Gewohnte Browserumgebund und Lesezeichen verwenden ohne Sync?

[FrazeColder]

Hallo zusammen,

ich habe, wie sicherlich jeder, meine Lesezeichen und Passwörter in meinem Browser, ich nutze Firefox, zu hause gespeichert. Da ich leider an der Uni immer wieder einen anderen PC nutze und somit alle meine Lesezeichen weg sind und ich meine Passwörter nicht speichern will, ist das schon echt nervend...

Gibt es eine Möglichkeit, eine verschlüsselte Verbindung, zum Beispiel per VPN zu Firefox Sync oder meiner NAS (auf der Firefox Lokal Sync) liegt herzustellen, um meine ganzen benutzerdefinierten Einstellungen, Lesezeichen und Passwörter auch an der Uni am PC zu verwenden?

Dabei ist mir besonders wichtig, dass meine Passwörter, Browserverlauf und Co. wirklich sicher sind. Die einzige Möglichkeit die ich da sehe ist Firefox Sync und eine VPN Verbindung.

Nun ist die Frage, kann ich nur Firefox mit einer VPN Verbindung nutzen?
Denn in der Uni sind die Rechner natürlich so eingestellt, dass man ohne Admin Rechte nichts installieren kann, die man natürlich nicht hat.

Ich habe einen eignen FritzBox VPN den ich da gerne nutzen würde. Ist das möglich?

Bin für weitere Lösungsvorschläge offen!

Mit freundlichen Grüßen und Vielen Dank!

 

[maikrosoft]

Nutz doch nen USB Stick mit nem portablen Firefox.

 

[FrazeColder]

Dann ist aber der Traffic den ich auf dem Firefox habe leider immer noch sichtbar für die Uni. Das will ich ja umgehen mit einem VPN!

 

[maikrosoft]

Stimmt, vergessen. OpenVPN müsste es portable geben, mom

https://portapps.io/app/openvpn-portable/

 

[da_reini]

Der Traffic ist bei https Seiten nicht sichtbar. Nur welche Domain du besuchst (zB Google, Youtube) aber nicht welche Unterseite. Wenn du dann auch noch "DNS über HTTPS" aktivierst, ist selbst das nicht mehr sichtbar.
(und mittlerweile ist jede halbwegs seriöse Seite nur mehr HTTPS)

Vollkommen auf Nummer sicher gehst du aber mit VPN. Dann kannst du sogar illegales Zeug per Torrents runterladen (falls das dein Ziel ist )

 

[Hauro]

Run-Your-Own Firefox Sync Server | GitHub
Run your own Sync-1.5 Server — Mozilla Services

 

[Darkman.X]

Der Traffic ist bei https Seiten nicht sichtbar. Nur welche Domain du besuchst (zB Google, Youtube) aber nicht welche Unterseite. Wenn du dann auch noch "DNS über HTTPS" aktivierst, ist selbst das nicht mehr sichtbar.
(und mittlerweile ist jede halbwegs seriöse Seite nur mehr HTTPS)

Was meinst du damit genau? Das mit DoH die Domain nicht sichtbar ist? Die ist auch mit DoH indirekt sichtbar, über die IP-Adresse. Zumindest wenn der Server nicht hinter Cloudflare, Akamai oder ähnlichen Diensten versteckt ist.

 

[da_reini]

Was meinst du damit genau? Das mit DoH die Domain nicht sichtbar ist? Die ist auch mit DoH weiterhin sichtbar.

Meines Wissens nicht. Da die DNS Auflösung dann ja zB über Cloudflare direkt erfolgt und zwar verschlüsselt über HTTPS. Da kann niemand mitlauschen. Genauso wenig wie der Internet Provider auch bei anderen HTTPS Verbindungen mitlauschen kann, obwohl ja er in der Mitte ist und die Daten über ihn laufen.

Aber falls du Quellen hast die etwas gegenteiliges behaupten immer mehr damit Man lernt ja bekanntlich nie aus. Kann mich natürlich auch täuschen...

 

[Darkman.X]

lol, ich habe gerade meinen Text noch leicht modifiziert.

Zumindest über die IP-Adresse könnte man dein Surfverhalten mitschneiden. Denn dein PC sendet ja eine Verbindungsanfrage zum ISP: Baue mir eine Verbindung zum Server "2a02:cbf3:210::a2" auf (die IPv6-Adresse von CB). Um beim Thread zu bleiben: Der PC sendet die Anfrage zum Proxy der Uni. Und diese Anfrage kann der Proxy natürlich mitschneiden.

Schwieriger ist es, wenn eine Domain hinter Cloudflare, Akamai oder ähnlichen Diensten versteckt ist. Da sieht man nur die IP-Adresse von den erwähnten Diensten. Aber es würde mich nicht wundern, wenn es irgendwo gepflegte Listen gibt, die zeigen, hinter welcher IP-Adresse welche Domain versteckt ist. Zumindest von den größeren, bekannteren Domains.

Kurz gesagt: Mit DoH surft man nicht plötzlich unsichtbar. Das Mitschneiden des Surf-Verhaltens wird nur etwas umständlicher, aber nicht unmöglich. DoH hat eher den Sinn, dass man authentifizierte Antworten vom angefragten DNS-Server erhält und nicht von einem MitM-Angreifer, der dir manipulierte Antworten gibt und dich auf Fake-Domains umleitet.

EDIT: Quellen habe ich jetzt nicht direkt griffbereit, weil das sozusagen Grundwissen "Internet" und "TCP/IP" ist. Der ISP und alle anderen Carrier zwischen dir und dem Zielserver müssen ja wissen, mit welchem Server du eine Verbindung aufbauen möchtest, um deine Anfrage korrekt weiterleiten zu können.

 

[da_reini]

Quellen habe ich jetzt nicht direkt griffbereit, weil das sozusagen Grundwissen "Internet" und "TCP" ist.

Solche Aussagen sind sehr gefährlich

Der ISP und alle anderen Carrier zwischen dir und dem Zielserver müssen ja wissen, mit welchem Server du eine Verbindung aufbauen möchtest, um deine Anfrage korrekt weiterleiten zu können.

Wenn du für die DNS Auflösung Cloudflare über HTTPS verwendest, dann sieht der ISP nur dass du dich mit Cloudflare verbindest. Mehr nicht. Welche IP du auflösen willst, kann er nicht sehen da ja HTTPS. Und sobald der Browser weiß mit welcher IP er sich verbinden muss, und diese wieder über HTTPS verschlüsselt ist, kann der ISP wieder nicht mitlesen.

Hier habe aber ich eine Quelle gesucht (gibt aber noch genug andere, siehe Google):

Doing this makes a user's DNS traffic invisible to third-party network observers, such as ISPs.

Quelle: https://www.zdnet.com/article/dns-o...in-all-major-browsers-despite-isp-opposition/

 

[Darkman.X]

Natürlich kann der ISP mitlesen. Nicht den Inhalt, aber halt die Metadaten, mit welchen Server du dich verbinden möchtest. Das geschieht mit IP-Adessen. Diese sind unverschlüsselt in den TCP-Paketen.

Du baust ja keine Direktverbindung zu CB.de (als Beispiel) auf. Deine Datenpaketen durchlaufen mehrere Netzelemente von deinem ISP und je nach geografischer Entfernung auch die Netzelemente von 1-3 anderen Carriern.
Wenn du in Windows ein Tracert (oder in Linux ein traceroute) auf computerbase.de durchführst, dann siehst du die Netzelemente zwischen dir und CB. Die durchlaufen alle deine Datenpakete auf dem Weg zu CB.de.
Und besonders am 1. Netzelement könnte der ISP die IP-Adressen schön auslesen.

Das wäre ja so, als wenn du einen Brief ohne Zieladresse in den Briefkasten wirst. Woher soll die Post (dein ISP) wissen, wohin der Brief (Datenpaket) soll? Also muss du unverschlüsselt die Anschrift (IP-Adresse) angeben.

 

[da_reini]

Hmm, das stimmt wohl. Das wäre so dann schon möglich. Muss ich dir rechtgeben. Also es wird umständlicher, aber möglich ist es trotzdem.

EDIT: @Darkman.X Hab es mir noch mal durch überlegt. Nur weil man die IP kennt, heißt das nicht zwangsläufig, dass man die Domain herausfinden kann oder? IPs und Domain sind ja keine statische 1:1 Beziehungen. Weil:
1. IPs können sich natürlich ändern
2. V-Hosts
Dh in manchen Fällen kann man die Domain für eine IP herausfinden. Aber in vielen Fällen nicht. Oder liege ich hier falsch?

 

[FrazeColder]

Aber mal eine ganz andere Frage:

Auch wenn ich über einen VPN oder DoH surfe, kann doch trotzdem intern an der Uni der IT Dienst sehen, welche URLs ich aufrufe, und nicht nur die Domain, sondern die komplette URL. Oder?

Denn ich muss ja erst durch den Router der Uni um ins Internet zu gelangen.

 

[Darkman.X]

@FrazeColder:
Bei VPN sieht die Uni nichts, weil der Datenverkehr durch einen verschlüsselten Tunnel läuft.

@da_reini:
Kommt auf die Domain an.

nslookup computerbase.de -> 87.230.75.2 (ich lasse jetzt mal die IPv6-Adressen weg)
nslookup 87.230.75.2 -> computerbase.de
Hier gibt's eine 1:1-Beziehung.

nslookup www.intel.com -> 104.101.248.250
nslookup 104.101.248.250 -> a104-101-248-250.deploy.static.akamaitechnologies.com
Hier sieht man nur den Server vom CDN-Anbieter "Akamai".

Das sind die Prüfungen, die ich als Privat-Person machen kann. Wir reden hier aber von ISPs: Sie haben ihre DNS-Server und können darauf selber Reverse-DNS-Abfragen durchführen. Deren Suchergebnisse sind sicherlich detaillierter, so dass sie nicht den Hostnamen vom "Akamai"-Server sehen, sondern die Adresse www.intel.com.

 

[da_reini]

@Darkman.X
Naja, bei V-Hosts bringt das aber nichts. Wenn auf einem Server mehere Websites gehostet werden, dann kann man mit der IP alleine schlicht und ergreibend nicht bestimmen welche Domain gemeint war...

 

[Darkman.X]

Ja stimmt. (Ich musste erstmal googeln, wie V-Hosts funktionieren; so wissend bin ich doch nicht.)

hmm....gutes Argument.

Ergänzung (30. Januar 2020)

Ich geb's auf, du hast größtenteils gewonnen. Aus dem Gespräch nehme ich nun mit: Man surft doch anonymer als ich dachte, aber nicht zu 100%, weil das Internet nicht zu 100% aus V-Hosts besteht.

Danke für die neue Erkenntnis

 

[da_reini]

@Darkman.X

Nein. So war das absolut nicht gemeint. Ich habe ja eh von Anfang an gesagt, dass es sein kann dass ich mich irre (was sich ja auch zu Teilen bewahrheitet hat)

Ich habe definitiv geglaubt, dass DoH sicherer ist, als das tatsächlich der Fall ist. Die Wahrheit liegt in der Mitte. Ich bin jetzt schlauer, also vielen Dank für die konstruktive Diskussion

 

[Darkman.X]

Ich hole mal den alten Thread hervor, weil ich zu neuem Wissen gelangt bin

Es geht um die Diskussion zwischen @da_reini und mir über das Thema, wie anonym man im Internet mit DoH (DNS-over-HTTPS) surft......nur als Info für Mitlesende:

Ich fand deinen damaligen Einwand mit V-Hosts gut und galt für mich bis vor wenigen Tagen als valide Aussage. Nun habe ich aber erfahren, dass V-Hosts weniger / gar nicht anonym sind

Bevor die TLS-Verschlüsselung aktiviert wird, wird eine sogenannte ClientHello-Message unverschlüsselt an den Server gesendet. Die Meldung enthält unter anderem den Parameter "Server Name Indication" (SNI), der die Domain enthält, mit der man die Verschlüsselung starten möchte.

Als ich mich vor einem Jahr über dein Argument "V-Hosts" informierte, hatte ich gelesen, dass diese Info im HTTP-Header steht und verschlüsselt übertragen wird. Das stimmt auch, aber ich wusste damals nicht, dass die Info zusätzlich auch im TLS-Protokoll übermittelt wird
Wikipedia erwähnt als Gegenmaßnahme "Domain Fronting", aber Google und Amazon sollen wohl seit 2018 rigoros dagegen vorgehen.


Die Lösung für das Problem:
Bis vor wenigen Monaten: "Encrypted Server Name Indication" (ESNI). Aber soweit ich es lesen konnte, verhinderte es nicht 100%ig die Aufdeckung der Domain. Daher gab es einen Schwenk zu "Encrypted Client Hello" (ECH), damit wird die komplette ClientHello-Message verschlüsselt, nicht nur der Parameter SNI.

Nachteil der Lösung:
Es ist eine Erweiterung nur für TLS 1.3. Gefühlt, wenn ich es sporadisch mal prüfe, besteht der größte Teil des Internets noch aus TLS 1.2. Und dann dauert es vermutlich auch noch ewig, bis ECH auf allen TLS1.3-Servern eingerichtet wird. Aktuell hat ECH auch nur Draft-Status, ist also noch nicht fertig entwickelt. Es wurde z.B. in Firefox erst mit v85.0 als Beta eingeführt, kann nur über about:config aktiviert werden.


Soweit mein aktueller Wissensstand. Wir sind also noch weit vom anonymen Surfen abseits von VPNs und TOR entfernt.