Tracking-Minderung durch DNS Black List (DNSBL)

[novalix]

Manchmal ist die Holzhammer-Methode per DNS-Blocking aber einfach praktisch.
Zum Beispiel auf Mobilgeräten, die leistungsmäßig nicht in der Oberliga angesiedelt sind. So ein Browser Plug-in spart zwar unterm Strich (hoffentlich) mehr Ressourcen als es verbraucht. Es verbraucht aber eben auch.
Für solche Einsatzfälle nutze ich gerne dieses Repo(Auflösung nach 0.0.0.0 Harr, Harr).
Außerdem erschlägt man damit auch gleich potentiell naseweise Apps, die sich die Leute halt so installieren.

[BenutzerGa4gooPh]

Hi, wanne! Zur Horizont-Erweiterung falle ich jetzt über dich her! Dafür sind Experten wie du prädestiniert.

Solche Blocker gehören in die Anwendung.

Wird das nicht etwas viel? Manche haben auch mehrere Androiden und Windowse in der Familie.

Und es gibt hunderte Möglichkeiten, wie man irgend welche Listen über alle Anwendungen Synchronisiert.

Welche einfachen Möglichkeiten, bitte genauer. Nicht jeder ist Konsolenakrobat. Und wie aktualisieren?

Viele hier haben Accounts bei google facebook und twitter, sodass man die dicksten Tracker eh nicht per DNS filtern kann.

Ehrlich? Beweise! (Die wollen eh keine Privatsphäre. )

Wenn euer Fernseher nur lokal kommuniziert stellt ihn auch in ein untagged VLAN, wo er nur das kann.

Komplett blocken wäre sehr "unsmart". Schade um die Kröten (Euronen). (Nötige Updates bei Internetzugang hast du angesprochen.)

Warum um himmels willen muss euer E-Mail ein falsch kompilierter Browser sein und Inhalte von Drittanbietern runterladen schaltet das ab oder tauscht ihn aus.

(Bei Mails von guten Bekannten will ich u. a. mal die Smileys sehen. Einzelne Mails aktiviert man schon mal für Drittanbieter-Download, oder?)

Wenn ihr wirklich eine Anwendung unbedingt braucht, die aber unerwünscht nach hause telefoniert, nehmt sie per Firewall vom Internet. Das wirkt wirklich im Gegensatz zu irgend welchen hostlisten, die immer irgend wie unvollständig sind.

Da muss man ständig forschen, Logs lesen und die FW-Regeln sind (zumindest anfangs) genauso wenig aktuell/vollständig wie Listen, die auf Erfahrungen vieler beruhen. Und kommt am Ende auf das Gleiche raus. Wobei Ziel-IPs variabler und undurchsichtiger als Namen sind. Okay, für letzteres gibt es Aliases. Wohl kaum aktuell zu halten.

Das Ganze per FW-Regelwerk wäre auch mir lieber - aber ich sehe bisher keine gleichwertige Möglichkeit. Eine automatische Aktualisierung von FW-Regeln (extremer Eingriff) würde zumindest mir nicht passen! DNS hingegen wird oft manipuliert, u. a. von OpenDNS:

OpenDNS bietet DNS-Abfragen (Auflösung von DNS-Namen) für Privatpersonen und Firmen. Dies stellt eine Alternative zur Benutzung des DNS-Servers des eigenen Internetdienstanbieters dar. Zum anderen bietet die Firma einen Phishing-Filter sowie Korrektur von Eingabefehlern an. OpenDNS sammelt eine Liste fragwürdiger Seiten und blockiert den Zugriff darauf.

https://de.m.wikipedia.org/wiki/OpenDNS
Vgl. a. https://www.ccc.de/censorship/dns-howto/

Quintessenz: Verbesserungsvorschläge und deren Macher willkommen!

(novalix war zwischenzeitlich, noch nicht gelesen.)

[spiralnebelverdreher]

Ich halte die ganzen DNS Blocker eher für ungeschickt. Solche Blocker gehören in die Anwendung. Und es gibt hunderte Möglichkeiten, wie man irgend welche Listen über alle Anwendungen Synchronisiert.

Wanne, ich sehe DNS-Blocking nicht als besonders elegant an (novalix spricht da zurecht von Holzhammermethode). Dass es gute technische Möglichkeiten gibt, über mehrere Anwendungen Blackslists und Whitelists zu verwalten, sehe ich auch. Aber ich sehe derzeit kein gemeinsames Konzept für so was bei den Anwendungen. Der heutige Umgang mit Zertifikaten (da gibt es zumindest ein passendes Paket) innerhalb diverser Anwendungen (manche Browser bringen ihre eigene Zertifikatsverwaltung mit) macht mir auch wenig Hoffnung, dass hier in naher Zukunft etwas geschieht. Vermutlich ist das aus Sicht der Entwickler ein unwichtiges Feature für die wenigen Aluhut-Träger - und wer dennoch eine Anwendung für diese Nutzergruppe entwickelt, integriert dann eben Whiltelists, Blacklists und Zertifikate in seine eigene Anwendung.
Es gibt meines Wissens bezüglich Tracking leider keine debian Pakete "Anti-Tracking Basis" und "Anti-Advertising Basis", welche eine feinabgestimmte Konfigurationen zulassen und von den Anwendungen (Browser etc) verwendet werden.

Die aller meisten Anwendungen sind kontrollierbar genug. Da braucht man kein Block. Und hier und da störend ist er ja doch.

Das sehe ich in der Linux Desktop Umgebung ähnlich. Die Anwendungen sind kontrollierbar, ist ja Open Source und die "üblichen Verdächtigen" in Bezug auf Tracking der Anwendungswelt (Browser, Mailclient, Messenger, ...) sind entsprechend konfigurierbar. Außerhalb der Open-Source Welt sieht es halt leider ziemlich anders aus.

Viele hier haben Accounts bei google facebook und twitter, sodass man die dicksten Tracker eh nicht per DNS filtern kann.

Ich habe hier weder FB noch einen Google Account, dafür aber Twitter und eine ziemlich lange /etc/hosts Datei. Der Ausschnitt

Code: Alles auswählen

grep twitter /etc/hosts
127.0.0.1 analytics.twitter.com
127.0.0.1 twittercounter.com
127.0.0.1 srv2.twittercounter.com
127.0.0.1 urls.api.twitter.com

zeigt, dass DNS Blocking und Twitter zusammen funktionieren (zumindest in meinem Kontext). Ich werde mal nachschauen, welche Tracking-Artefakte man bei Twitter-Nutzung noch sieht. Es wäre natürlich naiv zu glauben, dass hier nur Adressen auftauchen die die Zeichenkette "twitter" intus haben.

Man ist damit im Browser viel flexibler.

Da hast du vollkommen recht; Holzhammer ist Holzhammer und flexibles Werkzeug für die Feinabstimmung sieht anders aus. Leider habe ich halt außerhalb der Open-Source-Welt nur sehr eingeschränkte Möglichkeiten zu erfahren, warum welche Anwendung wann und wie mit der Außenwelt telefoniert um dann eine entsprechende Feinabstimmung vorzunehmen.

Man hat wenig Ahnung was man da noch alles unerwünscht blockt. Gerade so ein Samsung Internet Fernseher sollte schon zu Samsung telefonieren können. So viele Sicherheitslücken wie die schafft sonst keiner. Wenn der dann nicht mal mehr die Updates bekommt, die er braucht will ich den lieber nicht am Internet haben.

Sehe ich auch so, deshalb habe ich meiner Glotze erstmal auch jegliche Kommunikation nach außen verboten. Und wenn ich doch mal ein Update bräuchte, würde ich das TV-Gerät in einer kontrollierten Umgebung für diesen Zweck auch mal ins Netz lassen. Das einzige Update, das er übrigens bisher erfahren hat, habe ich beim Hersteller machen lassen - etwas umständlich für mich. Aber Gewährleistung ist Gewährleistung, und wer halbfertiges Zeugs ausliefert darf es in meinen Augen auch gerne selbst reparieren ... vielleicht setzt da mal ein Lerneffekt ein.

[wanne]

Welche einfachen Möglichkeiten, bitte genauer. Nicht jeder ist Konsolenakrobat. Und wie aktualisieren?

uMatrix futtert u.a. sogar genau die gleichen host files, die du auch unter etc schmeißt und ruft die regelmäßig ab. Und das im Gegensatz zu deinem Router ganz ohne Konsolenakrobat künstlereinen. Daneben gibt es noch weitere Addblcker die mittlerweilse alle das gleiche addblock format futtern und sich voll automatisch updaten. (addblcokplus, ublock origin, konqueror…) Allen kannst du die gleichen auf tracker ausgelegte Blocklisten verfüttern. Und das ist dann halt immer automatisch aktuell. Und eben auch für diverse Android anwendungen (Konqueror hatte ich ja schon genannt ).

Komplett blocken wäre sehr "unsmart". Schade um die Kröten (Euronen).

Smart waren die dinger nie. Entweder sie werden smart von mir per HDMI oder DP gefüttert. Oder sie werden smart von Samsung (oder sonstwem) per Ethernet gefüttert. Im ersten fall, weiß ich was drauf läuft im zweiten Samsung (oder sonstwer). Großartig zwischenwege gibt es da im Moment nicht. Allenfals vielleicht sie werden smart von mir per Ethernet port gefüttert. Dazu später mit der FW-Regel.

Einzelne Mails aktiviert man schon mal für Drittanbieter-Download, oder?)

Mein Mailprogramm kann keine HTML-Mail. Habs bis jetzt nie vermisst. Kann mir aber durchaus vorstellen, dass das einen Mehrwert für manche darstellt. Aber warum man <1kiB große Smilies von externen Anbietern nachladen muss leuchtet mir nicht ein. Da ist doch der Link fast größer wie das Bild. Das dient doch absolut nur dem Tracking seitens des mailprogramms des absenders.

Da muss man ständig forschen, Logs lesen und die FW-Regeln sind (zumindest anfangs) genauso wenig aktuell/vollständig wie Listen, die auf Erfahrungen vieler beruhen. Und kommt am Ende auf das Gleiche raus. Wobei Ziel-IPs variabler und undurchsichtiger als Namen sind. Okay, für letzteres gibt es Aliases. Wohl kaum aktuell zu halten.

Ich habe schon gemeit, das man von eth0 (wo der TV liegt) nach eth1 (wo das Interent liegt) einfach ein -j REJECT macht. Nichts weiter.

[BenutzerGa4gooPh]

Danke wanne.

Allen kannst du die gleichen auf tracker ausgelegte Blocklisten verfüttern. Und das ist dann halt immer automatisch aktuell. Und eben auch für diverse Android anwendungen (Konqueror hatte ich ja schon genannt ).

Aber das verstehe ich nicht. Wie soll Konqueror als KDE-Web-Browser/Dateimanager irgendwas für/gegen Andoid tun?

[BenutzerGa4gooPh]

Muss man denn davon ausgehen, dass andere Programme (also nicht nur der Browser) das Google-Tracking auch unterstützen? Das ist das, was mir im Moment völlig unklar ist. Ich bin davon ausgegangen, dass es nur den Browser betrifft und hatte deshalb angenommen, dass der Blocker im Browser das Problem also auch zufriedenstellend abdeckt. Ist das zu kurz gedacht?

Android-Tablet mit WLAN eingeschaltet, alle FW-Logs gelöscht, dann lokaler Taschenrechner, 1 Aufgabe:

Dec 12 09:28:04 ► LAN4_WAN let out anything from firewall host itself (1000004861) 172.17.6.199:123 85.220.190.246:123
clint.blazing.de UDP

Dec 12 09:27:41 ► LAN4_WAN let out anything from firewall host itself (1000004861) 172.17.6.199:123 138.201.90.19:123
omx2.classictic.com UDP

Komisch, Port 123 = NTP und das zu 2 verschiedenen Servern?
http://www.auditmypc.com/udp-port-123.asp

[wanne]

Aber das verstehe ich nicht. Wie soll Konqueror als KDE-Web-Browser/Dateimanager irgendwas für/gegen Andoid tun?

KDE5 l'uft hervorragend auf androiden. (KDE 4 btw. auch unter Windows)

Komisch, Port 123 = NTP und das zu 2 verschiedenen Servern?

Richtiges NTP redet immer mit mehreren Servern um die verzoegerung durch die uebertragung abzuschaetzen.

[BenutzerGa4gooPh]

Richtiges NTP redet immer mit mehreren Servern um die verzoegerung durch die uebertragung abzuschaetzen.

Aber gerade mit diesen Servern und in diesem Moment (Taschenrechner)?

KDE5 läuft hervorragend auf androiden

Hast du bitte mal einen ausführlichen Link? Wie kriege ich das auf mein Tablet?

So, um langsam zu Ende zu kommen, eine kurze Zusammenfassung:

M. E. ist count=Listeninhalt (Anzahl), packets=DNS-Blockierungen (Erkennung). PFBlockerNG ist nicht so gut dokumentiert.
Ich habe einige übliche Verdächtige angesurft: google, amazon, zalando, bild, aol, web.de, chip, heise, ebay. Die Listen haben wie im Bild "zugeschlagen".
Das Bild sagt NICHTS über die Qualität der Listen, da Mehrfach-Treffer nicht angezeigt werden. Wenn ich eine Liste deaktiviere, haben andere mehr Treffer.

Es sagt aber was darüber, ob sie überhaupt wirken:
adaway in der eingebundenen Form https://adaway.org/hosts.txt hat nur wenig Einträge und wirkt bei o. g. Websites nicht mal bei Deaktivierung der anderen Listen. Logs dafür zusätzlich nachgesehen. In Reinform also Schlangenoel.

Ansonsten ist sinnvoll, mehrere Listen zu kombinieren - je nach Größe des Aluhutes, Aluburka, Aktualisierungsintervall, Aktualisierungsfehlern.
(Ich höre jetzt auf, man macht sich ja fertig. Man kann das Tracking eh nur einschränken, da Listen auf Erfahrungen beruhen und unterschiedliche Ziele (Serverbetreiber, Privatanwender hinter NAT, Sprachraum der Sites) nebst Interessenkonflikten (Werbeindustrie, Portalbetreiber, Apps) berücksichtigen und der Realität hinterherhinken.)

Anlage getestete Listen (unbound macht DNS-Block, Frequency ist Update-Intervall):

DNS Group Name DNS Group Description Action Frequency
winhelp2002 http://winhelp2002.mvps.org/hosts.txt unbound EveryDay
yoyo http://pgl.yoyo.org/adservers/serverlis ... =plaintext unbound EveryDay
hostsfilenet http://hosts-file.net/ad_servers.txt unbound EveryDay
adaway https://adaway.org/hosts.txt unbound EveryDay
cameleon http://sysctl.org/cameleon/hosts unbound EveryDay
StevenBlack https://raw.githubusercontent.com/Steve ... ster/hosts unbound EveryDay

(StevenBlack aus novalix' Beitrag: https://github.com/StevenBlack/hosts)

Hinweis:
Man kann viele (alle?) Router-FW-Distributionen in Virtualbox testen, Stichworte Bridging und 2 virtuelle Adapter. Auch DDWRT und OpenWRT bieten x86_64-Isos an - neben IPFire, OPNSense, PFSense, Sophos etc.

[BenutzerGa4gooPh]

Das Addon PrivacyBadger erkennt wohl Tracker aufgerufener Websites. Demzufolge könnte das ein Mittel sein, die Qualität der verwendeten Listen/Blocker, egal ob Firewall, Browser-Plugins oder etc/host-Umleitungen für das eigene Surfverhalten zu zu prüfen:

Der PrivacyBadger lernt die blockierten Seiten aus den eigenen Surfgewohnheiten

https://digitalcourage.de/digitale-selb ... king-tools
https://www.eff.org/privacybadger
Dank an Blackbox für dessen Signatur!

Aufgrund wannes Hinweisen habe ich schlussendlich FF unter Android und Ublock Origin installiert. Dessen Logs (Standardeinstellung) zeigen trotz obiger Filterlisten noch 36 Objekte auf Focus.de. Browser Plugins sind eben doch effizienter. Schade, zentral auf Firewall wäre mir lieber gewesen.

Ich habe jetzt erst mal "die Faxen dicke". Oder den Kampf gegen Windmühlen. Danke an alle Mitstreiter.

[BenutzerGa4gooPh]

Browser Plugins haben den weiteren Vorteil, dass diese (hoffentlich) aktualisiert werden - und damit nicht nur die Inhalte der Filterlisten sondern auch die abgerufenen Filterlisten an sich.
Mit ublockOrigin ist die Auswahl von Filterlisten sehr einfach (Einstellungen). Die Filterlisten sind wohl speziell dem Desktop-User angepasst. Auch dem deutschen Sprachraum mit einer speziellen Liste.

UblockOrigin gibt es auch für FF unter Android. Nach Installation Einstellungen nachvollziehen und Listen abrufen/aktualisieren!
Des Weiteren ist für Privatsphäre auch ein Scriptblocker nötig.

Zu bevorzugen ist also die dezentrale Lösung pro Desktop/Smartphone mit Firefox/ublock und Scriptblocker.

Manko dabei: Das "Nachhausetelefonieren" anderer Programme wird im Gegensatz zu DNS Black Listing nicht unterbunden. Firewallregeln können das nur im Nachhinein nach Untersuchung der Logs unterbinden: Man will ja das Gerät irgendwie nutzen, mit einem Smartphone surfen. Alles Verbieten und nach bemerkten Funktionseinschränkungen mit Log-Auswertung "Löcher in die FW-Rules bohren" ist nicht praktikabel. Also ständige Aktualisierung einer Blacklist erforderlich. Oder resignieren. Oder unvollständige DNS Black Lists nutzen. Vielleicht DNSBL auf Router nicht für Browser/Surfen - sondern speziell für "Nachhausetelefonierer" (Smart-TV, andere Apps als FF mit UblockOrigin auf Smartphones). Letzteres wäre vielleicht noch Firewall-Experimente mit Smartphone wert. Aber zu unterscheiden, was gebraucht wird und was nicht und alles zu erwischen ...

[BenutzerGa4gooPh]

Spiralnebelverdreher hat seinem Smart-TV beim "Telefonieren" zugesehen, ich tue es jetzt mit meinem Lenovo-Tablet mit Android 5. (Dieses wird von mir nur als "Messgerät" und "Surfmaschine" genutzt. Ein Smartphone besitze ich nicht, nur ein altes, unsmartes NOKIA-Mobiltelefon zum Telefonieren.)

Experiment:
Ich nutze dabei keine Webbrowser, sondern nur LOKALE APPS (!!!) in der Reihenfolge: Tablet booten, Pause, Wifi Analyzer, Einstellungen -> Standort nur per GPS, GPS Test mit aktiviertem GPS bis Fixing des Standortes, Kamera, Dateimanager, Galerie, Kontakte, WPS-Office, Einstellungen -> Standort deaktivieren, Tablet abschalten, WLAN-AP stromlos.

Das Tablet hängt an LAN3_WLAN mit 192.168.30.52, Default-GW ist 192.168.30.1., wer 127.0.0.1 ist, muss ich wohl nicht sagen. Ich habe die Ziel-Adressen aufgelöst, deshalb kann ich nur aus dem Webinterface der FW kopieren, also sorry für die darstellung. Folgende Firewall-Log entsteht (86 Datensätze zu 2 Zeilen):

pastebin.php?mode=view&s=39635

Dann schaue ich mal, was meine Wachunde (DNS Black Lists Alerts) getan haben:

Dec 14 08:28:00 Unknown Unknown ssl.google-analytics.com
Not available for HTTPS alerts winhelp2002
DNSBL_winhelp2002
Dec 14 08:26:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk-b.apptornado.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:26:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk.appbrain.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:26:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk-b.apptornado.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:26:00 Unknown Unknown ssl.google-analytics.com
Not available for HTTPS alerts winhelp2002
DNSBL_winhelp2002
Dec 14 08:25:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk.appbrain.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:25:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk-b.apptornado.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:25:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk.appbrain.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:25:24 Unknown Unknown googleads.g.doubleclick.net
Not available for HTTPS alerts EasyListElements
DNSBL_EasyList
Dec 14 08:24:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk.appbrain.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:24:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk-b.apptornado.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:24:52 LAN3_WLAN 192.168.30.52
android-bba6b81aad249cce sdk.appbrain.com
| /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM) hostsfilenet
DNSBL_hostsfilenet
Dec 14 08:24:03 Unknown Unknown googleads.g.doubleclick.net
Not available for HTTPS alerts EasyListElements
DNSBL_EasyList
Dec 14 08:18:47 Unknown Unknown ssl.google-analytics.com
Not available for HTTPS alerts winhelp2002
DNSBL_winhelp200

(Dabei möchte ich nochmal darauf hinweisen, dass automatisch Duplikate zwischen den Listen beseitigt werden und so manche Listen mehr wirken, als andere. count im Bild eines früheren Beitrages zeigt die übernommenen Pakete nach Duplikatauflösung.)

Was könnten denn nun Konsequenzen sein:
- prinzipiell kein Zugriff auf NAS oder PC mit Tablets/Smartphones/Andoid-Apps?!
- ausschließlich Web-Browsing mit Firefox für Android und uBlockOrigin + ScriptBlocker (Damit dürften sich FW-Logs "beruhigen".)
- Beobachtung von Firewall-Logs für benutzte Apps und Sperre deren Traffics per selbst erstellter Firewall-Regeln (Sollte wegen vorheriger Maßnahme machbar sein.)
- Da sich IP-Adressen leicht ändern, ist eine Kombination DNS Black List mit Firewall-Rules ratsam. Die Fritzbox bietet wohl DNSBL für Kinderschutz. Aber nicht alle IPs sind DNS_auflösbar.
- Mehr fällt mir erst mal nicht ein, Kommentare und Vorschläge herzlich willkommen!

--------------------------------------------------------------
Anlage 1: DNS-Umleitungen auf local host durch Summe der Elemente aller Listen:

DNSBL Reject HTTPS,Dec 14 08:18:47,ssl.google-analytics.com
DNSBL Reject HTTPS,Dec 14 08:24:00,ssl.google-analytics.com
DNSBL Reject HTTPS,Dec 14 08:24:03,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:24:03,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:24:03,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:24:51,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:24:51,googleads.g.doubleclick.net
DNSBL Reject,Dec 14 08:24:52,sdk.appbrain.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject,Dec 14 08:24:52,sdk-b.apptornado.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject,Dec 14 08:24:52,sdk.appbrain.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject HTTPS,Dec 14 08:25:24,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:25:24,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:25:49,googleads.g.doubleclick.net
DNSBL Reject HTTPS,Dec 14 08:25:49,googleads.g.doubleclick.net
DNSBL Reject,Dec 14 08:25:52,sdk.appbrain.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject,Dec 14 08:25:52,sdk-b.apptornado.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject,Dec 14 08:25:52,sdk.appbrain.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject HTTPS,Dec 14 08:26:00,ssl.google-analytics.com
DNSBL Reject,Dec 14 08:26:52,sdk-b.apptornado.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject,Dec 14 08:26:52,sdk.appbrain.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject,Dec 14 08:26:52,sdk-b.apptornado.com,192.168.30.52, | /api/pb?action=up | Apache-HttpClient/UNAVAILABLE (java 1.4; SCM)
DNSBL Reject HTTPS,Dec 14 08:28:00,ssl.google-analytics.com
DNSBL Reject HTTPS,Dec 14 08:30:01,ssl.google-analytics.com

Anlage 2: Benutzte DNS Black Lists
http://winhelp2002.mvps.org/hosts.txt
http://pgl.yoyo.org/adservers/serverlis ... =plaintext
http://hosts-file.net/ad_servers.txt
http://sysctl.org/cameleon/hosts
http://someonewhocares.org/hosts/
https://raw.githubusercontent.com/Steve ... ster/hosts

https://easylist.to/ daraus nur die Kategorien:
EasyListElements.txt
EasyPrivacy.txt
EasyListElements.ip
EasyPrivacy.ip
PFBlockerNG nimmt derzeit keine weiteren Kategorien. Die Listen haben auch ein spezielles Format. Es sind weitere interessante Listen vorhanden, auch eine für den deutschen Sprachraum. Man schaue auch mal im Firefox-AddOn uBlockOrigin.

-------------------------------------------------------
Na prima:

Auch das »Internet der Dinge« soll großenteils mit Android laufen, wenn es nach Google geht. Zu diesem Zweck hat Google jetzt Android Things und Android Weave vorgestellt.

http://www.pro-linux.de/news/1/24280/go ... tform.html

[spiralnebelverdreher]

... Da sich IP-Adressen leicht ändern, ist eine Kombination DNS Black List mit Firewall-Rules ratsam. Die Fritzbox bietet wohl DNSBL für Kinderschutz. Aber nicht alle IPs sind DNS_auflösbar.

- Mehr fällt mir erst mal nicht ein, Kommentare und Vorschläge herzlich willkommen!

Fritzboxen (zumindest die neueren) können Blacklisting und Whitelisting. Allerdings sind die Listen auf IIRC 500 Einträge beschränkt und damit ist eigentlich immer eine händische Bearbeitung nötig, da die im "Neuland" vorhandenen Listen deutlich länger sind.

Für meinen Smart-TV habe ich Kinderschutz aktiviert (allen Verkehr ins WAN blocken) und werde ggfs. (wenn es wirklich (!) einen Mehrwert bringt) eine Whitelist anlagen.

[BenutzerGa4gooPh]

Fritzboxen (zumindest die neueren) können Blacklisting und Whitelisting. Allerdings sind die Listen auf IIRC 500 Einträge beschränkt und damit ist eigentlich immer eine händische Bearbeitung nötig, da die im "Neuland" vorhandenen Listen deutlich länger sind.

Yeah, vielleicht sogar so für Smartphones so kombinieren: Blacklist mit Top und Second Level Domains und Whitelist (teilweise und sinnvoll "Aushebeln") mit benötigten ... Oder umgekehrt, kenne FB nicht, weiß nicht, wie die kombiniert, Widersprüche auflöst. Jedenfalls "denkt" ein Router (FW) nicht nur an Linux-PCs und Firefox.

[BenutzerGa4gooPh]

Schlussendlich habe ich die Qualität von uBlockOrigin gegen die o. g Listen auf der Firewall geprüft. Dazu habe ich zu den Standardeinstellungen von uBlock Origin weitere Listen geladen, damit die Listen auf der Firewall auch in denen von uBlock Origin enthalten sind:

gallery/image_page.php?album_id=1&image_id=478
(oh, sorry, Bild schlecht erkennbar)

Experiment 1: Jessie, Firefox + uBlock Origin: Aufruf der websites focus.de, aol.de von dort zu den Links Nachrichten (Huffingtonpost), chip.de, heise.de
Firewall, pfBlockerNG, DNS-BL Log:

DNSBL Reject HTTPS,Dec 15 08:04:15,tiles.services.mozilla.com
DNSBL Reject,Dec 15 08:04:43,s0.2mdn.net,192.168.10.52,http://www.focus.de/politik/deutschland ... 57401.html | /instream/html5/ima3.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:04:49,s0.2mdn.net,192.168.10.52,http://www.focus.de/politik/deutschland ... 57574.html | /instream/html5/ima3.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:22,s0.2mdn.net,192.168.10.52,http://videos.huffingtonpost.de/wirtsch ... oplay=true | /instream/html5/ima3.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:45,i.tfag.de,192.168.10.52,http://www.chip.de/ | /js_ng/ads_fol_init.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:50,i.tfag.de,192.168.10.52,http://www.chip.de/artikel/Aldi-Smartph ... 33542.html | /js_ng/ads_fol_init.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:51,cdn.gigya.com,192.168.10.52,http://www.chip.de/artikel/Aldi-Smartph ... 33542.html | /gs/i/comments/avatar_32x32.gif | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:52,a.tfag.de,192.168.10.52,http://www.chip.de/artikel/Aldi-Smartph ... 33542.html | /js_ng/chip_gpt_ct.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:52,a.tfag.de,192.168.10.52,http://www.chip.de/artikel/Aldi-Smartph ... 33542.html | /js_ng/chip_gpt_ae.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:05:53,cdn.gigya.com,192.168.10.52,http://www.chip.de/artikel/Aldi-Smartph ... 33542.html | /js/gigya.services.plugins.base.min.js?services=gigya.services.comments.plugins.comments2&amp;lang=de | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:06:19,a.tfag.de,192.168.10.52,http://www.chip.de/test/Huawei-Mate-9_103179723.html | /js_ng/chip_gpt_ct.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:06:19,a.tfag.de,192.168.10.52,http://www.chip.de/test/Huawei-Mate-9_103179723.html | /js_ng/chip_gpt_ae.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:06:25,i.tfag.de,192.168.10.52,http://www.chip.de/bestenlisten/Bestenl ... ex/id/996/ | /js_ng/ads_fol_init.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject,Dec 15 08:06:33,i.tfag.de,192.168.10.52,http://www.chip.de/nachrichten/schnaeppchen20833 | /js_ng/ads_fol_init.js | Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
DNSBL Reject HTTPS,Dec 15 08:07:10,tiles.services.mozilla.com

Experiment 2: Lenovo Tablet mit Android 5, Firefox mit uBlockOrigin: Aufruf der Websites focus.de, aol.de von dort zu den Links Nachrichten (Huffingtonpost), chip.de, heise.de
(Tablet war davor schon länger eingeschaltet, alte Logs vor Aufruf der Websites gelöscht, nicht so viele Unterseiten wie in Experiment 1 aufgerufen und (*) gesetzt)
Firewall, pfBlockerNG, DNS-BL Log:

DNSBL Reject,Dec 15 12:21:34,i.tfag.de,192.168.30.52,http://www.chip.de/ | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject,Dec 15 12:21:38,i.tfag.de,192.168.30.52,http://www.chip.de/Test_12430122.html | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject,Dec 15 12:21:44,i.tfag.de,192.168.30.52,http://www.chip.de/nachrichten | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject,Dec 15 12:21:49,i.tfag.de,192.168.30.52,http://www.chip.de/nachrichten/software42323 | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject,Dec 15 12:21:57,i.tfag.de,192.168.30.52,http://www.chip.de/nachrichten/software42323 | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject,Dec 15 12:22:11,i.tfag.de,192.168.30.52,http://www.chip.de/nachrichten/hardware9237 | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject,Dec 15 12:22:24,i.tfag.de,192.168.30.52,http://www.chip.de/nachrichten/schnaeppchen20833 | /js_ng/ads_fol_init.js | Mozilla/5.0 (Android 5.0.1; Tablet; rv:50.0) Gecko/50.0 Firefox/50.0
DNSBL Reject HTTPS,Dec 15 12:25:35,tiles.services.mozilla.com

Prima, uBlock Origin arbeitet auch auf Android-FF gut, selbst die extreme Huffingtonpost (hängt mit Focus zusammen) ist weg. Trotzdem belasse ich meine Listen auf der Firewall. Deren CPU ist sowieso meist im Leerlauf. Des weiteren blocke ich damit "eigenartigen" Traffic aller Apps - auch wenn nie vollständig. Und ich werde mein Tablet ausschließlich per USB mit meinem Laptop verbinden. Wer seinen Router mit Webbrowser konfiguriert, sollte vorherige Browserdaten und Cookies vollständig löschen lassen. Geht ja bei entsprechender Einstellung automatisch.

Übrigens, ich habe speziell uBlock Origin genutzt - weil dieses Addon/Plugin halbwegs das Gleiche macht bzw. machen sollte, wie DNS BL auf der Firewall. Das von wanne vorgeschlagene uMatrix ist vlt. besser. Aber eben auch nur für FF.

Ich weise nochmals darauf hin, dass Fritzboxen und andere Router Black Lists als Kindersicherung besitzen. Sinnvolle Black Lists findet man in den Einstellungen von uBlock Origin. Nicht jedes Listenformat ist geeignet, macht nichts, etliche Listen enthalten die gleichen Tracker oder ergänzen sich. Anti-Spam-Listen und Anti-Malware-Listen benötigen wohl eher Serverbetreiber und Windows-Nutzer. Tracking ist jedoch auch für surfende Linux-Nutzer und Smartphone-Betreiber interessant. Der FF hat sehr großzügige Standardeinstellungen (Bequemlichkeit für Nutzer) - ist jedoch ein hervorragend einstellbares Tool: https://www.privacy-handbuch.de/handbuch_21u.htm

(*) Beim Andrioid-FF hatte ich noch das gesetzt: about:config: privacy.trackingprotection.enabled = true.

[BenutzerGa4gooPh]

Das war dann wohl ein Eigentor der Tracker: https://www.heise.de/newsticker/meldung ... 79340.html