Firefox… aber sicher!

Kurzanleitung zur sicheren Firefox Konfiguration

Version 0.5, Sebastian Martin, 23.10.2012, Lizensiert under der Creative Commons Lizenz 3.0 by-sa, Weitergabe unter Namensnennung erwünscht.

Diese bebilderte Anleitung erklärt, wie man mit wenigen Handgriffen das Surfen mit Mozilla Firefox erheblich sicherer machen kann. Auch wenn Firefox im Vergleich zum Internet Explorer bereits als deutlich sicherer gilt, so sind doch – insbesondere wenn damit auch Online-Banking gemacht wird – weitere Sicherheitseinstellungen dringend anzuraten. Der Aufwand dazu ist gering, der Schaden im Falle des Falles jedenfalls deutlich schmerzhafter.

1. Zunächst sollten die automatischen Updates eingeschaltet sein. Updates beheben bekannt gewordene Sicherheitslücken und sind daher absolute Pflicht!
   Sie erreichen den folgenden Einstellungsdialog unter Bearbeiten (bzw. Extras) -> Einstellungen -> Erweitert
   
   Sollten die Optionen für automatische Updates fehlen, ist der verwendete Firefox vermutlich hoffnungslos veraltet. Hier gibt es die aktuelle Firefox Version zum Download.Ab Firefox Version 13 bietet Firefox eine Option, sich als Windows Systemdienst einzutragen. Diese Option ist standardmäßig aktiv. Damit kann sich Firefox selbstständig ohne Benutzerzutun auch von einem Konto ohne Administrationsrechte aus aktualisieren. Damit muss man sich dann um die Updates noch weniger Sorgen machen.
2. Ferner sollten unter Bearbeiten (bzw. Extras) -> Einstellungen -> Sicherheit die folgenden Optionen gesetzt sein.
   
   Gespeicherte Passwörter für besuchte Webseiten können von bösartigen Webseiten bereits durch deren Betrachten ausgespäht werden – das Masterpasswort bietet hier keinen ausreichenden Schutz. Daher sollte man auf die Speicherung von Passwörtern am Besten ganz verzichten.
   Der Heise-Verlag berichtet über solche Angriffe etwa hier.
3. Weiterhin bietet Firefox ein wunderschönes System der Erweiterungen an. Diese Erweiterungen stammen von Dritten und vergrößern den Funktionsumpfang des Firefox erheblich. Darüber hinaus gibt es auch Erweiterungen, welche die Sicherheit verbessern.
   Die Erweiterungen werden von Mozilla – dem Herausgeber von Firefox – gesammelt und bereit gestellt. Sie sind wie Firefox auch selbstverständlich alle kostenlos.Installiert werden die genannten Erweiterungen über die angegebenen Links. Dort erreicht man jeweils eine Seite mit grünem Knopf „Zu Firefox Hinzufügen“. Nach Klick auf diesen Knopf öffnet sich i.d.R. ein neues Fenster, in dem unten ein Knopf „Installieren“ zunächst für 5 Sekunden gesperrt ist, danach aber die Installation zulässt.
   Öffnet sich kein Fenster blockiert Firefox evtl. die Installation von Updates. In diesem Falle ist i.d.R. am oberen Fensterrand eine Warnung eingeblendet, welche man anklicken kann, um doch die Installation zu erlauben.Die folgenden drei Erweiterungen halte ich zum sicheren Surfen für unabdingbar:
   1. Flashblock
      https://addons.mozilla.org/de/firefox/addon/433Flash ist ja bei Youtube zuweilen ganz nett, aber ansonsten die Plage des Internets: Es wird für nervige, zum Teil die besuchte Webseite komplett überlagernde Werbefenster eingesetzt und darüber hinaus auch noch des öfteren von Sicherheitslücken geplagt. Deshalb macht es Sinn, Flash zunächst komplett zu blocken und nur bei Bedarf einzuschalten. Die Erweiterung (engl. Add-On) gibt es unter obigem Link und fügt sich mit einem einzigen Klick in Firefox ein. Die Konfiguration ist zudem sehr simpel, wie die folgenden Bilder verdeutlichen:

      

      

      Hier kann man für bestimmte Adressen einfach pauschal wieder Flash erlauben. Was wollte man ohne Flash z.B. bei Youtube? Leider verwenden auch einige Webseiten mittlerweile Flash zur Navigation (Menüs o.ä.) auch diese kann man hier eintragen z.B. o2-online.de (Pfui o2, schämt euch!) Auf Seiten, welche man nicht auf diese Erlaubnisliste gesetzt hat, wird statt eines Flash Objektes ein Platzhalter mit Flashsymbol angezeigt. Klickt man auf selbigen Platzhalter wird dennoch das Flash Objekt geladen und angezeigt, man muss also diese Erlaubnisliste nur selten bemühen.

   2. Ghostery
      https://addons.mozilla.org/de/firefox/addon/9609/Viele Internetseiten spähen das Verhalten Ihrer Besucher systematisch mit Scripts aus. Zum Teil aus legitimem Interesse, eventuelle Probleme in der eigenen Seite zu finden, zum Teil auch um die gewonnen Daten zu Profilen zusammen zu fassen und zu verkaufen. Bekanntester Vertreter solcher Schnüffelscripte ist Googles Adsense. Diese Scripte sind soweit erstmal nur ein Eindringen in die Privatsphäre, können jedoch auch zum Sicherheitsproblem werden, nämlich dann, wenn sie fehlerhaft sind. Da sie für uns Surfer keinen Vorteil bieten sollten wir sie abschalten. Dies macht die Erweiterung Ghostery. Sie wird ebenfalls mit einem Klick unter obigem Link installiert und ist genauso leicht zu konfigurieren wie Flashblock:

      

      

   3. Noscript:
      https://addons.mozilla.org/de/firefox/addon/722Noscript ist ein sehr mächtiges Addon, welches nahezu alle Scripte im Internet abfangen und von euch fernhalten kann. Dadurch wird man sowohl vor Cross-Site-Sripting als auch vor Clickjacking geschützt. Damit ist Noscript für Online-Banking per Webbrowser in meinen Augen ein Muss.
      Ferner schützt Noscript auch vor Werbung und insbesondere vor Flash-Popups jeder Art. Daher kann man bei Einsatz von Noscript auf die unter Punkt a) genannte Option des Flashblocks sowie alle Spielarten von Adblock absolut verzichten.Die Konfiguration ist dafür hier etwas umfangreicher, im Allgemeinen sind die Voreinstellungen breits brauchbar. Einige Webseiten werden nicht richtig angezeigt ohne Scripts, per Rechtsklick auf die betroffene Seite kann man jedoch einfach eine temporäre Ausnahmegenehmigung zum Ausführen von Scripts für bekanntermaßen ungefährliche Seiten erstellen.
      Im Folgenden meine Konfiguration:

      

      

      

      

      

      

      

      

      

1. Generell können aber auch diese Erweiterungen zum Sicherheitsproblem werden, sollten sie Programmfehler enthalten. Daher sollte man auch nicht wild jeden Schrott installieren. Die oben genannten Erweiterungen verwende ich jedoch bereits seit langem und kann sie nur wärmstens empfehlen. Weitere Erweiterungen wie Adblock zur Werbeunterdrückung benutze ich nicht – alle aufdringliche Werbung ist mit oben genannten Methoden garantiert gezähmt.
2. Letztendlich muss einem aber klar sein: 100%igen Schutz gibt es nie. Viele Gefahren lassen sich nur mittels eingeschaltetem Gehirn und einfachen, logischen Grundregeln umschiffen. Zu diesen Regeln zählen:
   1. Nie Programme aus fremder Queller öffnen. Mindestens den nächsten Punkt beachten!
   2. Alle von anderen erhalten Dateien zu ALLERERST mittels Antivirus scannen. Ich kann für Windows und halbwegs aktuelle Rechner Kaspersky Antivirus empfehlen. (Das reine Antivirus-Programm ist dabei in der Regel besser als die Komplett-Pakete „Internet Security“ o.ä.) Wer kein Geld ausgeben will, ist auch mit den kostenlosen Microsoft Security Essentials ganz gut bedient, diese bieten allerdings keine Verhaltenserkennung, sondern vergleichen nur mit Ihrer Liste an bekannten Schadprogrammen.
   3. Grundsätzlich wenn möglich Dateien meiden, welche Viren oder Makroviren enthalten könnten. Dazu zählen .com, .exe, .pif, .bat -Dateien, aber auch die MS-Office Dokumente, in letzter Zeit sind auch PDFs -zumindest wenn sie mit dem Original Acrobat Reader geöffnet werden- nicht mehr als sicher zu betrachten: Es gibt zu oft Sicherheitslücken im Acrobat Reader und Adobe ist recht nachlässig mit Updates. Ein anderer Reader wie Foxit Reader kann zur Sicherheit verwendet werden.
   4. Niemals im Internet echte Angaben zu Name, Adresse, Telefonnummer o.ä. machen. Für die Registierung in Foren u.a. legt man sich ein Pseudonym mit einer nur für das Pseudonym genutzen Email Adresse eines kostenlosen Anbieters wie www.googlemail.de zu. Bei der Erstellung dieses Email-Kontos gibt man selbstverständlich ebenfalls erfundene Daten an.
   5. Sollten für Internetkäufe, Onlinebanking und dergleichen doch mal echte Namen oder sonstige sensible Informationen übertragen werden, so MUSS eine verschlüsselte Verbindung verwendet werden. Dies erkennt man im Firefox an der golden eingefärbten Adressleiste sowie an der mit https:// (beachte das s) startenden Adresse.
   6. Niemand will einem etwas schenken. Bei Emailbetreffs wie „Sie haben gewonnen“ braucht man nicht mehr misstrauisch sein, da kann man schon SICHER sein, dass es virenverseuchter Müll ist.
   7. Sichere Passwörter verwenden und niemandem bekannt geben. Kein ernst zu nehmender Anbieter wie ebay oder eine Bank oder dergleichen fragt jemals per email nach einem Passwort.

Anmerkung:
Folgende Erweiterungen benutze ich über die oben genannte hinaus. Sie haben zwar keine Sicherheitsrelevanz, machen aber das Surfen zuweilen sehr viel angenehmer:

1. Download Helper: Läd z.B. Flash Videos von Youtube herunter, kann selbige auch als .avi konvertieren: https://addons.mozilla.org/de/firefox/addon/3006
2. Download Status Bar: Zeigt sehr übersichtlich und ohne Platz weg zu nehmen laufende Downloads an: https://addons.mozilla.org/de/firefox/addon/26
3. Tiny Menu: Gerade auf Netbooks oder sonstigen kleinen Bildschirm gewinnt man viel Platz durch Verkleinern der Firefox Menüleiste: https://addons.mozilla.org/de/firefox/addon/1455
4. Vertikal Tab Bar: Auf grossen 16:9 Bildschirmen hingegebn bleibt bei den allermeißten Webseiten ohnehin ein Teil des Bildschirms am rechten Rand ungenutzt. Was läge näher, als diesen Platz für die Anzeige der geöffneten Tabs zu Nutzen? So wird diese übersichtlicher. https://addons.mozilla.org/firefox/addon/8045