Single post

Google Cookie trotz „Self-Destructing Cookies“-Plugin: Die Firefox „Malware protection“

Für Firefox gibt es das großartige „Self Destructing Cookies“-Plugin (SDC). Es löscht 10 Sekunden nach dem Schließen des letzten Fensters einer Website alle Cookies, die diese angelegt hat. Das ist eines der wichtigsten Werkzeuge, um sich den Tracking Services im Netz zu entziehen. Anders als wenn man Cookies komplett ausschaltet, bleibt durch diese Lösung die Funktionalität der Webseiten erhalten – viele beschweren sich ja oder arbeiten gar nicht mehr, wenn sie keine Cookies anlegen dürfen. (Cookies von anderen Domains, also Dritt-Partei-Cookies, würde ich dagegen immer ausgeschalten.)

Ich nutze SDC seit langem und setze es auch strategisch ein: Wenn ich – um das Standardbeispiel zu nehmen – erst nach einer Krankheit suche und dann nach einer Lebensversicherung, dann schließe ich nach der ersten Suchsession alle Suchfenster, warte bis 10 Sekunden später die Meldung erscheint, dass die Cookies gelöscht wurden, und starte dann die zweite Suche etc. Der Cookie-Destruction-Mechanismus ist so in meine Intuitive Planung eines Benutzungsablauf eingebaut, dass ich mich darauf verlasse.

Aber, oh weh, ich sehe heute in Firefox unter Edit -> Preferences -> Privacy -> Show Cookies, dass ich die ganze Zeit google.com und google.de-Cookies gespeichert habe. Obwohl gerade kein Google-Tab offen ist und das SDC-Plugin läuft. Wie kann das sein?

Ergebnis einer kurzen Recherche: Firefox selbst nutzt per Default einen Google-Service, durch den es im Hintergrund eine Verbindung mit Google aufbaut. Dabei wird das berühmte „PREF“-Cookie von Google hinterlegt, welches auch nicht von SDC gelöscht wird. Bei diesem Firefox-„Service“ handelt es sich um das automatische Warnsystem vor Malware und Pishing-Seiten (ist bei mir noch nie in Aktion getreten, in 20 Jahren Internetbenutzung habe ich keine solche Warnung gesehen).

Dazu lernen wir auf https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work :

Phishing and Malware Protection works by checking the sites that you visit against lists of reported phishing and malware sites. These lists are automatically downloaded and updated every 30 minutes or so when the Phishing and Malware Protection features are enabled.
[…]

There are two times when Firefox will communicate with Mozilla’s partners [das heißt: Google] while using Phishing and Malware Protection. The first is during the regular updates to the lists of reporting phishing and malware sites. No information about you or the sites you visit is communicated during list updates. The second is in the event that you encounter a reported phishing or malware site. Before blocking the site, Firefox will request a double-check to ensure that the reported site has not been removed from the list since your last update.

The Mozilla Privacy Policy [Link] describes what data Firefox and Mozilla each receive and how it’s handled. The Google Privacy Policy [Link] explains how Google handles collected data.

Deaktivieren der Funktion

Bevor wir uns aufregen: Man kann das ausschalten unter Edit -> Preferences -> Security. Dort gibt es die beiden per Default aktivierten Optionen
[ ] Block reported attack sites
[ ] Block reported web forgeries.

für Firefox 45, bei Firefox 49 wurde das umbenannt in:
[ ] Block dangerous and deceptive content
[ ] Block dangerous downloads
[ ] Warn me about unwanted and uncommon software
Diese Optionen müssen alle ausgeschaltet werden.

Warum ist die Malware-Protection gefährlich?

Es wäre wohl angebracht, diese Optionen mit einem Hinweis zu versehen, dass diese Funktionen a) alle 30 Minuten im Hintergrund eine Verbindung zu einem Mozilla-Server aufbauen und eine Liste mit als „safe“ und als „malware“ klassifizierten Seiten herunterladen, b) wenn man eine solche Seite besucht, „Google’s Safe Browsing service“ kontaktiert wird, um bei Google nachzufragen, ob die Seite auch wirklich „safe“ bzw. „malware“ ist. Außerdem ist zu beachten, diese Optionen sind per Default aktiviert.

Das heißt also: Firefox und Google haben eine Infrastruktur geschaffen, vermittels derer Google eine Liste mit Domains bereitstellen kann, die sich alle Firefox-Browser auf der ganzen Welt alle 30 Minuten runterladen. Und Firefox kontaktiert Google, wenn immer eine der Domains auf dieser Liste besucht wird. Natürlich sind auf dieser Liste nicht alle Milliarden im Netz verfügbaren Seiten aufgeführt – die wäre ja dann viel zu groß. Aber tja, was könnten wohl für Seiten da drauf stehen? Sicherlich „Malware“-Seiten, …? Und … sonst? Wer garantiert, dass es nicht hier und da auch mal vielleicht politisch unerwünschte Seiten sind, kritische, subversive, vom Mainstream unerwünschte Foren und dergleichen? Und wer entscheidet darüber überhaupt?

Diese Infrastruktur ist nicht einfach nur eine Maleware-Protection, sondern eine umfassende Meldeinfrastruktur: Man kann sie dazu benutzen, dass innerhalb von 30 Minuten alle Firefox-Browser auf dieser Erde dazu gebracht werden, den Besuch einer bestimmte Seite an Google zu melden! Mit IP-Adresse, HTTP-Header und wer weiß was noch an Informationen. Ohne dass der Benutzer der Seite das merkt! Dazu müsste man die Seite nur als „safe“ da drauf setzen, oder als „malware“ und Google gibt dann aber bei der Rückbestätigung zurück, dass es sich (ups…) doch nicht um Malware handelt – so dass Firefox die Seite anzeigt und der Nutzer nichts von der Meldung merkt. Scheiße Mann!

Selbst überprüfen, ob die Malware Protection ausgeschaltet ist

Um zu sehen, ob die Malware-Protection aktiv ist und was für Verbindungen sie aufnimmt, kann man selbst ein bisschen mit seinem Firefox herumspielen und einiges herausfinden: Ruf mal about:networking auf (in der URL-Zeile von Firefox). Ein nützliches Feature: Es zeigt alle aktuellen Netzwerkverbindungen an, die Firefox unterhält. Für eine neu gestartete Firefox-Instanz, ohne eigentlich eine Seite aufgerufen zu haben, sieht das folgendermaßen aus, wenn die Firefox Malware-Protection nicht abgeschaltet ist:

Wenn ich, wie oben beschrieben, in den Einstellungen die Optionen für die Malware-Protection ausschalte und den Browser dann neu starte, ist die Liste leer:

Allerdings, noch eine interessante Randbeobachtung: Wenn ich jetzt irgendeine Seite aufrufe, z.B. Spiegel Online, dann ist Google wieder auf der Liste aktiver Netzwerkverbindungen, und zwar gleich mehrfach. Wohlgemerkt: In einem Browser, der neu gestartet wurde und als einzige Seite spiegel.de aufgerufen hat. Sehr viele Seiten im Netz nehmen im Hintergrund eine Verbindung mit einem Google-Server auf, weil sie z.B. Google Analytics benutzen, Google Schriftarten oder JavaScript-Bibliotheken von Google einbinden. Übrigens gilt das (leider) auch für Block011 – nicht Analytics, aber Schriftarten und Bibliotheken bindet unser WordPress-Theme von Google-Servern ein.

Nächste Entdeckung, noch interessanter: Ruf mal about:config auf und suche nach „safebrowsing“. So heißt das Malware-Protection Feature nämlich intern. Da findet man alle Einstellungsvariablen, die dem Zugrunde liegen, und das sind mehr als nur die beiden in dem Preferences-Dialog mit einem Kästchen abgebildeten. Hier findet man insbesondere, dass die Google-Adressen zum Report der besuchten Webseiten fest eingestellt sind. Man kann die Variablen hier alle löschen, wenn man das Safebrowsing nicht möchte.

Und das bringt auf die Idee: Warum nicht mal nach „google“ suchen in about:config? Die Suche läuft nicht nur über die Variablennamen sondern auch über die Werte. Man findet dann, wo Google-Server noch alles als Default eingestellt sind – bei mir glaub ich aber nichts Spektakuläres mehr.

Kapitulation für das Datenschutz-Nerdtum

Das Safebrowsing-Feature ist ein gutes Beispiel dafür, dass man sich beliebig lange damit beschäftigen kann, noch ein Browser-Plugin und noch einen Anonymisierungs-Service zu installieren. Seine Internetzugriffe unter Kontrolle zu halten ist trotzdem ein instabiler Zustand. Irgend ein unbedachtes Ding im Hintergrund, irgendeine Option, die man nicht auf dem Schirm hat, irgend eine neueste Entwicklung reicht aus, um ihn zu gefährden. Das ist die fundamentale Asymmetrie in der Kriegsführung, die schon im eigenen Wohnzimmer beginnt: Man weiß nichtmal, was auf seinem Linux-Rechner alles los ist. Nichtmal google.* in /etc/hosts nivellieren wird helfen, weil man nicht weiß, über welche Domains Google noch verfügt und welche anderen Services außer Google man ebenfalls bannen sollte. Die Idee der Bannung selbst, die Idee, man könnte sich der „Macht“ in ein Außerhalb entziehen, ist bekanntlich falsch.

Nochmal zurück zu SDC

Nachdem ich das Safebrowsing-Feature ausgeschaltet habe, wird das Google.de-Cookie von SDC gelöscht, nachdem ich alle Google-Fenster schließe. Nicht aber, wenn ich einem Google-Suchresultat folge. Also: Ruf google.de auf, such nach Hallo, nimm den ersten Link. Es ist dann kein Google-Fenster mehr offen, aber das Google Cookie wird nicht gelöscht. Auch wenn ich von der nun aufgerufenen Seite wiederum einen Link auf eine andere Seite nehme, wird das Google-Cookie nicht gelöscht. Google kann mich nach wie vor eindeutig identifizieren. Es scheint, als würde SDC das Cookie solange leben lassen, wie eine Verweisungskette von der Ursprünglichen Seite existiert, solange man also mit dem Zurück-Button dahin zurück kehren könnte.

Das muss man unbedingt wissen und einkalkulieren! Und, ist das ein Bug oder ein Feature von SDC?

Links

Der Zusammenhang mit dem Self Destructing Cookies“ (SDC) Plugin – also dass die Google-Cookies wegen der Malware-Protection von SDC nicht gelöscht werden – wurde im Forum von SDC aufgedeckt: https://addons.mozilla.org/en-US/firefox/addon/self-destructing-cookies/reviews/?src=api&page=2 .

Hier ist noch ein anderer Forenthread zu dem Thema in Bezug auf Firefox: https://www.reddit.com/r/privacy/comments/2w3bz7/firefox_how_firefoxs_safebrowsing_feature_sends/ .

theme by teslathemes