| Frequently Asked Questions |
|---|
In diesem FAQ finden Sie wahrscheinlich bereits eine kurze Antwort auf die Frage, die Sie gerade stellen wollten.
Zuletzt geändert: Nov. 2011
1. Handelt es sich hier nur um die „Spitze des Eisbergs”?
Mit Sicherheit: Ja! Mit entsprechenden Tools ausgestattet ist es ein leichtes, destruktive Einsatzmöglichkeiten zu erweitern und - nur als Beispiel - Zigtausende Windows-Rechner als Spam-Bots zu benutzen, ohne dass es die Anwender merken. Sie sollten sich deshalb nicht auf die Standard-Voreinstellungen verlassen. Um die Schutzmöglichkeiten besonders unter Windows anpassen zu können, sollten Sie ständig auf dem Laufenden bleiben.
Und täuschen Sie sich nicht: Viele Sites - etwa Google und soziale Netzwerke wie Facebook - sammeln per default bei weitem mehr Daten als hier demonstriert.
2. Wie kann ich meinen Browser dazu bringen, keine Mails im Hintergrund abzusenden?
(Alle angegebenen Pfade können je nach Version mehr oder weniger variieren.)
(1) Firefox und Mozilla:
Gehen Sie über den Pfad Bearbeiten/Einstellungen/Privatsphäre und Sicherheit/SSL zu SSL-Warnungen:
[x] Senden von Formulardaten von einer unverschlüsselten Seite zur anderen
(2) Opera:
Setzen Sie über den Pfad Datei/Einstellungen/Sicherheit das entprechende Häkchen:
Warnings
[x] Ask before submitting a form insecurely
(3) Safari:
Setzen Sie über den Pfad Edit/Preferences im Reiter Security das Häkchen:
[x] Ask before sending a non-secure form
(4) Chrome:
Folgen Sie den offiziellen Hinweisen.
(5) Internet Explorer®:
Suchen Sie in den Sicherheitseinstellungen etwa folgende Zeilen, und setzen Sie das entsprechende Häkchen:
Unverschlüsselte Formulardaten übermitteln:
[ ] Aktivieren
[ ] Deaktvieren
[x] Eingabeaufforderung
3. Welche Einstellungen sollten beim IE sonst noch verändert werden?
Passen Sie die Sicherheitsoptionen generell Ihren eigenen Bedürfnissen an:
(1) Deaktivieren Sie ActiveX möglichst umfassend. Verlassen Sie sich nicht auf die Einstellungen für verschiedene Zonen.
(2)
Verbieten Sie die Ausführung von Dateien mit der Endung .hta. Bei ihnen handelt es sich um Hyper-Text-Applikationen, für die so gut wie keine Sicherheitsmaßnahmen gelten.
(3) Schalten Sie die Optionen: Einfügeoperationen über ein Skript zulassen und Scripting von Java-Applets aus.
(4) Deaktivieren Sie die Option: Auf Datenquellen über Domänengrenzen hinweg zugreifen.
(5) Deaktivieren Sie die Option: Programme und Dateien in einen IFRAME starten.
(6) Deaktivieren Sie die Option: Subframes zwischen verschiedenen Domänen bewegen.
(7) Deaktivieren Sie die Option: Dauerhaftigkeit der Benutzerdaten.
(8) Löschen Sie die von Microsoft ausgestellten Zertifikate, und versuchen Sie Microsoft aus den Certificate Authorities zu löschen, wenn Sie diese Firma nicht für vertrauenswürdig halten.
Wenn Sie sich über die Sicherheitslücken dieses Browsers und die Reaktionen des Herstellers nur einen kleinen Überblick verschaffen, werden Sie auf Internet Explorer gerne verzichten - es sei denn, Sicherheit ist Ihnen egal. Neben mangelnder Sicherheit gibt es jedoch eine Menge anderer Gründe, Internet Explorer nicht zu verwenden.
4. Ist es tatsächlich kriminell, die bekannten Lücken des IE auszunutzen, um den Anwendern Adware-Toolbars, Viren, Dialer und (Bundes-) Trojaner unterzujubeln?
Beim IE handelt es sich um einen Browser, der über gefährliche Lücken verfügt, die oft seit langem bekannt sind. Der Hersteller dürfte also entweder nicht willens oder nicht in der Lage sein, sämtliche Lücken zu schließen.
Die Ausnutzung der Lücken mag zwar kriminell sein. Aber es ist mindestens ebenso kriminell, einen gefährlichen Browser zu vertreiben, ohne bei der Installation und bei jedem Aufruf einen Hinweis einzublenden, mit dem auf die bekannten Lücken hingewiesen und vor den Risiken gewarnt wird.
ActiveX bildet eine einfache und nachhaltige Angriffsfläche auf Ihren Windows-PC. Der CCC schreibt dazu: „ActiveX-Controls sind kleine Programme, die sich zusammen mit MSIE auf Ihrem PC befinden. Sie wurden ohne Ihr Wissen installiert, und ohne dass Sie etwas dagegen tun können - außer, Sie schalten ActiveX vollständig ab oder wechseln den Browser. Befinden sich die Controls, die man als Viren bezeichnen kann, im System, so läßt sich damit jeder beliebige Programmcode ausführen.”
Viren gehören bei Microsoft also zur Grundaustattung.
6. Soll JavaScript und Java generell deaktiviert werden?
Wenn Sie auf optimale Sicherheit aus sind: Ja! Sie müssen dann aber akzeptieren, dass einige Seiten entweder nicht mehr korrekt, nicht mehr in lesbarer Form oder sogar überhaupt nicht dargestellt werden können. Für Firefox gibt es hierfür eine flexible Lösung, nämlich das individuell einstellbare Noscript..
Java ist hingegen zum Surfen meist sowieso nicht notwendig. Wenn Sie kein Fan von Java-Applets sind, können Sie Java getrost ausschalten und nur jeweils bei wirklichem Bedarf aktivieren.
7. Worin unterscheiden sich JavaScript und Java?
In fast allem: Java ist eine von Sun entwickelte Programmiersprache, die in eigenen, kompilierten Programmen - sog. Applets - vorliegen muß, um im Browser ausgeführt werden zu können. JavaScript ist eine von Netscape eingeführte Scriptsprache, die in Textform meist direkt in den HTML-Code eingebunden wird.
Beide Sprachen unterscheiden sich wesentlich im Hinblick auf ihre Sprachelemente, Syntax und Komplexität und natürlich ihres Sicherheitskonzepts. Im Gegensatz zu Java-Applets, die den ihnen zugewiesenen "Sandkasten" nicht verlassen dürfen, können JavaScripts unter Windows im Grunde auf alles zugreifen.
Da zur Ausführung von Java-Applets und JavaScripts völlig verschiedene Interpreter zuständig sind, lassen sich beide unabhängig voneinander deaktivieren.
8. Was ist JScript und VBScript?
JScript ist die durch Microsoft kopierte und weiter entwickelte Variante von JavaScript. Microsoft ist jedoch weniger daran interessiert, sich an plattformunabhängige Standards zu halten, als vielmehr die Standards selbst festzulegen. JScript wird deshalb nur von IE vollständig unterstützt.
Bei VBScript handelt es sich um eine Teilmenge von Visual Basic, der alten 'Haussprache' von Microsoft. Unter den Browsern kann nur der IE diese Sprache ausführen. Sie dient auch zur Makro-Programmierung für viele andere MS-Produkte, weshalb sich auch die Programmierer von Makro-Viren mit Vorliebe dieser Sprache bedienen.
9. Sollte die Annahme von Cookies generell verweigert werden?
Wenn Sie ein Optimum an Sicherheit anstreben: Ja, wobei Sie allerdings in Kauf nehmen müssen, dass Sie von bestimmten Seiten zurückgewiesen werden oder manche Aktionen nicht mehr funktionieren. Das schadet aber meist nicht, weil gegen Seiten, die zur Annahme von Cookies zwingen, ohnehin grundsätzliches Mißtrauen angebracht ist!
Sowohl Firefox als auch IE gestatten das Auslesen vorhandener Cookies, auch wenn Sie dem Browser definitiv verbieten, Cookies anzunehmen. Um das zu verhindern, müssen die Cookies vorher manuell gelöscht werden.
Einen extrem schlanken Proxy-Server in Perl, der Cookies und Referrer ausfiltert, finden Sie hier. Wenn Sie hingegen dem auslesenden Server lieber manipulierte und daher unbrauchbare Cookie-Daten anbieten wollen, dann eignet sich dafür das Perl-Script Cookie's Revenge.
Super-Cookies oder Flash-Cookies werden von Plugins wie Flash unabhängig vom Browser in einem eigenen Verzeichnis abgespeichert. Sie tauchen deshalb nicht in der Cookie-Liste des Browsers auf und können auch nicht vom Browser gelöscht werden. Die Cookies des Flash-Players können Sie online über den Settings Manager in gewissen Grenzen verwalten und löschen. Mit Better Privacy erhalten Sie bessere Kontrolle über Super-Cookies.
Das Storage-Objekt, das die regulären Cookies ablösen wird, verfügt über alle fragwürdigen Eigenschaften eines Super-Cookies.
Wie der Name andeutet, sind Zombie-Cookies nur äußerst schwierig zu löschen. Der Grund dafür ist, dass sie nicht nur einmal gespeichert werden, sondern in vielen verschiedenen Verzeichnissen auf je unterschiedliche Weise. Selbst wenn man mehrere Ableger des Cookies löscht, lässt sich so der ursprüngliche Cookie wieder herstellen, wenn nur einer seiner Ableger wieder auffindbar ist.
Zombie-Cookies soll es in verschiedenen Ausführungen geben, ohne dass sie von denjenigen, die sie einsetzen, an die große Glocke gehängt werden. Verschiedentlich wird Quantcast als Entwickler angeführt. Evercookie ist eine freie, open-source Version eines Zombie-Cookies, die zeigt, wie das Konzept funktioniert. Evercookie kann getestet und runtergeladen werden.
12. Sollten Plugins generell deaktiviert werden?
Über Plugins geladene Dokumente, besonders Flash und PDF-Dokumente, dienen häufig als Einfallstor für Malware, so dass die Hersteller dieser Plugins den bekannten Lücken meist hinterher hinken. Diese Plugins sollten daher immer auf dem neuesten Stand sein. Wenn Sie Ihre Plugins nicht generell deaktivieren wollen, können Sie versuchen, sie einzeln an- und abzuschalten. Dies ist in allen neueren Browsern möglich - selbst im IE ab Version 7, in Safari ab Version 5 dagegen nicht mehr.
13. Kann beim Aufruf einer HTML-Datei die E-Mail-Adresse ausgelesen werden?
Im Normalfall nicht. Es gibt jedoch einige Tricks, durch die ein Website-Betreiber dennoch zur Mail-Adresse der Besucher gelangt: Einmal besteht die Möglichkeit, dass Sie Ihre Mail-Adresse bereits einem Betreiber verraten haben, der sie dann nach Belieben vermarktet. Zum anderen sind viele Browser so eingestellt, dass sie die eingetragene Mail-Adresse als anonymes ftp-Passwort weitergeben. Man braucht Sie also nur - natürlich im Hintergrund - zu einer ftp-Adresse umzuleiten.
14. Ist es möglich, mit Javascript Dateien auszulesen?
Es ist möglich, obwohl man zur Beruhigung meist das Gegenteil behauptet: Unsicherheit verkauft sich schlecht. Dass Dateien vom Server im Hintergrund nachgeladen werden, ohne die gesamte Seite neu zu laden, ist inzwischen zur Hype geworden. Das Stichwort dafür heisst Ajax. ActiveX in Windows bietet darüber hinaus kompletten Zugriff auf den Client-Rechner.
15. Wie kann ich eine Windows-Workstation gegen Angriffe aus dem Internet schützen?
"Sicher surfen unter Windows ist eine Utopie. Dazu fehlen dem Betriebssystem grundlegende Schutzmechanismen." (c't 21/2001, S. 144) Weil dies immer noch gilt, sollten mindestens diese Tools zu Ihrer Standard-Ausrüstung gehören:
(1) Router + Hardware Firewall
(2) Virenscanner (z.B. Antivir Personal Edition Classic),
(3) lokaler Proxy-Server (etwa Proxomitron),
(4) Anti-Spyware (z.B. Ad-Aware oder Spybot),
(5) Disk-Cleaner (etwa Eraser).
Entscheiden Sie sich lieber für ein System, das von Hause aus sicherer ist, (etwa Linux, BSD oder Mac) wenn Sie nicht bereit sind, einige Arbeit in Konfiguration und regelmäßiges Update dieser Tools zu stecken.
16. Kann ich mit den hier angebotenen Tests meine Firewall testen?
Kaum! Da sowohl JavaScripts als auch Java-Applets auf dem Client ausgeführt werden, hat ein eventuell schädigender Code die Firewall schon längst passiert, wenn er zur Ausführung gelangt. Es bleibt Ihnen daher keine Wahl: Wenn Sie Java und den clientseitigen Scriptsprachen nicht vertrauen, müssen Sie sie im Browser deaktivieren.
Über Firewalls und das auf Windows beliebte Tool ZoneAlarm erhalten Sie hier fundierte Infos.
17. Weshalb liefert die Browserabfrage beim IE eine falsche Version?
IE identifiziert sich schon immer - sozusagen traditionell - mit einer falschen und einer richtigen Version: Die richtige Angabe befindet sich im UserAgent nach dem Wort "compatible" - das eigentlich 'incompatible' heissen müsste. Z. B.:
Mozilla/5.0 (compatible; MSIE 6.0b2; Windows NT)
18. Wie kann ich verhindern, dass mein Browser den Referrer preisgibt?
Beim IE ist das nur mit Hilfe eines lokalen Proxy-Servers zu verhindern. Bei Mozilla besteht die Möglichkeit, folgende Zeile in die Datei user.js einzutragen:
user_pref("network.http.sendRefererHeader", 0);
(0 = don't send any, 1 = send only on clicks, 2 = send on image requests as well). Weitere Möglichkeiten finden Sie hier. Für Firefox gibt es eine Tuning-Seite mit nützlichen Tips und Tricks. Sie dürfen sich aber bisweilen nicht wundern: Manche einfältigen Admins konfigurieren ihre Server so, dass sie eine Fehlermeldung ausliefern, wenn der Browser keinen Referrer übermittelt.
Durch den Mime-Typ (Multipurpose Internet Mail Extension) wird - grob gesprochen - plattformübergreifend präzise vereinbart, um welchen Dateityp es sich handelt, wodurch vom Suffix unabhängig festlegbar ist, welche Anwendung den entsprechenden Dateityp öffnen soll. Wenn Sie sich darüber wundern, dass Ihr neu installierter Browser bestimmte Dateien plötzlich nicht mehr darstellt, fehlt ihm möglicherweise nur der Eintrag des entsprechenden Mime-Typs.
20. Wie kann ich die Daten löschen, die auf meiner Festplatte durch den Aufruf von Internetseiten entstehen?
Die meisten Browser speichern die aufgerufenen HTML-Seiten und Bilddateien in einem oder mehreren Verzeichnis(sen), genannt Cache, um - wenn die Seite erneut aufgerufen wird - zunächst auf diese gespeicherten Dateien zuzugreifen. Nach diesen Cache-Verzeichnissen können Sie suchen und deren Inhalt unbesorgt löschen. Erstens, um wieder mehr Platz auf der Platte zu haben, zweitens, um sie für „Festplattenspione” unzugänglich zu machen.
Damit auch offline niemand abchecken kann, welche Adressen besucht wurden, sollten Sie dann allerdings auch noch die History bzw. den Verlauf vollständig löschen. Zur Kontrolle können Sie bei Firefox in die Adresszeile about:cache?device=disk eingeben. Zeigt Ihnen dann der Browser immer noch vorhandene Dateien an, dann haben Sie vermutlich den Cache-Inhalt nicht komplett gelöscht.
Sie sollten sich aber darüber klar sein, dass durch das bloße Löschen die Dateien selbst natürlich nicht sofort verschwinden, sondern lediglich ein Verzeichniseintrag entfernt wird. Wenn jemand über die Zeit und die erforderlichen Tools verfügt, kann er die gelöschten Dateien meistens wieder restaurieren, sofern die Löschung des Verzeichniseintrags nicht zu lange zurück liegt. Mit etwas aufwändigeren Mitteln können sogar überschriebene Dateien restauriert werden. Eine solche Restaurierung ist allerdings über das Internet nicht möglich. Mit Eraser lassen sich „gelöschte” Dateien endgültig löschen.
21. Wie kann man unter Windows die lokale IP-Adresse feststellen?
Eine Möglichkeit, die meist funktioniert, besteht darin, unter 'Ausführen' das Programm winipcfg bzw. ipconfig aufzurufen.
22. Ist die Anzeige der Festplatten-Dateien nicht unseriöse Panikmache, weil dabei gar nichts weiter passieren kann?
Die durch ein externes JavaScript veranlasste Anzeige der Festplatten-Dateien ist im allgemeinen auch dann nicht harmlos, wenn die Dateien nur auf dem eigenen Rechner angezeigt werden und zwischen der Anzeige und der möglichen übertragung kein direkter Zusammenhang besteht: Es ist etwas grundsätzlich anderes, ob Sie sich Ihr Windows-Verzeichnis durch die lokale Eingabe von file://C:/Windows anzeigen lassen, oder ob diese Anzeige durch ein Script übers Netz veranlasst wird. Sofern nämlich letzteres klappt, kann man davon ausgehen, dass weitere Manipulationen möglich sind. Wenn Sie dann noch einen Browser mit JavaScript-Bug verwenden, können bei aktiviertem JavaScript Dateien von der Festplatte auch unbemerkt übertragen werden!
Das Ganze ist übrigens keineswegs trivial: Da die Browser von Microsoft beinahe untrennbar mit dem Betriebssystem verknüpft sind, und sogar die Registry mit Javascript manipulierbar ist, wird hier ein zusätzliches Sicherheitsrisiko erzeugt. Die vom Mozilla-Projekt entwickelten Browser unterbinden dagegen Netzwerkzugriffe auf lokale Dateien mittels JavaScript generell. Hier können Sie nachlesen, warum.
23. Wie kann ich weitgehende Anonymität erreichen?
Werfen Sie einen Blick auf das Tor-Projekt, installieren Sie die verfügbare Software und versuchen Sie, den Hinweisen zur Erhöhung der Geschwindigkeit nachzukommen.
24. Ist Javascript nicht eher lästig, aber weniger gefährlich?
Es ist richtig, dass Javascripts so lästig sein können, dass bestimmte Seiten (z.B. Ebay) mit aktiviertem Javascript kaum auszuhalten sind. Aber das eine schließt das andere nicht aus. Die meisten Browser-Lücken lassen sich zumindest unter Beteiligung von Javascript ausnützen.
25. Warum gibt's hier kein traceroute, obwohl es zu den wichtigsten Net-Tools gehört?
Mit traceroute läßt sich nur der Weg vom ausgehenden Rechner zum Zielrechner verfolgen. Da in diesem Fall aber der ausgehende Rechner der Server wäre, auf dem das Tool ausgeführt wird, also nicht Ihr Rechner, könnten Sie mit den ermittelten Daten wenig anfangen. Jedes tracing, das nicht vom eigenen Rechner ausgeht, ist daher für den User kaum von Belang. Wenn Sie dieses Spiel trotzdem interessiert, finden Sie bei traceroute.org Hunderte von Adressen.
26. Hilfe, mein Computer, BIOS, Monitor, Word, Drucker, Scanner, Modem, Nachbar, Hamster reagiert nicht wie üblich! Können Sie mir weiter helfen?
Wahrscheinlich nicht, weil ich (1) nicht alles weiß, und (2) mir zu schade bin für den mit Windows üblichen Ärger.