Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
30<br />
SOFTWARE<br />
SCHUTZ DER PERSÖNLICHKEIT<br />
Psiphon für die Redefreiheit<br />
Die freie Software Psiphon (www.psi<br />
phon3.com) dient weniger der Anonymisierung<br />
als vielmehr der Sicherung der<br />
Rede- und Meinungsfreiheit sowie der<br />
Umgehung von Zensur. Eine Zensurbehörde<br />
kann einzelne Server (z.B. die IP-<br />
Adressen von Wikipedia) sperren oder<br />
ganze Netzwerke wie Tor blockieren. Psiphon<br />
stellt nun ein Netz kleiner, vertrauenswürdiger<br />
Rechner privater (Linux-)<br />
Domänen freischalten, aber den Code von<br />
Drittanbietern deaktiviert lassen. So schließt<br />
er neugierige Werbeseiten aus, die gerne<br />
Browser-Fingerabdrücken ziehen. Das Java-<br />
Problem haben wir oben bereits erwähnt, Java<br />
liefert die echte IP-Adresse des Rechners:<br />
InetAddress.getLocalHost()<br />
im Paket Java.net.*. Nicht anders mit Silverlight<br />
in System.net:<br />
System.Net.Dns.GetHostAddresses<br />
Fazit: Plug-ins haben allgemein weitergehende<br />
Rechte und können Beschränkungen des<br />
Browsers überschreiten. Beim anonymen Surfen<br />
sollten Plug-ins und Add-ons deaktivert<br />
sein. Der erwähnte Tor-Button blockiert eine<br />
Reihe von Angriffen auf Anwendungsebene,<br />
sicherer ist jedoch das Deaktivieren.<br />
Anwender in westlichen Ländern zur Verfügung.<br />
Diese Rechner, die den Zensoren<br />
noch nicht aufgefallen sind, dienen als<br />
Web-Proxys für Anwender in überwachten<br />
Ländern. Der Server ist ein Phython-<br />
Skript, das als Webserver auf Debian<br />
läuft, den Client hingegen gibt es für<br />
<strong>Windows</strong> und bald auch für Android-Telefone.<br />
Die Clients enthalten eine Liste an<br />
Servern als erste Sprungadressen (ähnlich<br />
wie bei eDonkey). Hat ein Client eine<br />
Verbindung aufgenommen, erhält er die<br />
Login-Daten des Servers, und der Anwender<br />
kann ohne Zensur mit dem Server als<br />
Proxy alle gewünschten Seiten ohne Einschränkungen<br />
sehen.<br />
Das Tool Psiphon umgeht auf geschickte<br />
Weise Zensurversuche in Staaten, die die<br />
Meinungsfreiheit unterdrücken.<br />
Eine Vielzahl so<br />
genannter sozialer<br />
Plug-ins (hier Twitter,<br />
Facebook und Google)<br />
untergraben die Anonymität<br />
der Besucher.<br />
Der ewige Keks<br />
Cookies sind das wichtigste Instrument der<br />
Seitenbetreiber, um einzelne Anwender zu<br />
identifizieren. Kekse zu deaktivieren hat aber<br />
oft Nachteile, denn wichtige Funktionen im<br />
Web, wie Login oder Warenkorb, sind damit<br />
verknüpft. Es gilt, ein gezieltes Cookie-Management<br />
zu betreiben. Ein Teil der Einstellungen<br />
lassen sich mit den Browsern selbst<br />
bewältigen. So kann der Anwender die Speicherzeit<br />
begrenzen, nur Session-Cookies<br />
zulassen oder die von Drittanbietern (meist<br />
Werbeseiten) ablehnen. Sinnvoll ist es beispielsweise,<br />
Cookies nach jeder Sitzung<br />
löschen zu lassen. Die relevanten Schalter<br />
finden Firefox-Anwender unter Einstellungen/<br />
Datenschutz/Chronik/Firefox wird eine Chronik<br />
nach benutzerdefinierten Einstellungen anlegen.<br />
Beim IE unter Extras/Internetoptionen/<br />
Datenschutz/Einstellungen/Erweitert. Und<br />
Cookies nach jeder Sitzung löschen Extras/<br />
Internetoptionen/Allgemein/Browserverlauf/<br />
Einstellungen. Bei Chrome unter Einstellungen/Details/Datenschutz/Inhaltseinstellungen.<br />
Auch das Deaktivieren von JavaScript<br />
verhindert das Setzen von Cookies.<br />
Obwohl es inzwischen eine Reihe weiterer, sogar<br />
noch ungenießbarerer Kekse gibt, die Super-,<br />
Hyper- oder Ever-Cookies, sind die klassischen<br />
HTTP-Cookies am weitesten verbreitet.<br />
Doch gerade Seiten, die restriktive Cookie-Vorgaben<br />
des Besuchers umgehen wollen, greifen<br />
zu Cookies mit Flash oder DOM. Für alle Plug-ins<br />
gilt das oben Genannte, sie haben weiter gehende<br />
Rechte und können eigenen Datenspeicher<br />
anlegen (für Flash zu besichtigen unter<br />
c:/Users//AppData/Roaming/Macromedia/Flash<br />
Player/#SharedObjects//).<br />
DOM-Storage hingegen ist ein fester Bestandteil<br />
neuer Browser-Generationen (ab IE8, FF<br />
3.5), da es sich um einen W3C-Standard handelt.<br />
Der Webdesigner speichert Daten mit<br />
localStorage.setItem(‚key‘, ‚value‘);<br />
und liest sie bespielsweise mit<br />
alert(localStorage.getItem(‚key‘));<br />
Die Kombination all dieser Techniken hat sich<br />
unter dem Begriff Ever-Cookie eingebürgert,<br />
da es sich nur sehr zäh löschen lässt. Denn<br />
findet die bösartige Webseite nur einen Bestandteil<br />
wieder, restauriert sie die anderen.<br />
JavaScript und Plug-ins begrenzen, ist wieder<br />
eine gute Strategie. Ferner gibt es für Firefox<br />
das Add-on Better Privacy (https://addons.<br />
mozilla.org/de/firefox/addon/betterpriva<br />
cy/), das sich auf diese Cookies spezialisiert<br />
hat. Es löscht sie beim Schließen des Browsers<br />
vollautomatisch.<br />
Der private Modus, den alle Browser bieten,<br />
schützt vor Cookies durch Add-ons oder Plugins<br />
nicht. Er legt zwar keine HTTP- oder DOM-<br />
Cookies an, aber die Plug-ins arbeiten unabhängig<br />
davon. Der private Modus verhindert eher<br />
Surfspuren auf dem <strong>PC</strong>, als vor solchen im Web.<br />
Vorsicht Sozial Plug-ins<br />
Eine Reihe von sozialen Medien oder Communities<br />
setzen Plug-ins in Webseiten ein, am<br />
bekanntesten ist der Like-Button oder Kommentarkasten<br />
von Facebook, der sich auf allen<br />
möglichen Webseiten findet. Twitter oder<br />
Google+ sind ebenfalls oft vertreten. Dabei<br />
handelt es sich nicht um Plug-ins im Browser,<br />
sondern in den Webseiten selbst. Die damit<br />
verknüpften Skripte entpuppen sich als echte<br />
Spione, denn sie erkennen den eingeloggten<br />
Anwender wieder. Wer sich bei Facebook<br />
nicht abgemeldet hat, findet sich plötzlich auf<br />
RTL-News mit Foto in einem Kommentarfeld<br />
wieder. Das bedeutet nun einerseits, dass RTL<br />
weiß, wie der Besucher heißt und welchen<br />
Facebook-Account er verwendet. Andererseits<br />
weiß Facebook genau, welche Seiten (mit FB-<br />
Plug-in) er besucht.<br />
Skripte dieser Art, die also über mehrere<br />
Webseiten hinweg agieren, verfügen über ein<br />
besonders hohes Spionage-Potenzial. Dazu<br />
zählen auch Banner von einem zentralen Ad-<br />
Server. Sie fallen unter die oben beschriebene<br />
Kategorie Cookies von Drittanbietern und<br />
können theoretisch auch Nichtmitglieder<br />
über Cookies verfolgen. Außerdem sollte sich<br />
der Anwender aus den erwähnten Communites<br />
immer ausloggen. Oft scheint es dem<br />
aufmerksamen Surfer so, dass die Untergrabung<br />
der Freiheitsrechte immer stärker von<br />
globalen tätigen Firmen ausgeht, also von Regierungen.<br />
Wie auch immer, eine nachhaltige<br />
Anonymisierung ist ratsam.<br />
whs<br />
<strong>PC</strong> <strong>Magazin</strong> 7/2012 www.pc-magazin.de