Fragen & Antworten: macOS, Browser, Sicherheit
Ich beantworte Leserfragen gerne öffentlich, weil sie vielleicht noch mehr Leute interessieren. Zum Beispiel diese.
Browser Sicherheit
Welche dieser beiden Browser-Konfigurationen ist auf einem Mac sicherer, um sich nichts im Netz einfzufangen?
- Firefox + NoScript + Https Everywhere
- Safari + JS Blocker + Sandbox von Apple
Kann die integrierte Sandbox mit Safari mehr schützen als die Firefox Add-Ons?
Safari hat nicht nur eine Sandbox pro Webseite/Tab und für andere Safari-Funktionen, sondern läßt standardmäßig auch jedes Plugins in einer eigenen Sandbox, dem sogenannten "Safe Mode", laufen. Plugins in Safari können so nicht auf die Dokumente und Daten des Benutzers zugreifen. Die installierten Internet-Plugins werden außerdem auf ihre Version überprüft von Safari und macOS. Wenn ein Plugin eine bekannte Sicherheitslücke hat, blockiert Safari seine Ausführung mit der sogenannten "Security Protection". Siehe dazu auch How to use Internet plug-ins in Safari for Mac. Die forcierten Versionen für Internet-Plugins kann man sich mit meiner WallsOfTroy.app ansehen.
Bei Firefox sehe ich im Activity Monitor nur eine gemeinsame Sandbox für alle Tabs und das Flash-Plugin verwendet auch keine. Firefox blockiert ebenfalls verwundbare Plugin-Versionen.
Generell ist es eine gute Idee, alle aktiven Inhalte inklusive JavaScript per Default zu blockieren und nur gezielt freizugeben.
Den Sinn von Https Everywhere, das dafür sorgen soll, automatisch auf https zu wechseln, sofern verfügbar, auch wenn man http eingeben hat, sehe ich zwar, aber ich halte es für obsolet, denn ich kann mit Safari und Firefox auf die http Adressen von google.de oder heise.de gehen und werde auch so auf https umgeschaltet. Https Everywhere ist also nur nützlich, wenn es eine Seite gibt, bei der das nicht von allein und nur mit dem Plugin klappt.
Wenn einem HTTPS-Verbindungen wichtig sind, sollte man darauf achten, daß sie nicht kompromittiert werden. Antivirus-Software kompromittiert HTTPS-Verbindungen und macht sie angreifbar. Google und Mozilla warnen vor dramatischen Sicherheitsproblemen bei HTTPS durch AV-Software. Und ein Ex-Firefox-Entwickler rät zur De-Installation von AV-Software.
Auch wenn man bei Safari Plugins pro Seite konfigurieren kann, ist mir das doch zu wenig. Bei Firefox habe ich nicht gefunden, ob man ein aktuelles, sicheres Plugin pro Webseite deaktivieren kann. Zumindest nicht mit Bordmitteln, mit speziellen Add-Ons geht es. Darum empfehle ich für beide Browser eine Erweiterung zu installieren, die einzelne Flash-Inhalte oder generell aktive Inhalte nur auf Klick startet. Warum? Weil selbst eine vertrauenswürdige Webseite Malware servieren kann, wenn sie beispielsweise Werbung von außen einbindet, die jederzeit bösartige aktive Inhalte haben kann. Oder die Webseite wurde angegriffen und mit Malware verseucht. Darum ist es besser, auch innerhalb einer Seite nur gezielt aktive Inhalte zu starten. Flash mit Malware kommt in der Regel versteckt und nicht klickbar daher.
Safari hat gegenüber Firefox den Vorteil, daß er automatisch über den Mac App Store aktualisiert wird. Chrome ist auch ein guter Browser mit Entwicklern, die Sicherheit sehr ernstnehmen.
Egal für welchen Browser man sich entscheidet, ein Punkt ist grundsätzlich wichtig: Stellt sicher, daß per Default keine aktiven Inhalte, also JavaScript und Plugins, ausgeführt werden. Deren Auswirkung ist zwar bei einigen Browsern durch Sandboxing begrenzt, aber man sollte nicht per Grundregel alles erlauben. Whitelisting ist besser als Blacklisting. Letzteres funktioniert nicht, weil immer neues Böses dazu kommt.
Und verwendet keine Antivirus-Software, denn AV verhindert z. B. Firefox-Sicherheits-Updates und ruiniert ASLR im Browser.
Mein persönlicher Favorit ist Safari.