Sicher im Web unterwegs: Security-Add-ons für Firefox

Mit den Standard-Sicherheitsmechanismen in modernen Browsern kann man sich vor vielen Gefahren schützen. Hier wurden in den letzten Jahren große Fortschritte erzielt. Manche Features muss man aber mit einer gewissen Vorsicht betrachten, etwa das Do-not-track-Feature in Firefox ab Version 4.0. Es bittet die besuchte Website lediglich darum, den Benutzer nicht auszuspionieren.

Mit zusätzlichen Add-ons lässt sich der Schutz jedoch wesentlich verbessern. Doch nicht jedes dieser Plug-ins kann halten, was es verspricht. ZDNet hat einige Tools herausgesucht, die gegen viele Gefahren helfen. Hunderprozentige Sicherheit gibt es allerdings nicht. Man kann aber die Gefahren beim täglichen Surfen jedoch erheblich einschränken.

HTTPS everywhere

HTTPS everywhere ist ein Plug-in, dass zahlreiche Websites in einer Datenbank verzeichnet hat, die ihre Dienste sowohl unverschlüsselt über HTTP als auch verschlüsselt über HTTPS anbieten. Dazu zählen Twitter und Facebook. Falls das Tool feststellt, dass der Browser auf eine solche Website unverschlüsselt zugreift, etwa durch Anklicken eines Links, wandelt es die URL automatisch um.

HTTPS everywhere wird von der EFF und dem Tor-Projekt gemeinschaftlich herausgegeben. Beide Organisationen pflegen auch die Datenbank, die auf dem Rechner des Anwenders automatisch aktualisiert wird. Für alle, die viel in sozialen Netzen unterwegs sind, ist dieses Add-on Pflicht. Es hat nachweislich viele Passwort-Diebstähle auf Facebook gegeben, die daher rühren, dass die Benutzer unverschlüsselt mit dem sozialen Netzwerk kommunizieren.

Das Programm verwendet einen konservativen Ansatz, so dass die Verschlüsselung nur erzwungen wird, wenn sichergestellt ist, dass es nicht zu Problemen kommen kann. Im Bild oben wird bei Facebook+ auf erzwungende Verschlüsselung verzichtet, da es mit einigen Apps Schwierigkeiten geben kann.

Secure or Not

Secure or Not ist ein Plug-in, dass auf Wunsch anzeigt, ob ein Link zu einer mit HTTPS verschlüsselten Seite führt oder nicht. Dazu reicht ein Rechtsklick auf einer beliebigen Website. Wer anschließend „Secure or Not“ auswählt, sieht alle Links, auch versteckte, von einer gestrichelten Linie umrandet.

Ist die Linie grün, handelt es sich um einen HTTPS-Link. Ist sie hingegen rot, läuft die Kommunikation bei einem Klick auf den Link unverschlüsselt ab. Das Bild zeigt, dass man sich bei Google verschlüsselt einloggen kann. Wer sich jedoch neu registrieren möchte, landet auf einer unverschlüsselten Seite. Das ist insofern ärgerlich, da man bei einer Registrierung sein Passwort festlegt, welches dann zumindest einmal im Klartext über das Web gesendet wird.

Better Privacy

Better Privacy bietet Zugang zu einer neuen Art Cookies, die man mit der Standard-Cookie-Verwaltung in Firefox nicht löschen kann. Dabei handelt es sich um sogenannte Local Shared Objects (LSO). Sie werden von Werbenetzwerken über Adobe Flash unbemerkt auf den Rechner des Benutzer geschmuggelt.

Wer das Add-on installiert, wird überrascht sein, wie viele LSOs sich bereits auf dem eignen Rechner befinden. LSOs haben in den letzten Jahren nahezu unbemerkt im Internet Einzug gehalten. Kein einziger Browser hat eine Funktion zum Deaktivieren oder Löschen dieser Cookies.

Better Privacy löscht in der Standardeinstellung alle LSOs bei jedem Browserstart, was in der Regel nicht zu Problemen führt. Beim legitimen Einsatz von Cookies bevorzugen Websitebetreiber nach wie vor die Standard-Cookie-Funktionalität des Browsers. Ferner besteht die Möglichkeit, sich jedes LSO-Cookie einzeln anzusehen und zu löschen.

Das Plug-in schützt vor einer realen Privacy-Gefahr, die interessanterweise heute kaum Beachtung findet. Dabei sind LSOs noch wesentlich gefährlicher als Standard-Cookies. Sie können bis zu 100 KByte Daten speichern, während Standard-Cookies eine Obergrenze von 4 KByte besitzen.

Web of Trust (WOT)

Das kostenlose Plug-in Web of Trust (WOT) dient der Sicherheit vor Abofallen und anderen Abzocker-Sites. Auf Basis von Nutzerbewertungen der bei mywot.com mehreren Millionen registrierten Anwendern, die bereits über 29 Millionen Websites bewertet haben, warnt das Tool vor dem Besuch einer als unseriös eingestuften Website. Inzwischen wird das Tool sogar von einer Schule eingesetzt.

In der Symbolleiste richtet WOT ein kreisförmiges Icon ein, das je nach besuchter Website deren Vertrauenswürdigkeit in unterschiedlichen Farben anzeigt: Grün steht für vertrauensvoll und gelb mahnt zur Vorsicht. Sobald eine als gefährlich eingestufte Webseite besucht wird, färbt sich das Logo Rot und WOT zeigt statt der Webseite eine Warnung an.

Zudem warnt das Tool nicht nur beim direkten Ansurfen einer als potenziell gefährlich eingestuften Site, sondern markiert auch in der Ergebnisliste einer Suchanfrage die Websites nach der Ampelfarblehre.

WOT schützt ebenfalls Mail-Accounts bei Google Mail, Hotmail und Yahoo vor Phishing, Spam und anderen E-Mail-Betrügereien. Die Nutzung des nützlichen Tools ist kostenlos, erfordert aber einen Account bei mywot.com.

Es sperrt eine als gefährlich eingestufte Site nicht, sondern warnt lediglich vor ihr. Der Anwender kann entscheiden, ob er die Website besuchen möchte oder nicht.

NoScript

Eine der Hauptgefahren für Browser besteht im Ausführen von schädlichem JavaScript-Code. Da JavaScript von nahezu jeder Website genutzt wird, ist eine totale Abschaltung der Technik nicht sinnvoll. NoScript schränkt die Nutzung von JavaScript-Code auf vom Anwender zuvor festgelegten Websites ein. Somit können nur als vertrauensvoll eingestufte Websites JavaScript-Code ausführen.

Noscript erlaubt im Mozilla Firefox die Ausführung von JavaScript, Java, Silverlight, Flash und anderen Plugins nur auf vertrauenswürdigen Domains, die der Nutzer vorher festgelegt hat. Der auf einer Positivliste basierende präventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von (bekannten und unbekannten!) Sicherheitslücken ohne Verlust an Funktionalität.

Die kleine aber feine Erweiterung NoScript erscheint als Symbol in der Browserleiste. Sie ist dadurch einfach zu ereichen und zu bedienen. Standardmäßig ist das Add-On so eingestellt, dass auf Webseiten jegliche JavaScripts unterbunden werden. Erst mit der Zustimmung des Nutzers werden die Scripts zugelassen. So können entsprechende Sicherheitslücken erst gar nicht ausgenutzt werden.

Downloads zu diesem Artikel

• Firefox
• HTTPS everywhere
• Secure or Not
• Better Privacy
• Web of Trust
• NoScript