Sicherheitstipps für Firefox-Nutzer

Für Firefox gibt es tausende mehr oder minder nützliche Erweiterungen. Die zuverlässigste Quelle für den Download bzw. die Installation dieser Add-ons ist die offizielle Mozilla-Seite https://addons.mozilla.org/de/ .

Die wichtigste Sicherheitsmaßnahme ist die Aktualität des Browsers. Bei praktisch jedem Update werden Sicherheitslücken behoben. Daher sollte Firefox unbedingt Updates automatisch durchführen können.

Womöglich noch wichtiger ist die Aktualität aller installierten Plugins, insb. von Adobe Shockwave Flash, Adobe Reader (eigentlich überflüssig, da Firefox PDFs auch so darstellen kann), Java (nicht mit JavaScript verwechseln!) und Apple QuickTime.
Veraltete Plugins mit Sicherheitslücken erlauben beim Aufruf manipulierter Webseiten eine unbemerkte Installation von Malware (Trojaner, Viren, Keylogger, Spambots, Rootkits).
Das extrem unsichere Java-Plugin ist standardmäßig sogar deaktiviert und sollte es auch bleiben. Es wird weder für die Wiedergabe von Videos noch für andere sinnvolle Zwecke benötigt (mit sehr wenigen Ausnahmen) und ist für über 90% der Drive-by-Infektionen verantwortlich. Den Status der Plugins kann man unter Einstellungen → Add-ons → Plugins überprüfen und ändern.

Seit Version 23 wurden leider einige sicherheitsrelevante Optionen aus der Benutzeroberfläche entfernt. Man kann sie aber weiterhin durch den Aufruf der Konfiguration in der Adresszeile mit about:config erreichen. Beim ersten derartigen Aufruf erscheint eine Sicherheitsabfrage Hier endet möglicherweise die Gewährleistung - Ich werde vorsichtig sein, versprochen. Diese ist zu bestätigen, bevor man weitermachen kann.

Zunächst aber zu den einfacher durchführbaren Einstellungen, die die Sicherheit erhöhen:

In die Einstellungen führen mehrere Wege:

• Bei einer frischen Standardinstallation mit Firefox-Startseite über die untere Menüzeile auf der Startseite: EINSTELLUNGEN (Zahnradsymbol).
• Oben rechts in der Symbolleiste des Programmfensters über das Symbol mit den drei waagerechten Balken → Einstellungen
• Nach Einblenden der standardmäßig versteckten oberen Menüleiste durch Drücken der Taste <ALT> oder Rechtsklick in diesem Bereich und Setzen des Häkchens vor Menüleiste über den Menüpunkt EXTRAS &#8594; Einstellungen

Reiter Allgemein:
Abschnitt Downloads: Jedes Mal nachfragen, wo eine Datei gespeichert werden soll.
Dies verhindert unbemerkte bzw. nicht nachvollziehbare Speicheraktionen und erlaubt vor Beginn der Aktion einen vergleichenden Blick auf tatsächlichen Dateinamen (und vor allem die Dateiendung!), Dateigröße und Herkunft der Datei.

Reiter Inhalt: Pop-up-Fenster blockieren (Standard)

Reiter Datenschutz:
Abschnitt Chronik

Firefox wird eine Chronik [nach benutzerdefinierten Einstellungen anlegen]
Cookies von Drittanbietern akzeptieren: [nur von besuchten Drittanbietern]
Behalten bis: [sie nicht mehr gültig sind/Firefox geschlossen wird]

Wer besonderen Wert auf Privatsphäre legt, weil der PC von mehreren Personen benutzt wird, sollte folgende Option beachten:

[x] Chronik löschen, wenn Firefox geschlossen wird [Einstellungen...] &#8594; dort auswählen, welche Daten zu löschen sind

Reiter Sicherheit:
Im oberen Bereich sollten alle Häkchen gesetzt bleiben. Haben mehrere Personen Zugriff auf den PC, empfiehlt sich ein Masterpasswort.

Reiter Erweitert:
Tab Netzwerk: [Einstellungen...]
Versehentlich installierte Adware, Browser-Hijacker und andere Malware, aber auch legitime Add-ons könnten hier ggf. die Nutzung eines Proxyservers festgelegt haben. Wenn Zweifel an der Legitimität dieser Einstellung bestehen, sollte hier die Option KEIN PROXY gewählt werden.

Für die essenziell wichtigen Programmupdates ist im Tab Update die erste Option mit gesetzem Häkchen für die Warnung für Add-ons zu wählen.

Nun zu den oben erwähnten, schwieriger erreichbaren Einstellungen, die überwiegend Einfluss auf das JavaScript-Verhalten haben.

Nach Aufruf von about:config sollte man in der Zeile Suchen nach dom.disable filtern lassen und dann folgende Einträge prüfen:

• dom.disable_window_flip;true (verbietet: Fenster vor oder hinter andere Fenster legen)
• dom.disable_window_move_resize;true (verbietet: Existierende Fenster verschieben oder deren Größe ändern)
• dom.disable_window_open_feature.close;true (verbietet: Schließen-Button von Fenstern verstecken)
• dom.disable_window_open_feature.location;true (verbietet: Adresszeile verstecken)
• dom.disable_window_open_feature.menubar;true (verbietet: Menüleiste verstecken)
• dom.disable_window_open_feature.minimizable;true
• dom.disable_window_open_feature.personalbar;true
• dom.disable_window_open_feature.resizable;true
• dom.disable_window_open_feature.status;true (verbietet: Statusleiste verstecken)
• dom.disable_window_open_feature.titlebar;true
• dom.disable_window_open_feature.toolbar;true
• dom.disable_window_status_change;true (verbietet: Statuszeilentext ändern)

Sowie

• dom.event.contextmenu.enabled;false (verbietet: Kontextmenü einer Seite deaktivieren oder ersetzen)

Diese Maßnahmen verhindern eine weitgehende Manipulation des Browsers zum Schaden des Nutzers, z.B. im Falle des ungewollten Aufrufs einer Webseite, die mit "Browlock", dem Nachahmer des BKA-Trojaners, Unerfahrene abzuzocken versucht.

Um den Browser weiter abzusichern, empfiehlt sich die Installation und Konfiguration einiger wichtiger Add-ons. Dazu gehören vor allem NoScript, AdBlock Plus oder alternativ AdBlock Edge sowie WOT (Web Of Trust).

NoScript blockiert bei jeder bisher nicht besuchten Seite standardmäßig ALLE JavaScripte solange, bis der Benutzer einzelne Scripte (bzw. deren Herkunfts-Domain) für dieses eine Mal (temporär) oder dauerhaft erlaubt hat. Dies erfordert also eine gewisse Einarbeitungszeit, bis man alle regelmäßig besuchten Seiten durch hat. Scripte sollten nur dann erlaubt werden, wenn ohne sie die Seitenfunktionalität deutlich eingeschränkt wird, z.B. die Navigation oder der sonstige Wechsel von Inhalten nicht funktionieren. Die meisten Scripte dienen nur dazu, Werbung einzublenden. Erkennbar sind die zugehörigen Domains, die im NoScript-Menü aufgelistet werden, oft an Begriffen wie AD, ADSERVER, CLICK o.ä. Etwas Übung gehört beim Konfigurieren dazu, aber nach spätestens einer Woche sollte das Routine sein.

AdBlock Plus filtert mit einer oder mehreren Filterlisten, die man abonnieren kann, Werbeinhalte aller Art. Empfehlenswert sind die Filterlisten Easy List Germany und EasyPrivacy. Durch Entfernen des Häkchens vor Einige nichtaufdringliche Werbung zulassen in ABP bei den Filtereinstellungen vermeidet man auch solche Werbung, die ABP sonst tolerieren würde. Das Add-on kann mit dem Zusatz Element Hiding Helper ergänzt werden. Dieser Zusatz erlaubt das gezielte Entfernen einzelner Seitenbestandteile wie z.B. Social Media Buttons von Facebook, Google+ & Co. oder Werbeinhalte, die sich sonst nicht filtern lassen.

WOT liefert eine reputationsbasierte Bewertung von Webseiten mit einem Ampelsystem und warnt vor Seiten, die anderen Benutzern häufig negativ aufgefallen sind. Allerdings sind diese Bewertungen bisweilen sehr subjektiv und hinken der aktuellen Entwicklung weit hinterher. Neu entstandene Fake-Webshops o.ä. können so nicht zuverlässig erkannt werden. Für einen groben Überblick bei einer Google-Suche reicht es aber allemal.