Tracking-Minderung durch DNS Black List (DNSBL)

[BenutzerGa4gooPh]

Hallo zusammen!
Nutzt jemand zum Schutz gegen Tracking (und attackierende Websites) DNS Black Lists?
Welche Listen sind für Desktop-PC empfehlenswert?
Welche Listen sind auch gegen das Nach-Hause-Telefonieren von Android sinnvoll? (Global auf Router/FW hinterlegt.)

Anmerkungen:
1) Viele Listen werden von Serverbetreibern (insbesondere Mailserver) gegen Spam und Angriffe genutzt. Als privater Desktopnutzer (Schutz gegen Tracking, Nach-Hause-Telefonieren) benötigt man m. E. andere. Ein Desktop-PC hat ja keine offenen Ports und Spam/Viren kommen via Mailanbieter. Angriff auf FW kann von jedem korrumpiertem Rechner erfolgen.
2) Auf einem PC genügt im einfachsten Fall eine bewusste Fehlaufloesung per /etc/hosts:

Code: Alles auswählen

127.0.0.1 debianforum.de

... und tschüss Debianforum. (Eine nicht vorhandene, private IP ist vlt. besser.)
3) Für mehrere PCs, Smartphones wird das Pflegen/Aktualisieren anstrengend, deshalb besser auf Router/FW.
Beispiel: http://benoliver999.com/technology/2016 ... pfblocker/
4) Für Tracking-Minderung geeignete Listen http://winhelp2002.mvps.org/hosts.htm und https://easylist.to ???
5) Weitere Infos : https://en.m.wikipedia.org/wiki/DNSBL und https://zeustracker.abuse.ch/ztdns.php

Wie beurteilt ihr das Ganze?

LG Jana

[smutbert]

Am Desktop habe ich in der /etc/hosts/hosts eine Liste gegen Google Analytics und eine, die Facebook komplett lahmlegen sollte. Beide habe ich mir aber schon lange nicht mehr angesehen.

Unter Android lass ich mir zusätzlich von adaway alles mögliche gegen Werbung eintragen, wobei ich zugeben muss, dass ich nicht überprüft habe, was der da alles einträgt (winhelp2002 ist aber dabei) sondern nur ein paar Mal, dass wirklich nur geblockt (0.0.0.0 oder 127.0.0.1) und nicht irgendetwas auf falsche möglicherweise existierende IP-Adressen umgeleitet wird.

Sonst habe ich im Browser am Desktop nur zusätzlich einen Werbeblocker aktiviert, wobei ich mir wie unter Android nicht näher angesehen habe, was da alles geblockt wird sondern ebenfalls nur versucht habe sicherzugehen, dass nichts auf existierende IP-Addressen umgeleitet wird.

[spiralnebelverdreher]

Hallo zusammen!
Nutzt jemand zum Schutz gegen Tracking (und attackierende Websites) DNS Black Lists?
....
Wie beurteilt ihr das Ganze?

LG Jana

Ich denke, dass das eine wichtige und wirkungsvolle Maßnahme gegen Tracking sowie gegen Malware ist.

Nutzt jemand zum Schutz gegen Tracking (und attackierende Websites) DNS Black Lists?

Ja, ich zum Beispiel.

Welche Listen sind für Desktop-PC empfehlenswert?

Gute Frage. Bei einem Blick in diese langen Listen kommt natürlich der Gedanke auf, ob da nicht inzwischen uralte Seiten enthalten sind die heute gar nicht mehr in Betrieb sind. Die mvps Liste hast du schon genannt und ich persönlich habe damit gute Erfahrungen gemacht.
Hier hat jemand so was für ein Heimnetz mit dem Raspi gemacht: http://jacobsalmela.com/block-millions- ... -hole-2-0/ und für diesen Zweck Skripte geschrieben, die dessen /etc/hosts datei regelmäßig aktualisieren und dabei verschiedene Quellen verwenden. Das kannst du natürlich auch auf einen einzelnen Desktoprechner anwenden.

Welche Listen sind auch gegen das Nach-Hause-Telefonieren von Android sinnvoll? (Global auf Router/FW hinterlegt.)

Da habe ich keine Erfahrung. Schlimmstenfalls wirst du das mit wireshark mal beobachten und analysieren müssen, und das dann bei jeder neu installierten App oder nach jedem Update wiederholen. Mühsam, aber sehr erhellend. Nachdem ich das mit meinem "Smart TV" gemacht habe wurde diesem sofort per Firewallregel jegliche Kontaktaufnahme nach außen untersagt. Viel zu viel Datenverkehr an ARD, ZDF, Google und Co und das obwohl ich keinerlei Einwilligungshäkchen in den Einrichtungsdialogen gesetzt hatte.

[BenutzerGa4gooPh]

Danke für eure AWs. Ich habe mal experimentiert und das DNS-Blocking für http://winhelp2002.mvps.org/hosts.htm und https://easylist.to verglichen. Dabei habe ich jeweils eine auf der FW (PFSENSE, Paket pfblockerNG [1]) aktiviert und dann (halbwegs) die gleichen Seiten angesurft (FF ohne Blocker). Die angesurften Websites habe ich absichtlich gewählt, weil oft genutzt und Tracking vermutet.

Hinweis: Experiment 2 ab Zeile 285, ich hätte besser 2 nopastes tun sollen.
pastebin.php?mode=view&s=39620

Unser Surfverhalten wird gut überwacht - und das bei etwa 30 Seitenaufrufen pro Experiment!!!
Beide Blockierlisten ergänzen sich bei Kombination, in nopaste nicht dargestellt. Die Anzahl gesperrter Domains ist wichtig, nicht die Gesamtzahl von Treffern. Beim 1. Experiment hatte ich eine Seite dabei, auf der ständig wechselnde Werbung gezeigt wurde.

Ich stelle mal folgende Thesen auf:
1. Richtige Blockierlisten helfen gegen Tracking. Niemals vollständig, aber es kehrt Ruhe in den Router-Logs (abgehender Verkehr) ein.
2. Blockierlisten dienen unterschiedlichen Zwecken und Interessen: Für Serverbetreiber Angriffsschutz, für Mailserver zusätzlich Spamschutz. Privatverbraucher hinter NAT-Router und ohne offene Ports benötigen eher Tracking-Schutz und Werbeblocker für abgehenden Traffic. Des Weiteren ist die Zweckmäßigkeit von den anzusurfenden Zielen abhängig und damit von der Sprachfähigkeit der Surfer abhängig.
3. DNS-basiertes Blocking hilft bei Änderung von IPs der Tracker
4. Entsprechende FW-Regeln aufgrund eigener Analysen kann man wohl nie aktuell halten und kommt auf das Surfverhalten an. Wer weiß, was morgen ist, was Familienmitglieder tun. (NAT lässt alles nach aussen, nutzt gegen Tracking nichts.)
5. DNS-Blocker auf der FW sind leichter aktualisierbar und schützen das gesamte interne Netz.
6. ständige Aktualisierung und die Wahl der richtigen BlockierListe ist wichtig. Man kann Blockierlisten kombinieren. Ich tue es derzeit mit den obigen, sie ergänzen sich.
7. Blockierlisten für Werbung und Tracking sind unerwünscht. Nicht nur für die werbenden Firmen, sondern auch für Portalbetreiber. Die Abrechnung erfolgt unterschiedlich nach Klicks auf die Portalseite mit Werbung, noch BESSER bezahlt ist der Klick mit Weiterleitung zur werbenden Firma/Produkt.
http://www.zanox.com/de/unsere-loesungen/tracking/
https://www.affili.net/de/publisher/plattform/tracking
https://www.netslave.de/funktionen.html
usw. Google-Stichworte tracking affiliate.
Damit könnten viele Blockierlisten absichtlich unvollständig sein. Entweder weil die Anwender (Serverbetreiber) nicht das Gleiche benötigen wie Privatanwender oder weil wirtschaftliche Interessen entgegenstehen und damit Freikäufe getätigt werden.

Falls noch einer mehr zu den "Richtigen Blockierlisten" für Privatanwender weiß, würde sicher nicht nur ich mich freuen.

LG von Jana an alle Aluhüte
(Jana wird sich in nächster Zeit damit befassen, was mit Squid so geht ... )

[1] https://www.fredmerc.com/2016/07/pfsens ... rng-guide/

PS: Ein Hinweis an die Nutzer von PFSense: Bei Nutzung mit SD-Karte/USB-Stick bzw RAM-Disks sind Logs und DB im RAM. Die verschwinden bei Reboot/Stromausfall bis zum nächsten Cronjob für die Aktualisierung von PfblockerNG/DNSBL.
(Hat aber sein Gutes, wenn man schnell Logs loswerden will/muss ... . )

[BenutzerGa4gooPh]

Gerade überlegt: Die von euren FF-Addons/Plugins genutzten Listen müssten wenigstens auch meine Tracker-Hits enthalten/blocken: pastebin.php?mode=view&s=39620
Die angesurften Websites waren ja nicht sooo ungewöhnlich.

PS: Ghostery und Alternative:
https://www.selbstdatenschutz.info/tracking_verhindern/
(Browser-Fingerprint kann man - neben Tor - wohl mit eigenem Proxy verhindern/verfälschen. Transparenter Proxy geht logischerweise nicht für https.)

Auch für FF unter Android: http://www.com-magazin.de/news/firefox/ ... 47058.html
Mozilla-Doku: https://wiki.mozilla.org/Security/Tracking_protection (per about:config)
Fritzbox, TV: http://www.hifi-forum.de/viewthread-151-29196.html

Es ist schwer, Anti-Tracking-Listen zu finden (im Gegensatz zu Spam-Listen). Wirtschaftliche Interessen halt.
Fraunhofer für Microsoft https://www.sit.fraunhofer.de/de/tpl/ und nicht einzeln downloadbar???
Google ist vmtl für diese Suche ungeeignet.

Noch was Nettes gefunden: http://pgl.yoyo.org/adservers/
Und hier : https://forum.pfsense.org/index.php?topic=102470.15 (Gibt wohl noch mehr Aluhuete. )
Und ein spezieller Proxy: https://wiki.ubuntuusers.de/Privoxy/

[spiralnebelverdreher]

Falls noch einer mehr zu den "Richtigen Blockierlisten" für Privatanwender weiß, würde sicher nicht nur ich mich freuen.

Der von mir oben verlinkte Jacob Salmela benutzt in seinem Projekt "Pi-hole" diese Listen https://github.com/pi-hole/pi-hole/blob ... ts.default und verweist weiterhin "at your own risk" noch auf folgende Listen:

• •http://cdn.files.trjlive.com/hosts/hosts-v8.txt
  •https://s3.amazonaws.com/lists.disconne ... acking.txt
  •https://s3.amazonaws.com/lists.disconne ... ple_ad.txt
  •https://zeustracker.abuse.ch/blocklist. ... nblocklist
  •http://sysctl.org/cameleon/hosts
  •http://securemecca.com/Downloads/hosts.txt
  •https://hosts.neocities.org/
  •http://tcpdiag.dl.sourceforge.net/proje ... /HOSTS.txt
  •http://optimate.dl.sourceforge.net/proj ... /HOSTS.txt
  •http://mirror1.malwaredomains.com/files/justdomains
  •https://raw.githubusercontent.com/reek/ ... ilters.txt
  •http://spam404bl.com/spam404scamlist.txt
  •http://malwaredomains.lehigh.edu/files/domains.txt
  •http://download.networktoolbox.de/dnsmasq.conf.tail
  •http://jansal.googlecode.com/svn/trunk/adblock/hosts
  •http://www.sa-blacklist.stearns.org/sa- ... st.current
  •https://easylist-downloads.adblockplus. ... s_full.txt
  •https://easylist-downloads.adblockplus. ... rivacy.txt
  •https://easylist-downloads.adblockplus.org/easylist.txt
  •https://easylist-downloads.adblockplus. ... oyance.txt
  •http://www.fanboy.co.nz/adblock/opera/urlfilter.ini
  •http://www.fanboy.co.nz/adblock/fanboy-tracking.txt

Dass das Blockieren über DNS bei Portal- und Seitenbetreibern nicht gerne gesehen oder gegenmaßnahmen auslöst ist - witschaftlich gesehen - klar. Solange aber über diese Ad-Server auch bewusst und aktiv Malware verbreitet wird und die Kooperationspartner (Zeitungen bspw.) sich diesem Problem in keinster Weise annehmen, bleibt aus meiner Sicht nur die Gegenwehr.

[BenutzerGa4gooPh]

Dass das Blockieren über DNS bei Portal- und Seitenbetreibern nicht gerne gesehen oder gegenmaßnahmen auslöst ...

Die Bildzeitung als eines meiner Versuchstiere (warum wohl ) meckert schon und ich freue mich über gelungene Versuche. Natürlich analysiere ich anders, aber heute morgen war es DAS Erfolgserlebnis und DER Lacher beim testweisen Aufruf! Die Site hat auch gleich verklickert, wie ich Blocker deaktiviere.
Deine Liste(n) werde ich nächste Woche testen, danke. Ich schreibe dann noch eine kleine Zusammenfassung.

Ein wunderschönes, Werbe- und trackingarmes WE Dir und allen Schreibern und Lesern!
(Dezente Werbung ohne Tracking würde ich ja akzeptieren, aber sooo nicht.)

[TomL]

Moin Jana

Ich lese interessiert mit... aber so richtig erschließt sich mir das leider nicht. Ist eine Blacklist in der Hosts hinsichtlich des Ergebnisses etwas anderes, als zum Beispiel eine Blacklist in "ublock origin"?

[spiralnebelverdreher]

Moin Jana

Ich lese interessiert mit... aber so richtig erschließt sich mir das leider nicht. Ist eine Blacklist in der Hosts hinsichtlich des Ergebnisses etwas anderes, als zum Beispiel eine Blacklist in "ublock origin"?

Die Einträge in der Date /etc/hosts wirken nicht nur auf den Browser, sondern auf alle Programme und Protokolle (z.B. ftp, ftps, ping, ...) die Namensauflösung benötigen, während ein Add-On im Browser nur dort wirkt. Ob die Listen von Inhalt her unterschiedlich sind kann man wohl immer nur punktuell beantworten, da sie ja von unterschiedlichen leuten nach unterschiedlichen Kriterien gepflegt werden.

[BenutzerGa4gooPh]

Hi Thomas, besser als Spiralnebelverdreher kann ich auch nicht antworten. Nur noch soviel: Auf meinem dediziertem Router/FW mit eigenem DNS-Server gilt das zusätzlich für alle Geräte im Netz, einschl. Smartphones.

Der Blocker von PFSense (PfblockerNG) arbeitet mit dem DNS-Server unbound zusammen. Zusätzlich wird eine virt. IP erzeugt, auf der ein Webserver läuft. Dieser liefert bei Anfragen eine Grafik mit einem Pixel. So sieht man beim Aufruf von Websites mit geblockten Teilen nicht mal 'nen Fehler.

unbound ist genial: Fragt direkt und ausschließlich DNS-Rootserver ab - wenn man so will. Einschl. DNSSec. Wird wohl auch deshalb liebevoll "Resolver" genannt.

Ob es für PfblockerNG (PFSense/FreeBSD) eine Linux-Version gibt, weiss ich nicht. Aber es gibt bestimmt Linux-Scripts für den automatischen Download von Listen. PfblockerNG nutzt dazu Cronjobs.

Jedenfalls ist meine Qotom-Buechse für etwa 220 Euronen ein herrliches und lehrreiches Spielzeug. (Jeder andere Mini-PC mit 2 x LAN geht natürlich auch. Mini-PC wegen Strom. Oder r4pt0rs Vorschläge aus anderen Threads bezüglich gebrauchter Firewall Appliance aus der Bucht. So man 19 Zoll Breite mag.)

Unabhaengig von PFSense sollte der Thread auch für FF-Nutzer bezüglich sinnvoller Listen der FF-Blocker und für Linuxer bezüglich etc/hosts interessant sein: https://debian-handbook.info/browse/de- ... rvice.html

Vom Android-Tablet gesehen, Umleitung beim Aufruf von Bild.de auf: http://www.bild.de/wa/ll/bild-de/unange ... .bild.html

Warum sehe ich BILD.de nicht?
Sie sehen diese Seite, weil Sie einen Adblocker eingeschaltet haben. Deaktivieren Sie diesen bitte für BILD.de, um unsere Artikel wieder lesen zu können.
BILD bietet Ihnen Nachrichten rund um die Uhr. Unsere 500 Reporter berichten für Sie aus aller Welt. Um das zu ermöglichen, sind wir auch auf Werbeeinnahmen angewiesen.
Ihr Adblocker sperrt die Werbung auf BILD.de. Doch ohne Erlöse aus dem Verkauf von Werbeplätzen können wir die Arbeit unserer Journalisten nicht finanzieren.
Ihr Team von BILD
...
Um BILD.de nutzen zu können, definieren Sie jetzt in wenigen Schritten in Ihrem Adblocker eine Ausnahme für BILD.de.
Weiter zur Anleitung ...

schluchz, schluchz. (heise.de meckert nicht. ) Wie gesagt, nichts gegen dezente Werbung ohne Tracking.

[TomL]

Hi Thomas, besser als Spiralnebelverdreher kann ich auch nicht antworten. Nur noch soviel: Auf meinem dediziertem Router/FW mit eigenem DNS-Server gilt das zusätzlich für alle Geräte im Netz, einschl. Smartphones.

Muss man denn davon ausgehen, dass andere Programme (also nicht nur der Browser) das Google-Tracking auch unterstützen? Das ist das, was mir im Moment völlig unklar ist. Ich bin davon ausgegangen, dass es nur den Browser betrifft und hatte deshalb angenommen, dass der Blocker im Browser das Problem also auch zufriedenstellend abdeckt. Ist das zu kurz gedacht?

[BenutzerGa4gooPh]

Muss man denn davon ausgehen, dass andere Programme (also nicht nur der Browser) das Google-Tracking auch unterstützen

Ich denke mal schon. Und nicht nur Google-Tracking sondern auch Traffic zu den App-Herstellern. Für eine konkrete Antwort mache ich nächste Woche Android-Experimente ohne Browser und schaue danach in die Logs. Mal sehen, was für abgehender Verkehr bei GPS Tool oder Fing oder WLAN-Analyzer oder anderen lokalen Apps entsteht. Habe aber nur wenige Dritt-Apps installiert. Spiralnebelverdreher hat Experimente mit seinem TV gemacht, mal sehen wo der Thread steckt, wollte eh noch was dazu wissen ...

Übrigens, PFSense, OpenWrt, DDWrt, IPFire, OPNSense, Sophos u. a. kann man auch mal in VBox funktionsfähig installieren. Ausser DDWrt und OpenWrt selbst probiert. Sophos ist der Overkill, kostenfrei für max. 50 IPs. Man muss nur ziemlich die Hosen runter lassen und ist durch die perfekte Weboberfläche "weitab vom System". OPNSense finde ich sympathisch, ist aber noch nicht ganz so weit wie PFSense (weniger Zusatzpakete, z.B OSPF per Weboberfläche bedienbar). Die allermeisten Homeuser sind/würden damit jetzt schon sehr glücklich.

[spiralnebelverdreher]

Hi Thomas, besser als Spiralnebelverdreher kann ich auch nicht antworten. Nur noch soviel: Auf meinem dediziertem Router/FW mit eigenem DNS-Server gilt das zusätzlich für alle Geräte im Netz, einschl. Smartphones.

Muss man denn davon ausgehen, dass andere Programme (also nicht nur der Browser) das Google-Tracking auch unterstützen? Das ist das, was mir im Moment völlig unklar ist. Ich bin davon ausgegangen, dass es nur den Browser betrifft und hatte deshalb angenommen, dass der Blocker im Browser das Problem also auch zufriedenstellend abdeckt. Ist das zu kurz gedacht?

Bei Linux und klassischem Desktop-PC fallen mir spontan E-Mail Clients (Thunderbird, icedove, ...) ein, die beim Empfang von Mails mit html Formatierung ähnlich wie Browser agieren, indem sie Inhalte (Bilder etc) nachladen, sich besuchte Webseiten und Links merken sowie Cookies akzeptieren können. Falls der verlinkte Inhalt spezifisch für dich (z.B. Firmenlogo als jpg mit deiner Kundennummer im Dateinamen) gemacht wird, ist damit User-Tracking möglich: Der Hoster des verlinkten Inhaltes sieht zum Beispiel, wann du diese Mail geöffnet hast und hat damit so was wie eine Lesebestätigung. Beim Linux-Desktop-PC konzentriert sich das ganze Tracking-Thema IMHO auf wenige Anwendungen.

Wo es ganze dicke kommt, sind die Smartphones, Smart-TVs und Tablets im Heimnetz. Die kannst du natürlich ausbremsen, wenn die an deinem Router / Firewall die DNS Blacklist wirken lässt. Mein smarter Fernseher von LG hat beispielsweise eine große Neigung nach Hause (und sonst wohin) zu telefonieren (viewtopic.php?f=30&t=159565) obwohl ich keinerlei Einwilligungshäkchen hierzu gesetzt habe. Und wenn das "Internet of crap" (a.k.a. internet of things) erstmal flächig ausgerollt ist wird es noch lustiger werden: Dann sind die Geräte und Anwendungen, die um Erlaubnis fragen und sich daran halten absolut in der Minderzahl.

[spiralnebelverdreher]

Hi Thomas, besser als Spiralnebelverdreher kann ich auch nicht antworten. Nur noch soviel: Auf meinem dediziertem Router/FW mit eigenem DNS-Server gilt das zusätzlich für alle Geräte im Netz, einschl. Smartphones.

Muss man denn davon ausgehen, dass andere Programme (also nicht nur der Browser) das Google-Tracking auch unterstützen? Das ist das, was mir im Moment völlig unklar ist. Ich bin davon ausgegangen, dass es nur den Browser betrifft und hatte deshalb angenommen, dass der Blocker im Browser das Problem also auch zufriedenstellend abdeckt. Ist das zu kurz gedacht?

Ja, davon musst du ausgehen.

Bei Linux und klassischem Desktop-PC fallen mir spontan E-Mail Clients (Thunderbird, icedove, ...) ein, die beim Empfang von Mails mit html Formatierung ähnlich wie Browser agieren, indem sie Inhalte (Bilder etc) nachladen, sich besuchte Webseiten und Links merken sowie Cookies akzeptieren können. Falls der verlinkte Inhalt spezifisch für dich (z.B. Firmenlogo als jpg mit deiner Kundennummer im Dateinamen) gemacht wird, ist damit User-Tracking möglich: Der Hoster des verlinkten Inhaltes sieht zum Beispiel, wann du diese Mail geöffnet hast und hat damit so was wie eine Lesebestätigung.

Wo es ganze dicke kommt, sind die Smartphones, Smart-TVs und Tablets im Heimnetz. Die kannst du natürlich ausbremsen, wenn die an deinem Router / Firewall die DNS Blacklist wirken lässt. Mein smarter Fernseher von LG hat beispielsweise eine große Neigung nach Hause (und sonst wohin) zu telefonieren (viewtopic.php?f=30&t=159565) obwohl ich keinerlei Einwilligungshäkchen hierzu gesetzt habe. Und wenn das "Internet of crap" (a.k.a. internet of things) erstmal flächig ausgerollt ist wird es noch lustiger werden: Dann sind die Geräte und Anwendungen, die um Erlaubnis fragen und sich daran halten absolut in der Minderzahl.[/quote]

[wanne]

Ich halte die ganzen DNS Blocker eher für ungeschickt. Solche Blocker gehören in die Anwendung. Und es gibt hunderte Möglichkeiten, wie man irgend welche Listen über alle Anwendungen Synchronisiert.

• Man ist damit im Browser viel flexibler.
  So als Beispiele:
  • google.com will ich eigentlich geblockt haben. Aber nicht auf Seiten, die Recaptcha nutzen.
  • Frames und Fremdcookies kann ich eigentlich nirgends gebrauchen. Nur auf der Seite fremder Universitäten muss ich mich mit Fremdcookie anmelden gleiches gilt für GiroPay auf google translate wird dagegen ohne Frames sinnlos.
  • Cookies sind für mich auf 99% der Seiten nur zum Tracking da. Will ich bliockieren. Aber eher nicht im Debianforum.
  • digitalo ist normalerweise Werbung. Wenn ich da einkaufen will, aber eher nicht.
  • google.de will ich haben. Aber nicht das JS, dass da tracked.
  • Viele hier haben Accounts bei google facebook und twitter, sodass man die dicksten Tracker eh nicht per DNS filtern kann. Anosnsten kann man das aber schon.
  Alles Sachen, die ein vernünftieger Werbeblocker (z.B. uMatrix) auf die reihe bekommt. DNS aber nicht. Und die kommen dann auch gleich mit Synchrnisationsmöglichkeiten, die nicht nur in erem LAN sondern auch für euer Handy und co. funktionieren.
• Die aller meisten Anwendungen sind kontrollierbar genug. Da braucht man kein Block. Undhier und da störend ist er ja doch. Wenn ich mit curl expliziet die twitter API crawle will ich das wirklich. Ich bin auch recht froh um ein weiteres Chrome Profiel, das nicht blockt und nicht speichert um mal Debuggen zu können. Lediglich beim Surfen ist es typischerweise erwünscht, dass da nochmal jemand drüber ließt.
• Man hat wenig Ahnung was man da noch alles unerwünscht blockt. Gerade so ein Samsung Internet Fernseher sollte schon zu Samsung telefonieren können. So viele Sicherheitslücken wie die schafft sonst keiner. Wenn der dann nicht mal mehr die Updates bekommt, die er braucht will ich den lieber nicht am Internet haben.
• Was dann für alle möglichen Probleme abseits des Browsers die richtige Methode ist. Wenn euer Fernseher nur lokal kommuniziert stellt ihn auch in ein untagged VLAN, wo er nur das kann. Warum um himmels willen muss euer E-Mail ein falsch kompilierter Browser sein und Inhalte von Drittanbietern runterladen schaltet das ab oder tauscht ihn aus. Wenn ihr wirklich eine Anwendung unbedingt braucht, die aber unerwünscht nach hause telefoniert, nehmt sie per Firewall vom Internet. Das wirkt wirklich im Gegensatz zu irgend welchen hostlisten, die immer irgend wie unvollständig sind.

[novalix]

Manchmal ist die Holzhammer-Methode per DNS-Blocking aber einfach praktisch.
Zum Beispiel auf Mobilgeräten, die leistungsmäßig nicht in der Oberliga angesiedelt sind. So ein Browser Plug-in spart zwar unterm Strich (hoffentlich) mehr Ressourcen als es verbraucht. Es verbraucht aber eben auch.
Für solche Einsatzfälle nutze ich gerne dieses Repo(Auflösung nach 0.0.0.0 Harr, Harr).
Außerdem erschlägt man damit auch gleich potentiell naseweise Apps, die sich die Leute halt so installieren.

[BenutzerGa4gooPh]

Hi, wanne! Zur Horizont-Erweiterung falle ich jetzt über dich her! Dafür sind Experten wie du prädestiniert.

Solche Blocker gehören in die Anwendung.

Wird das nicht etwas viel? Manche haben auch mehrere Androiden und Windowse in der Familie.

Und es gibt hunderte Möglichkeiten, wie man irgend welche Listen über alle Anwendungen Synchronisiert.

Welche einfachen Möglichkeiten, bitte genauer. Nicht jeder ist Konsolenakrobat. Und wie aktualisieren?

Viele hier haben Accounts bei google facebook und twitter, sodass man die dicksten Tracker eh nicht per DNS filtern kann.

Ehrlich? Beweise! (Die wollen eh keine Privatsphäre. )

Wenn euer Fernseher nur lokal kommuniziert stellt ihn auch in ein untagged VLAN, wo er nur das kann.

Komplett blocken wäre sehr "unsmart". Schade um die Kröten (Euronen). (Nötige Updates bei Internetzugang hast du angesprochen.)

Warum um himmels willen muss euer E-Mail ein falsch kompilierter Browser sein und Inhalte von Drittanbietern runterladen schaltet das ab oder tauscht ihn aus.

(Bei Mails von guten Bekannten will ich u. a. mal die Smileys sehen. Einzelne Mails aktiviert man schon mal für Drittanbieter-Download, oder?)

Wenn ihr wirklich eine Anwendung unbedingt braucht, die aber unerwünscht nach hause telefoniert, nehmt sie per Firewall vom Internet. Das wirkt wirklich im Gegensatz zu irgend welchen hostlisten, die immer irgend wie unvollständig sind.

Da muss man ständig forschen, Logs lesen und die FW-Regeln sind (zumindest anfangs) genauso wenig aktuell/vollständig wie Listen, die auf Erfahrungen vieler beruhen. Und kommt am Ende auf das Gleiche raus. Wobei Ziel-IPs variabler und undurchsichtiger als Namen sind. Okay, für letzteres gibt es Aliases. Wohl kaum aktuell zu halten.

Das Ganze per FW-Regelwerk wäre auch mir lieber - aber ich sehe bisher keine gleichwertige Möglichkeit. Eine automatische Aktualisierung von FW-Regeln (extremer Eingriff) würde zumindest mir nicht passen! DNS hingegen wird oft manipuliert, u. a. von OpenDNS:

OpenDNS bietet DNS-Abfragen (Auflösung von DNS-Namen) für Privatpersonen und Firmen. Dies stellt eine Alternative zur Benutzung des DNS-Servers des eigenen Internetdienstanbieters dar. Zum anderen bietet die Firma einen Phishing-Filter sowie Korrektur von Eingabefehlern an. OpenDNS sammelt eine Liste fragwürdiger Seiten und blockiert den Zugriff darauf.

https://de.m.wikipedia.org/wiki/OpenDNS
Vgl. a. https://www.ccc.de/censorship/dns-howto/

Quintessenz: Verbesserungsvorschläge und deren Macher willkommen!

(novalix war zwischenzeitlich, noch nicht gelesen.)

[spiralnebelverdreher]

Ich halte die ganzen DNS Blocker eher für ungeschickt. Solche Blocker gehören in die Anwendung. Und es gibt hunderte Möglichkeiten, wie man irgend welche Listen über alle Anwendungen Synchronisiert.

Wanne, ich sehe DNS-Blocking nicht als besonders elegant an (novalix spricht da zurecht von Holzhammermethode). Dass es gute technische Möglichkeiten gibt, über mehrere Anwendungen Blackslists und Whitelists zu verwalten, sehe ich auch. Aber ich sehe derzeit kein gemeinsames Konzept für so was bei den Anwendungen. Der heutige Umgang mit Zertifikaten (da gibt es zumindest ein passendes Paket) innerhalb diverser Anwendungen (manche Browser bringen ihre eigene Zertifikatsverwaltung mit) macht mir auch wenig Hoffnung, dass hier in naher Zukunft etwas geschieht. Vermutlich ist das aus Sicht der Entwickler ein unwichtiges Feature für die wenigen Aluhut-Träger - und wer dennoch eine Anwendung für diese Nutzergruppe entwickelt, integriert dann eben Whiltelists, Blacklists und Zertifikate in seine eigene Anwendung.
Es gibt meines Wissens bezüglich Tracking leider keine debian Pakete "Anti-Tracking Basis" und "Anti-Advertising Basis", welche eine feinabgestimmte Konfigurationen zulassen und von den Anwendungen (Browser etc) verwendet werden.

Die aller meisten Anwendungen sind kontrollierbar genug. Da braucht man kein Block. Und hier und da störend ist er ja doch.

Das sehe ich in der Linux Desktop Umgebung ähnlich. Die Anwendungen sind kontrollierbar, ist ja Open Source und die "üblichen Verdächtigen" in Bezug auf Tracking der Anwendungswelt (Browser, Mailclient, Messenger, ...) sind entsprechend konfigurierbar. Außerhalb der Open-Source Welt sieht es halt leider ziemlich anders aus.

Viele hier haben Accounts bei google facebook und twitter, sodass man die dicksten Tracker eh nicht per DNS filtern kann.

Ich habe hier weder FB noch einen Google Account, dafür aber Twitter und eine ziemlich lange /etc/hosts Datei. Der Ausschnitt

Code: Alles auswählen

grep twitter /etc/hosts
127.0.0.1 analytics.twitter.com
127.0.0.1 twittercounter.com
127.0.0.1 srv2.twittercounter.com
127.0.0.1 urls.api.twitter.com

zeigt, dass DNS Blocking und Twitter zusammen funktionieren (zumindest in meinem Kontext). Ich werde mal nachschauen, welche Tracking-Artefakte man bei Twitter-Nutzung noch sieht. Es wäre natürlich naiv zu glauben, dass hier nur Adressen auftauchen die die Zeichenkette "twitter" intus haben.

Man ist damit im Browser viel flexibler.

Da hast du vollkommen recht; Holzhammer ist Holzhammer und flexibles Werkzeug für die Feinabstimmung sieht anders aus. Leider habe ich halt außerhalb der Open-Source-Welt nur sehr eingeschränkte Möglichkeiten zu erfahren, warum welche Anwendung wann und wie mit der Außenwelt telefoniert um dann eine entsprechende Feinabstimmung vorzunehmen.

Man hat wenig Ahnung was man da noch alles unerwünscht blockt. Gerade so ein Samsung Internet Fernseher sollte schon zu Samsung telefonieren können. So viele Sicherheitslücken wie die schafft sonst keiner. Wenn der dann nicht mal mehr die Updates bekommt, die er braucht will ich den lieber nicht am Internet haben.

Sehe ich auch so, deshalb habe ich meiner Glotze erstmal auch jegliche Kommunikation nach außen verboten. Und wenn ich doch mal ein Update bräuchte, würde ich das TV-Gerät in einer kontrollierten Umgebung für diesen Zweck auch mal ins Netz lassen. Das einzige Update, das er übrigens bisher erfahren hat, habe ich beim Hersteller machen lassen - etwas umständlich für mich. Aber Gewährleistung ist Gewährleistung, und wer halbfertiges Zeugs ausliefert darf es in meinen Augen auch gerne selbst reparieren ... vielleicht setzt da mal ein Lerneffekt ein.

[wanne]

Welche einfachen Möglichkeiten, bitte genauer. Nicht jeder ist Konsolenakrobat. Und wie aktualisieren?

uMatrix futtert u.a. sogar genau die gleichen host files, die du auch unter etc schmeißt und ruft die regelmäßig ab. Und das im Gegensatz zu deinem Router ganz ohne Konsolenakrobat künstlereinen. Daneben gibt es noch weitere Addblcker die mittlerweilse alle das gleiche addblock format futtern und sich voll automatisch updaten. (addblcokplus, ublock origin, konqueror…) Allen kannst du die gleichen auf tracker ausgelegte Blocklisten verfüttern. Und das ist dann halt immer automatisch aktuell. Und eben auch für diverse Android anwendungen (Konqueror hatte ich ja schon genannt ).

Komplett blocken wäre sehr "unsmart". Schade um die Kröten (Euronen).

Smart waren die dinger nie. Entweder sie werden smart von mir per HDMI oder DP gefüttert. Oder sie werden smart von Samsung (oder sonstwem) per Ethernet gefüttert. Im ersten fall, weiß ich was drauf läuft im zweiten Samsung (oder sonstwer). Großartig zwischenwege gibt es da im Moment nicht. Allenfals vielleicht sie werden smart von mir per Ethernet port gefüttert. Dazu später mit der FW-Regel.

Einzelne Mails aktiviert man schon mal für Drittanbieter-Download, oder?)

Mein Mailprogramm kann keine HTML-Mail. Habs bis jetzt nie vermisst. Kann mir aber durchaus vorstellen, dass das einen Mehrwert für manche darstellt. Aber warum man <1kiB große Smilies von externen Anbietern nachladen muss leuchtet mir nicht ein. Da ist doch der Link fast größer wie das Bild. Das dient doch absolut nur dem Tracking seitens des mailprogramms des absenders.

Da muss man ständig forschen, Logs lesen und die FW-Regeln sind (zumindest anfangs) genauso wenig aktuell/vollständig wie Listen, die auf Erfahrungen vieler beruhen. Und kommt am Ende auf das Gleiche raus. Wobei Ziel-IPs variabler und undurchsichtiger als Namen sind. Okay, für letzteres gibt es Aliases. Wohl kaum aktuell zu halten.

Ich habe schon gemeit, das man von eth0 (wo der TV liegt) nach eth1 (wo das Interent liegt) einfach ein -j REJECT macht. Nichts weiter.

[BenutzerGa4gooPh]

Danke wanne.

Allen kannst du die gleichen auf tracker ausgelegte Blocklisten verfüttern. Und das ist dann halt immer automatisch aktuell. Und eben auch für diverse Android anwendungen (Konqueror hatte ich ja schon genannt ).

Aber das verstehe ich nicht. Wie soll Konqueror als KDE-Web-Browser/Dateimanager irgendwas für/gegen Andoid tun?

[BenutzerGa4gooPh]

Muss man denn davon ausgehen, dass andere Programme (also nicht nur der Browser) das Google-Tracking auch unterstützen? Das ist das, was mir im Moment völlig unklar ist. Ich bin davon ausgegangen, dass es nur den Browser betrifft und hatte deshalb angenommen, dass der Blocker im Browser das Problem also auch zufriedenstellend abdeckt. Ist das zu kurz gedacht?

Android-Tablet mit WLAN eingeschaltet, alle FW-Logs gelöscht, dann lokaler Taschenrechner, 1 Aufgabe:

Dec 12 09:28:04 ► LAN4_WAN let out anything from firewall host itself (1000004861) 172.17.6.199:123 85.220.190.246:123
clint.blazing.de UDP

Dec 12 09:27:41 ► LAN4_WAN let out anything from firewall host itself (1000004861) 172.17.6.199:123 138.201.90.19:123
omx2.classictic.com UDP

Komisch, Port 123 = NTP und das zu 2 verschiedenen Servern?
http://www.auditmypc.com/udp-port-123.asp

[wanne]

Aber das verstehe ich nicht. Wie soll Konqueror als KDE-Web-Browser/Dateimanager irgendwas für/gegen Andoid tun?

KDE5 l'uft hervorragend auf androiden. (KDE 4 btw. auch unter Windows)

Komisch, Port 123 = NTP und das zu 2 verschiedenen Servern?

Richtiges NTP redet immer mit mehreren Servern um die verzoegerung durch die uebertragung abzuschaetzen.

[BenutzerGa4gooPh]

Richtiges NTP redet immer mit mehreren Servern um die verzoegerung durch die uebertragung abzuschaetzen.

Aber gerade mit diesen Servern und in diesem Moment (Taschenrechner)?

KDE5 läuft hervorragend auf androiden

Hast du bitte mal einen ausführlichen Link? Wie kriege ich das auf mein Tablet?

So, um langsam zu Ende zu kommen, eine kurze Zusammenfassung:

M. E. ist count=Listeninhalt (Anzahl), packets=DNS-Blockierungen (Erkennung). PFBlockerNG ist nicht so gut dokumentiert.
Ich habe einige übliche Verdächtige angesurft: google, amazon, zalando, bild, aol, web.de, chip, heise, ebay. Die Listen haben wie im Bild "zugeschlagen".
Das Bild sagt NICHTS über die Qualität der Listen, da Mehrfach-Treffer nicht angezeigt werden. Wenn ich eine Liste deaktiviere, haben andere mehr Treffer.

Es sagt aber was darüber, ob sie überhaupt wirken:
adaway in der eingebundenen Form https://adaway.org/hosts.txt hat nur wenig Einträge und wirkt bei o. g. Websites nicht mal bei Deaktivierung der anderen Listen. Logs dafür zusätzlich nachgesehen. In Reinform also Schlangenoel.

Ansonsten ist sinnvoll, mehrere Listen zu kombinieren - je nach Größe des Aluhutes, Aluburka, Aktualisierungsintervall, Aktualisierungsfehlern.
(Ich höre jetzt auf, man macht sich ja fertig. Man kann das Tracking eh nur einschränken, da Listen auf Erfahrungen beruhen und unterschiedliche Ziele (Serverbetreiber, Privatanwender hinter NAT, Sprachraum der Sites) nebst Interessenkonflikten (Werbeindustrie, Portalbetreiber, Apps) berücksichtigen und der Realität hinterherhinken.)

Anlage getestete Listen (unbound macht DNS-Block, Frequency ist Update-Intervall):

DNS Group Name DNS Group Description Action Frequency
winhelp2002 http://winhelp2002.mvps.org/hosts.txt unbound EveryDay
yoyo http://pgl.yoyo.org/adservers/serverlis ... =plaintext unbound EveryDay
hostsfilenet http://hosts-file.net/ad_servers.txt unbound EveryDay
adaway https://adaway.org/hosts.txt unbound EveryDay
cameleon http://sysctl.org/cameleon/hosts unbound EveryDay
StevenBlack https://raw.githubusercontent.com/Steve ... ster/hosts unbound EveryDay

(StevenBlack aus novalix' Beitrag: https://github.com/StevenBlack/hosts)

Hinweis:
Man kann viele (alle?) Router-FW-Distributionen in Virtualbox testen, Stichworte Bridging und 2 virtuelle Adapter. Auch DDWRT und OpenWRT bieten x86_64-Isos an - neben IPFire, OPNSense, PFSense, Sophos etc.

[BenutzerGa4gooPh]

Das Addon PrivacyBadger erkennt wohl Tracker aufgerufener Websites. Demzufolge könnte das ein Mittel sein, die Qualität der verwendeten Listen/Blocker, egal ob Firewall, Browser-Plugins oder etc/host-Umleitungen für das eigene Surfverhalten zu zu prüfen:

Der PrivacyBadger lernt die blockierten Seiten aus den eigenen Surfgewohnheiten

https://digitalcourage.de/digitale-selb ... king-tools
https://www.eff.org/privacybadger
Dank an Blackbox für dessen Signatur!

Aufgrund wannes Hinweisen habe ich schlussendlich FF unter Android und Ublock Origin installiert. Dessen Logs (Standardeinstellung) zeigen trotz obiger Filterlisten noch 36 Objekte auf Focus.de. Browser Plugins sind eben doch effizienter. Schade, zentral auf Firewall wäre mir lieber gewesen.

Ich habe jetzt erst mal "die Faxen dicke". Oder den Kampf gegen Windmühlen. Danke an alle Mitstreiter.

[BenutzerGa4gooPh]

Browser Plugins haben den weiteren Vorteil, dass diese (hoffentlich) aktualisiert werden - und damit nicht nur die Inhalte der Filterlisten sondern auch die abgerufenen Filterlisten an sich.
Mit ublockOrigin ist die Auswahl von Filterlisten sehr einfach (Einstellungen). Die Filterlisten sind wohl speziell dem Desktop-User angepasst. Auch dem deutschen Sprachraum mit einer speziellen Liste.

UblockOrigin gibt es auch für FF unter Android. Nach Installation Einstellungen nachvollziehen und Listen abrufen/aktualisieren!
Des Weiteren ist für Privatsphäre auch ein Scriptblocker nötig.

Zu bevorzugen ist also die dezentrale Lösung pro Desktop/Smartphone mit Firefox/ublock und Scriptblocker.

Manko dabei: Das "Nachhausetelefonieren" anderer Programme wird im Gegensatz zu DNS Black Listing nicht unterbunden. Firewallregeln können das nur im Nachhinein nach Untersuchung der Logs unterbinden: Man will ja das Gerät irgendwie nutzen, mit einem Smartphone surfen. Alles Verbieten und nach bemerkten Funktionseinschränkungen mit Log-Auswertung "Löcher in die FW-Rules bohren" ist nicht praktikabel. Also ständige Aktualisierung einer Blacklist erforderlich. Oder resignieren. Oder unvollständige DNS Black Lists nutzen. Vielleicht DNSBL auf Router nicht für Browser/Surfen - sondern speziell für "Nachhausetelefonierer" (Smart-TV, andere Apps als FF mit UblockOrigin auf Smartphones). Letzteres wäre vielleicht noch Firewall-Experimente mit Smartphone wert. Aber zu unterscheiden, was gebraucht wird und was nicht und alles zu erwischen ...