Wer hätte es geahnt – Ablehnen von Cookies wird einfach ignoriert

Nein, doch … ohhhh. Sowas von überraschend – da müssen Webseiten wegen der DSGVO ihre Besucher permanent mit Warnhinweisen vor den ach so bösen Cookies  nerven und dann war das alles umsonst, weil Cookies vollkommen unabhängig von der Wahl des Besuchers doch gesetzt werden. Nach einer Studie (als ob es die gebraucht hätte) gäbe es bei der größten Anzahl an Webseiten (90% oder mehr) Datenschutverletzungen.  In ein paar Artikeln wird das gerade aufgekocht.

Wo ist der Fehler? Beim Tracking und den angeblichen Datenschutzverletzungen? Oder der naiven Vorstellung, dass jeder DAU  im Internet trotz bodenlosem Leichtsinn anonym bleiben muss? „Wer hätte es geahnt – Ablehnen von Cookies wird einfach ignoriert“ weiterlesen

Netflix und der scheinheilige Umgang mit Datensicherheit

Da feiern Bürokraten und Politiker in Deutschland 5 Jahre DSGVO, Facebook/Meta bekommen eine Megastrafe in Milliardenhöhe (die garantiert aber nicht gezahlt wird) aufgebrummt, und gleichzeitig geht niemand gegen Netflix vor, was offensichtlich private Haushalte ausspioniert. Es ist einfach nicht zu fassen.

Wohlbemerkt – ich kann verstehen, dass Netflix das permante Sharing von Zugängen nicht will und diese Vorgehensweise durch Kunden nicht zu tolerieren ist. „Netflix und der scheinheilige Umgang mit Datensicherheit“ weiterlesen

Unseriöses Tracking und der freie Wolf

Meine mittlerweile jahrelange Suche nach dem (!) besten Browser für meine Zwecke ist immer noch nicht von Erfolg gekrönt. Aber ich habe einen neuen Kandidaten, den ich mir jetzt genauer ansehe – LibreWolf. Das ist ein auf Sicherheit optimierter Fork von Firefox.

Konkreter Anlass war, dass meine Hausbank ihr Onlinebanking aktualisiert hat und nun m.E. vollkommen unseriöses Tracking bzw. Fingerprinting betreibt. Vor der Umstellung musste ich mich alle 3 Monate einmal mit meinem TAN-Generator verifizieren und ansonsten konnte ich mich einfach mit Userid und Passwort anmelden. Das geht offiziell immer noch, doch bei jedem Login-Versuch bekomme ich jetzt die Meldung, dass mein Gerät, Browser, Standort etc. unbekannt wären und ich werde bei jedem Login gezwungen, den TAN-Generator und meine EC-Karte rauszusuchen, bevor ich angemeldet werde. Unmöglich, denn vorher war das nicht notwendig und ich sehe es nicht ein, warum die Zugangsmöglichkeiten so verschlechtert wurden. Andere Banken bzw. Anbieter können es doch auch – selbst wenn sie 2-Wege-Authentifizierung verlangen. Einfach im Zweifelsfall eine SMS geschickt und gut ist, ohne dass man unterwegs den TAN-Generator dabei haben muss.

Aber ich mache wohl ziemlich viel richtig, wenn dieses neue Fingerprinting bzw. Tracking von der Bank nicht funktioniert. Ich habe mich darüber schon beschwert, aber das wird vermutlich keinen Erfolg haben und ich werde das Konto da wohl kündigen müssen. Was mir schon leid tut, denn für den Verbund hatte ich nach meinem Studium 5 Jahre gearbeitet und ich bin ihm eigentlich noch immer verbunden. Aber dieses Fingerprinting/Tracking geht gar nicht und ist aus Sicherheitsgründen auch vollkommen unlogisch. Nichts geht einfacher als ein Faken der Clientumgebung. Es ist darüber hinaus kontraproduktiv, weil es nur nervt und Anwender ob einer gewissen Bequemlichkeit zu unsicheren Verhaltensweisen nötigt.

Aber zurück zum freien Wolf. In der aktuellen C’t wurde er gerade vorgestellt und wegen meinem Ärger über das Fingerprinting der Bank kamen mir die Sicherheitsfeatures des Firefox-Forks sehr interessant vor. Insbesondere den klassischen Fingerprinting-Techniken gaukelt der Wolf immer neue Umgebungen vor und das Auslesen von Canvas wird gefaked.

Denn obwohl ich mit Opera und Vivaldi zwei alternative Browser im Einsatz habe, lande ich doch immer wieder beim Firefox als Standardbrowser. Es ist einfach das „rundeste“ Paket, das ich über meine vielen Jahre Praxis erlebt habe. IE und Edge gehen gar nicht, Chrome will ich wegen der dauerhaften Sendung aller Daten zu Google nicht, Chrorium ist irgendwie zu sperrig, Safari vollkommen uninteressant und dann ist es eben Firefox, der immer wieder übrig bleibt. Auch der Tor Browser (ebenso ein Firefox-Fork) ist nur für besondere Anfragen eine Option und daher gibt es einfach keine Alternative für das Brot-und-Butter-Surfen im Internet. Da der Tor-Browser mir meist zu langsam ist und viele Seiten damit gar nicht gehen, erhoffe ich mir von dem LibreWolf den Komfort des Firefox und (halbwegs) die Sicherheit bzw. Anonymität des Tor-Browsers.

Opera mit dem integrierten VPN und Vivaldi für manche Inhalte, die nicht mit Firefox oder erst recht LibreWolf richtig gehen, werde ich aber als Alternativen in der Hinterhand behalten. Und natürlich auch Firefox selbst, denn beim Anmeldeversucht auf Google-Seiten bekam ich gerade mit LibreWolf einen Fehler. Vermutlich wegen dem Blockieren von Tracking/Fingerprinting/Cookies, was Google unbedingt erzwingt. Entweder versuche ich LibreWolf für die Seiten etwas weniger streng zu konfigurieren oder aber dann doch einen anderen Browser zu nehmen. Es muss es natürlich wert sein, wenn eine Seite so eine Einschränkung der Sicherheit erzwingt, aber natürlich räumt man nach Verlassen der Seite wieder komplett auf und löscht, was immer auch die Seite hinterlassen hat.

 

Fingerprinting

Ich bin gerade über einen Beitrag gestolpert, der die Vermeidung von Spuren im Internet zum Thema hat. Ich finde den Beitrag wirklich gut. Nicht zu technisch, aber auch nicht zu trivial wie sonst meistens.

Nun achte ich natürlich stark darauf, dass ich wenige Spuren im Internet hinterlasse bzw. die Spuren ganz bewusst lege, um Datenspione gezielt irrezuführen. Aber so ganz man kann nicht komplett unsichtbar bleiben. Sonst wird es zu mühselig und viele Dinge im Internet funktionieren sogar gar nicht.

Klar akzeptiere ich Cookies. Vollkommen uneingeschränkt. Und ebenso selbstverständlich werden die beim Schließen eines Browser komplett beseitigt. Ein Nullsummenspiel sozusagen. Cookies sind aber sowieso harmlos und werden ja nur als Ablenkungsmanöver missbraucht, um Anwender solange mit nervigen Meldungen mürbe zu machen, damit Datenschutz nur noch als Belästigung gesehen wird und sie nicht mehr auf echte Datenschutzprobleme achten. Tja – die DSGVO. Vielleicht gut gedacht, aber grottenschlecht gemacht.

Natürlich bin ich auch nicht bei Fratzenbuch, Google, Amazon etc angemeldet, wenn ich andere Webseiten besuche oder gar in Suchmaschinen etwas suche und ja – DuckDuckGo und Ecosia statt Google oder Bing sind selbstverständlich.

Tracking wird mit Browsereinstellungen und ein paar Zusatztools blockiert und wenn es mir wichtig ist, nutze ich auch ein VPN (ist ja in Opera integriert) oder gar Tor. Dazu kommen regelmäßige Einsätze von Reinigungstools wie CCleaner, PrivZer und BleachBit.

Aber das Fingerprinting ist und bleibt ein Problem. Das zu verhindern ist nicht ganz so einfach. Im Gegensatz zum Fingerprinting selbst. Ich bin ja kein Hacker, aber selbst in meinen gewöhnlichen JavaScript-Büchern und meinen Videotrainings für LinkedIn Learning (LiL) zeige ich, wie einfach das im Grunde ist.

Nun habe ich gerade eine Webseite (Cover Your tracks) ausprobiert, die in dem Beitrag empfohlen wird, um zu testen, wie sicher der Browser ist. Und tatsächlich sind meine Standardbrowser nicht vernünftig gegen Fingerprinting gesichert. Vivaldi und Opera so gut wie gar nicht und es konnte ein eindeutiger Fingerprint ermittelt werden, Firefox ist etwas besser, aber auch noch nicht wirklich sicher und nur der Tor-Browser stoppt das Fingerprinting effektiv. Edge, Chrome etc. oder gar IE werde ich nicht testen, denn die Browser verwende ich sowieso nicht, da sie aus meiner Sicht noch in anderer Hinsicht unbrauchbar sind.

Ich werde mal auf die Suche gehen, ob es geeignete Erweiterungen gibt, mit denen ich Vivaldi, Opera und Firefox richtig schützen kann. Denn so sicher der Tor-Browser ist – darüber ist das Surfen langsamer und machen Seiten gehen auch nicht.