Webseite auf HTTPS aber nicht alle eingebetteten Inhalte. Deshalb ist es empfehlenswert, folgende Variable unter "about:config" zu setzen, damit auch alle Medien via HTTPS geladen werden: security.mixed_content.upgrade_display_content = true
  • Firefox Add-on FirstParty.Isolate entfernt (07. Dezember 2019)
    Die Empfehlung für das Add-on FirstParty.Isolate da es keine Möglichkeit bietet, die Variablen privacy.firstparty.isolate.block_post_message und privacy.firstparty.isolate.restrict_opener_access zu setzen. Man muss also trotzdem unter "about:config" die Werte anpassen und dann kann man es auch komplett selbst tun. (Wer das Add-on mag, kann es auch behalten.)

    In den user.js Konfigurationen wurde folgender Wert ergänzt: privacy.firstparty.isolate.block_post_message = true
  • Do-Not-Track ist am Lobbyismus gescheitert (27. November 2019)
    Die DNT-Arbeitsgruppe beim W3C wurde 2019 geschlossen. Do-Not-Track ist gescheitert (ausführliche Begründung hier). Da DNT nicht nennenswert gegen Tracking schützt, schafft man mit der Aktivierung von DNT nur ein Differenzierungs­merkmal für das Fingerprinting des Browsers. In Firefox deaktiviert man DNT unter "about:config" mit folgender Option (falls man es aktiviert hatte): privacy.donottrackheader.enabled = false Außerdem wurden folgende Optionen in den user.js Konfigurationen angepasst:
    • Aktuelle Browser warnen beim Zugriff einer Webseite auf die Geolocation API. Dieser Schutz ist ausreichend. Eine Policy, die den Zugriff standardmäßig via Permissions deaktiviert, kann von Webseiten ausgelesen und für das Fingrprinting verwendet werden. Deshalb wurden die Permissions auf den Default Wert gesetzt: permissions.default.geo = 0
    • Beim Start kontaktiert Firefox den Server http://detectportal.firefox.com via IPv4 und IPv6, um die Konnektivität zu testen. Um diesen regelmäßigen Kontakt zu vermeiden wurden folgende Werte gesetzt: network.dns.disableIPv6 = true
      network.connectivity-service.enabled = false
  • Crypto War 3.0: Frontdoor Diskussion (25. November 2019)
    Auf dem Grünen Polizeikongress im Nov. 2019 haben Conztanze Kurz (Sprecherin des CCC) und Konstantin v. Notz (Grüne) den Vorschlag unterstützt, dass Anbieter von Messaging Diensten eine "modifizierte" Version der App bereitstellen könnten, in der die Ende-zu-Ende Verschlüsselung zugunsten der Strafverfolgung kompromittiert wurde. Diese Version könnte in Kooperation mit Google bzw. Apple auf den Smartphones der Zielpersonen verteilt werden. Diese "Frontdoor" genannte Option hätte einige Vorteile gegenüber einer "Backdoor", die die Krypto aller Messaging Apps kompromittiert, oder gegenüber Bundestrojanern, die den Schwarzmarkt für Exploits anheizen werden.
  • Lizenz: Public Domain