Letzte Überarbeitungen im Privacy-Handbuch (auch als RSS-Feed verfügbar)

Google FCM und Apple APN Push Services (07. Dez. 2023) 

Btw: Im Privacy-Handbuch wurde das Thema Push Services und die Implikationen für die Privatsphäre von Googles FCM und Apples APN schon vor zwei Jahren beschrieben.

Wer jetzt feststellt (aufgeschreckt durch die Berichte in Medien bei Heise.de netzpolitik.org, Spiegel.de, RT DE usw.) dass sein anonymer Messenger Account (bspw. bei Threema oder Session Messenger) doch nicht so anonym ist und wegen der Nutzung der Google Push Services (FCM) sehr wohl einer Telefonnummer, einem Gerät und auch einem Namen zugeordnet werden kann, muss nach der Deaktivierung der FCM Push Services im Messenger (was bei guten Messengern wie Threema oder Session Messenger möglich ist) auch einen neuen Account erstellen. Der alte Account ist "verbrannt" und deanonymisiert.

Bei iPhones ist man aber immer auf den APN Push Service von Apple angwiesen. Es gibt in iOS keine anderen Möglichkeiten und somit keinen Schutz gegen Deanonymisierung durch Push Token.

Firefox: Trackingparameter aus URLs bei Kopieren von Links entfernen (23. Nov. 2023) 

Firefox 120 kann die Trackingparameter aus den URLs nicht nur beim Aufrufen sondern auch beim Kopieren von Links entfernen. Dafür gibt es einen extra Eintrag im Kontextmenü (Rechtsklick).

---

CryptPad: collaboratives Bearbeiten von Dateien (16. Nov. 2023) 

CryptPad ist eine Open Source Software für collaboratives Bearbeiten von Office Dokumenten im Browser (Text, Tabellen, Diagramme…), also eine Alternative zu Google Docs. Im Gegensatz zu Google Docs werden die Dokumente im Browser Ende-zu-Ende verschlüsselt bevor sie auf dem Server gespeichert werden, so dass der Betreiber der Plattform keinen Zugriff hat.

Es gibt mehrere CryptPad Instanzen, die man mit oder ohne Account nutzen kann. Die Instanz der Entwickler ist Cryptpad.fr, deutsche Server gibt es bei adminForge oder Digitalcourage.

Wenn man ein Dokument erstellt und eine erste Version gespeichert hat, kann man mit dem "Teilen" Button einen Freigabelink erstellen, den man im Team verteilen kann. Dabei kann man Rechte zum Bearbeiten des Dokumentes erteilen oder nur zum Betrachten.

Der Link enthält die notwendigen Schlüssel zum Entschlüsseln der Daten und sollte über einen sicheren(!) Kanal verteilt werden. Wer den Link per unverschlüsselter E-Mail an einen GMail Account schickt, sollte sich nicht wundern, wenn die NSA irgendwann den Inhalt kennt.

Eine Registrierung mit E-Mail Adresse ist bei einer CryptPad Instanz nicht unbedingt notwendig, man kann als Gast arbeiten. Dafür sollte man der CryptPad Instanz das dauerhafte Speichern von Cookies im Browser erlauben, damit die Schlüssel beim Schließen des Browser nicht verloren gehen. Die Dokumente von Gästen werden nach 90 Tagen automatisch gelöscht.

Als registrierter Nutzer bleiben die Dokumente unbgrenzt erhalten (bis zur Löschung durch den Nutzer) und man kann detailliertere Rechte für Dokumente vergeben. Außerdem kann man das CryptPad Drive als kleinen Cloudspeicher zum Verteilen von Dateien verwenden. Auf der adminForge Instanz steht registrierten Benutzern bis zu 1 GB Speicher zur Verfügung.

Bei Cryptpad.fr gibt es kostenpflichtige Premiumaccounts mit mehr Speicher und Support.

---

Firefox Profile: Daten von einem Profil in anderes Profil übernehmen (14. Nov. 2023) 

Manchmal möchte man einige Daten oder Einstellungen in ein neues Profil mitnehmen. Man könnte folgende Dateien aus einem alten Firefox Profil in ein anderes Profil übernehmen/kopieren:

• Login Credentials (Benutzernamen, Passwörter und Loginseite) werden in den Dateien "key4.db" und "logins.json" gespeichert (verschlüsselt mit dem Masterpasswort). Man sollte immer beide Dateien gemeinsam kopieren und vorher das gleiche Masterpasswort setzen.
• Lesezeichen, Surfchronik und Download Historie sowie die Favicons zu den Lesezeichen werden in den Dateien "places.sqlite" und "favicons.sqlite" gespeichert. Man sollte immer beide Dateien gemeinsam kopieren.
• Zusätzlich installierte Suchmaschinen werden in der Datei "search.json.mozlz4" gespeichert.
• Download Aktionen (mit welchen Programmen bestimmte Dateitypen geöffnet werden sollen) stehen in der Datei "handlers.json".
• Selbst importierte TLS-Zertifikate und Sicherheitseinstellungen zu allen Zertifikaten stehen in der Datei "cert9.db".
• Webseitenspezifische Berechtigungen wie Zugriff auf Kamera, Mikrofon, Standort, Cookiespeicher usw. werden in der Datei "permissions.sqlite" gespeichert.
• Cookies werden in der Datei "cookies.sqlite" gespeichert.

---

Daten verteilen (11. Nov. 2023) 

Der moderne Mensch ist digital vernetzt. Man verwendet mehrere Geräte, auf denen man die gleichen Daten nutzen möchten (z.B. Adressbücher, Passwortdatenbanken usw.) oder man möchte irgendwelchen Daten oder Bilder mit Bekannten austauschen. Eine oberflächliche Ideensammlung…

---

Android 14: verschlüsselte Telefonie mit Messengern (28. Okt. 2023) 

In Android 14 hat Google etwas dagegen unternommen, dass Apps stark nervende Werbung als Vollbild auf dem Smartphone Bildschirm anzeigen können. Es gibt eine zusätzliche Berechtigung, die eine App anfordern kann und die nur für Anrufe, Alarme o.ä. genutzt werden darf.

Um in Android 14+ verschlüsselte Audio- oder Videoanrufe von Signal App, Threema oder Telegram genauso einfach annehmen zu können wie normale Telefonanrufe, muss man für die Messenger Vollbildbenachrichtigungen auf dem Sperrbildschirm zulassen. In den Android Einstellungen findet man die Berechtigungen dafür unter "Apps → <Messenger> → Benachrichtigungen".

---

Hinweis zum TorBrowser/MullvadBrowser (15. Okt. 2023) 

Im aktuellen Release des TorBrowser/MullvadBrowser wurde die Standardfenstergröße auf 1400 x N*100 Pixel angehoben, da Bildschirme mit 1024x768 Pixel Größe wahrscheinlich kaum noch eingesetzt werden. Wem bisher den MullvadBrowser wegen der kleinen Fenstergröße nicht gefallen hat, könnte ihn jetzt evtl. nochmal ausprobieren.

---

Tracking von Smartphones anhand von IP-Adressen (14. Okt. 2023) 

Die IP-Adresse wird im Post-Cookie-Zeitalter wieder zu einem wichtigen Merkmal. Bei Smartphones ist es aber nicht so einfach, einzelne Geräte zu verfolgen, da man städig zwischen WLAN und mobiler Verbindung wechselt und bei jedem Wechsel eine neue IP-Adresse erhält.

Die Firma Utiq SA/NV kooperiert mit der Deutsche Telekom, Vodafone, Telefónica und Orange, um einzelne Smartphones anhand von IP-Adressen im mobilen Netzwerk (WWAN) zu verfolgen.

Das Verfahren wird auch als "Netzwerk-Cookies" bezeichnet und funktioniert wie folgt:

1. Wenn ein Surfer eine "verseuchte" Webseite besucht, sendet der Webserver die IP-Adresse und die aufgerufene Webseite zu Utiq.

2. Utiq ermittelt den Telekommunikationsprovider und schickt die IP dorthin.

3. Der Telekommunikationsprovider weiß, welchem Smartphone (SIM Karte) diese IP-Adresse aktuell zugeteilt ist und liefert eine pseudonyme ID zurück, die für diese SIM Karte konstant bleibt, auch wenn die IP-Adresse wechselt.

4. Utiq sendet die ID an eine Marketingplattform, die dann die passende Werbung liefert.

5. Der Webserver baut diese individualisierte Werbung in die ausgelieferte Webseite ein.

Im Juni 2023 hat Utiq SA/NV erste Ergebnisse dieser neuen Trackingmethode vorgestellt. Das Tracking anhand der IP-Adresse in Kooperation mit Telcos kann 4x mehr Surfer verfolgen als es mit Third-Party-Cookies möglich ist und ist um 25% besser als Tracking mit First-Party Cookies.

Auf der Webseite Utiq consenthub kann man dieser Form des Tracking widersprechen. Möglicherweise wird es aber zukünftig mehrere Firmen geben, die das anbieten und dann sollte man sich vielleicht daran gewöhnen, immer ein VPN auf dem Smartphone zu nutzen. 

---

Firefox: Referer (14. Okt. 2023) 

Die Einstellung "network.http.referer.XOriginPolicy = 2" war ein bisschen zu streng und führt manchmal zu Problemen beim Login. Deshalb wurde der Wert in allen user.js Konfigurationen auf "1" gesetzt. Detailliertere Begründung ist hier beschrieben.

---

Mullvad DNS-Server entfernt (08. Okt. 2023) 

Die DNS-Server von Mullvad, die eigentlich Werbung und Tracking blockieren sollen, blockieren leider nichts. Deshalb wurden sie entfernt. In einer Woche nochmal versuchen...

---

Google Fact Checking Tools (22. Sep. 2023) 

Im August 2023 hat die Google News Initiative (GNI) eine Änderung des Google Fact Checking Tools bekannt gegeben, welche auch das Ranking von Webseiten beeinflusst.

Einige Richtlinien für die Erkennung von Fake News bei Google Fact Checking:

• Wer den Aussagen der WHO widerspricht (egal welches Thema), verbreitet Fake News.
• Wer die Aussagen des IPCC zum menschengemachten Klimawandel in Frage stellt oder relativiert, verbreitet Fake News.
• Die UNO Datenbank zur Statistik über CO2 Emmisionen ist die einzige wahre Quelle.
• Außerdem gelten für Googles Fact Checking das FBI und die Weltbank als Quellen der reinen Wahrheit, die nicht hinterfragt werden dürfen.

---

Crypto-War: Client-Side Scanning (22. Sep. 2023) 

Diese Idee beruht auf der irrwitzigen Annahme, dass die Ende-zu-Ende Verschlüsselung eines Messengers nicht kompromittiert werden würde, wenn der Messenger Client die Daten vor der Verschlüsselung lokal auf dem Smartphone scannt und bei suspekten Nachrichten im Hintergrund eine Kopie an die Behörden sendete, die sich das dann mal genauer ansehen können.

Die Argumentation ist Bullshit. Wenn alle privaten Nachrichten irgendwo auf dem Transportweg automatisiert gelesen, auf Konformität mit geltendem Gesetzen geprüft und Verstöße automatisiert den Behörden gemeldet werden, dann ist es anlasslose Massenüberwachung und Ende-zu-Ende Verschlüsselung soll gegen diese Massenüberwachung schützen.

(Dabei ist es egal ob unverschlüsselte Nachrichten an den Internetknoten gescannt werden, ob die die Nachrichten beim Provider entschlüsselt und gescannt werden oder lokal auf dem Smartphoen vor dem Verschlüsseln.)

Anlasslose Massenüberwachung ist nicht mit unseren Werten vereinbar (sagte der EuGH).

Im September 2023 hat das britische Parlament das "Online Safity Bill" verabschiedet, welches von allen Messenger mit Ende-zu Ende ein Client-Side Scanning nach kinderpronografischen Bildern fordert. Die diesbezüglcihen Bestimmungen des Gesetzen sollen aber (noch) nicht durchgesetzt werden, bis jemand eine Idee für die magische Quadratur des Kreises findet, einserseits alle Nachrichten zu scannen und gleichzeitig eine Privasphäre zu gewähreilsten.

In der EU wird gleichfalls darüber diskutiert, Messenger mit starker Ende-zu-Ende Verschlüsselung zum lokalen Scannen nach KiPo in allen Nachrichten vor dem Verschlüsseln zu zwingen. Die Zivilgesellschaft protestiert, aber die Diskussion in der EU ist noch nicht entschieden.

---

Signal App führt Post-Quantum-Krypto ein (22. Sep. 2023) 

Signal App beweist seine führende Rolle bei der Verschlüsselung von Chats und führt als erster Messenger ein Kryptoprotokoll ein, das robust gegen Quantencomputer ist (Blogartikel).

---

Whonix mit Qemu/KVM start VirtualBox (Linux) (05. Sep. 2023) 

Linuxer können statt VirtualBox auch die Linux-native Virtualisierungsumgebung Qemu/KVM verwenden. Die Installation ist etwas umständlicher als bei VirtualBox und die Whonix Gateway VM hat kein Desktop GUI sondern bietet nur ein echtes Fulltext-Advanture auf der Kommandozeile. Dafür ist man von Drittsoftware wie VirtualBox unabhängig und nutzt die native Linux Virtualisierung - für einige Nutzer wiegt dieses Argument stärker als die Usability der VirtualBox Lösung.

Eine kurze Minimal-Anleitung zur Installation der Qemu/KVM Variante von Whonix ... hier.

---

Thunderbird 115: Allow-HTML-Temp wieder verfügbar (04. Sep. 2023) 

Das Add-on Allow-HTML-Temp blendet in der Funktionsleiste über jeder E-Mail einen Button ein, mit dem man temporär die HTML-Ansicht aktivieren kann. Die Ansicht wird automatisch wieder auf die Standardansicht zurückgeschaltet, wenn man zur nächsten E-Mail wechselt.

Man kann auch eine Tastenkombination für die Aktivierung der HTML-Ansicht definieren.

Nach der Installation kann man die Konfiguration des Add-on anpassen und wählen, zwischen welchen Ansichten man hin-und-her schalten möchte und ob in der temporären HTML Ansicht auch ext. Bilder angezeigt werden sollen oder Anhänge eingebunden dargestellt werden sollen (auf keinen Fall). Meistens reicht die restriktive Konfiguration zum Lesen von E-Mails:

Anhänge sollte man grundsätzlich nicht eingebunden darstellen, da das die Infektion mit Viren deutlich vereinfacht. Wenn externe Inhalte in der org. HTML Ansicht erlaubt werden, ergeben sich für die Absenden einige Trackingmöglichkeiten, wie der E-Mail Privacy Test zeigt:

---

Kosmetisches Update der Firefox user.js Konf. (03. Sep. 2023) 

• media.video_stats.enabled wurde auf den Defaultwert zurückgesetzt, weil es nicht relevant für das Fingerprinting ist.

• dom.push.enabled wurde von "streng" nach "medium streng" verschoben.

• dom.push.connection.enabled und dom.push.serverURL wurden entfernt, weil überflüssig.

---

Neue Desktop Hintergrundbilder (01. Sep. 2023) 

Im Urlaub in Norwegen habe ich entspannt die schönen Momente im Leben genossen und die beeindruckende Lanschaft. Ein paar neue Hintergrundbilder für den Desktop sind das Ergebnis.

---

Windows datenschutzfreundlicher konfigurieren (14. Aug. 2023) 

Die Standardinstallation von Windows kann man mit einigen Einstellungen datenschutzfreundlicher konfigurieren und sicherer. Man kann die Telemetrie einschränken, überflüssige Cloud Features und Software wie One Drive deinstallieren (wenn man es nicht verwendet)... usw. ... usw.

Wenn man kein Diplom als Microsoft Certified Engineer (MCE) hat und nicht weiß, an welchen Schrauben man drehen könnte, dann könnte die Webseite Privacy.sexy hilfreich sein.

---

20 Jahre Privacy-Handbuch (13. Aug. 2023) 

Es begann vor 20 Jahren (das exakte Datum kann ich nicht mehr rekonstruieren) mit einer Anleitung zur E-Mail Verschlüsselung. Ich kann mich noch daran erinnern, dass die damals vorhandenen Tutorials kompliziert waren, zu kompliziert für Durchschnittsnutzer. Ich wollte eine einfache, verständliche Anleitung schreiben aber musste am Ende feststellen, dass ich mehr oder weniger das gleiche geschreibselt hatte, wie alle anderen auch.

Einmal angefangen ging es irgendwie weiter - als Hobby, wie ein Dauerlauf ohne Ziel. Es gab eine wachsende Zahl von Leser, die das Geschreibsel brauchbar oder hilfreich fanden - es gab Zuschriften mit Anregungen (die nicht alle umgesetzt werden konnten) und Korrekturen (die hoffentlich fast immer kurzfristig eingepflegt wurden).

Das Projekt ist inzwischen auf fast 500 Seiten gewachsen - vor allem auch Dank vieler motivierender Nachrichten und hilfreicher, konstruktiver Kommentare von Lesern. Danke dafür, ohne euch wäre das Projekt nicht da, wo es heute ist.

---

Thunderbird Filelink Add-ons für große Dateien (11. Aug. 2023)

Mit Filelink Add-ons kann man den Upload in Thunderbird integrieren und große Anhänge direkt beim Schreiben einer E-Mail hochladen, wenn man häufig große Dateien versendet.

1. Als erstes muss man dafür ein passendes Filelink Add-on installieren.

   Empfehlenswert ist Send mit einem vertrauenswürdigen Provider wie adminForge. Die Uploads werden bei diesem Filelink Add-on Ende-zu-Ende verschlüsselt gespeichert.

2. In den Einstellungen in der Sektion "Verfassen" (ganz unten) ist der Filelink Provider zu aktivieren und zu konfigurieren. Für Send ist die URL des Provider anzugeben sowie die Defaultwerte für Anzahl der Downloads und max. Dauer der Speicherung.

3. Wenn man beim Schreiben einer E-Mail eine große Datei anhängt, wird ein Hinweis eingeblendet. Man kann auf den Button "Filelink verwenden" klicken und nach Anpassung der Einstellungen für Passwort, max. Downloads und Speicherdauer die Datei hochladen.

4. Nach dem Upload wird der Download Link automatisch in die E-Mail eingefügt.

---

Thunderbird Add-on Allow-HTML-Temp (10. Aug. 2023)

Das Add-on Allow-HTML-Temp wird es wahrscheinlich nicht für Thunderbird 115 geben, schreibt der Autor, weil die Thunderbirdentwickler die API geändert haben.

Das Add-on Toggle-HTML als Alternative wird im Privacy-Handbuch nicht empfohlen. Dieses Add-on schaltet mit Mausklick oder Tastenkombination nacheinander durch die Darstellungen "Plain Text", "Simple HTML", "Full HTML" und "HTML mit eingebundenen Anhängen". Die letzte Option möchte ich auf keinen Fall wegen dem möglichen Risiko der Infektion mit Viren durch bösartige Anhänge, lässt sich bei Toggle-HTML aber nicht vermeiden. Außerdem wird die Darstellung beim Öffnen einer anderen Mail nicht auf den Standard zurück gesetzt.

Toggle-HTML ist kein Ersatz für Allow-HTML-Temp.

Korrektur: Ein Leser des Changelogs hier hat mich darauf hingewiesen (danke!), dass es vielleicht doch noch Hoffnung für das Allow-HTML-Temp Add-on gibt. Eine erste Beta Version für TB 115, die zwischen "Plain Text" und "Full HTML" umschalten kann, könnte man in diesem Thread herunterladen und ausprobieren. Zukünftig wird es wahrscheinlich irgendwann eine Version 9.0 im AMO geben.

---

Thunderbird 115 Accound Wizard (02. Aug. 2023)

Thunderbird 115.x erkennt beim Einrichten eines E-Mail Account auch CardDAV und CalDAV Ressourcen, die der E-Mail Provider bereitstellt. Man kann auswählen, welche Daten man aus der Klaut des E-Mail Providers in Thunderbird einbinden möchte.

---

Firefox 10.x (old ESR) user.js Konfigurationen (02. Aug. 2023)

Da es noch mehr Nutzer von Firefox 102.x (old ESR) gibt, als ich dachte, sind die user.js Konfigurationen für diese Firefox Version (vorläufig) wieder online.

---

Thunderbird user.js Konfigurationen angepasst (02. Aug. 2023)

Die Thunderbird user.js Konfigurationen wurden für TB 115 angepasst und von überflüssigen Altlasten gesäubert.

---

Thunderbird Update (14. Juli 2023)

Die neue Thunderbird Version 115 soll sehr schick sein und schneller und... ganz toll. Für produktives Arbeiten würde ich aber derzeit empfehlen, auf das Maintenace Release 102.13 zu aktualisieren, da noch nicht alle Add-on angepasst wurden bzw. die aktualiserten Add-ons noch nicht im AMO freigegeben wurden (beispw. das Add-on AllowHTML) und es demnächst bestimmt noch ein paar Sicherheitsupdates für die neuen Feautures gibt.

Die Version 102.13 findet man im FTP Archiv von Mozilla.

---

Firefox user.js Konfiguration für Hotspot Login Profil (09. Juli 2023)

Es gibt wieder einen Vorschlag für eine Firefox user.js für ein WiFi Hotspot Login Profil.

Die Hotspot Einstellungen sind für ein spezielles Firefox Profil gedacht, welches man nur für WiFi-Logins in Hotels oder im ICE verwendet, wenn man das Standardprofil als moderat oder strenger konfiguriert hat und der Captive-Portal-Service damit blockiert wird.

---

CSS Fingerprinting (06. Juli 2023)

CSS Fingerprinting verwendet trickreiche CSS Hacks statt Javascript, um Informationen über den Computer zu sammeln und daraus einen möglichst eindeutigen Fingerprint zu berechnen, der eine Wiedererkennung des Browsers ermöglichen soll. Man kann die installierten Schriftarten ermitteln, mit Mediaqueries die Bildschirmgröße schätzen (was ein alter Hut ist) u.v.a.m.

• In dem Paper Web Browser Fingerprinting Using Only Cascading Style Sheets (2015) wurde ein Konzept vorgeschlagen, um Surfer anhand des CSS Fingerprint ds Browsers zu verfolgen. Allerdings wurde nicht die gleiche Qualität wie beim Javascript Fingerprinting erreicht.

• No-JS Fingerprint demonstriert, dass man einen Fingerprint mit CSS statt Javascript berechnen kann. Allerdings wird nicht demonstriert, dass dieser Fingerprint individuell genug ist, um einzelne Surfer zu verfolgen. (Die JS-Fingerprint Demo der gleichen Firma ist da anschaulicher.)

  Ein TorBrowser unter Debian und ein Mullvad Browser unter Fedora hatten bei einem Test den gleichen CSS Fingerprint, so dass dieser Test in erster Linie eine Technologiedemo ist.

  

• In dem Paper Implicit Stylistic Fingerprints for Bypassing Browsers' Anti-Fingerprinting Defenses (Mai 2023) wird von Forschern von IBM Research ein verbessertes CSS Fingerprinting vorgestellt, dass standardmäßig eine vergleichbare Qualität wie Javascript Fingerprinting erreicht soll und deutlich besser als Javascript Fingerprinting abschneidet, wenn die Surfer Schutzmaßnahmen wie resistFingerprinting aktivieren oder Add-ons wie CanvasBlocker verwenden.

Schutz gegen CSS Fingerprinting

Eine Verteidigung durch Faken der via CSS Tricks gesammelten Daten, wie es beim Schutz gegen Javascript Fingerprinting gemacht wird, ist derzeit nicht möglich.

Folgende Verteidigungsmöglichkeiten stehen derzeit zur Vefügung:

• Die Filterlisten von uBlock Origin blockieren viele (die meisten?) Trackingsdienste mit nennenswerter Reichweite, unabhägig davon, welche Trackingmethoden eingesetzt werden.

• In dem Blockeintrag zum dem Paper von 2023 weisen die Autoren darauf hin, dass man CSS Fingerprinting durch das Blockieren von iFrames aushebeln kann, weil der Trackingdienst einen kleinen (unsichtbaren?) Bereich braucht, in welchem er seine CSS Tricks entfalten kann.

  • Das Add-on uBlock Origin kann iFrames von Drittseiten blockieren.

  • Wer noch konsequenter auch 1-Party iFrames blockieren möchte, könnte NoScript nutzen und Frames auch für "Trusted Sites" blockieren.

    

    Das führt dann allerdings auch dazu, dass man keine eingebetteten Medien mehr sieht, die man evtl. abspielen möchte. Um eingebette Medien auf einer Webseite abspielen zu können, muss man für die jeweilige Webseite individuelle Einstellungen definieren.

---

Firefox user.js Update (05. Juli 2023)

Mozilla hat in Firefox 115 eine neue Idee und möchte auf einigen Webseiten, die irgendwie irgendwo spezifiziert werden, Add-ons deaktivieren. Finde ich nicht gut. Die im PrHdb empfohlenen Add-ons können vom Nutzer bei Bedarf auf einzenen Webseiten deaktiviert werden oder in der Konfiguration angepasst werden (wenn es Probleme gibt).

Die Einmischung von Mozilla in die Add-on Funktionalität verbietet man mit folgender Einstellung:

extensions.quarantinedDomains.enabled = false

Diese Einstellung wurde in allen user.js Konfigurationen aktiviert.

Außerdem ist Firefox 115 jetzt die neue ESR Version (auch bei unseren user.js Konfigurationen).

---

Staatliche TLS Root Zertifikate der EU (30. Juni 2023)

Mit der eIDAS-Verordnung hat die EU den Rahmen "standardisierten Vertrauensdiensten" geschaffen. Dazu zählen neben elektronische Signatur (QES) auch qualifizierte Website-Zertifikate (QWACs). Ursprünglich war der Plan, dass die Browserhersteller gezwungen werden, diese europäischen Certification Authorithies (CAs) ungeprüft zu übernehmen, da die Regulatorien der EU automatisch dafür sorgen würden, dass eIDAS Vertrauensdienste vertrauenswürdig sind.

Befürchtungen, dass diese Root-Zertifikate für die Überwachung genutzt werden könnten und die Sicherheit von TLS gefährden, sind völlig unbegründet, schreibt die Bundesdruckerei. Sicherheitsexperten sehen das nicht so.

Im eIDAS Dashbord der EU findet man die Listen der "qualifizierten Vertrauensdiensten" aller EU-Länder und in der deutschen Liste finde man die Utimaco GmbH als vertrauenswürder Vertrauensdienst. Die Utimaco GmbH ist Hersteller von Überwachungstechnik und bietet auch Technik für TLS Interception. Wäre doch praktisch, wenn...

---

Digitaler Euro (28. Juni 2023)

Der digitale Euro soll (möglicherweise) ab 2028 in der EU eingeführt werden, um der Dominanz der US-Bezahldienste im Internet etwas entgegenzusetzen.

Nach einem Entwurf der EU (Stand: Frühjahr 2023) soll er folgende Eigenschaften haben:

• Wer digitale Euros nutzen möchte, braucht einen Account bei einem Zahlungsdienstleister. Die Identität des Antragstellers ist dabei zu verifizieren.

• Digitale Euros sollen in einer Art Wallet App auf dem Smartphone gespeichert werden. Diese App soll nicht nur Zahlung versenden sondern wohl auch empfangen können (privat zu privat).

• Es wird eine Höchstgrenze für digitale Euros geben, über die eine Person verfügen darf. Es wird gegenwärtig ein Limit von 3.000 Euro diskutiert.

• Der digitale Euro soll irgendwie die Privatspäre schützen (das versprechen sie alle) aber nicht wirklich anonym sein (das soll nur für Kleinstbeträge von privat zu privat möglich sein).

• Außerhalb der Eurozone wird es nicht möglich sein, den digitalen Euro zu nutzen.

Das ganze sieht ein bisschen wie eine Debit- oder Geldkarte aus mit der zus. Möglichkeit, digitale Kleinstbeträge von privat zu privat zu senden. Es gibt noch keine konkrete Umsetzung.

---

Firefox: DNS-over-HTTPS Konfiguration aktualisiert (12. Juni 2023)

In Firefox 114 hat sich die grafische Konfiguration des DNS-over-HTTPS Servers geändert. Die Anleitung wurde geringfügig aktualisiert. An der Funktionalität hat sich nichts geändert.

---

Trojaner auf iPhones finden (04. Juni 2023)

Es gibt mehrere Open Source Tools, die eine Trojanerinfektion in iPhone Backups erkennen können. Mit dem MVT Toolkit kann man Pegasus und Predator Trojaner erkennen und Kaspersky hat das triangle_check-utility veröffentlicht, das den CIA(?) Trojaner erkennt, der seit 2019 großflächig in Russland, Israel und China eingesetzt wird ("Operation Triangulation").

Eine kleine Minimal-Anleitung, wie man diese Tools verwenden könnte...

---

Firefox resistFingerprinting (03. Juni 2023)

Ich habe meine Meinung zu resistFingerprinting im Firefox angepasst.

---

Tor Good Exit Nodes aktualisiert (25. Mai 2023)

Die Liste der (meiner Meinung nach) Tor Good Exit Nodes wurde nach einem halben Jahr wieder mal aktualisiert. Mit Whonix funktioniert es ganz gut.

---

Google-freie Android Alternativen: Shiftphone mit ShiftOS-Light (05. Mai 2023)

ShiftPhones kann man nicht im Großmarkt kaufen sondern nur auf der Webseite des deutschen Herstellers. Die Smartphones sind modular aufgebaut und einfach reparierbar.

Mit ShiftOS-Light gibt es eine Google-freie Android Version für diese Smartphones direkt vom Hersteller. Bei dieser Version ist der F-Droid Store installiert und man kann keine Apps verwenden, die unbedingt darauf bestehen, die Google Cloud Services (FCM) für Push Benachrichtigungen zu nutzen. Das betrifft beispw. einige Apps für das Online Banking oder Netflix.

---

Hardware für Linux: NovaCustom (21. April 2023)

Man hat eigentlich kaum Probleme, moderne Linux Distributionen auf Standardhardware aus dem Großmarkt zu installieren. Trotzdem ein paar Hinweise auf besondere Perlen:

• Die niederländische Firma NovaCustom bietet Linux-taugliche Laptops mit Coreboot BIOS. Die Intel Management Engine kann abgeschaltet werden und verschiedene Linux Distributionen können beim Einkauf vorinstalliert geordert werden. Die NV41 Laptops sind QubesOS-zertifiziert.
• Die Nitrokey GmbH bietet die NovaCustom Laptops zusätzlich mit der BIOS Erweiterung HEADS an, die das Betriebssystem vor dem Starten mit einem Nitrokey Pro oder Nitrokey Storage verifiziert (BIOS Tamper Schutz).

---

Verschlüsselt Telefonieren mit WhatsApp(?) (21. April 2023)

Seit einigen Jahren gibt es Forschungsergebnisse zur Erkennung von einzelnen Wörtern in verschlüsselter Telefonie mit variabler Bitrate, ohne die Verschlüsselung zu knacken.

Bei WhatsApp ist die Technik scheinbar im Einsatz. Als bei einem (angeblich sicher verschlüsseltem) WhatsApp Telefonat im März 2023 mit einer Bekannten, die in Brüssel bei der EU im Engergiesektor arbeitet, im Nebensatz das Wort "Gazprom" fiel, wurde die Verbindung kurz unterbrochen.

" Hallo, hallo - bist Du nach da???" Als die Verbindung nach eingen Sekunden wieder aufgebaut war ein Lachen am anderen Ende der Leitung: "Das passiert immer, wenn ich Gazprom sage." Nachdem die belanglose Konversation 5min weiterging wieder eine kurze Unterbrechung.

WhatsApp verwendet die SRTP Verschlüsselung allerdings ohne ZRTP zum Schlüsseltausch und ohne SAS zur Verifikation, so dass man die Verschlüsselung nicht einfach verifizieren kann.

In den Einstellungen könnte man unter "Account → Sicherheit" die Sicherheitsbenachrichtigungen aktivieren, so dass im Beispiel (vermutlich) eine Warnung hätte angezeigt werden müssen, wenn es für Lawful Interception keine Sonderbehandlung gibt, die diese Warnung unterdrückt(?) Die Option ist standardmäßig deaktiviert. Aber wer sicher kommunizieren will, würde sich wahrscheinlich nicht auf WhatsApp verlassen, dessen Mutterkonzen ein PRISM Partner der NSA ist.

---

Einleitung…
Surfen… PW/2FA… E-Mails… Chatten…
Tor… I2P… VPN… DNS…
Daten schützen PC/Laptop OS Smartphones

---