Geekflare
Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Datenschutz und Sicherheit  |  Zuletzt aktualisiert: September 24, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

Testen Sie die Sicherheit Ihres Browsers auf Schwachstellen

Unter
Browser-Sicherheit

Wie sicher ist Ihr Browser genau? Wie viele Informationen können aus Ihrem Online-Browsing-Profil extrahiert werden?

Warum sehen Sie anscheinend Werbung, die mit Dingen zu tun hat, die Sie gesucht, kürzlich gekauft oder über die Sie gelesen haben?

Was ist der Preis dafür, dass Ihr Profil vollständig offengelegt wird?

Wie können Sie Ihre Online-Privatsphäre besser schützen?

Diese und weitere Fragen möchte Ihnen dieser Artikel beantworten und Ihnen Möglichkeiten aufzeigen, wie Sie Ihre Online-Privatsphäre besser schützen können

Es ist wichtig zu wissen, dass die Unternehmen, die die von uns am häufigsten verwendeten Browser herstellen, wie Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, usw. So weit wie möglich versuchen, die Benutzer und ihre persönlichen Daten zu schützen, wenn sie diese Produkte verwenden.

Dieser Artikel zielt daher nicht darauf ab, diese Bemühungen zu untergraben, sondern soll Ihnen, dem Benutzer, helfen, eine fundierte Entscheidung zu treffen, wenn Sie diese und andere Browser für verschiedene Aktivitäten verwenden.

Das Internet ist unser Tor zur Welt, über das wir praktisch überall hin gelangen können, um Informationen zu erhalten, Handel zu treiben, Geschäfte zu tätigen, zu kommunizieren und alle anderen Bedürfnisse und Notwendigkeiten zu erfüllen. Daher müssen wir uns genauso schützen, wie wir es in der realen Welt tun würden, denn nicht jeder im Internet hat ehrliche Absichten

Internet

Sie haben zwar ein Virenschutzprogramm auf Ihrem Computer, das alle Arten von Computerschädlingen blockiert, aber auch Ihr Browser kann anfällig sein. Schauen wir uns einige mögliche Sicherheitslücken genauer an

XSS (Cross-Site Scripting)

Cross-Site-Scripting kann einfach als Code-Injektion (normalerweise Javascript-Code) beschrieben werden. Das Ziel dieser Art von Angriff ist es, die Sicherheit einer Webanwendung über den Client (meist über den Browser) zu gefährden. Angreifer versuchen mit dieser Art von Angriff, schwache Validierungen und fehlende Content Security Policy (CSP) in einigen Webanwendungen auszunutzen

Es gibt verschiedene Arten von XSS; lassen Sie uns einen genaueren Blick darauf werfen, was sie sind und wie sie verwendet werden können

Reflektiertes XSS

Dies ist eine sehr verbreitete Art von XSS, die dazu verwendet wird, die Client-Seite einer Anwendung zu manipulieren. Der Code, der hier eingeschleust wird, wird nicht in der Datenbank gespeichert, sondern es wird erwartet, dass er eine Antwort von der Client-Seite der Anwendung auslöst. Daher auch der Name 'reflektiert' Dieser Angriff funktioniert erfolgreich, wenn die Anwendung Benutzereingaben entgegennimmt und diese Eingaben nach einer gewissen Verarbeitung zurückgibt, ohne sie in der Datenbank zu speichern.

Ein gängiges Beispiel ist ein Miniatur-Chatforum, bei dem die Nachrichten nicht in der Datenbank gespeichert werden. In solchen Fällen nimmt die Anwendung Benutzereingaben entgegen und gibt sie als HTML aus. Ein Angreifer könnte ein bösartiges Skript in dieses Chatforum einschleusen und z.B. das Design oder die Farben der Anwendung durch Eingabe von CSS in Skript-Tags ändern.

Für andere Benutzer der Anwendung könnte es noch schlimmer werden, denn das Skript wird im Wesentlichen in ihren Browsern ausgeführt, was zum Diebstahl von Informationen führen könnte, z. B. zum Diebstahl Ihrer im Browser gespeicherten Autofill-Informationen. Viele Benutzer ziehen es vor, häufig eingegebene Informationen wie Namen, Adressen und Kreditkarteninformationen in Formularen zu speichern, was in diesem Fall eine schlechte Idee ist

DOM XSS

DOM - Document Object Model - ist die Programmierschnittstelle, die das auf Webseiten verwendete HTML (oder XML) interpretiert und damit die logische Struktur der jeweiligen Webseite definiert. Diese Art von XSS nutzt Webanwendungen mit unsicherem Inline-Javascript-Code im Markup, aus dem die Webseite besteht, aus. XSS kann hier verwendet werden, um das DOM direkt zu verändern. Auf diese Weise kann fast jeder Teil der Webseite, mit dem der Benutzer interagiert, verändert werden, was zu Phishing führen kann

Gespeicherte XSS

Bei dieser Art von XSS wird bösartiger Code nicht nur an den Benutzer zurückgespiegelt, sondern auch in der Datenbank des Webservers, auf dem die Webanwendung gehostet wird, persistiert (gespeichert). Diese Art von XSS ist sogar noch gefährlicher, da der Code (zur späteren Verwendung) gespeichert wird und somit für Angriffe auf mehrere Opfer verwendet werden kann. Dies kann der Fall sein, wenn Formulareingaben von Benutzern nicht richtig validiert werden, bevor sie an die Datenbank gesendet werden.

Im Allgemeinen kann XSS jede Art von Kombination sein; ein einziger Angriff kann sowohl reflektiert als auch persistent sein. Die Techniken, die bei der Ausführung des Angriffs eingesetzt werden, können ebenfalls variieren, weisen aber Gemeinsamkeiten mit den oben erwähnten Techniken auf

Einige große Browser wie Chrome und Edge haben als Sicherheitsfunktion ihre eigenen Client-Sicherheitsprotokolle entwickelt, um XSS-Angriffe zu vermeiden, die als X-XSS-Schutz bekannt sind. Chrome verfügte über den XSS-Auditor, der 2010 eingeführt wurde, um XSS-Angriffe zu erkennen und das Laden solcher Webseiten zu verhindern, wenn sie erkannt werden. Diese Funktion erwies sich jedoch als weniger hilfreich als ursprünglich erhofft und wurde später entfernt, nachdem Forscher Unstimmigkeiten in den Ergebnissen und Fällen von falsch positiven Ergebnissen festgestellt hatten

XSS-Angriffe sind eine schwierige Herausforderung, die von der Client-Seite aus angegangen werden muss. Der Edge-Browser verfügte ebenfalls über einen XSS-Filter, der später wieder abgeschafft wurde. Für Firefox heißt es auf der MDN-Website (Mozilla Developer Network),

Firefox hat keine X-XSS-Schutz implementiert und wird dies auch nicht tun

Verfolgung von Drittanbietern

Ein weiterer wichtiger Teil des Schutzes Ihre Online-Privatsphäre besteht darin, sich mit Tracking-Cookies von Dritten vertraut zu machen. Cookies werden im Web im Allgemeinen als gut angesehen, da sie von Websites verwendet werden, um Benutzer eindeutig zu identifizieren und das Surferlebnis des Benutzers entsprechend anzupassen. Dies ist beispielsweise bei E-Commerce-Websites der Fall, die Cookies verwenden, um Ihre Einkaufssitzung und die Artikel, die Sie in den Warenkorb gelegt haben, zu speichern.

Diese Art von Cookies werden als Erstanbieter-Cookies bezeichnet. Wenn Sie also auf den Seiten von geekflare.com surfen, sind die von geekflare.com verwendeten Cookies Erstanbieter-Cookies (die guten)

Es gibt auch einige wenige Fälle von Zweitanbieter-Cookies, bei denen Websites ihre Erstanbieter-Cookies einer anderen Website anbieten (oder verkaufen), um dem Benutzer Werbung zu schalten. In diesem Fall könnten die Cookies als Second-Party-Cookies betrachtet werden. Cookies von Drittanbietern sind die großen werbegesteuerten Cookies, die für seitenübergreifendes Tracking und zielgerichtete Werbung verwendet werden

Das sind Cookies, die ohne das Wissen oder die Zustimmung des Benutzers auf dessen Browser abgelegt werden, um Informationen über den Benutzer und alle Arten von Datenprofilen zu erhalten, wie z.B. die vom Benutzer besuchten Websites, Suchanfragen, der vom Benutzer verwendete ISP (Internet Service Provider), die Laptop-Spezifikationen, die Batteriestärke usw. Diese Informationen werden verwendet, um ein Internet-Datenprofil des Benutzers zu erstellen, das für gezielte Werbung genutzt werden kann. Angreifer, die diese Art von Informationen stehlen, betreiben in der Regel eine Art von Data Mining und können diese Daten an große Werbenetzwerke verkaufen

Firefox kündigte im September 2019 an, dass es Tracking-Cookies von Drittanbietern sowohl im Desktop- als auch im mobilen Browser standardmäßig blockieren wird. Das Team bezeichnete dies als Erweiterten Tracking-Schutz, der in der Adressleiste des Browsers mit einem Schildsymbol angezeigt wird.

Screen-Shot-2019-09-03-at-13.51.17-600x74-1

Der Safari-Browser auf Apple-Geräten blockiert ebenfalls Cookies von Drittanbietern, die ihre Nutzer im Internet verfolgen.

Bei Chrome werden die Tracking-Cookies von Drittanbietern nicht standardmäßig blockiert. Um diese Funktion zu aktivieren, klicken Sie auf die drei vertikalen Punkte in der oberen rechten Ecke des Browserfensters, um ein Dropdown-Menü aufzurufen. Klicken Sie dann auf Einstellungen, auf der Registerkarte Einstellungen links auf Datenschutz und Sicherheit, dann auf Website-Einstellungen, dann auf Cookies und Website-Daten und schalten Sie die Option Cookies von Drittanbietern blockieren um

blocking-cookies

Kryptomacher

Einige Websites im Internet enthalten Krypto-Mining-Skripte, die entweder vom Eigentümer der Website oder von einem Dritten stammen. Diese Skripte ermöglichen es dem Angreifer, die Computerressourcen des Opfers zum Mining von Kryptowährungen zu nutzen.

Krypto-Wallet

Einige Website-Besitzer tun dies, um sich zu finanzieren, wenn sie kostenlose Dienste anbieten und argumentieren, dass dies ein geringer Preis für die von ihnen angebotenen Dienste sei. Diese Websites weisen den Nutzer in der Regel auf die Kosten für die Nutzung ihres Dienstes hin. Viele andere Websites tun dies jedoch, ohne den Benutzer darüber zu informieren. Das kann zu einer erheblichen Beanspruchung der PC-Ressourcen führen. Daher ist es wichtig, dass Sie diese Dinge blockieren lassen

Einige Browser verfügen über integrierte Funktionen zum Blockieren solcher Skripte, wie z.B. Firefox, der über eine Einstellung zum Blockieren von Kryptominern sowohl im Web als auch auf dem Handy verfügt. Gleiches gilt für Opera. Für Chrome und Safari müssen Sie Erweiterungen für Ihren Browser installieren, um das Gleiche zu erreichen

Browser-Fingerprinting

Wie auf Wikipedia definiert,

Ein Geräte-Fingerabdruck oder Maschinen-Fingerabdruck ist eine Information, die über die Software und Hardware eines entfernten Computergeräts zum Zweck der Identifizierung gesammelt wird.

Ein Browser-Fingerabdruck ist ein Fingerabdruck, der über den Browser des Benutzers erfasst wird. Der Browser eines Benutzers kann tatsächlich eine Menge Informationen über das verwendete Gerät liefern. Hierfür werden verschiedene Möglichkeiten genutzt, sogar html5 ``-Tags sind dafür bekannt, dass sie für Fingerabdrücke verwendet werden. Informationen wie Gerätespezifikationen, z.B. Größe des Gerätespeichers, Akkulaufzeit, CPU-Spezifikationen, usw. Ein Fingerabdruck könnte auch die tatsächliche IP-Adresse und den Aufenthaltsort eines Benutzers verraten.

Einige Benutzer neigen zu der Annahme, dass die Verwendung des Inkognito-Modus in den Browsern vor Fingerabdrücken schützt, aber das stimmt nicht. Der Privat- oder Inkognito-Modus ist nicht wirklich privat; er speichert lediglich keine Cookies oder den Browserverlauf lokal im Browser; diese Informationen werden jedoch weiterhin auf der besuchten Website gespeichert. Daher ist ein Fingerabdruck auf einem solchen Gerät immer noch möglich.

Web-RTC-Lecks

Web RTC (Echtzeitkommunikation). Web RTC war ein Durchbruch für die Echtzeitkommunikation über das Internet. Laut der Web RTC-Website

Mit WebRTC können Sie Ihrer Anwendung Echtzeitkommunikationsfunktionen hinzufügen, die auf einem offenen Standard basieren. Es unterstützt die Übertragung von Video-, Sprach- und allgemeinen Daten zwischen Peers, so dass Entwickler leistungsstarke Lösungen für die Sprach- und Videokommunikation entwickeln können.

Interessanterweise hat ein GitHub-Benutzer ('diafygi') 2015 erstmals eine Sicherheitslücke in Web RTC veröffentlicht, die viele Informationen über einen Benutzer preisgibt, wie die lokale IP-Adresse, die öffentliche IP-Adresse, die Medienfähigkeiten des Geräts (wie Mikrofon, Kamera usw.)

Er konnte dies erreichen, indem er so genannte STUN-Anfragen an den Browser stellte, um diese Informationen preiszugeben. Er veröffentlichte seine Ergebnisse hier -> https://github.com/diafygi/webrtc-ips

Seitdem hat der Browser bessere Sicherheitsfunktionen implementiert, um sich dagegen zu schützen, aber auch die Sicherheitslücke wurde im Laufe der Jahre immer weiter verbessert. Diese Schwachstelle ist bis heute erhalten geblieben. Durch einfache Sicherheitsprüfungen kann ein Benutzer feststellen, wie viele Informationen durch einen Web RTC-Informationsleck erlangt werden können

Bei Chrome können einige Erweiterungen installiert werden, die Schutz vor RTC-Lecks bieten. Das Gleiche gilt für Firefox mit Addons. Safari verfügt über eine Option zur Deaktivierung von Web RTC; dies kann jedoch die Verwendung einiger Echtzeit-Chat-Webanwendungen über den Browser beeinträchtigen.

Browsen über einen Proxy

Kostenlose Web-Proxys scheinen Ihnen zu mehr Privatsphäre zu verhelfen, indem sie Ihren Webverkehr über "anonyme" Server leiten. Einige Sicherheitsexperten sind darüber besorgt, wie viel Privatsphäre dies bietet. Die Proxys mögen einen Benutzer vom offenen Internet abschirmen, aber nicht von den Servern, über die der Internetverkehr läuft. Die Verwendung eines bösartigen 'kostenlosen' Web-Proxys, der darauf ausgelegt ist, Benutzerdaten zu sammeln, könnte daher ein Rezept für eine Katastrophe sein. Verwenden Sie stattdessen einen Premium-Proxy

Wie kann man die Browsersicherheit testen?

Browsertests geben Ihnen Aufschluss darüber, wie viele Informationen ein Angreifer über den Browser von Ihnen abgreifen könnte und was Sie tun müssen, um geschützt zu sein

Qualys BrowserCheck

qualys-browsercheck

BrowserCheck von Qualys führt eine schnelle Überprüfung Ihres Browsers auf Tracker-Cookies und bekannte Schwachstellen durch

Cloudflare ESNI-Prüfer

cloudflare-esni-check

Cloudflare prüft den DNS- und TLS-Stack Ihres Browsers schnell auf Sicherheitslücken

Datenschutz-Analysator

datenschutz-analyzer

Privacy Analyzer scannt Ihren Browser auf alle Arten von Datenschutzlücken, einschließlich der Analyse von Fingerabdrücken

Panopticlick

panopticlick

Panopticlick bietet einen Test auf Tracking-Cookies von Drittanbietern und eine Chrome-Erweiterung, um weiteres Tracking zu blockieren

Webkay

webkay

Webkay bietet einen schnellen Überblick darüber, welche Informationen Ihr Browser bereitwillig preisgibt

SSL/TLS-Kompatibilität

Prüfen Sieob Ihr Browser für TLS-Schwachstellen anfällig ist

Wie steht es um mein SSL?

hoz-my-ssl

Umfassend Überprüfung des SSL-Niveaus Ihres Browsers. Es testet auf TLS-Komprimierung, Cipher-Suites, Session-Ticket-Unterstützung und mehr

AmIUnique

Sind Sie es?

AmIUnique prüft, ob Ihr Browser-Fingerabdruck in irgendeinem zuvor gesammelten Fingerabdruck der Welt enthalten ist

Wie härtet man Browser ab?

Sie müssen proaktiver mit dem Datenschutz und der Sicherheit umgehen. Daher müssen Sie sich vergewissern, welche Sicherheitseinstellungen im Browser verfügbar sind. Jeder Browser verfügt über Datenschutz- und Sicherheitseinstellungen, die dem Benutzer die Kontrolle darüber geben, welche Informationen er an Websites weitergeben kann. Hier finden Sie einige Hinweise dazu, welche Datenschutzeinstellungen Sie in Ihrem Browser vornehmen sollten

  • Senden Sie 'Do not track'-Anfragen an Websites
  • Blockieren Sie alle Cookies von Drittanbietern
  • Deaktivieren Sie ActiveX und Flash
  • Entfernen Sie alle unnötigen Plugins und Erweiterungen
  • Installieren Sie Datenschutzerweiterungen oder Addons.

Verwenden Sie einen datenschutzfreundlichen Browser auf Ihrem Handy oder Schreibtisch

Sie können auch die Verwendung eines Premium-VPN in Betracht ziehen, das Ihnen Unsichtbarkeit im Internet vor Trackern, Scannern und allen Arten von Datenloggern bietet. Wirklich privat im Internet sind Sie nur mit einem VPN. Kostenlose" VPN-Dienste haben jedoch ähnliche Probleme wie die oben beschriebenen kostenlosen Proxys: Sie sind sich nie sicher, über welchen Webserver Ihr Datenverkehr läuft. Daher brauchen Sie einen zuverlässigen VPN-Dienst, der eine viel bessere Sicherheit bietet.

  • Idris Lawal
    Autor
Dank an unsere Sponsoren
Weitere gute Lektüre zum Thema Datenschutz
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Brightdata
    Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Montag.com
    Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Eindringling
    Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder