Anonymisieren mit Squid und Privoxy

Alle Standardbrowser verraten aufgerufenen Webseiten viele Informationen über das eigene System. Dazu gehören nicht nur HTTP-Headervariablen, sondern auch weitere Informationen, die Webmaster mit Flash- oder Javascript-Plugins und -Skripten auslesen können. Diese Daten zu speichern und mit bestehenden Profilen aus Shops oder sozialen Netzwerken zu kombinieren lohnt sich, glaubt man Untersuchungen von Forbes [1] oder den Ergebnissen von Online-Toolkits wie Swipe ([2], [3]).

Sparsam mit Daten

Wer Webseiten-Betreibern nicht so viele Daten überlassen oder etwa unerkannt die Auftritte der Konkurrenz durchstöbern will, muss seine Systeme auf Datensparsamkeit trimmen. Schon die Information, welche URL der Besucher zuletzt aufgerufen hatte, kann dem Server interessante Details offenbaren, vor allem wenn der Benutzer sich vorher in sozialen Netzwerken oder Foren aufhielt. In der Defaultkonfiguration übertragen alle Browser ungefragt die Information über die zuletzt besuchte Webseite im HTTP-Header »HTTP_REFERER« (Abbildung  1, [4]).

Abbildung 1: Diverse Anonymitätstests im Web zeigen eine lange Liste an Informationen, die Webseiten aus dem Browser auslesen können. Neben der Bildschirmauflösung und der aktuellen Fenstergröße findet sich da auch die lokale IP des Clients oder der HTTP-Referrer, der die zuletzt besuchte Website enthält.

Wer sich davor schützen will, sollte diese Daten mit Anonymisierungstools verschleiern. Das erste Ziel ist dabei immer der lokale Browser – und dessen Einstellungen sind leider meist nicht oder nur unzureichend als zentrale Vorgabe für das lokale Netz und alle seine Benutzer möglich. Awareness-Schulungen [5], innerbetriebliche Vereinbarungen und Dokumentationen für Anwender helfen dabei, den eigenen Browser mit Tools und Erweiterungen auf einen weniger gesprächigen Stand zu bringen.

Eine sinnvolle Maßnahme sollte beispielsweise Cookies nur für bestimmte Webseiten erlauben (Whitelist) und sie am Ende jeder Browsersession wieder löschen (keine Ever-Cookies). Werbe- und Flashblocker wie Adblock [6] oder Flashblock [7] gibt es für alle gängigen Browser. Sie sind ausgereift und stabil und bieten dem Anwender interaktiven Zugriff auf zunächst geblockte Inhalte: Flashblock verhindert beispielsweise, dass eine Webseite automatisch Flash-Inhalte lädt und dabei unerwünschte Daten überträgt. White- und Blacklists sind integriert, ebenso lassen sich gewünschte Multimedia-Inhalte mit einem einfachen Mausklick starten (Abbildung  2).

Abbildung 2: Ein Mausklick mehr - aber dafür starten Flash-Anwendungen erst, wenn der User zustimmt, und nur dann dürfen die so ausgewählten Programme Daten ins Web übertragen.

Browser-Addons

Gegen freche Datenabfragen mit Skripten helfen Firefox-Addons wie No  Script [8] oder Better Privacy [9], die sich zwar im Addon-Repository finden, aber nicht alseinfach zu konfigurieren erweisen.

Den Erfolg eines so optimierten Clients kann der Anwender auf Webseiten überprüfen, die aggressiv Informationen aus dem Browser auslesen und sie dann dem Surfer präsentieren. Gurusheaven (Abbildung 1, [10]) wertet alle verfügbaren Informationen inklusive der Browser-Historie und diverser Systemeigenschaften aus, IP-Check [11] die HTML-Header und Javascript-Variablen, während sich Ip.cc [12] den HTTP-Headern und der Qualität eines eventuell zwischengeschalteten Proxys widmet. Ist der richtig konfiguriert, liefert ein Anonymitätstest von http://www.ip.cc]den Vermerk: "Sie verwenden einen hochanonymisierenden (Elite) Proxy" (Abbildung 3).

Abbildung 3: Wer einen stark anonymisierenden Proxy oder eine sichere, auf Datensparsamkeit getrimmte Browserkonfiguration verwendet, bekommt beim Anonymitätstest von IP.cc diese Auskunft.