uMatrix: Frage zu Filterregeln (1st-party)

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Benutzeravatar
Ashlix
Beiträge: 104
Registriert: 01.10.2013 01:10:22
Wohnort: Schweiz
Kontaktdaten:

uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von Ashlix » 03.06.2018 13:12:04

Hallo zusammen

Kann mir wer sagen, ob zwischen folgenden beiden Zeilen ein relevanter Unterschied in der Benutzung besteht ?

Code: Alles auswählen

debianforum.de debianforum.de script allow
debianforum.de 1st-party script allow
Mir scheint, dass beide Zeilen den exakt gleichen Effekt haben - auch wenn sie im Interface von uMatrix zu unterschiedlichen Darstellungen in der Matrix führen.

(uMatrix ist bei mir so konfiguriert, dass Scripte standardmässig geblockt werden, um NoScript ersetzen zu können. Ob an dritter Stelle script, frame, image, css oder * steht, sollte für das Beispiel keinen Unterschied machen.)

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von tobo » 03.06.2018 18:07:45

Ashlix hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 13:12:04
Hallo zusammen

Kann mir wer sagen, ob zwischen folgenden beiden Zeilen ein relevanter Unterschied in der Benutzung besteht ?

Code: Alles auswählen

debianforum.de debianforum.de script allow
debianforum.de 1st-party script allow
Mir scheint, dass beide Zeilen den exakt gleichen Effekt haben - auch wenn sie im Interface von uMatrix zu unterschiedlichen Darstellungen in der Matrix führen.
Das ist richtig - funktionell gibt's da keinen Unterschied. 1st-party als Filter wurde später eingeführt; davor konnte man irgendwie die Domains global per Schalter freigeben. Genau weiß ich das jetzt auch nicht mehr!? Jedenfalls sind das da oben lediglich zwei verschiedene Schreibweisen, die zum selben Ziel führen.
uMatrix ist bei mir so konfiguriert, dass Scripte standardmässig geblockt werden, um NoScript ersetzen zu können
Man kann keines der Addons uMatrix, NoScipt und uBlock Origin funktionell durch die beiden anderen komplett ersetzen (pre-webextension). Aber alleine auf die Scrpte bezogen, geht die Ersetzung natürlich.

Benutzeravatar
Ashlix
Beiträge: 104
Registriert: 01.10.2013 01:10:22
Wohnort: Schweiz
Kontaktdaten:

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von Ashlix » 03.06.2018 23:25:38

tobo hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 18:07:45
Das ist richtig - funktionell gibt's da keinen Unterschied. 1st-party als Filter wurde später eingeführt; davor konnte man irgendwie die Domains global per Schalter freigeben. Genau weiß ich das jetzt auch nicht mehr!? Jedenfalls sind das da oben lediglich zwei verschiedene Schreibweisen, die zum selben Ziel führen.
Danke, dann ist das soweit klar. Muss ich mich nur noch für eine der Varianten entscheiden :-)

Im Wiki von uMatrix hab ich noch eine Erwähnung des alten White-Listing-Systems gefunden:
https://github.com/gorhill/uMatrix/wiki ... witchboard beim Kapitel "A new 1st-party row".
tobo hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 18:07:45
Man kann keines der Addons uMatrix, NoScipt und uBlock Origin funktionell durch die beiden anderen komplett ersetzen (pre-webextension). Aber alleine auf die Scrpte bezogen, geht die Ersetzung natürlich.
Was können denn NoScript und uBlock Origin so Relevantes, was ich nicht durch eine bestimmte Konfiguration von uMatrix ersetzen kann ?

Ich war bisher mit einer Kombination von RequestPolicy und NoScript unterwegs und war der Meinung, damit ausreichend sicher zu sein. Nur ist es halt so, dass weder RequestPolicy noch RequestPolicy Continued kompatibel sind mit Firefox Quantum. Und spätestens irgendwann im Herbst, wenn die letzte ESR-Version nicht mehr supportet wird, die noch die alten Add-ons unterstützt, brauche ich eine Alternative. Und uMatrix erschien mir da als Möglichkeit, gleich mit einem Add-on RequestPolicy und NoScript ersetzen zu können.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von tobo » 03.06.2018 23:57:24

Ashlix hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 23:25:38
Was können denn NoScript und uBlock Origin so Relevantes, was ich nicht durch eine bestimmte Konfiguration von uMatrix ersetzen kann ?
Wie gesagt, pre-webextension - also, FF52-esr: Für NoScript einzigartig eigentlich alles, was sich dort unter Reiter advanced finden lässt (ABE, Clearclick, XSS etc.). Für uMatrix granular einstellbare iFrames und Cookies. Für uBlockO z.B. das per-Klick-ausblenden von Elementen einer Webseite, welche du nicht sehen willst oder das man im Log direkt tief eingreifen kann.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von breakthewall » 04.06.2018 01:18:05

Ashlix hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 23:25:38
Was können denn NoScript und uBlock Origin so Relevantes, was ich nicht durch eine bestimmte Konfiguration von uMatrix ersetzen kann ?
Zunächst einmal basieren alle drei auf völlig unterschiedlichen Konzepten, und dienen demnach auch unterschiedlichen Zwecken. Zum einen ist NoScript ein lokaler Scriptblocker mit erweiterter Funktionalität, wozu unter anderem auch das blockieren von Cross-Site-Scripting gehört. Dagegen hat uMatrix zwar vergleichbare Funktionen, jedoch wird hier basierend auf Netzwerkverbindungen blockiert, womit das eine Art von Firewall im Browser ist. Wird in uMatrix etwas blockiert, dann wird erst gar keine Verbindung zur jeweiligen Ressource im Netzwerk hergestellt. Und damit wird auch der jeweilige Unrat erst gar nicht heruntergeladen, womit es auch nicht zur Ausführung kommt. Mit NoScript werden zwar Web-Inhalte heruntergeladen, jedoch je nach Policy herausgefiltert, nicht ausgeführt und auch nicht dargestellt.

Und uBlock-Origin ist nur dafür da, um Web-Inhalte anhand von Filterlisten herauszufiltern. Auch hier gibt es Zusatzfunktionen um bspw. Bilder nach Größe zu filtern, Elemente einer Webseite auszublenden, oder auch verschiedene Anti-Tracking-Maßnahmen anzuwenden. Ursprünglich war es auch mal ein Teil von uMatrix, aber man hat sich entschieden zwei unabhängige Projekte daraus zu machen.
Ashlix hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 23:25:38
Ich war bisher mit einer Kombination von RequestPolicy und NoScript unterwegs und war der Meinung, damit ausreichend sicher zu sein. Und uMatrix erschien mir da als Möglichkeit, gleich mit einem Add-on RequestPolicy und NoScript ersetzen zu können.
Aufgrund der Firewall artigen Funktionalität, wird RequestPolicy durchaus obsolet wenn uMatrix eingesetzt wird. Zumal auch hier unterbunden werden kann, wer mit wem kommunizieren darf. Was die Sicherheit angeht, so nehmen sich uMatrix und NoScript meiner Meinung nach nicht viel. Sie gehen eben bekannte Probleme auf unterschiedliche Weise an, auch wenn ich den Ansatz von uMatrix als moderner empfinde. Letztlich verfügt uMatrix ebenso über Filterlisten und weitere Funktionen, die NoScript wiederum nicht hat.

Ist so gesehen Geschmackssache was man als besser empfindet. Andererseits kann man im Zweifel auch beide verwenden, und die jeweils überflüssige Funktionalität von bspw. NoScript abschalten, um doppelten Overhead zu vermeiden.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von tobo » 04.06.2018 02:21:22

breakthewall hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 01:18:05
Und uBlock-Origin ist nur dafür da, um Web-Inhalte anhand von Filterlisten herauszufiltern. Auch hier gibt es Zusatzfunktionen um bspw. Bilder nach Größe zu filtern, Elemente einer Webseite auszublenden, oder auch verschiedene Anti-Tracking-Maßnahmen anzuwenden.
In der Standardkonfiguration und damit als Alternative zu verschiedenen Adblockern. Hakt man aber advanced user, dann erhält man eine uMatrix-ähnliche Darstellung der Möglichkeiten. Auch hier werden die dom-Elemente z.B. nicht nur ausgeblendet, sondern geblockt und die Einstellungen können teilweise auch sehr viel genauer vorgenommen werden, als das mit uMatrix möglich wäre.

Benutzeravatar
Ashlix
Beiträge: 104
Registriert: 01.10.2013 01:10:22
Wohnort: Schweiz
Kontaktdaten:

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von Ashlix » 04.06.2018 19:29:56

tobo hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 23:57:24
Wie gesagt, pre-webextension - also, FF52-esr: Für NoScript einzigartig eigentlich alles, was sich dort unter Reiter advanced finden lässt (ABE, Clearclick, XSS etc.). Für uMatrix granular einstellbare iFrames und Cookies. Für uBlockO z.B. das per-Klick-ausblenden von Elementen einer Webseite, welche du nicht sehen willst oder das man im Log direkt tief eingreifen kann.
Ich bin nicht sicher, ob ich verstehe, was du mit deinem Hinweis auf Pre-WebExtensions meinst. Auch uMatrix läuft auf FF52-ESR (hab ich unter anderem selbst so in Benutzung).

NoScript
Das stimmt. Dann müsste ich eigentlich NoScript behalten - aber nicht zum allgemeinen blocken von Scripten, sondern lediglich wegen der Zusatz-Features.

uBlock Origins
Hab mir mal ein Tutorial-Video zu uBlock angesehen. Diese Ausblend-Funktion kann sicher praktisch sein. Einen sicherheitsrelevanten Mehrgewinn (zu uMatrix) kann ich darin aber nicht erkennen. (Genauere Erläuterung am Schluss meines Postings hier.)
breakthewall hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 01:18:05
Zunächst einmal basieren alle drei auf völlig unterschiedlichen Konzepten, und dienen demnach auch unterschiedlichen Zwecken. Zum einen ist NoScript ein lokaler Scriptblocker mit erweiterter Funktionalität, wozu unter anderem auch das blockieren von Cross-Site-Scripting gehört. Dagegen hat uMatrix zwar vergleichbare Funktionen, jedoch wird hier basierend auf Netzwerkverbindungen blockiert, womit das eine Art von Firewall im Browser ist. Wird in uMatrix etwas blockiert, dann wird erst gar keine Verbindung zur jeweiligen Ressource im Netzwerk hergestellt. Und damit wird auch der jeweilige Unrat erst gar nicht heruntergeladen, womit es auch nicht zur Ausführung kommt. Mit NoScript werden zwar Web-Inhalte heruntergeladen, jedoch je nach Policy herausgefiltert, nicht ausgeführt und auch nicht dargestellt.
Was für mich nun die Erkenntnis untermauert, NoScript lediglich wegen der Zusatz-Features in Einsatz zu lassen und den Entscheid über die Zulassung von Scripten allein über uMatrix zu regeln.
breakthewall hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 01:18:05
Und uBlock-Origin ist nur dafür da, um Web-Inhalte anhand von Filterlisten herauszufiltern. Auch hier gibt es Zusatzfunktionen um bspw. Bilder nach Größe zu filtern, Elemente einer Webseite auszublenden, oder auch verschiedene Anti-Tracking-Maßnahmen anzuwenden. Ursprünglich war es auch mal ein Teil von uMatrix, aber man hat sich entschieden zwei unabhängige Projekte daraus zu machen.
Wenn ich uMatrix so konfiguriere, dass standardmässig keinerlei Drittinhalte geladen werden, kann ich immer noch keinen sicherheitsrelevanten Mehrgewinn in uBlock erkennen. Filterlisten brauch ich doch keine, wenn ich eh nur das freigebe, was ich selbst gezielt und bewusst frei gebe. Klar, Filterlisten können darauf hinweisen, eine Domain nichtmal zum Test freizuschalten (wenn man unsicher ist, was für das Funktionieren einer Website freizuschalten ist). Aber sowas ist ja auch in uMatrix schon integriert. Bleiben nur noch die Zusatz-Features, die situativ nützlich sein können, aber keinen mir ersichtlichen Sicherheitsgewinn bringen.
breakthewall hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 01:18:05
Aufgrund der Firewall artigen Funktionalität, wird RequestPolicy durchaus obsolet wenn uMatrix eingesetzt wird. Zumal auch hier unterbunden werden kann, wer mit wem kommunizieren darf. Was die Sicherheit angeht, so nehmen sich uMatrix und NoScript meiner Meinung nach nicht viel. Sie gehen eben bekannte Probleme auf unterschiedliche Weise an, auch wenn ich den Ansatz von uMatrix als moderner empfinde. Letztlich verfügt uMatrix ebenso über Filterlisten und weitere Funktionen, die NoScript wiederum nicht hat.
Also dass man mit uMatrix RequestPolicy ersetzen kann (zumindest in seiner Grundfunktion), darin scheinen wir uns einig zu sein. Aber zwischen uMatrix und NoScript sehe ich doch grosse Unterschiede - was für mich ja bisher der Grund war, nebst NoScript auch noch RequestPolicy zu verwenden. NoScript blockt ja nicht grundsätzlich Drittinhalte, die keine Scripte sind, und verhindert so auch nicht ausreichend Tracking. Und genau dafür hatte ich ergänzend RequestPolicy eingesetzt.
breakthewall hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 01:18:05
Ist so gesehen Geschmackssache was man als besser empfindet. Andererseits kann man im Zweifel auch beide verwenden, und die jeweils überflüssige Funktionalität von bspw. NoScript abschalten, um doppelten Overhead zu vermeiden.
Ich denke unterdessen, darauf läuft es bei mir hinaus - uMatrix und NoScript zusammen verwenden. NoScript dann aber so einstellen, dass es Scripte grundsätzlich erlaubt, weil der Zugriff von Scripten schon über uMatrix kontrolliert und geregelt wird. NoScript bleibt dann nur wegen der Zusatz-Features im Einsatz.
tobo hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 02:21:22
In der Standardkonfiguration und damit als Alternative zu verschiedenen Adblockern. Hakt man aber advanced user, dann erhält man eine uMatrix-ähnliche Darstellung der Möglichkeiten. Auch hier werden die dom-Elemente z.B. nicht nur ausgeblendet, sondern geblockt und die Einstellungen können teilweise auch sehr viel genauer vorgenommen werden, als das mit uMatrix möglich wäre.
Ich hab mir dieses Video (https://www.youtube.com/watch?v=2lisQQmWQkY) zum Hard-Mode von uBlock Origins angeschaut. Und selbst danach kann ich immer noch keinen sicherheitsrelevanten Mehrgewinn zu uMatrix erkennen. Sie machen im wesentlichen das Gleiche, aber sind etwas anders aufgebaut. uMatrix erscheint mir viel strukturierter. Bei uBlock wäre ich wahrscheinlich immer etwas unsicherer, was nur eine Veränderung der Privilegien exakt bewirkt. Und wenn ich beide im Einsatz hätte, müsste ich ja so ziemlich alles doppelt freischalten. Zumal uMatrix, richtig konfiguriert, meinem Verständnis nach schon alles blocken kann, was geblockt werden muss.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: uMatrix: Frage zu Filterregeln (1st-party)

Beitrag von tobo » 04.06.2018 22:19:48

Ashlix hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 19:29:56
Ich bin nicht sicher, ob ich verstehe, was du mit deinem Hinweis auf Pre-WebExtensions meinst. Auch uMatrix läuft auf FF52-ESR (hab ich unter anderem selbst so in Benutzung).
Damit meinte ich, dass ich FF52 (bzw. den versionsgleichen tor-browser) im Einsatz habe und somit uMatrix und NoScript nicht in der jeweils neuesten Version beurteile.
uBlock Origins
Hab mir mal ein Tutorial-Video zu uBlock angesehen. Diese Ausblend-Funktion kann sicher praktisch sein. Einen sicherheitsrelevanten Mehrgewinn (zu uMatrix) kann ich darin aber nicht erkennen.
Ich finde uBO ist allein als Adblocker bereits völlig unverzichtbar. Deine Sicherheitsrelevanz musst du für dich definieren und umsetzen. Privacy, Tracking, ungebetene Werbung, iFrames, Cookies in verschiedensten Abstufungen, JavaScript - vieles davon macht nichts kaputt auf deinem Rechner. Solange du (oder ich) nach persönlichem Geschmack und per Ausnahmen entscheidest, was sicherheitstechnisch relevant ist, sind alle 3 Tools genau gleich unbrauchbar.
hat geschrieben: Filterlisten brauch ich doch keine, wenn ich eh nur das freigebe, was ich selbst gezielt und bewusst frei gebe.
Filterlisten sind z.B. gegen Werbung, Tracking, Malware oder Mining. Ab welchem Grad wird das sicherheitsrelevant? Damit man nicht alle 500.000 Einträge selbst im Kopf haben muss, gibt es solche Listen.
uMatrix erscheint mir viel strukturierter.
Ja, mir auch.
Bei uBlock wäre ich wahrscheinlich immer etwas unsicherer, was nur eine Veränderung der Privilegien exakt bewirkt.

Meiner Meinung nach kann man sich bei uMatrix leichter vertun - wenn man vergisst oben den scope umzuschalten!? Was die Privilegien exakt bedeuten, sollte man aber bei beiden Tools genau wissen, denn sonst macht keines davon Sinn.
Und wenn ich beide im Einsatz hätte, müsste ich ja so ziemlich alles doppelt freischalten. Zumal uMatrix, richtig konfiguriert, meinem Verständnis nach schon alles blocken kann, was geblockt werden muss.
In beiden freischalten zu müssen ist wohl weitestgehend unlogisch, ja. Da ich bislang für mich noch keinen besseren Weg gefunden habe, sind bei mir alle 3 im Einsatz. In NoScript sind viele Seiten black-/whitelisted, die meisten Seiten haben keine Behandlung und stehen auf aus. uMatrix lässt alles durch, bis auf seitenbasiert-gefilterte Cookies, iFrames und other (immer aus). uBO übernimmt dann die eigentliche Filterung. Als Beispiel - ich schaue spiegel, heise oder golem, dann ohne das NoScript JavaScript per default freigibt. Ist dann aber z.B. ein eingebettetes youtube-Video auf einem iFrame, dann reicht ein einfacher Klick auf das NoScript Symbol und das Video kann abgespielt werden. Setzt natürlich voraus, dass uBO und uMatrix, für die Seite, entsprechend konfiguriert sind. Die per default freigeschalteten Seiten in NoScript, sind die, die ohne JS überhaupt nicht laufen würden (also z.B. youtube). Das ist alles weit entfernt von der Weisheit letztem Schluss und ich würde das auch sonst niemandem so einrichten, da ich weiß, dass die Leute sich nicht in dem Maße damit beschäftigen wollen. Und mit Sicherheit hat das eigentlich auch nichts zu tun - das ist lediglich der Versuch, eine Seite zum Laufen zu bringen und dabei möglichst wenig zu zulassen. Denn genau das kann man mit diesen Tools nur machen.

PS: Falls du die Seite noch nicht kennst:
https://privacy-handbuch.de/handbuch_21.htm
"Spurenarm Surfen" von oben nach unten durchgehen und nach eigenem Befinden umsetzen. Erst danach mach uMatrix und Co. Sinn.

Antworten