Firefox und Google Manifest v3

[Marco Moock]

https://tarnkappe.info/artikel/internet/firefox-und-vivaldi-trotzen-googles-werbeblocker-limitierungen-256506.html

Google will das bei Chrome einführen und bestimmte Werbeblocker werden
dann nicht mehr funktionieren.
Mozilla will es bei FF - zumindest vorerst - nicht tun.
Ich bin mal gespannt wie lange die durchhalten.

[Marco Moock]

Am 26.09.2022 um 18:14:36 Uhr schrieb Andreas Kohlbach:

> Ich habe bei keinem Browser Werbeblocker aktiviert. Alle Browser
> laufen über einen systemweiten "Werbe-Proxy". Damit sollte ich an
> allen möglichen Limitierungen vorbei kommen.

Damit kannst du aber ohne TLS aufzubrechen nicht Werbung von einer
Domain blockieren, von der du Inhalte haben willst.

[Joerg Lorenz]

Am 26.09.22 um 20:49 schrieb Marco Moock:

So viel zum vielgelobten Open Source-Browser Chromium. Den hat Google
fest in seiner Hand und damit die meisten Browser-Anbieter.

Ich hoffe einfach, dass Google mit diesem Monopolistenverhalten in der
EU auf die Schnauze fällt und/oder dass FF und Apple Google wie schon
bis anhin die Suppe gehörig versalzen.

Es geht hier um gigantische Milliardenbeträge an Werbegeldern und die
Privatsphäre von Milliarden Nutzern.

Google is evil.


--
De gustibus non est disputandum

[Joerg Lorenz]

Am 27.09.22 um 00:14 schrieb Andreas Kohlbach:

> Ich habe bei keinem Browser Werbeblocker aktiviert. Alle Browser laufen über
> einen systemweiten "Werbe-Proxy". Damit sollte ich an allen möglichen
> Limitierungen vorbei kommen.

Ich denke, es geht eben nicht nur um Werbung, sondern auch um das
Tracking und Datendiebstahl mit Scripts und anderem Müll. Ich benutze
Firefox-Profile mit verschiedenen Graden an Privatsphärenschutz auf
allen Rechnern bis hin zum TOR-Browser. Nur auf dem Mac benutze ich
gelegentlich auch Safari mit der neuen "Quasi-Proxy"-Funktion und einem
Trackingblocker von DuckDuckGo.

Google hat schlicht und einfach Angst, dass das bisherige Werbeblocking
immer negativer auf die eigenen Werbeinnahmen auswirkt. Dafür sind sie
auch bereit, "Drittanbieter" aus dem System fernzuhalten.

[Marco Moock]

Am 27.09.2022 um 08:28:46 Uhr schrieb Joerg Lorenz:

> Ich hoffe einfach, dass Google mit diesem Monopolistenverhalten in der
> EU auf die Schnauze fällt und/oder dass FF und Apple Google wie schon
> bis anhin die Suppe gehörig versalzen.

Firefox hat kaum mehr eine Relevant, Chrome und seine Ableger
dominieren.

https://gs.statcounter.com/browser-market-share/desktop/worldwide

Von daher wird Google sich nicht wirklich drum kümmern, was FF macht.

[Joerg Lorenz]

Am 27.09.22 um 08:47 schrieb Marco Moock:

> Am 27.09.2022 um 08:28:46 Uhr schrieb Joerg Lorenz:
>
>> Ich hoffe einfach, dass Google mit diesem Monopolistenverhalten in der
>> EU auf die Schnauze fällt und/oder dass FF und Apple Google wie schon
>> bis anhin die Suppe gehörig versalzen.
>
> Firefox hat kaum mehr eine Relevant, Chrome und seine Ableger
> dominieren>

> https://gs.statcounter.com/browser-market-share/desktop/worldwide

Desktop-Browser sind inzwischen eine Nische. Und mit dieser Statistik
habe ich sowieso ganz grosse Mühe: Fast jeder benutzt mehrere Browser.

> Von daher wird Google sich nicht wirklich drum kümmern, was FF macht.

Entscheidend ist was Apple macht.

[Marco Moock]

Am 27.09.2022 um 09:25:13 Uhr schrieb Joerg Lorenz:

> Am 27.09.22 um 08:47 schrieb Marco Moock:
> > Am 27.09.2022 um 08:28:46 Uhr schrieb Joerg Lorenz:
> >
> >> Ich hoffe einfach, dass Google mit diesem Monopolistenverhalten in
> >> der EU auf die Schnauze fällt und/oder dass FF und Apple Google
> >> wie schon bis anhin die Suppe gehörig versalzen.
> >
> > Firefox hat kaum mehr eine Relevant, Chrome und seine Ableger
> > dominieren>
> > https://gs.statcounter.com/browser-market-share/desktop/worldwide
>
> Desktop-Browser sind inzwischen eine Nische. Und mit dieser Statistik
> habe ich sowieso ganz grosse Mühe: Fast jeder benutzt mehrere Browser.

Das stimmt vielleicht hier im Usenet, aber in der Praxis sehe ich bei
den meisten Leuten einen Browser, den diese für den Alltag nutzen.
Das ist meistens Chrome bzw. bei Windows oft auch Edge.

> > Von daher wird Google sich nicht wirklich drum kümmern, was FF
> > macht.
>
> Entscheidend ist was Apple macht.

De facto aber nur auf Mobilgeräten von denen und ein paar iMacs.
Sonst hat Apple keine relevant.

[Joerg Lorenz]

Am 27.09.22 um 09:53 schrieb Marco Moock:

Sorry, das ist völliger Quatsch. Apple zerschiesst Zuckerberg und Google
gerade das Businessmodell. Mach Dich mal schlau.
Das heisst übrigens Relevanz und wird gross geschrieben.

Und entscheidend ist immer mehr, was in den Mobilmärkten passiert. In
den USA und Ländern wie Frankreich und der Schweiz hat Apple übrigens
einen Marktanteil von deutlich über 50% im Bestand. Sowohl bei Mobil-
als auch bei Desktop/Laptop-Geräten.

Was leider gar keine Bedeutung hat, ist Linux.

[Marco Moock]

Am 27.09.2022 um 11:39:03 Uhr schrieb Joerg Lorenz:

> Am 27.09.22 um 09:53 schrieb Marco Moock:
> > Am 27.09.2022 um 09:25:13 Uhr schrieb Joerg Lorenz:
> >> Entscheidend ist was Apple macht.
> >
> > De facto aber nur auf Mobilgeräten von denen und ein paar iMacs.
> > Sonst hat Apple keine relevant.
>
> Sorry, das ist völliger Quatsch. Apple zerschiesst Zuckerberg und
> Google gerade das Businessmodell. Mach Dich mal schlau.

Inwiefern denn?
Ich sehe nicht, dass Android am aussterben ist.

> Und entscheidend ist immer mehr, was in den Mobilmärkten passiert. In
> den USA und Ländern wie Frankreich und der Schweiz hat Apple übrigens
> einen Marktanteil von deutlich über 50% im Bestand. Sowohl bei Mobil-
> als auch bei Desktop/Laptop-Geräten.

Da ich mich da nicht aufhalte weiß ich es nicht, aber es klingt
für mich unrealistisch. Gibt es dazu eine Quelle?

[Joerg Lorenz]

Am 27.09.22 um 11:46 schrieb Marco Moock:

> Am 27.09.2022 um 11:39:03 Uhr schrieb Joerg Lorenz:
> Inwiefern denn?
> Ich sehe nicht, dass Android am aussterben ist.

Das Businessmodell von Google ist nicht Android. Das ist nur ein
winziger Nebenschauplatz aber einer von vielen Enablern für Google's
Business-Modell.

Ach ja: Ich benutze nur Firefox auf meinem Pixel 4 und Safari auf meinem
iPhone.

Google is evil. :-)

[Marco Moock]

Am 27.09.2022 um 11:53:33 Uhr schrieb Joerg Lorenz:

> Am 27.09.22 um 11:46 schrieb Marco Moock:
> > Am 27.09.2022 um 11:39:03 Uhr schrieb Joerg Lorenz:
> > Inwiefern denn?
> > Ich sehe nicht, dass Android am aussterben ist.
>
> Das Businessmodell von Google ist nicht Android. Das ist nur ein
> winziger Nebenschauplatz aber einer von vielen Enablern für Google's
> Business-Modell.

Nur nutzen die Android-Benutzer meist Chrome, Safari geth eh nur auf
Apple und den FF installiert kaum jemand.

> Ach ja: Ich benutze nur Firefox auf meinem Pixel 4 und Safari auf
> meinem iPhone.
>
> Google is evil. :-)

Stimmt.

[Joerg Lorenz]

Am 27.09.22 um 11:46 schrieb Marco Moock:

https://de.statista.com/statistik/daten/studie/77324/umfrage/marktanteile-der-betriebssysteme-fuer-smartphones-in-den-usa/

[Marco Moock]

Am 27.09.2022 um 12:50:41 Uhr schrieb Joerg Lorenz:

> https://de.statista.com/statistik/daten/studie/77324/umfrage/marktanteile-der-betriebssysteme-fuer-smartphones-in-den-usa/

Das sind aber nur Smartphones. Dann wäre die nächste Frage, wie viele
Leute da Safari und wie viele Chrome nutzen.

[Ralph Angenendt]

"Nur" ist gut.

Browseranteil über alle Geräteklassen:

Safari 40%
Chrome 30%
Samsung Internet 7%
Firefox 7%
Microsoft Edge 6%

Und wir sind zwar kein Riese, aber mit einer Unique-Userzahl im zweistelligen
Millionenbereich auch nicht wirklich klein.

Ralph
--
Is your mother worried?
Would you like us to assign someone to worry your mother?

[Ralph Angenendt]

Well, Marco Moock <mo...@posteo.de> wrote:

"Sonst" ist gut.

[Marco Moock]

Am 27.09.2022 um 12:28:52 Uhr schrieb Ralph Angenendt:

> Browseranteil über alle Geräteklassen:
>
> Safari 40%
> Chrome 30%
> Samsung Internet 7%
> Firefox 7%
> Microsoft Edge 6%

Dann muss entweder der Anteil an Smartphones extrem groß sein und
Desktop-PC und Laptops kaum noch Relevanz haben. Der Anteil von Samsung
Internet würde diese These unterstützen.

[Ralph Angenendt]

Well, Marco Moock <mo...@posteo.de> wrote:

Natürlich. Desktop-Web ist auf dem absteigenden Ast. Wir haben zwei Drittel
mobile traffic (ohne Apps!), ein Drittel Desktop-Web. Generell in der
Reihenfolge iOS, Android, Windows (etwas mehr als die Hälfte von iOS). MacOS
ist ca. die Hälfte vom Windows-Traffic, also zwei Drittel Windows, ein Drittel
Mac, dann eine Größenordnung weniger Linux.

Es ist also wichtig was Apple macht, die dominieren außerhalb vom Desktop und
sind im Desktop-Markt auch nicht *so* klein.

[Manuel Reimer]

On 27.09.22 08:28, Joerg Lorenz wrote:
> So viel zum vielgelobten Open Source-Browser Chromium. Den hat Google
> fest in seiner Hand und damit die meisten Browser-Anbieter.

Also ich habe mich schon vor Jahren damit abgefunden das "Chrome" zwar
"Open Source" ist, aber den sonst in der "Open Source Welt" üblichen
Community-Einfluss komplett außen vor lässt. Google entscheidet was rein
kommt und sonst keiner.

Gruß

Manuel

[Joerg Lorenz]

Am 27.09.22 um 14:28 schrieb Ralph Angenendt:

> Well, Marco Moock <mo...@posteo.de> wrote:
>> Am 27.09.2022 um 09:25:13 Uhr schrieb Joerg Lorenz:
>>> Entscheidend ist was Apple macht.
>>
>> De facto aber nur auf Mobilgeräten von denen und ein paar iMacs.
>> Sonst hat Apple keine relevant.
>
> "Sonst" ist gut.
>
> Browseranteil über alle Geräteklassen:
>
> Safari 40%
> Chrome 30%
> Samsung Internet 7%
> Firefox 7%
> Microsoft Edge 6%

Das hatte ich auch so in Erinnerung, fand aber die Quelle nicht mehr ...
AFAIR ist das Verhältnis global sogar noch mehr zugunsten von Safari.

[Joerg Lorenz]

Am 27.09.22 um 15:17 schrieb Manuel Reimer:

So sieht es bekanntermassen aus. Das OS-Projekt Chromium ist ein
Trojanisches Pferd für Chrome und beides kontrolliert Google ohne Wenn
und Aber.

[Marco Moock]

Am 27.09.2022 um 18:07:13 Uhr schrieb Joerg Lorenz:

> So sieht es bekanntermassen aus. Das OS-Projekt Chromium ist ein
> Trojanisches Pferd für Chrome und beides kontrolliert Google ohne Wenn
> und Aber.

Chromium und Chrome unterscheiden sich sowieso nur marginal, vom Logo,
ich glaub paar Codes fehlen und die Lizenz ist auch anders.

[Joerg Lorenz]

Am 28.09.22 um 05:06 schrieb Andreas Kohlbach:

> On Tue, 27 Sep 2022 11:39:03 +0200, Joerg Lorenz wrote:
>>
>> Was leider gar keine Bedeutung hat, ist Linux.
>

> Ist doch gut. Gibt es weniger Interesse von Scammern, einen Exploit zu
> finden.
>
> Linux benutze ich als Werkzeug. Und mir ist es egal, was die anderen benutzen.

SIC!

Generell ist es aber so, dass Unixoide (Mac, BSD und Linux) aus
statistischer Sicht kaum anfällig für Malware sind. Das dürfte
strukturelle Gründe haben.

[Marco Moock]

Am 27.09.2022 um 23:04:23 Uhr schrieb Andreas Kohlbach:

> "Doch". Der Proxy lädt bestimmte Bilder erst gar nicht.

Wie soll das denn gehen, wenn es ein TLS-Tunnel aufgrund von HTTPS ist
und die Werbung unter der gleiche Domain und damit IP gehostet wird wie
der eigentliche Inhalt?

[Andreas M. Kirchwitz]

Andreas Kohlbach <a...@spamfence.net> wrote:

>> Damit kannst du aber ohne TLS aufzubrechen nicht Werbung von einer
>> Domain blockieren, von der du Inhalte haben willst.
>

> "Doch". Der Proxy lädt bestimmte Bilder erst gar nicht. Vielleicht könnte
> man dann auf die Werbung klicken, wenn man denn wüsste, wo sich diese befindet.

Proxy- oder DNS/VPN-basierte Lösungen gegen Werbung & Co. haben
die prinzipielle Limitierung, dass sie wegen der Verschlüsselung
blind sind gegenüber Inhalten. Sie können nicht trennen, wenn
unter der gleichen Domain "gute" und "böse" Inhalte liegen, was
bereits seit einigen Jahren von den Werbern und Trackern bewusst
ausgenutzt wird.

Entweder müssen solche Lösungen defensiv arbeiten, um keine
"guten" Inhalte auszusperren, wodurch aber auch "böse" Sachen
vermehrt durchrutschen. Oder sie sperren bestmöglich alles
"Böse", aber damit dann leider auch auch viel "Gutes".

Das ist so. Lässt sich nicht wegdiskutieren.

Wenn Dir das Ergebnis reicht, ist das prima. Vor allem die
nervige Werbung kann man sicherlich auch so gut reduzieren.

Tracking dürfte man damit nur schwer in den Begriff bekommen,
die Skripts dafür liegen oft auf dem gleichen Server wie die
erwünschten Skripts.

In einer ganz anderen Liga spielen Add-ons wie uBlock Origin
für die gängigen Browser. Die sehen alle Inhalte unverschlüsselt
und können eine Abwehr höheren Größenordnung bieten.

Sicherlich nicht zufällig setzt Google bei Chrome auch genau
dort an, weil da nämlich die größte Gefahr liegt für das
Geschäftsmodell von Werbern und Trackern, somit auch für
Google selbst.

Gegen die DNS/VPN-basierten Lösungen für Android gehen sie
freilich auch vor. Ich habe kürzlich gelesen, dass sowas in
Zukunft weitere Hürden für den Play Store bekommt.

Firefox mag nicht toll sein, aber deswegen habe ich bisher
von Chromium-basierten Browsern Abstand genommen, denn
de facto sind die eben doch alle von Google abhängig,
außer vielleicht sie täten sich zusammen, doch der Markt
von Chromium-Clones ist viel zu zersplittert. Google
freut sich: Teile und herrsche.

Grüße, Andreas

[Marco Moock]

Am 28.09.2022 um 14:27:29 Uhr schrieb Andreas Kohlbach:

> Der Proxy (Privoxy) schaut sich den Inhalt einfach an. Wenn ein Muster
> (die URL einer Grafik) passt, entfernt er dieses, bevor der restliche
> Inhalt an den Browser ausgeliefert wird. Dabei egal, ob es HTTP oder
> HTTPS ist.

Das kann prinzipbedingt nicht funktionieren, weil du in den TLS-Tunnel
nicht reinschauen kannst. Der Proxy sieht daher (wenn er nicht TLS
aufbricht) weder HTTP noch die damit übertragene Datei.

[Frank Miller]

Nicht spekulieren, sondern FAQ lesen:
4.15. How can Privoxy filter Secure (HTTPS) URLs?
https://www.privoxy.org/faq/misc.html#SSL

[Andreas M. Kirchwitz]

Eben, die FAQ erklärt, Privoxy ist blind gegenüber Inhalten und kann
nur nach dem Namen der Ziel-Site filtern, was allerdings entgegen der
FAQ inzwischen auch meist verschlüsselt ist und Websites sich bemühen,
"gute" und "böse" Inhalte möglichst wenig auf verschiedene Sites
aufzuteilen, sondern von der gleichen Site bedienen zu lassen, damit
man eben nicht so ohne weiteres filtern kann. Die sind ja nicht dumm.

Der Unterschied von solchen Proxy/VPN/DNS-Lösungen zu echten
Inhalte-Filtern wie uBlock Origin ist wie Tag und Nacht, das ist
eine völlig andere Größenordnung.

Zumindest am Desktop sehe ich da keinen Sinn mehr, weil es ja
schließlich Add-ons wie uBlock Origin gibt, die tausendmal besser
filtern können. Mobil wird es eng, unter Android fällt mir nur
Firefox ein, wo man das echte uBlock Origin hinzufügen kann.
Einige andere Browser aus dem Chromium-Lager haben eine
abgespeckte AdBlock(Plus)-Variante fest eingebaut, und Chrome
bietet weder selbst was noch kann man dort Add-ons nachladen.

Natürlich kann jeder filtern, wie er will, und ich freue mich
über jeden, der sich - mit welchen Tools auch immer - nicht jeden
"Dreck" von Websites reindrücken lässt.

Grüße, Andreas

[Marco Moock]

Am 28.09.2022 um 21:56:25 Uhr schrieb Frank Miller:

> Nicht spekulieren, sondern FAQ lesen:
> 4.15. How can Privoxy filter Secure (HTTPS) URLs?
> https://www.privoxy.org/faq/misc.html#SSL

| If you enable https-inspection Privoxy will impersonate the
| destination server and can thus filter encrypted requests and
| responses as well.
|
| Without https-inspection secure HTTP connections are encrypted SSL
| sessions between your browser and the secure site, and there is little
| that Privoxy can do but hand the raw gibberish data though from one
| end to the other unprocessed.

Alles wie ich es gesagt habe. https-inspection ist dann das Aufbrechen
vom TLS-Tunnel.

[Marco Moock]

Am 29.09.2022 um 03:40:59 Uhr schrieb Andreas Kohlbach:

> Man muss in meinem Fall nicht reinschauen. Der Proxy sieht eine URL in
> einer "werbenden" Grafik (egal ob HTTP oder HTTPS), und filtert sie
> aus. Also die Werbung ist weiter da, wird vom Browser aber nicht
> angezeigt, sodass ich von dieser nicht belästigt werde.

Funktioniert aber nur, wenn du TLS aufbrichst, denn die URL ist
innerhalb des Tunnels.

> Wenn mein Proxy beispielsweise eine Grafik auf
> https://images-amazon.com/... sieht, wird diese vor der Übertragung an
> meine Browser verworfen; ich sehe sie nicht, egal welchen Browser ich
> verwende.

Das funktioniert aber bei https ohne Aufbrechen nur bei ganzen
Domainnamen.

[Axel Berger]

Marco Moock wrote:
> Alles wie ich es gesagt habe. https-inspection ist dann das Aufbrechen
> vom TLS-Tunnel.

Echte Verständnisfrage: Wenn das einfach so geht, wie schützt man sich
davor, daß sich ein Bösewicht auf genau dieselbe Art in die Verbindung
mogelt?


--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --

[Marco Moock]

Am 29.09.2022 um 10:55:38 Uhr schrieb Axel Berger:

> Marco Moock wrote:
> > Alles wie ich es gesagt habe. https-inspection ist dann das
> > Aufbrechen vom TLS-Tunnel.
>
> Echte Verständnisfrage: Wenn das einfach so geht, wie schützt man sich
> davor, daß sich ein Bösewicht auf genau dieselbe Art in die Verbindung
> mogelt?

Das läuft über Zertifikate. Dein Browser hat Zertifikatsaussteller
(CA), denen er vertraut. Kommt ein Zertifikat eines Servers nicht von
da, wird gemeckert.

Beim Aufbrechen schickt der Privoxy ein eigenes Zertifikat (muss fü+r
alle Domains gültig sein), dem der Browser nicht traut. Wenn du dem
aber sagst, dass das ok ist, dann baut er die Verbindung auf.

[Axel Berger]

Danke

[Ruediger Lahl]

*Marco Moock* schrieb:

Ich glaube Andreas sieht jeden Tag, wie gut es funktioniert. Anscheinend
ausreichend gut, sonst würde er es wohl nicht benutzen.
--
bis denne

[Marco Moock]

Wie schon mehrfach gesagt, mit Aufbrechen von TLS funktioniert das wie
früher bei HTTP. Ohne Aufbrechen aber nicht, das geht eine Blockade nur
über den Domainnamen/IP-Adresse.

[Ruediger Lahl]

Das scheint Andreas nicht zu interessieren, auch wenn du noch zwei
Klumpen TLS aufbrechen willst.
--
bis denne

[Joerg Lorenz]

Am 29.09.22 um 18:35 schrieb Ruediger Lahl:
> *Marco Moock* schrieb:

>> Wie schon mehrfach gesagt, mit Aufbrechen von TLS funktioniert das wie
>> früher bei HTTP. Ohne Aufbrechen aber nicht, das geht eine Blockade nur
>> über den Domainnamen/IP-Adresse.
>
> Das scheint Andreas nicht zu interessieren, auch wenn du noch zwei
> Klumpen TLS aufbrechen willst.

Schon. Klug ist das aber nicht. Vor ca. zwei Jahren habe ich auch über
ein solches Vorgehen auf meinen Macs nachgedacht, bin aber wegen der
potentiellen Gefahren und der Intransparenz wieder davon abgekommen.

uBlock Origin und NS sind da konzeptionell weniger problematisch.

[Thomas Hochstein]

Marco Moock schrieb:

> Am 29.09.2022 um 10:55:38 Uhr schrieb Axel Berger:
> > Marco Moock wrote:
>>> Alles wie ich es gesagt habe. https-inspection ist dann das
>>> Aufbrechen vom TLS-Tunnel.
>> Echte Verständnisfrage: Wenn das einfach so geht, wie schützt man sich
>> davor, daß sich ein Bösewicht auf genau dieselbe Art in die Verbindung
>> mogelt?
>
> Das läuft über Zertifikate. Dein Browser hat Zertifikatsaussteller
> (CA), denen er vertraut. Kommt ein Zertifikat eines Servers nicht von
> da, wird gemeckert.
>
> Beim Aufbrechen schickt der Privoxy ein eigenes Zertifikat (muss fü+r
> alle Domains gültig sein), dem der Browser nicht traut.

Weshalb ggf. Institutionen, die das wollen, in allen Clients
konfigurieren, dass dem Wildcard-Zertifikat des Proxys vertraut wird.

-thh

[Jörg Tewes]

Ralph Angenendt schrieb:

Wenn "ihr" mehr iOS Traffic habt als Android es aber deutlich mehr
Android Geräte als iOS Geräte gibt dann habt ihr wohl
überdurchschnittlich viele iOS User. Das liegt dann vermutlich an dem
was ihr anbietet. Gravis wird hauptsächlich iOS Traffic haben. Techie
Websites haben ganz andere "Gäste" als z.B. Facebook oder Twitter.
--


Bye Jörg


Religionskriege sind Konflikte zwischen erwachsenen Menschen, bei
denen es darum geht, wer den cooleren, imaginären Freund hat. Wenn
Jesus gevierteilt worden wäre, hätten wir heute dann Mobiles über der
Tür hängen?

[Joerg Lorenz]

Am 29.09.22 um 21:48 schrieb Jörg Tewes:

> Wenn "ihr" mehr iOS Traffic habt als Android es aber deutlich mehr
> Android Geräte als iOS Geräte gibt dann habt ihr wohl
> überdurchschnittlich viele iOS User. Das liegt dann vermutlich an dem
> was ihr anbietet. Gravis wird hauptsächlich iOS Traffic haben. Techie
> Websites haben ganz andere "Gäste" als z.B. Facebook oder Twitter.

Dieses Muster beobachtet man seit Jahren im ganzen Internet. iOS-Geräte
werden häufiger und länger als Zugangsgeräte benutzt als Androiden.

[Marco Moock]

Am 29.09.2022 um 15:19:35 Uhr schrieb Andreas Kohlbach:

> On Thu, 29 Sep 2022 10:47:17 +0200, Marco Moock wrote:
> >
> > Am 29.09.2022 um 03:40:59 Uhr schrieb Andreas Kohlbach:
> >
> >> Man muss in meinem Fall nicht reinschauen. Der Proxy sieht eine
> >> URL in einer "werbenden" Grafik (egal ob HTTP oder HTTPS), und
> >> filtert sie aus. Also die Werbung ist weiter da, wird vom Browser
> >> aber nicht angezeigt, sodass ich von dieser nicht belästigt werde.
> >>
> >
> > Funktioniert aber nur, wenn du TLS aufbrichst, denn die URL ist
> > innerhalb des Tunnels.
>

> Es funktioniert aber für mich. *aufstampf*

Du kannst gerne stampfen, ändert aber am technischen Hintergrund nichts.

> Wie sonst sollten Adblocker von Browsern (AdBlock für Firefox) eine
> Daseinsberechtigung haben?

Die funktionieren anders und müssen nicht in die TLS-Verbindung
eingreifen.

> Es sind ja oft externe Anbieter (Amazon, Google), die die Werbung
> schalten.

Oft ja, aber es gibt Fälle wie YouTube, wo Werbung von gleichen Domains
kommt.

[Andreas M. Kirchwitz]

Andreas Kohlbach <a...@spamfence.net> wrote:

> On Fri, 30 Sep 2022 07:33:53 +0200, Marco Moock wrote:
>> Am 29.09.2022 um 15:19:35 Uhr schrieb Andreas Kohlbach:
>>> Wie sonst sollten Adblocker von Browsern (AdBlock für Firefox) eine
>>> Daseinsberechtigung haben?
>>
>> Die funktionieren anders und müssen nicht in die TLS-Verbindung
>> eingreifen.
>

> Wie?

Add-ons wie uBlock Origin, AdBlock Plus usw. laufen im Kontext
des Webbrowsers, wo der Datenverkehr bereits entschlüsselt ist.
Dadurch können sie sehr fein Zeugs wie Werbung, Tracking usw.
aus dem Datenverkehr herausoperieren mit möglichst geringen
Nebenwirkungen für alle übrigen Daten von der gleichen Website.

> Und wie kommt man auf die Idee, dass sich Privoxy anders (wie die
> Verschlüsselung aufzubrechen) als AdBlock verhalten sollte?

Privoxy, Blokada usw. sind ein fundamental anderer Ansatz.
Die greifen den Datenverkehr außerhalb der Anwendungen ab,
wodurch sie jedoch nur noch verschlüsselte Daten sehen können.
Die einzige Information, die sie haben, sind die Hostnamen,
auf die eine Anwendung zugreifen möchte, und die können sie
pauschal erlauben oder blockieren. Kommen vom gleichen
Hostnamen jedoch sowohl erwünschte Inhalte als auch Werbung,
sind diese Tools hilflos.

> Ich vermute, beide werden auf eine ähnliche Methode zurückgreifen.

Nein, die Ansätze könnten nicht verschiedener sein.

Privoxy (ehem. IJB) ist ein Proxy und stammt im Ansatz aus dem
letzten Jahrtausend (!), als Verschlüsselung noch unüblich war.
Zur Filterung ist dieser Ansatz seit vielen Jahren nicht mehr
besonders sinnvoll. Ein zusätzliches Problem ist, dass so ein
Proxy prinzipbedingt ein Nadelöhr darstellt und viele moderne
Webmechanismen unmöglich macht, was Performance kostet.

Blokada (für Android) ist ein VPN mit DNS-Blocker, weil dort
außer Firefox kein gängiger Webbrowser Add-ons unterstützt.
Außerdem ist das Ziel von Blokada nicht bloß der Browser,
sondern um Werbung in den Apps zu unterdrücken.

Grüße, Andreas

[Marco Moock]

Am 30.09.2022 um 19:48:13 Uhr schrieb Andreas Kohlbach:

> On Fri, 30 Sep 2022 07:33:53 +0200, Marco Moock wrote:
> >
> > Am 29.09.2022 um 15:19:35 Uhr schrieb Andreas Kohlbach:
> >
> >> Wie sonst sollten Adblocker von Browsern (AdBlock für Firefox) eine
> >> Daseinsberechtigung haben?
> >
> > Die funktionieren anders und müssen nicht in die TLS-Verbindung
> > eingreifen.
>

> Wie?

Die greifen über Schnittstellen im Browser ein, der TLS-Tunnel ist da
nicht beteiligt.

> Und wie kommt man auf die Idee, dass sich Privoxy anders (wie die
> Verschlüsselung aufzubrechen) als AdBlock verhalten sollte?

Weil die nur die Möglichkeit haben, unterwegs Daten zu blockieren doer
zu verändern.

> Ich vermute, beide werden auf eine ähnliche Methode zurückgreifen.

Nein, grundsätzlich anders.

[Thomas Hochstein]

Andreas Kohlbach schrieb:

> On Fri, 30 Sep 2022 07:33:53 +0200, Marco Moock wrote:
>> Am 29.09.2022 um 15:19:35 Uhr schrieb Andreas Kohlbach:
>>> Wie sonst sollten Adblocker von Browsern (AdBlock für Firefox) eine
>>> Daseinsberechtigung haben?
>>
>> Die funktionieren anders und müssen nicht in die TLS-Verbindung
>> eingreifen.
>

> Wie?

Weil sie im Browser laufen.

1. Da ist Server!
2. Da ist böses Internet!
Hier ist Privoxy!
3. Da ist Browser!
Hier sind Browser-Addins!

Zwischen 1 und 3 ist die Verbindung - über 2 - verschlüsselt. Wenn
zwischen 2 und 3 ein Proxy sitzt, sieht er nix, außer einer
verschlüsselten Verbindung - es sei denn, er bricht diese Verschlüsselung
auf, mit allen damit verbundenen Nachteilen und Risiken. Der Browser hat
die unverschlüsselten Daten, sonst täte er sich auch mit dem Anzeigen
schwer.

> Und wie kommt man auf die Idee, dass sich Privoxy anders (wie die
> Verschlüsselung aufzubrechen) als AdBlock verhalten sollte?

Naja, man hat eine zumindest entfernt rudimentäre Ahnung, wie das ganze
neumodische Zeit mit diesem Internet funktioniert.

> Ich vermute, beide werden auf eine ähnliche Methode zurückgreifen.

Vielleicht solltest Du einfach beim Fax bleiben? Das ist altbewährt und
hat diese ganzen Probleme nicht.

-thh

[Jörg Tewes]

Joerg Lorenz schrub

Häufiger? Wie kann es sein das 1 Mio. iOS Geräte häufiger im Internet
sind als 10 Mio Android Geräte? Zahlen sollen nur die Verteilung
darstellen.


Bye Jörg

--
Intelligente suchen in Krisenzeiten nach Lösungen,
während die Idioten nach Schuldigen suchen

[Joerg Lorenz]

Am 01.10.22 um 01:36 schrieb Jörg Tewes:

> Joerg Lorenz schrub
>
>> Am 29.09.22 um 21:48 schrieb Jörg Tewes:
>>> Wenn "ihr" mehr iOS Traffic habt als Android es aber deutlich mehr
>>> Android Geräte als iOS Geräte gibt dann habt ihr wohl
>>> überdurchschnittlich viele iOS User. Das liegt dann vermutlich an
>>> dem was ihr anbietet. Gravis wird hauptsächlich iOS Traffic haben.
>>> Techie Websites haben ganz andere "Gäste" als z.B. Facebook oder
>>> Twitter.
>
>> Dieses Muster beobachtet man seit Jahren im ganzen Internet.
>> iOS-Geräte werden häufiger und länger als Zugangsgeräte benutzt als
>> Androiden.
>
> Häufiger? Wie kann es sein das 1 Mio. iOS Geräte häufiger im Internet
> sind als 10 Mio Android Geräte? Zahlen sollen nur die Verteilung
> darstellen.

Man kann auch mutwillig alles umdrehen: Es geht um die durchschnittliche
Nutzung eines iOS-Gerätes verglichen mit der durchschnittlichen Nutzung
eines Android-Gerätes.

Und es gibt 10 Mio iOS-Geräte gegenüber einer 1 Mio Androiden ... ;-)

[Diedrich Ehlerding]

Andreas M. Kirchwitz meinte:

> Privoxy, Blokada usw. sind ein fundamental anderer Ansatz.
> Die greifen den Datenverkehr außerhalb der Anwendungen ab,
> wodurch sie jedoch nur noch verschlüsselte Daten sehen können.
> Die einzige Information, die sie haben, sind die Hostnamen,
> auf die eine Anwendung zugreifen möchte, und die können sie
> pauschal erlauben oder blockieren. Kommen vom gleichen
> Hostnamen jedoch sowohl erwünschte Inhalte als auch Werbung,
> sind diese Tools hilflos.

Es sei denn, sie brächen die https-Verbindung auf. Also derart, dass
https tatsächlich nur nur zwischen Proxy und dem Zielsystem geprüft
wird, Der Proxy entschlüsselt und verschlüsselt dann selber mit deinem
eigenen Zertifikat, das dann auf allen Clients installiert sein muss. Ob
Privoxy das tut, weiß ich nicht; und natürlich muss dann auf allen
Proxy-Clients dessen Zertifikat als vertrauenswürdig bewertet werden.
Das machen z.B. Firmen, die dann das Zertifikat des Proxies als
ver4trauenswürdig aauf alle Mitarbeiter-PCs verteilen.
--
gpg-Key (DSA 1024) D36AD663E6DB91A4
fingerprint = 2983 4D54 E00B 8483 B5B8 C7D1 D36A D663 E6DB 91A4
HTML-Mail wird ungeleſen entſorgt.

[Jörg Tewes]

Joerg Lorenz schrub

> Und es gibt 10 Mio iOS-Geräte gegenüber einer 1 Mio Androiden ... ;-)

Träum weiter.


Bye Jörg

--
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Denn jedermann ist überzeugt, dass er genug davon habe.
(René Descartes)

[Arno Welzel]

Andreas Kohlbach, 2022-09-28 05:04:

> On Tue, 27 Sep 2022 07:00:22 +0200, Marco Moock wrote:
>>
>> Am 26.09.2022 um 18:14:36 Uhr schrieb Andreas Kohlbach:
>>
>>> Ich habe bei keinem Browser Werbeblocker aktiviert. Alle Browser
>>> laufen über einen systemweiten "Werbe-Proxy". Damit sollte ich an
>>> allen möglichen Limitierungen vorbei kommen.

>>
>> Damit kannst du aber ohne TLS aufzubrechen nicht Werbung von einer
>> Domain blockieren, von der du Inhalte haben willst.
>
> "Doch". Der Proxy lädt bestimmte Bilder erst gar nicht. Vielleicht könnte
> man dann auf die Werbung klicken, wenn man denn wüsste, wo sich diese befindet.

Das geht aber nur, wenn der Proxy *statt* dem Browser die TLS-Verbindung
aufbaut, damit er überhaupt sehen kann, ob es sich um ein nicht zu
ladendes Bild handelt. Folglich muss TLS-Verbindung aufgebrochen werden,
da der Browser nicht mit dem originalen Server spricht, sondern mit dem
Proxy. Da der Proxy den Private Key des angesprochenen Webservers nicht
kennt, kann er logischerweise auch kein gültiges TLS-Zertifikat mit dem
Key des originalen Servers haben:


Browser -- TLS2 --> Proxy -- TLS1 --> Webserver

Für "TLS2" ist ein anderes Zertifikat nötig, wie für "TLS1".

Wenn der Proxy HTTPS aber einfach nur 1:1 durchleitet, ohne es
aufzubrechen, kann er den Inhalt nicht lesen.

--
Arno Welzel
https://arnowelzel.de

[Arno Welzel]

Andreas Kohlbach, 2022-09-28 20:27:

> On Wed, 28 Sep 2022 10:11:13 +0200, Marco Moock wrote:

>>
>> Am 27.09.2022 um 23:04:23 Uhr schrieb Andreas Kohlbach:
>>
>>> "Doch". Der Proxy lädt bestimmte Bilder erst gar nicht.
>>

>> Wie soll das denn gehen, wenn es ein TLS-Tunnel aufgrund von HTTPS ist
>> und die Werbung unter der gleiche Domain und damit IP gehostet wird wie
>> der eigentliche Inhalt?

>
> Der Proxy (Privoxy) schaut sich den Inhalt einfach an. Wenn ein Muster

Kann er aber nicht! Dazu müsste er die TLS-Verbindung aufbrechen!

[Arno Welzel]

Axel Berger, 2022-09-29 10:55:

> Marco Moock wrote:
>> Alles wie ich es gesagt habe. https-inspection ist dann das Aufbrechen
>> vom TLS-Tunnel.
>
> Echte Verständnisfrage: Wenn das einfach so geht, wie schützt man sich
> davor, daß sich ein Bösewicht auf genau dieselbe Art in die Verbindung
> mogelt?

Es geht ja nicht "einfach so". In Moment, wo der TLS-Tunnel aufgebrochen
ist, gibt es kein gültiges Zertifikat mehr, da die Verbindung zum
Proxy-Server nicht das selbe Zertifikat verwenden kann, wie die
Verbindung von Proxy-Server zum echten Webserver. Daher geht das nur,
wenn der Proxy dann nur noch HTTP mit dem Browser spricht oder für den
Zugriff auf den Proxy ein manuell importiertes Zertifikat verwendet
wird, was der Proxy-Server für die erneute Verschlüsselung der Inhalte
für den Browser nutzt.

[Arno Welzel]

Andreas Kohlbach, 2022-09-29 21:19:

> On Thu, 29 Sep 2022 10:47:17 +0200, Marco Moock wrote:
>>

>> Am 29.09.2022 um 03:40:59 Uhr schrieb Andreas Kohlbach:
>>
>>> Man muss in meinem Fall nicht reinschauen. Der Proxy sieht eine URL in
>>> einer "werbenden" Grafik (egal ob HTTP oder HTTPS), und filtert sie
>>> aus. Also die Werbung ist weiter da, wird vom Browser aber nicht
>>> angezeigt, sodass ich von dieser nicht belästigt werde.
>>
>> Funktioniert aber nur, wenn du TLS aufbrichst, denn die URL ist
>> innerhalb des Tunnels.
>

> Es funktioniert aber für mich. *aufstampf*

Dann musst Du halt das Risiko in Kauf nehmen, dass HTTPS bei Dir
komplett sinnfrei ist, weil Du die originalen Zertifikate der Server nie
zu sehen bekommst.

> Wie sonst sollten Adblocker von Browsern (AdBlock für Firefox) eine
> Daseinsberechtigung haben?

Genau deshalb - damit man eben *nicht* TLS aufbrechem muss sondern statt
dessen im Browser selbst entscheidet, was man laden will oder icht.

[Arno Welzel]

Andreas Kohlbach, 2022-10-01 01:48:

> On Fri, 30 Sep 2022 07:33:53 +0200, Marco Moock wrote:
>>
>> Am 29.09.2022 um 15:19:35 Uhr schrieb Andreas Kohlbach:
>>
>>> Wie sonst sollten Adblocker von Browsern (AdBlock für Firefox) eine
>>> Daseinsberechtigung haben?
>>
>> Die funktionieren anders und müssen nicht in die TLS-Verbindung
>> eingreifen.
>

> Wie?

In dem sie *IM* Browser laufen und die Website *IM* Browser selbst
sehen, *nachdem* sie der Browser geladen hat und ggf. das Nachladen
einzelner Inhalte darin verhindern. Dafür bieten Browser auch schon
lange entsprechende Schnittstellen an.

[Arno Welzel]

Marco Moock, 2022-09-27 09:53:

> Am 27.09.2022 um 09:25:13 Uhr schrieb Joerg Lorenz:
[...]
>> Entscheidend ist was Apple macht.
>
> De facto aber nur auf Mobilgeräten von denen und ein paar iMacs.
> Sonst hat Apple keine relevant.

Mobilgeräte sind im Web mittlerweile je nach Angebot mehr als 50% der
Besucher. Desktop wird langsam eine Nische.

[Diedrich Ehlerding]

Arno Welzel meinte:

>> Der Proxy (Privoxy) schaut sich den Inhalt einfach an. Wenn ein
>> Muster
>
> Kann er aber nicht! Dazu müsste er die TLS-Verbindung aufbrechen!

Ob Privoxy das kann, weiß ich nicht; in Firmen eingesetzte Proxies wie
BlueCoat tun das. Das Zertifikat des Proxys mit dem er dann seinerseits
zum Client hin verschlüsselt, muss halt auf dem Client als
vertrauenswürdig bekannt sein. In Firmen geschieht das, indem die
Softwareverteilung das auf die Firmen-PCs verteilt; wenn man ihn selber
betreibt, muss man halt das Zertifikat selber installieren.

Ja, das beeinträchtigt natürlich die Sicherheit, das ist ein man-in-the-
middle-Angriff; Firmen können dadurch mitlesen und einschränken, wo ihre
Mitarbeiter so herumsurfen. Wenn man aber, wie hier diskutiert, einen
solchen Proxy selber betreibt, um Werbung wegzufiltern, wenn der Proxy
also in der eigenen Hand ist, dann ist das Risiko nicht mehr so groß.

[Christoph Brinkhaus]

Diedrich Ehlerding <diedrich....@t-online.de> schrieb:

Hallo,

> Arno Welzel meinte:
>
>>> Der Proxy (Privoxy) schaut sich den Inhalt einfach an. Wenn ein
>>> Muster
>>
>> Kann er aber nicht! Dazu müsste er die TLS-Verbindung aufbrechen!
>
> Ob Privoxy das kann, weiß ich nicht; in Firmen eingesetzte Proxies wie
> BlueCoat tun das. Das Zertifikat des Proxys mit dem er dann seinerseits
> zum Client hin verschlüsselt, muss halt auf dem Client als
> vertrauenswürdig bekannt sein. In Firmen geschieht das, indem die
> Softwareverteilung das auf die Firmen-PCs verteilt; wenn man ihn selber
> betreibt, muss man halt das Zertifikat selber installieren.

Inzwischen kann das privoxy - zumindest im Experimantal Status.
http://www.privoxy.org/user-manual/config.html#HTTPS-INSPECTION-DIRECTIVES
Ich habe das aber noch nicht ausprobiert.

> Ja, das beeinträchtigt natürlich die Sicherheit, das ist ein man-in-the-
> middle-Angriff; Firmen können dadurch mitlesen und einschränken, wo ihre
> Mitarbeiter so herumsurfen. Wenn man aber, wie hier diskutiert, einen
> solchen Proxy selber betreibt, um Werbung wegzufiltern, wenn der Proxy
> also in der eigenen Hand ist, dann ist das Risiko nicht mehr so groß.

Viele Grüße,
Christoph

[Andreas M. Kirchwitz]

Christoph Brinkhaus <C.Bri...@t-online.de> wrote:

> Inzwischen kann das privoxy - zumindest im Experimantal Status.
> http://www.privoxy.org/user-manual/config.html#HTTPS-INSPECTION-DIRECTIVES
> Ich habe das aber noch nicht ausprobiert.

Wie kann der Nutzer dann eigentlich noch Zertifikate selbst prüfen,
also ob z.B. sein Online-Banking von einer halbwegs bekannten Stelle
bestätigt wurde und nicht irgendwo aus China?

Scheint mir ein schwieriger Tausch zu sein, man hat zwar weniger
Werbung, aber man hat die Überprüfbarkeit der Verschlüsselung
aufgegeben.

Wenn Firmen das so machen, liegt die Verantwortung für alle Folgen
bei denen, aber wenn man das privat macht und einem unglücklich
das Online-Banking gehackt wird, steht man ja irgendwie dumm da.

Grüße, Andreas

[Diedrich Ehlerding]

Andreas M. Kirchwitz meinte:

> Wie kann der Nutzer dann eigentlich noch Zertifikate selbst prüfen,
> also ob z.B. sein Online-Banking von einer halbwegs bekannten Stelle
> bestätigt wurde und nicht irgendwo aus China?
>
> Scheint mir ein schwieriger Tausch zu sein, man hat zwar weniger
> Werbung, aber man hat die Überprüfbarkeit der Verschlüsselung
> aufgegeben.
>
> Wenn Firmen das so machen, liegt die Verantwortung für alle Folgen
> bei denen, aber wenn man das privat macht und einem unglücklich
> das Online-Banking gehackt wird, steht man ja irgendwie dumm da.
>

Der Benutzer muss mindestens das Zertifikat des Proxys akzeptieren. In
Firmen ist das kein Problem, da wird es von der IT-Zentrale per
Softwareverteilung auf alle PCs verteilt.

[Christoph Brinkhaus]

Diedrich Ehlerding <diedrich....@t-online.de> schrieb:

Hallo Andreas und Diedrich,

> Andreas M. Kirchwitz meinte:
>
>> Wie kann der Nutzer dann eigentlich noch Zertifikate selbst prüfen,
>> also ob z.B. sein Online-Banking von einer halbwegs bekannten Stelle
>> bestätigt wurde und nicht irgendwo aus China?

Mit Programmen aus dem openssl Projekt geht das schon.
Ob das privoxy auch macht weiss ich nicht.

>> Scheint mir ein schwieriger Tausch zu sein, man hat zwar weniger
>> Werbung, aber man hat die Überprüfbarkeit der Verschlüsselung
>> aufgegeben.
>>
>> Wenn Firmen das so machen, liegt die Verantwortung für alle Folgen
>> bei denen, aber wenn man das privat macht und einem unglücklich
>> das Online-Banking gehackt wird, steht man ja irgendwie dumm da.
>>
>
> Der Benutzer muss mindestens das Zertifikat des Proxys akzeptieren. In
> Firmen ist das kein Problem, da wird es von der IT-Zentrale per
> Softwareverteilung auf alle PCs verteilt.

Fr die privoxy Methode muß man ein selbst signiertes Zertifikat erzeugen
und das dem Browser verfütern. Ein anderer Teilmuß im Zertifikatszoo vom
Betriebssystem zur Überprfung durch den Browser abgelegt werden.

Wirklich komplett im Kopf habe ich die Prozeduren nicht. Deshalb habe
ich mich auch bewusst schwammnig ausgedrückt.

Viele Grüße,
Christoph

[Arno Welzel]

Diedrich Ehlerding, 2022-10-09 16:40:

> Arno Welzel meinte:
>
>>> Der Proxy (Privoxy) schaut sich den Inhalt einfach an. Wenn ein
>>> Muster
>>
>> Kann er aber nicht! Dazu müsste er die TLS-Verbindung aufbrechen!
>
> Ob Privoxy das kann, weiß ich nicht; in Firmen eingesetzte Proxies wie
> BlueCoat tun das. Das Zertifikat des Proxys mit dem er dann seinerseits

Nein, die brechen ebenfalls TLS auf.

> zum Client hin verschlüsselt, muss halt auf dem Client als
> vertrauenswürdig bekannt sein. In Firmen geschieht das, indem die
> Softwareverteilung das auf die Firmen-PCs verteilt; wenn man ihn selber
> betreibt, muss man halt das Zertifikat selber installieren.

Eben - genau das ist "TLS aufbrechen".

[Arno Welzel]

Andreas M. Kirchwitz, 2022-10-11 23:03:

> Christoph Brinkhaus <C.Bri...@t-online.de> wrote:
>
>> Inzwischen kann das privoxy - zumindest im Experimantal Status.
>> http://www.privoxy.org/user-manual/config.html#HTTPS-INSPECTION-DIRECTIVES
>> Ich habe das aber noch nicht ausprobiert.
>
> Wie kann der Nutzer dann eigentlich noch Zertifikate selbst prüfen,
> also ob z.B. sein Online-Banking von einer halbwegs bekannten Stelle
> bestätigt wurde und nicht irgendwo aus China?

Gar nicht!