Browser-Erweiterungen und weiteres zum Thema Sicherheit

[darkiop]

Hallo,

alle paar Monate schaue ich mal wieder über meine aktuelle Software / Erweiterungen bzgl. der allgemeinen Sicherheit.

Aktuell habe ich bei mir wieder auf ein Minimum Reduziert:

Browser-Erweiterungen:

• HTTPS Everywhere
• uMatrix

Der gesamte Netzwerkverkehr läuft über einen lokalen DNS (Synology DSM) und im Anschluss an diesen noch über Pi-hole.

Windows selbst wird über Windows Defender und alle paar Tage/Wochen mit Hilfe von Spybot 'sauber' gehalten.

Wie schaut das bei euch aus? Lasse mich gerne inspirieren

 

[yxcvb]

Aluhut nicht zu vergessen! Im ernst, ich glaube, du übertreibst da ein wenig.

 

[DerKonfigurator]

Finde ich jetzt nicht übertrieben. Für Aluhut fehlt da noch einiges. Finde das Setup sehr gut. Alternativ bietet sich noch der Tor Browser an.

Was viele nicht beachten ist, dass das lokale Setup alleine nicht ausreicht. Wenn man trotzdem eine @gmail.com Adresse nutzt oder ein unmodifiziertes Android Smartphone hat, ist man trotzdem an die "Datenkraken" angeschlossen.

Ich persönlich verwende Firefox+ ublock origin und das reicht mir für meinen Bedarf aus.

 

[Marco01_809]

@yxcvb
???
Wegen den 2 Browser-Addons oder dem eigenen DNS-Server im lokalen Netzwerk?
Na hoffentlich hast du den DNS-Server auf deinem Router ausgeschaltet und benutzt auch artig keinen Adblocker.

@darkiop Geht es dir um Sicherheit oder auch um Privatsphäre?

Zum Thema Sicherheit gibt es noch viele wichtige Standpfeiler, z.B. Passwort-Datenbank wie KeePass, dann sind einzigartige Passwörter für jede Seite auxh kein Problem.

Bzgl. Privatsphäre gibt es noch Addons wie CookieAutoDelete. Da kannst du Domains, auf denen du Cookies behalten willst (lies: eingeloggt bleiben) gezielt whitelisten, alle anderen Cookies werden automatisch entsorgt wenn du die Seite verlässt. Decentraleyes ist auch noch ein Tipp, das leitet Requests an CDNs auf eine lokale Bibliothek um - macht keine Seiten kaputt, aber verhindert zusätzlich zum Adblock/uMatrix weitere Requests.

 

[Smartcom5]

Der gesamte Netzwerkverkehr läuft über einen lokalen DNS (Synology DSM) und im Anschluss an diesen noch über Pi-hole.

Sind denn jene Adressen, welche durch Microsoft in der dnsapi.dll hardcoded sind, ebenfalls geblockt?
Sämtliche MS-Adressen in der hosts werden nämlich automatisch ignoriert.

Spoiler: Soviel zum Thema Telemetrie und Update-Wahn …

BN1WNS2011508.wns.windows.com
OneSettings-bn2.metron.live.com.nsatc.net
a-0001.a-msedge.net
a.ads1.msn.com
a.ads2.msn.com
a978.i6g1.akamai.net
ad.doubleclick.net
adnexus.net
adnxs.com
ads.msn.com
ads1.msads.net
americas2.notify.windows.com.akadns.net
any.edge.bing.com
az361816.vo.msecnd.net
az512334.vo.msecnd.net
bl3302.storage.live.com
bl3302geo.storage.dkyprod.akadns.net
choice.microsoft.com
choice.microsoft.com.nsatc.net
client.wns.windows.com
compatexchange.cloudapp.net
corp.sts.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
cs1.wpc.v0cdn.net
df.telemetry.microsoft.com
diagnostics.support.microsoft.com
directory.services.live.com
directory.services.live.com.akadns.net
dns.msftncsi.com
en-us.appex-rf.msn.com
fe2.update.microsoft.com.akadns.net
fe3.delivery.dsp.mp.microsoft.com.nsatc.net
fe3.delivery.mp.microsoft.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
feedback.windows.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
ipv6.msftncsi.com
ipv6.msftncsi.com.edgesuite.net
login.live.com.nsatc.net
ns1.msft.net
ns2.msft.net
ns3.msft.net
ns4.msft.net
ns5.msft.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
pre.footprintpredict.com
preview.msn.com
redir.metaservices.microsoft.com
register.mesh.com
reports.wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
settings-sandbox.data.microsoft.com
settings-win.data.microsoft.com
settings.data.glbdns2.microsoft.com
skyapi.live.net
skyapi.skyprod.akadns.net
skydrive.wns.windows.com
sls.update.microsoft.com.akadns.net
sqm.df.telemetry.microsoft.com
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
ssw.live.com
ssw.live.com.nsatc.net
statsfe1.ws.microsoft.com
statsfe2.update.microsoft.com.akadns.net
statsfe2.ws.microsoft.com
survey.watson.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.appex.bing.net:443
telemetry.microsoft.com
telemetry.urs.microsoft.com
travel.tile.appex.bing.com
v10.vortex-win.data.metron.life.com.nsatc.net
v10.vortex-win.data.microsoft.com
vortex-sandbox.data.microsoft.com
vortex-win.data.microsoft.com
vortex.data.microsoft.com
watson.live.com
watson.microsoft.com
watson.ppe.telemetry.microsoft.com
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
wes.df.telemetry.microsoft.com
wildcard.appex-rf.msn.com.edgesuite.net
win10.ipv6.microsoft.com
win10.ipv6.microsoft.com.nsatc.net
wns.notify.windows.com.akadns.net

In diesem Sinne

Smartcom

 

[darkiop]

@yxcvb : Finde ich jetzt auch nicht übertrieben, da geht mehr ...

@DerKonfigurator : Stimme ich zu, leider bin ich aber von der Gewohnheit 'Gmail' noch nicht weggekommen ...

Der lokale DNS hat hier auch seine Gründe, nutze meine lokalen Geräte mit einer lokalen Domain und zum Teil auch mit Lets Encrypt Zertifikat (Diskstation, Fritzbox, USG, ...), wobei das hauptsächlich optische Gründe hat um die Fehlermeldung in den Browsern nicht mehr ertragen zu müssen

@Marco01_809 : Grundsätzlich um beides, einfach mal wieder in die Runde fragen was andere so Nutzen. KeePass ist auch schon seit Jahren gesetzt. Decentraleyes werd ich mir mal anschauen.

@Smartcom5 : Die sollten in Pi-hole hinterlegt sein, aber mal wieder ein guter Zeitpunkt zum aktualisieren

 

[Brett0R.420]

Aluhut nicht zu vergessen! Im ernst, ich glaube, du übertreibst da ein wenig.

Finde ich nicht.
Und an den TE, das Setup ist so schon ganz gut.
Ob man was besser oder anders machen kann ist eher eine Frage des Verwendungszwecks.
Du solltest definitiv noch Cookies deleten und andere Tracker Spuren verwischen.
Welcher Browser wird denn verwendet?

 

[darkiop]

@Brett0R.420 : verschieden, Hauptsächlich Vivaldi (Chromium) - aber auch FF und Opera sind im Einsatz.

 

[entropie88]

DNS kann man über das tor netz auflösen.
Privoxy/ squid kann man nutzen, bzw sogar kombinieren.

 

[darkiop]

@entropie88 Kannst mal etwas genauer drauf eingehen?

 

[entropie88]

Kannst dein pi nutzen (erste was ich gefunden habe https://github.com/pi-hole/pi-hole/wiki/DNS-over-Tor), oder dir auch lokal auf deinem Rechner tor schalten da dns support anmachen und drüber auflösen.

Mit privoxy/squid kannst du viel filtern usw sind halt proxys. Sollte unter windows das gleiche können wie unter linux. Lese es dir einfach mal durch.
https://wiki.archlinux.org/index.php/privoxy
https://wiki.archlinux.org/index.php/squid

 

[darkiop]

Danke - Lesestoff für schlaflose Nächte

Der Tip mit CookieAutoDelete war gut.

Decentraleyes schau ich mir noch an.

 

[BalthasarBux]

Im Kuketz-Blog gibts noch einige Hinweise für Extensions: https://www.kuketz-blog.de/firefox-ein-browser-fuer-datenschutzbewusste-firefox-kompendium-teil1/
Und dann schleunigst von Google wegkommen

 

[andy_m4]

Windows selbst wird über Windows Defender und alle paar Tage/Wochen mit Hilfe von Spybot 'sauber' gehalten.

Wegen Security und insbesondere wegen der Malware-Problematik ist es natürlich am schlausten, wenn man die am meisten attackierte Plattform einfach nicht ins Internet lässt. Sprich für alles was Internet angeht (surfen etc.) am besten gar kein Windows nutzen.

 

[BeBur]

Wie erhöht denn ein lokaler DNS 'die Sicherheit'?
Mir ist irgendwie unklar, wo gegen abgesichert werden soll. Jemand schlug hier auch das TOR-Netzwerk vor. Why?

 

[darkiop]

Der lokale DNS imho weniger, der ist bei mir eben für die lokale Namensauflösung da (z.B. heizung.meine-domain.de). In Zeiten von IOT und SmartHome kommen u.U. einige Geräte zusammen, so wird die lokale Verwaltung einfacher.

Die zusätzliche Sicherheit sehe ich da dem (bei mir) lokalen DNS nachgelagerten pi-hole. Werbefilter fürs komplette Netzwerk. Werbung in Handy Apps? Kenne ich (zuhause im WLAN) nicht.

 

[BalthasarBux]

@darkiop Wirklich nicht? Dann will ich deine Filterlisten sehen

 

[darkiop]

Zugegeben, viele (aktuell, gute Frage ob...) Apps mit Werbung nutze ich nicht - aber die wo Werbung hatten wurden immer sauber unterdrückt. Nutze die Standard Listen. Wollte damit das Filter des kompletten Netzwerktraffics bzgl. Werbung betonen

 

[Togijak]

noch zwei Lese Tipps

https://www.privacytools.io/ und https://prism-break.org/de/

 

[darkiop]

Vielen Dank - schaue ich mir an!

Irgendeine dieser Microsoft Domains sagt der Windows 10 Netzwerkverbindung das eine Verbindung zum Internet besteht - ist diese Blacklist aktiv meldet sich die Netzwerkverbindung mit einem gelben Ausrufezeichen nach einem Reboot - nach einer Deaktivierung der Blacklist und nochmaligen reboot ist dieses wieder weg. Wäre eigentlich nicht schlimm, denn die Internetverbindung selbst funktioniert ja. Allerdings prüfen manche Applikationen diesen Status und verweigern dann den Dienst - z.B. die Adobe Creative Cloud ...

Jemand eine Idee welche es sein Könnte?

a.ads2.msn.com
a978.i6g1.akamai.net
ad.doubleclick.net
adnexus.net
adnxs.com
ads.msn.com
ads1.msads.net
americas2.notify.windows.com.akadns.net
any.edge.bing.com
az361816.vo.msecnd.net
az512334.vo.msecnd.net
bl3302.storage.live.com
bl3302geo.storage.dkyprod.akadns.net
choice.microsoft.com
choice.microsoft.com.nsatc.net
client.wns.windows.com
compatexchange.cloudapp.net
corp.sts.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
cs1.wpc.v0cdn.net
df.telemetry.microsoft.com
diagnostics.support.microsoft.com
directory.services.live.com
directory.services.live.com.akadns.net
dns.msftncsi.com
en-us.appex-rf.msn.com
fe2.update.microsoft.com.akadns.net
fe3.delivery.dsp.mp.microsoft.com.nsatc.net
fe3.delivery.mp.microsoft.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
feedback.windows.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
ipv6.msftncsi.com
ipv6.msftncsi.com.edgesuite.net
login.live.com.nsatc.net
ns1.msft.net
ns2.msft.net
ns3.msft.net
ns4.msft.net
ns5.msft.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
pre.footprintpredict.com
preview.msn.com
redir.metaservices.microsoft.com
register.mesh.com
reports.wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
settings-sandbox.data.microsoft.com
settings-win.data.microsoft.com
settings.data.glbdns2.microsoft.com
skyapi.live.net
skyapi.skyprod.akadns.net
skydrive.wns.windows.com
sls.update.microsoft.com.akadns.net
sqm.df.telemetry.microsoft.com
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
ssw.live.com
ssw.live.com.nsatc.net
statsfe1.ws.microsoft.com
statsfe2.update.microsoft.com.akadns.net
statsfe2.ws.microsoft.com
survey.watson.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.appex.bing.net:443
telemetry.microsoft.com
telemetry.urs.microsoft.com
travel.tile.appex.bing.com
v10.vortex-win.data.metron.life.com.nsatc.net
v10.vortex-win.data.microsoft.com
vortex-sandbox.data.microsoft.com
vortex-win.data.microsoft.com
vortex.data.microsoft.com
watson.live.com
watson.microsoft.com
watson.ppe.telemetry.microsoft.com
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
wes.df.telemetry.microsoft.com
wildcard.appex-rf.msn.com.edgesuite.net
win10.ipv6.microsoft.com
win10.ipv6.microsoft.com.nsatc.net
wns.notify.windows.com.akadns.net