Wirf einen Blick in die Empfehlungsecke
Mike Kuketz
15. Juni 2018

Firefox: Neat URL – Firefox-Kompendium Teil7

1. Die bösen URL-ParameterNeat URL

Im Rahmen der Artikelserie »Firefox-Kompendium« habt ihr nun schon einige Addons kennengelernt, mit der sich eure Sicherheit und Privatsphäre beim Surfen im Internet verbessern lässt. Einmal installiert und konfiguriert bieten die vorgestellten Addons einen idealen Basisschutz – gerade für Anfänger.

Bevor wir gegen Ende der Artikelserie einen Blick auf uMatrix werfen (nur für fortgeschrittene Nutzer) und die Serie dann mit Anpassungen an der about:config abschließen, möchte ich euch noch zwei Addons vorstellen, die sich positiv auf die Privatsphäre auswirken können.

Im vorliegenden Beitrag der Serie »Firefox-Kompendium« möchte ich euch das Addon Neat URL vorstellen, mit dem sich das User-Tracking über URL-Parameter unterbinden lässt.

Dieser Beitrag ist Teil einer Artikelserie:

2. Neat URL

Bevor wir uns mit der Installation und Konfiguration von Neat URL befassen, möchte ich kurz anhand eines Beispiels aufzeigen, was das Addon (im Hintergrund) leistet.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Query-String

Auf Wikipedia werden die möglichen Bestandteile einer URL beim HTTP-Protokoll übersichtlich zusammengefasst:

https://max:muster@www.example.com:8080/index.html?p1=A&p2=B#ressource
\____/  \_/ \____/ \_____________/\___/\_________/\________/\________/
   |     |     |          |         |       |          |         |
Schema   |  Kennwort     Host     Port    Pfad       Query    Fragment
      Benutzer

Uns interessiert insbesondere der Query-Teil einer URL. Ein Query kann aus einem oder mehreren Parametern bestehen, die von der Webanwendung empfangen und verarbeitet werden. Ein Query, der Parameter beinhaltet, wird als Query-String bezeichnet. Werfen wir einen Blick auf ein Beispiel:

https://www.kuketz-blog.de/?s=tracking

Der Query-String lautet in diesem Fall:

s=tracking

Der Parameter »s« beinhaltet den Wert »tracking«. Solch ein Query-String wird mit einem Fragezeichen eingeleitet und wird vom Webserver bzw. der dahinter liegenden Anwendung ausgewertet. Bezogen auf unser Beispiel bedeutet das: WordPress nimmt den Query-String entgegen, verarbeitet den Parameter »s«, was letztendlich eine Suche anstößt und alle Beiträge auflistet, die das Wort bzw. den Wert »tracking« beinhalten.

2.2 Tracking-Parameter innerhalb der URL

Das eben gezeigte Beispiel demonstriert die ungefährliche Nutzung eines Query-Strings. Oftmals beinhalten URLs allerdings auch Query-Strings bzw. Parameter, die aus Sicht eines Anwenders ein Sicherheits- und Datenschutzrisiko darstellen können. Auch heute werden sensible Informationen wie Benutzername und Passwort noch als Teil eines Query-Strings an Webanwendungen übermittelt – ein vermeidbares Risiko.

Solche Implementierungsdefizite kann auch das Addon Neat URL nicht beheben. Neat URL entfernt (bekannte) Tracking-Parameter aus einer URL, die Webseitenbetreiber / Dienstleister gerne benutzen, um den Nutzer zu tracken bzw. seine Aktionen im Internet nachzuverfolgen.

Schauen wir uns ein Beispiel an. Aus

www.news-site.com/scan.php?page=news_item&px=privacy_nightmare&utm_source=twitter&utm_medium=tweet

wird

www.news-site.com/scan.php?page=news_item&px=privacy_nightmare

Neat URL entfernt also die Parameter (inklusive Wert) »utm_source« und »utm_medium« aus der URL. Diese Parameter sind nichts anderes als Tracking-Parameter, die bspw. Google Analytics mit Daten beliefert, die ein Webseitenbetreiber wiederum auswerten kann. Ein Webseitenbetreiber kann so bspw. feststellen, woher (die meisten) Zugriffe auf seine Inhalte stammen und entsprechend seine Strategie anpassen. Aus der Sicht eines Anwenders ist das reines Tracking, dass wir mittels Neat URL unterbinden können.

Hinweis

Weitere Details zum Tracking via (Google) UTM-Parametern könnt ihr hier finden: Wie Sie UTM-Parameter für Ihr Kampagnen-Tracking nutzen – Achtung: Der Link führt zu einem Online-Marketing-Anbieter.

3. Neat URL: Anfänger

Bevor wir mit der Installation und Konfiguration von Neat URL beginnen, möchte ich euch noch einen Hinweis mit auf den Weg geben:

3.1 Installation

Wie bei Firefox üblich wird Neat URL am besten direkt über die Addon-Seite von Mozilla installiert. Folgt einfach diesem Link und klickt auf »+ Zu Firefox hinzufügen«.

Installation

Anschließend muss die Installation mit einem Klick auf »Hinzufügen« bestätigt werden:

Addon hinzufügen

Nach einer erfolgreichen Installation wird das Icon von Neat URL in der Symbolleiste (rechts oben im Eck) auftauchen:

Nach Installation

Die Installation ist damit abgeschlossen und Neat URL arbeitet mit den Standardeinstellungen »geräuschlos« im Hintergrund. Falls ihr euch zu den fortgeschrittenen Nutzern zählt, könnt ihr gerne einen Blick in die nachfolgende Ziffer werfen.

4. Neat URL: Fortgeschrittene

Bereits im Auslieferungszustand entfernt Neat URL eine Reihe von Parametern, die von Unternehmen wie Google, Microsoft oder Amazon stammen und von Webseitenbetreibern zu Tracking-Zwecken eingesetzt werden. Um diese vordefinierten Tracking-Parameter einzusehen, könnt ihr einen Blick in die Einstellungen unter »Blocked parameters« werfen:

utm_source, utm_medium, utm_term, utm_content, utm_campaign, utm_reader, utm_place, utm_userid, utm_cid, utm_name, utm_pubreferrer, utm_swu, utm_viz_id, […]

Der Entwickler fügt kontinuierlich weitere Parameter hinzu, die zum Tracking missbraucht werden. Solltet ihr weitere Tracking-Parameter identifizieren, die von Webdiensten zur Nutzer-Verfolgung eingesetzt werden, könnt ihr sie dem Entwickler über seine Projekteseite (unter Issues) melden.

4.1 Tracking-Parameter hinzufügen

Neat URL bietet euch ebenfalls die Möglichkeit, eigenständig neue Tracking-Parameter hinzuzufügen, die das Addon anschließend herausfiltert. Folgende Regeldefinitionen sind möglich:

  • Jede Domain: Der Parameter »param_example« wird aus der URL einer jeden Domain entfernt.
  • Domainspezifisch: Fügt ihr dem Parameter »param_example@server.de« ein @ gefolgt von einem Domainnamen hinzu, wird der Parameter nur für diese Domain gefiltert.
  • Domain inklusive Subdomain: Wenn auch die Parameter einer Subdomain gefiltert werden sollen, könnt ihr einfach ein Sternchen vor den Domainnamen »param_example@*.server.de« setzen.
  • Wildcard für Domains: Fügt ihr am Ende des Parameters »param_example@google.* ein Sternchen hinter dem Domainnamen hinzu, wird der Parameter auf allen Domains gefiltert, die mit dem Namen »google« beginnen.
  • Ausnahme für eine Domain: Soll ein global gültiger Parameter »param_global« für eine spezifische Domain nicht gefiltert werden, könnt ihr einen weiteren Eintrag »!param_global@nichthier.de« mit vorangestelltem Ausrufezeichen hinzufügen.

5. Fazit

Für Webseitenbetreiber mag es durchaus interessant sein, von welcher Quelle die meisten Besucher stammen oder welche Marketing-Kampagne die Leute am ehesten anspricht – aus Sicht eines datenschutzbewussten Nutzers ist die Übermittlung solcher Tracking-Merkmale allerdings eine eher unliebsame »Zusatzinformation«. Zumal diese Tracking-Parameter meist auch Datenkraken wie Google unnötigerweise mit mehr und noch mehr Informationen füttern. Mittels Neat URL lassen sich Tracking-Parameter gezielt aus den Query-Strings einer URL herausfiltern.

In den nachfolgenden Teilen der Serie »Firefox-Kompendium« werde ich euch noch zwei Addons vorstellen, bevor wir uns in einem abschließenden Beitrag mit Anpassungen an der about:config befassen.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
user.js
7. Dezember 2018

Firefox: about:config | user.js – Firefox-Kompendium Teil10

Über die about:config bzw. eine user.js lässt sich Firefox an die eigenen Anforderungen an Sicherheit und Datenschutz anpassen.
TC-String
26. April 2022

Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

Der TC-String des Interactive Advertising Bureau ist als personenbezogenes Datum einzuordnen.
Skip Redirect
29. Juni 2018

Firefox: Skip Redirect – Firefox-Kompendium Teil8

Skip Redirect entfernt unnötige Umleitungen aus URLs und sorgt für mehr Privatsphäre / Geschwindigkeit beim Surfen.
First Party Isolation
10. April 2018

Firefox: First Party Isolation – Firefox-Kompendium Teil4

Über First Party Isolation lässt sich das seitenübergreifende Tracking via (Ever-)Cookies in Firefox verhindern.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

12 Ergänzungen zu “Firefox: Neat URL – Firefox-Kompendium Teil7”

  1. Comment Avatar Anonymous sagt:
    15. Juni 2018 um 16:09 Uhr

    Danke! Schöner Artikel. Wie sieht es eigentlich mit UserAgentString spoofing aus? Lohnt es sich, sich z.B. als Chrome Browser auszugeben?

    • Comment Avatar Mike Kuketz sagt:
      15. Juni 2018 um 16:14 Uhr

      Nein.

      Bitte beim Thema bleiben und keine anderen Addons hier mit reinbringen. Weitere Addons dürft ihr gerne im Forum diskutieren.

      • Comment Avatar Tobi sagt:
        18. Juni 2018 um 08:55 Uhr

        Meine Gedanken waren allerdings auch schon beim Lesen, dass du in der Reihe öfters darauf hingewiesen hast, dass der Browser-Fingerprint eine große Rolle spielt.

        Vielleicht folgt ja noch eine Lösung für dieses Problem in dieser Reihe :-)

        • Comment Avatar Mike Kuketz sagt:
          18. Juni 2018 um 08:58 Uhr

          Die Lösung in der Reihe ist eigentlich schon da: uBlock Origin + NoScript (vielleicht noch Canvas Fingerprinting) sollte das JavaScript-Tracking / Browser-Fingerprinting auf ein Minimum reduzieren. Wenn du noch spurenarmer Surfen möchtest, dann solltest du dir die Artikelserie »Not my Data« anschauen.

          Und bitte nochmal: Bleibt beim Thema: Neat URL.

  2. Comment Avatar Toni sagt:
    15. Juni 2018 um 21:38 Uhr

    Hallo. Ich nutze für die Suche über Google diesen Link bzw habe ich dies als Suchmaschine auf dem Handy eingetragen: …encrypted.google.com/search?&pws=0&q=%@
    Bewirkt dies tatsächlich das verschlüsselt und ohne Möglichkeit des tracking gesucht wird?

    Danke.

  3. Comment Avatar Olden sagt:
    24. Juni 2018 um 21:31 Uhr

    Hallo. Kann Neat URL irgendetwas, was man mit uMatrix nicht machen kann? uMatrix blockiert doch von Haus aus schon alle gängigen Tacker. Warum dann weitere Addons installieren wenn man alles mit einem machen kann?

    • Comment Avatar Mike Kuketz sagt:
      25. Juni 2018 um 08:52 Uhr

      Das Firefox-Kompendium richtet sich auch an Anfänger. Diese können mit uMatrix wenig anfangen. Und zu uMatrix: Mir wäre aktuell nicht bekannt, dass uMatrix diese Form von »Link-Tracking« unterbindet.

  4. Comment Avatar Mike_amateure sagt:
    25. Juni 2018 um 18:29 Uhr

    Hallo Mike,

    vielen Dank für die einfachen und bebilderten Erklärungen. Ich hätte 2 Dinge:
    1. Zunächst eine Frage, bei welchen dieser Add Ons ist es sinnvoll sie auch mit Tor zu verwenden?
    2. Finde ich die Anleitungen (inklusive Bilder) super, es wäre daher aus meiner Sicht hilfreich diese (und ähnliche) Artikel in einem Wiki-Bereich zur Verfügung zu stellen, hier könnten Sie dann vielleicht auch durch die Community aktuell gehalten werden und durch zusätzliche Einträge ergänzt werden?

    Ich bin auf jeden Fall froh über den Beitrag und die weite Auffächerung der Zielgruppe!

    Gruß Mike

    • Comment Avatar Mike Kuketz sagt:
      26. Juni 2018 um 08:47 Uhr

      Moin Mike,

      1. Bei keinem.
      2. Nein ein Wiki wird es von meiner Seite aus nicht geben. Ich betreibe den Blog und das Forum. Wenn jemand aus der Community ein Wiki aufsetzen mag, kann er das gerne tun.

  5. Comment Avatar Saanspeer sagt:
    27. Juni 2018 um 16:06 Uhr

    Moin!
    Kann es sein, dass Du Dich hier im Teil 7 bei einer Kleinigkeit vertan hast? Denn in der Grafik https://media.kuketz.de/blog/artikel/2018/neat-url/nach-installation.png ist doch kein Neat-URL-Icon zu sehen, die wirkt eher wie eine hier versehentlich erneut verwendete Kopie der entsprechenden Grafik aus Teil 6.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.