Firefox: uMatrix – Firefox-Kompendium Teil9

1. Volle KontrolleuMatrix

Webseiten bestehen heutzutage aus weit mehr als nur ein paar HTML-Anweisungen mit Text und Bildern. Beim Aufruf einer modernen Webseite fliegen einem Cookies, Stylesheets, JavaScripts, Frames, Schriftarten und weitere Ressourcen geradezu um die Ohren – euer Browser kontaktiert dabei meist zahllose Drittanbieter. Dabei ist nur den Wenigsten bewusst, wie Webseitenbetreiber durch das Einbinden von externen Ressourcen die Privatsphäre und insbesondere die Sicherheit ihrer Besucher leichtfertig aufs Spiel setzen.

In der Artikelserie »Firefox-Kompendium« haben wir nun schon einige Addons kennengelernt, wie wir uns gegen diesen krankhaften »Vernetzungswahnsinn« wehren können. Wer allerdings die »volle Kontrolle« anstrebt, der kommt um das Firefox-Addon uMatrix nicht umher. Sobald ihr das Konzept der Matrix verstanden und die Bedienung verinnerlicht habt, werdet ihr staunen, in was für einem Bullshit-Web wir uns heute bewegen.

Mit dem vorliegenden Beitrag der Serie »Firefox-Kompendium« adressiere ich ausschließlich fortgeschrittene Anwender. Für Einsteiger bzw. Anfänger ist uMatrix zu komplex.

Dieser Beitrag ist Teil einer Artikelserie:

2. uMatrix

Ganz plump könnte man das Addon uMatrix als »Webseiten-Firewall« beschreiben, die eingehend nur jene Ressourcen erlaubt, die ihr für eine Webseite explizit freigegeben habt. Der Vergleich zu einer Firewall ist an dieser Stelle auch nicht ganz verkehrt, denn Firewalls schützen Rechner bzw. Infrastrukturen vor unerwünschten Netzwerkzugriffen. Bei uMatrix sind es eben keine Netzwerkzugriffe, sondern unerwünschte Inhalte wie Cookies, Bilder, JavaScript, die auf Webseiten eingebunden sind – oftmals auch von Drittseiten. Am ehesten passt zu uMatrix daher folgende Beschreibung:

Inhaltsblocker

Entwickelt wird das Addon von Raymond Hill (gorhill), der ebenfalls für den Werbe- bzw. Trackingblocker uBlock Origin verantwortlich ist, den ihr in der Artikelserie bereits kennenlernen durftet. Die Addons von gorhill zählen zweifelsohne zu den besten Browser-Addons, die aktuell verfügbar sind.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Standardeinstellungen

Direkt nach der Installation arbeitet uMatrix zunächst mit den vorgegebenen Standardeinstellungen. Viele Webseiten sind bereits jetzt »kaputt« bzw. optisch sowie auch technisch deutlich leichtgewichtiger, weil uMatrix insbesondere Ressourcen wie bspw. JavaScript von Drittquellen blockiert bzw. das Nachladen in den Kontext der Webseite verhindert. In den Standardeinstellungen arbeitet uMatrix (Version 1.3.14) nach folgenden Vorgaben:

  • Cookies: Die Speicherung bzw. Verwendung von Cookies ist der aufgerufenen Domain erlaubt, Drittseiten allerdings nicht.
  • Stylesheets: Stylesheets / Schriftarten sind generell erlaubt, auch das Nachladen von Drittquellen.
  • Bilder: Bilder sind generell erlaubt, auch das Nachladen über Drittseiten.
  • Media: Die Einbindung von Videos, Audio oder Plugins (<object>) ist nur der aufgerufenen Domain erlaubt.
  • JavaScript: JavaScript kann nur von der aufgerufenen Domain ausgeliefert werden. Drittseiten dürfen generell kein JavaScript einbinden.
  • XHR: Zur Kategorie »XHR« zählen Elemente, die in der Lage sind, Teile einer Webseite dynamisch zu aktualisieren. Dazu zählen bspw. XMLHttpRequest, Fetch oder WebSockets. Die Einbindung von XHR-Ressourcen ist lediglich der aufgerufenen Domain erlaubt.
  • Frames: Frames sind Relikte aus den frühen Anfängen des Internets, die noch selten benutzt werden. Das Einbinden von Frames ist lediglich der aufgerufenen Webseite gestattet.
  • Andere: Zu Kategorie »Andere« zählen Ressourcen bzw. HTTP-Anfragen, die nicht den zuvor genannten zugeordnet werden können. Dazu zählen bspw. CSP-Reports, XBL– oder XSLT-Ressourcen bzw. jene, die uMatrix nicht kennt. Eine Einbindung solcher Inhalte ist nur der aufgerufenen Webseite erlaubt.

Diese Standardeinstellungen sind sinnvoll, allerdings werden wir sie anpassen und  insbesondere die Einbindung von Cookies und JavaScript strikter handhaben. Doch bevor wir die Einstellungen anpassen, werfen wir einen Blick auf das Herz von uMatrix – die Matrixdarstellung.

2.2 Die Matrix

Die Matrix (die Bedienoberfläche für uMatrix) stellt euch alle Verbindungen und geladenen Inhalte für die aufgerufene Webseite (einschließlich der blockierten) übersichtlich dar. Ressourcen bzw. Inhalte wie Cookies, JavaScript usw. werden in Spalten unterteilt dargestellt. Die Zeilen der Matrix listen die Herkunft der Inhalte nach Domain, Subdomain bzw. Domains von Drittquellen auf:

Matrix

Innerhalb der farbigen Zellen wird dargestellt, wie viele Elemente jeweils von einer Domain stammen. Mit einem Blick auf die Spalte »Cookies« und Zeile »github.com« können wir erkennen, dass 7 Cookies von der Webseite bzw. Domain abgelegt wurden – die Zelle ist pastellgrün markiert. Folgende Farben unterscheidet uMatrix:

  • Dunkelrot: Dunkelrote Zellen werden an der Einbindung von Inhalten in den Kontext einer Webseite gehindert.
  • Pastellrot: Zellen im Farbton pastellrot erben die Blockierregeln auf Basis der Propagationslogik von uMatrix. Die Domain »google-analytics.com« ist bspw. dunkelrot. Dies wirkt sich somit auf die gesamte Zeile / Spalte aus und alle Inhalte werden blockiert bzw. die Zellen pastellrot dargestellt.
  • Dunkelgrün: Dunkelgrüne Zellen dürfen Inhalte in den Kontext einer Webseite nachladen.
  • Pastellgrün: Zellen im Farbton pastellgrün erben die Freigaben auf Basis der Propagationslogik von uMatrix. Die Ressource »Grafik« ist bspw. dunkelgrün. Dies wirkt sich somit auf die gesamte Zeile / Spalte aus und alle Inhalte werden erlaubt bzw. die Zellen dunkelgrün dargestellt.

Faustregel: Rot ist blockieren und grün ist erlauben.

Werfen wir allerdings einen genauen Blick auf die Matrix, dann entdecken wir in der Spalte »Grafik« und Zeile »collector.githubapp.com« einen Sonderfall. Die Spalte »Grafik« ist dunkelgrün, folglich müsste die Auslieferung der Grafik von der Drittseite »collector.githubapp.com« eigentlich erlaubt sein bzw. das Feld müsste pastellgrün sein. Allerdings blockiert uMatrix die Auslieferung des Bildes.

Schauen wir uns den Inhalt dieses Bildes doch einfach mal an:

https://collector.githubapp.com/github/page_view?dimensions[page]=https://github.com/gorhill/uMatrix&dimensions[title]=GitHub - gorhill/uMatrix: uMatrix: dimensions[referrer]=&dimensions[user_agent]=Mozilla/5.0 (X11; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0&dimensions[screen_resolution]=1920x1200&dimensions[pixel_ratio]=1&dimensions[browser_resolution]=958x1034&dimensions[tz_seconds]=7200&dimensions[timestamp]=1538045314303&dimensions[request_id]=[...]

Bei diesem »Bild« handelt es sich um einen typischen Webbug bzw. Tracking-Pixel, mit dem GitHub diverse Informationen vom Browser (Displayauflösung, User-Agent, Fensterauflösung etc.) des Besuchers erfasst. Das Nachladen dieses Tracking-Pixels wird aufgrund einer globalen Blockierregel verhindert, mit der uMatrix standardmäßig ausgeliefert wird. Das bedeutet: Die globalen Blockierregeln haben Vorrang vor den globalen Freigaben. Diese globalen Blockierregeln finden wir unter dem Tab »Assets«, in dem uMatrix diverse Filterlisten einbindet. In einer dieser Filterlisten finden wir dann auch die betroffene Domain »collector.githubapp.com«, was wiederum dazu führt, dass das »Bild« bzw. der Tracking-Pixel nicht in den Kontext der Webseite eingebunden wird.

Hinweis

Mehr Infos zur Matrix bzw. Benutzeroberfläche findet ihr im uMatrix-Wiki.

3. Empfohlene Einstellungen

Die nachfolgenden Einstellungen werden dazu führen, dass viele Webseiten nicht mehr ohne manuelle Anpassungen der uMatrix-Regeln funktionieren. Das bedeutet: Ihr müsst aktiv eingreifen, um jene Funktionen oder Inhalte einer Webseite wieder zu aktivieren, die ihr bei eurem Besuch benötigt.

Wem die nachfolgenden Einstellungen noch nicht restriktiv genug sind, der kann den Hardcore-Mode verwenden. Eine Beschreibung dazu findet ihr im uMatrix-Wiki.

3.1 Cookies global blockieren

uMatrix hat einen ganz speziellen Umgang mit Cookies: Auch blockierte Cookies werden zunächst angenommen und im Browser abgelegt. Die ausliefernde Webseite geht also davon aus, dass sie alle Cookies ausliefern konnte. Im Hintergrund hindert uMatrix die Cookies allerdings daran, den Browser wieder zu verlassen. Das gibt uns unter anderem die Möglichkeit, die Cookies bzw. deren Inhalte zu prüfen. Damit diese Cookies nicht bis zum Ende ihrer Lebensdauer aufbewahrt werden, kann uMatrix die geblockten Cookies automatisch löschen. Dazu müsst ihr folgende Option aktivieren:

Einstellungen -> Privatsphäre -> Lösche geblockte Cookies: Check

Das Cookie-Handling von uMatrix ist also eine kleine Besonderheit. Wir werden die Voreinstellungen daher so anpassen, dass generell alle Cookies blockiert werden – auch die von der aufgerufenen Webseite bzw. der sog. »First-Party-Domain«. Es liegt anschließend an euch, die notwendigen Cookies zu erlauben.

Zum globalen Verbieten von Cookies könnt ihr wie folgt vorgehen. Zunächst selektiert ihr das Sternchen, um eine globale Regel zu definieren, die für alle Domains gelten soll:

uMatrix Global

Anschließend selektiert ihr die Cookie-Zelle und ändert die Farbe in dunkelrot:

uMatrix Cookies

Damit diese Einstellung permanent gespeichert wird, müssen wir noch auf das Schlosssymbol klicken:

uMatrix Speichern

Als Alternative zur GUI könnt ihr unter dem Tab »Meine Regeln« auch einfach folgende Zeile ergänzen:

* * cookie block

Ab sofort werden alle Cookies geblockt bzw. korrekterweise müsste man sagen: Am Verlassen des Browsers gehindert.

3.2 JavaScript global blockieren

Bei der Ressource JavaScript gehen wir ähnlich vor – standardmäßig wird JavaScript ebenso wie Cookies für die aufgerufene Webseite erlaubt. Diese Voreinstellung wollen wir ändern und JavaScript generell verbieten bzw. blockieren.

Zunächst selektiert ihr wieder das Sternchen, um eine globale Regel zu definieren, die für alle Domains gelten soll:

uMatrix Global

Anschließend selektiert ihr die Skript-Zelle und ändert die Farbe in dunkelrot:

uMatrix JavaScript

Damit diese Einstellung permanent gespeichert wird, müssen wir noch auf das Schlosssymbol klicken:

uMatrix Speichern

Als Alternative zur GUI könnt ihr unter dem Tab »Meine Regeln« auch einfach folgende Zeile ergänzen:

* * script block

Ab sofort werden alle JavaScripts geblockt und erst nach Freigabe in den Kontext der Webseite eingebunden.

3.3 HTTP-Referrer unterdrücken

Standardmäßig übermittelt eurer Browser, beim Nachladen einer Ressource in den Kontext einer Webseite, den HTTP-Referrer an die (Dritt-)Seite. Ähnliches passiert, wenn ihr die Webseite bzw. Domain wechselt. Auch hier wird der HTTP-Referrer (also die zuvor aufgerufene Webseite bzw. URL) an die neue Webseite übermittelt. Aus Datenschutzgründen sollte dies verhindert werden, da ansonsten die Möglichkeit besteht, den Referrer mit der IP-Adresse in Verbindung zu bringen.

Aktiviert daher folgende Option:

Einstellungen -> Verschleiere den HTTP Referrer, wenn das Ziel eine Drittseite ist: Check

4. Praxistipps

Selbst fortgeschrittene Nutzer werden mit uMatrix manchmal an den Rand der Verzweiflung getrieben, wenn eine Webseite mal wieder nicht funktioniert wie gewünscht. Die nachfolgenden Tipps sollen euch dabei helfen, euren Blutdruck wieder auf ein gesundes Niveau abzusenken.

4.1 Allgemeines Vorgehen

Sobald Webseiten nicht wie gewünscht funktionieren, liegt die Ursache meist in der Unterdrückung von JavaScript. Das ist also das Erste, wo ihr ansetzen solltet. Aktiviert das JavaScript für die betroffene Webseite zunächst mit einem Klick auf die entsprechende Zelle:

JavaScript heise.de

Anschließend führt ihr einen Reload durch, der die Webseite neu lädt und die eben gesetzten Änderungen berücksichtigt:

uMatrix Reload

Wenn die Webseite nun funktioniert wie gewünscht, könnt ihr die Regeln dauerhaft mit einem Klick auf das Schlosssymbol speichern:

uMatrix Speichern

Wenn ihr die Anpassung hingegen nicht dauerhaft speichern möchtet, dann könnt ihr die Veränderungen auch wieder rückgängig machen. Klickt ihr auf den Radiergummi werden alle Änderungen zurückgenommen, die ihr auf der aktuell besuchten Webseite vorgenommen habt. Klickt ihr hingegen weiter rechts auf die zwei Pfeile, werden alle temporären Änderungen zurückgenommen, die ihr bisher auf den von euch besuchten Webseiten vorgenommen habt:

uMatrix Restore

Natürlich kann es vorkommen, dass die Freigabe von JavaScript für die First-Party-Domain nicht ausreicht und ihr noch weitere Inhalte bzw. Ressourcen freigeben müsst. Insbesondere bei Login-Bereichen solltet ihr stets daran denken, auch die Cookies entsprechend zu erlauben. Letztendlich lautet die Devise: Ausprobieren!

Hinweis

Die Lernkurve von uMatrix ist relativ steil. Das heißt: Ihr werdet im Normalfall schnell herausfinden, wo es klemmt bzw. weshalb eine Webseite nicht so funktioniert, wie von euch gewünscht. Die Kunst bei der Nutzung von uMatrix liegt nun eben darin, nur jene Funktionen bzw. Inhalte freizugeben, die ihr auf einer Webseite tatsächlich benötigt. Alles andere bleibt blockiert und überflüssiger Kram wird einfach nicht mehr geladen – weniger ist oft mehr.

4.2 Regeln exportieren

Niemand hat wirklich Lust, die einmal getroffenen Einstellungen für eine Webseite zu wiederholen – insbesondere dann nicht, wenn es mal wieder eine »schwere Geburt« war. Wie bereits unter Ziffer 4.1 vorgestellt, bietet uMatrix daher die dauerhafte Speicherung von Regeln an. Über den Tab »Meine Regeln« könnt ihr eure Anpassungen bzw. Regeln sogar ex- und importieren:

uMatrix Export

Von dieser Möglichkeit solltet ihr Gebrauch machen, um bspw. bei einer Neuinstallation nicht alle getroffenen Anpassungen zu verlieren.

4.3 Weiterführende Informationen

Die Bedienung von uMatrix ist eigentlich relativ simpel und dennoch ist die korrekte Anwendung komplex. Anbei ein paar weiterführende Informationen, um noch tiefer in die Matrix vorzudringen:

  • Scopes: Jede Regel, die ihr in uMatrix erstellt, gilt für einen bestimmten (Geltungs-)Bereich bzw. Umfang, den sogenannten Scope. Sowohl die Cookies als auch JavaScript haben wir global verboten. Das bedeutet: Der Scope »global« betrifft alle Webseiten. Für bestimmte Webseiten können wir JavaScript oder Cookies allerdings wieder erlauben. Wir können für den Scope (heise.de) bspw. die Cookies wieder erlauben:
    heise.de 1st-party cookie allow

    Dieses Scope-Konzept solltet ihr euch im uMatrix-Wiki mal genauer anschauen: Scope selector.

  • Globale Regeln: Bestimmte Drittseiten oder Domains wollt ihr womöglich global erlauben / verbieten. Im uMatrix-Wiki wird anhand eines Beispiels dargestellt, wie eingebettete Youtube-Videos global für alle Seiten erlaubt werden: How to create rules which apply everywhere, on all web sites.

4.4 Wechselwirkung mit anderen Addons

In der Artikelserie »Firefox-Kompendium« habe ich euch schon einige Addons vorgestellt. Nach der Installation von uMatrix solltet ihr allerdings mögliche Wechselwirkungen mit anderen Addons beachten:

  • uBlock Origin: Im zweiten Teil der Artikelserie habe ich euch uBlock Origin vorgestellt. Sofern ihr dort die Empfehlungen für Fortgeschrittene befolgt habt, nun aber zusätzlich uMatrix nutzen wollt, solltet ihr die Einstellungen rückgängig machen und zum »easy mode« wechseln. Das Blockieren von JavaScript und Frames übernimmt ab sofort uMatrix. Ansonsten ist es empfehlenswert, beide Addons zu nutzen, da beide unterschiedliche Ansätze verfolgen. uBlock Origins Stärke liegt in der musterbasierten, kosmetischen Erkennung (z. B. imageshack.us###is_landing) von Werbung und Trackern auf Basis von AdblockPlus-kompatiblen Filterlisten wie der EasyList. Solche Filterlisten kann uMatrix nicht verarbeiten, sondern beschränkt sich auf das Host-basierte Filtern (z. B. 127.0.0.1 www.lemonparty.org) in Kombination mit dem Matrix-Konzept.
  • First Party Isolation: Das Addon First Party Isolation (FPI) isoliert gewisse Daten, die von einer Webseite abgelegt werden, in einer abgeschotteten Umgebung. Mit aktivem FPI ist es allerdings nicht möglich Surf-Daten von einzelnen Domains bzw. Containern zu löschen. Daher kann bspw. auch uMatrix die Funktion »Delete blocked cookies« nicht ausführen – die Firefox-API gibt das einfach nicht her. Dies solltet ihr im Hinterkopf behalten, wenn ihr plötzlich etliche Cookies im Firefox vorfindet, die uMatrix eigentlich löschen sollte. Damit erlaubte Cookies erhalten bleiben und geblockte wieder verworfen nutze ich folgenden Ansatz.
  • NoScript: Auf NoScript könnt ihr vollständig verzichten – außer ihr benötigt den darin integrierten Cross-Site-Scripting-Schutz (XSS), der verhindert, dass fremde Inhalte in einer freigegebenen Webseite Schadcode ausführen können.
  • Smart Referer: Auf das Addon Smart Referer könnt ihr ebenfalls verzichten, sobald ihr in uMatrix den HTTP-Referrer über die Optionen (Ziffer 3.3) unterdrückt.
  • Decentraleyes: Das Nachladen von JavaScript aus Drittquellen blockieren wir mit uMatrix vollständig. Damit die in Decentraleyes integrierten JavaScript-Ressourcen (lokal) ausgeliefert werden können, ist eine Anpassung der Regeln notwendig. Wenn wir dies nicht tun, wird das Nachladen der lokalen JavaScript-Ressourcen von uMatrix einfach blockiert. Folgende Regeln sind unter dem Tab »Regelsätze« zu ergänzen:
* ajax.googleapis.com script noop
* ajax.aspnetcdn.com script noop
* ajax.microsoft.com script noop
* cdnjs.cloudflare.com script noop
* code.jquery.com script noop
* cdn.jsdelivr.net script noop
* yastatic.net script noop
* yandex.st script noop
* apps.bdimg.com script noop
* libs.baidu.com script noop
* lib.sinaapp.com script noop
* upcdn.b0.upaiyun.com script noop
* cdn.bootcss.com script noop
* sdn.geekzu.org script noop
* ajax.proxy.ustclug.org script noop

Hinweis

Eine Liste mit aktualisierten Einträgen / Regeln könnt ihr hier finden.

5. Fazit

uMatrix zählt zu einem der mächtigsten Addons im Firefox-Universum. Wer mit dem Addon längere Zeit arbeitet, wird feststellen, in was für einem Bullshit-Web wir uns heute bewegen. Dank der relativ steilen Lernkurve ist die Bedienung von uMatrix schnell erlernt – dennoch kann es immer mal wieder vorkommen, dass einzelne Webseiten nicht funktionieren und die manuelle Nacharbeitung der (individuellen) Regelsätze erforderlich ist.

Im letzten Teil der Serie »Firefox-Kompendium«, der dann wiederum für Anfänger geeignet sein wird, widmen wir uns den about:config-Einstellungen von Firefox.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

40 Ergänzungen zu “Firefox: uMatrix – Firefox-Kompendium Teil9”

  1. Comment Avatar THLK sagt:

    Direkt in der Einleitung würde ich mir noch einen kurzen Satz dazu wünschen, was der (für normale Menschen verständliche) Unterschied zwischen umatrix und ublock origin ist. Der unter Punkt 4.3 beschriebene Unterschied ist für mich zu abstrakt…

    • Comment Avatar seeket sagt:

      Dem stimme ich zu. Ein Hinweis, dass uMatrix nur hosts-Dateien verarbeiten kann, aber keine AdblockPlus-kompatiblen Filterlisten (EasyList, easyProvacy etc.) wie uBlock Origin, wäre schon nützlich.

      Im Übrigen ist die Formulierung „uBlock Origin ist ein musterbasierter, kosmetischer Blocker“ missverständlich. Das könnte man so verstehen, als ob uBO nur cosmetic filtering beherrscht, was natürlich nicht so ist.

  2. Comment Avatar seeket sagt:

    Das ist eine schöne Darstellung von uMatrix. Allerdings befürchte ich, dass das Konzept der Geltungsbereiche (scopes) für uMatrix-Newbies – besonders im Vergleich zu Noscript, das viele stattdessen benutz(t)en – nicht deutlich genug dargestellt ist. Und gerade das ist einer der wichtigsten Vorteile dieses Add-ons.

    • Comment Avatar Mike Kuketz sagt:

      Du meinst sicherlich das hier: Scope selector. Ja die Scopes sind sinnvoll, vielleicht werde ich das noch ergänzen.

      • Comment Avatar seeket sagt:

        Ja, und ergänzend das:
        https://github.com/gorhill/uMatrix/wiki/How-to-create-rules-which-apply-everywhere,-on-all-web-sites und https://github.com/gorhill/uMatrix/wiki/How-to-work-in-hard-3rd-party-default-deny-by-default. Okay, Letzteres hast du schon beschrieben.

        Vielleicht auch noch einmal darauf hinweisen, dass nicht nur einzelne Zellen geklickt werden können, sondern auch die Zeilen- und Spaltenköpfe, was die Bedienung etwas einfacher machen kann.

        Außerdem ist vielleicht noch nützlich, dass auch die „Alle“-Zelle geklickt werden kann, wenn eine Seite mal partout nicht funktionieren will, dass aber auch dann die „bösen“ Seiten im unteren Teil der Matrix, der durch Klick auf das kleine graue Dreieck ausgeklappt werden kann, weiterhin blockiert bleiben.

        • Comment Avatar Mike Kuketz sagt:

          Ziffer „4.3 Weiterführende Informationen“ hinzugefügt. Des Weiteren haben ich den Absatz bei uBlock Origin überarbeitet.

          • Comment Avatar seeket sagt:

            Ziffer „4.3 Weiterführende Informationen“ hinzugefügt.

            Danke! Darf ich vorschlagen, dass du auch noch die <a href="https://github.com/gorhill/uMatrix/wiki/Per-scope-switches&quot; per scope switches erwähnst? Insofern wichtig, als diese Einstellungen häufig dazu führen können, dass eine Seite nicht richtig funktioniert.

            Des Weiteren haben ich den Absatz bei uBlock Origin überarbeitet.

            Ja, das ist besser! Ich möchte jetzt bitte nicht zu pingelig oder beckmesserisch wirken – aber uBO <a href="https://github.com/gorhill/uBlock/wiki/Does-uBlock-block-ads-or-just-hide-them%3F&quot; unterscheidet sorgfältig zwischen network filters und cosmetic filters (in ABP element hiding filters genannt). Deine Formulierung „uBlock Origins Stärke liegt in der musterbasiertern, kosmetischen Erkennung …“ könnte insofern immer noch ein wenig irritierend wirken, da uBO natürlich auch Netzwerkfilter verarbeitet.

      • Comment Avatar anmith sagt:

        Hallo,
        vielen Dank für den Beitrag, der mich motiviert hat, endlich mal einen Blick auf uMatrix zu werfen!

        Die Scopes sind für mich eigentlich das KO-Kriterium gegen NoScript – leider muß man sich ab und an mit Google-Captchas rumärgern (z.B. bei DHL) und während NoScript nur die Möglichkeit einräumt, den Kram temporär (oder fest) komplett für alle Seiten zu erlauben, kann ich in uMatrix die Google-Captchas nur für die Domains freischalten, wo ich sie tatsächlich benutze. Und das auch noch komfortabel über die vordefinierten „Puzzleteile“.

  3. Comment Avatar Kuse sagt:

    Danke fuer den Artikel und allgemein fuer die Artikelserie.

    Kleiner Hinweis vielleicht noch:
    Im Reiter „Über“ gibt es eine allgemeine Export Moeglichkeit.
    Dort koennen die Regeln und die Einstellunugen gesichert und wiederhergestellt werden.

  4. Comment Avatar Frank sagt:

    Schöner Artikel und eine ganze Menge Holz, um einen Zustand zu erreichen, den das Web von sich aus haben sollte. Leider lässt sich kaum jemandem vermitteln all diese Einstellungen vorzunehmen. M.E. sind die Browserhersteller in der Pflicht hier etwas zu tun, denn die Wahrscheinlichkeit, dass bei allen Webseitenanbietern plötzlich ein Umdenken stattfindet halte ich für gering. Wenn aber plötzlich die Nutzer klagen, dass Webseite X nicht mehr funktioniert, sieht die Sache evtl. anders aus. Allerdings müssten dann wohl alle Browser am gleichen Strang ziehen.

  5. Comment Avatar savant sagt:

    Ursprünglich waren uMatrix & uBlock Origin ein Add-on: HTTP Switchboard.
    https://github.com/gorhill/httpswitchboard

  6. Comment Avatar Frank sagt:

    Wenn ich die noop-Liste eingebe, ändert uMatrix beim speichern automatisch „noop“ in „allow“. Soll das so sein? Ich will den ganzen Kram doch nicht pauschal freigeben. Oder hab ich was verpasst?

    • Comment Avatar seeket sagt:

      Nein, das ist okay so. uMatrix interpretiert noop als allow. Das macht auch Sinn, weil noop in uBO ja bedeutet, dass im Dynamic Filtering nicht blockiert wird, sondern Static Filtering (durch die Filterlisten) angewandt wird. Letzteres kennt uM aber nicht – die Matrix entspricht einem aufgebohrten Dynamic Filtering in uBO.

      Allerdings kannst du die Regeln folgendermaßen in uM anwenden: Statt z.B. * ajax.aspnetcdn.com * noop
      kannst du * ajax.aspnetcdn.com script allow verwenden. In dieser Form hatte das der Autor von Decentraleyes auch früher für uM veröffentlicht. Warum er das geändert hat, weiß ich nicht.

      • Comment Avatar Herb Ert sagt:

        Meiner Meinung nach machen die obigen Einstellungen sogar Probleme.
        Ich habe die Regeln wie im Beitrag erwähnt übernommen und auch Javascript global blockiert.
        Jetzt blockt uMatrix allerdings auch die von DecentralEyes übernommenen Javascript Anfragen. Die Domain ist zwar global auf Grün gestellt, allerdings werden die Javascript Anfragen blockiert.

        Meiner Meinung nach, müsste nun das Javascript jeweils noch für die Domains erlaubt werden.

        • Comment Avatar Tester2 sagt:

          Ich kann das Verhalten reproduzieren. Die Ausnahmen sind sowohl bei uMatrix als auch bei uBlock Origin hinzugefügt, dennoch blockt uMatrix sämltliche Skripte. Die Testseite von Decentraleyes zeigt das eindrucksvoll.

          Ich denke an dieser Stelle muss das Kompendium bzw. der Teil zu uMatrix überarbeitet werden.

          • Comment Avatar Mike Kuketz sagt:

            Sobald ihr Scripts global mit uMatrix blockiert, muss jedes Script aktiv von euch freigegeben werden. Das gilt auch für die Scripts, die Decentraleyes lokal ausliefert. Zum Beispiel von ajax.googleapis.com auf der Decentraleyes-Testseite. Der globale Script-Block ist in der Priorität höher, als die globale Erlauben-Regel. Wenn ihr es auf »script« eingrenzt bzw. reduziert, dann funktioniert es:

            Also: * ajax.googleapis.com script allow

            Anstatt: * ajax.googleapis.com * allow

            Aber ihr habt Recht, das ist verwirrend. Ich passe es im Beitrag an, damit es funktioniert.

  7. Comment Avatar Anonymous sagt:

    Wie ist NoScript zu konfigurieren, damit der XSS Schutz erhalten bleibt, NoScript die restliche Arbeit dennoch uMatrix überlässt? Kann NS global deaktiviert werden, ohne dass der XSS Schutz ebenfalls deaktiviert wird? Oder muss bei den verschiedenen Vertrauensbereichen alles erlaubt werden?

    • Comment Avatar seeket sagt:

      In den Noscript-Einstellungen bei „Einschränkungen global deaktivieren (gefährlich)“ einen Haken machen. Der XSS-Schutz bleibt trotzdem erhalten.

  8. Comment Avatar Peter_H sagt:

    Vielen Dank für den Artikel!
    Eine Frage: Gehören die Anpassungen zu dem add-on Decentraleyes zu den Regeln von uBlock oder von uMatrix?

  9. Comment Avatar Da sagt:

    Nach längerem testen habe mich für folgende Regeln entschieden:

     * * * block
    * * cookie block
    * * css inherit
    * * frame block
    * * image inherit
    * * media block
    * * other block
    * * script block
    * * xhr block
    * 1st-party * allow

    Dafür alles in uBO auf grün gestellt

    • Comment Avatar Felix sagt:

      Wenn ich es noch richtig im Kopf habe, heißt grün bei UbO das alles erlaubt ist. Sprich auch die Filterlisten (Werbung, Tracking) werden NICHT/ angewendet. Besser wäre wenn du alle Felder auf grau stellst. Dann überlässt UbO uMatrix das Script Blockieren aber wendet bei allem was uMatrix durch lässt die eigenen Filterlisten gegen Werbung usw. an.

  10. Comment Avatar Steffen sagt:

    Ad „Delete Blocked Cookies“ und „Damit erlaubte Cookies erhalten bleiben und geblockte wieder verworfen nutze ich folgenden Ansatz.“

    siehe den Bug Report auf Github, und insbesondere Gorhills Kommentar:

    > „Delete blocked cookies“ option deleting unblocked cookies too
    > https://github.com/uBlockOrigin/uMatrix-issues/issues/51#issuecomment-419686520

    Viele Grüße

  11. Comment Avatar anonym sagt:

    Was ich interessant finden würde….ich setze zwar ublock ein, jedoch mach ich mir gerade immer wenn ich irgendwas eingeben muss Sorgen (weswegen ich das auch tunlichst vermeide), wenn auf Formularen oder puren Log-in Seiten Google Analytics und Co. aktiv sind. Wie wahrscheinlich ist es denn das Google Analytics beispielsweise auf diese Daten zugreifen kann, durch z. B. falsche API Einstellungen…? Ich meine, dass wüde ja in dem Fall auch meine Blocker nutzlos machen.

  12. Comment Avatar Björn sagt:

    Eine kurze Frage zur Klärung.
    Erübrigt sich auch das Addon HTTPS-Everywhere mit der Einstellung „stricht HTTPS – forbid mixed content“ oder sollte es noch behalten werden?
    Generell macht mir ein Punkt immer ein bisschen Bauchschmerzen. Auf der einen Seite möchten wir möglichst sparsam im Web unterwegs sein, auf der anderen Seite erlauben wir den Add-Ons jedoch jegliche Informationen auszulesen. Da ist auch eine Menge Vertrauen nötig.

    • Comment Avatar Mike Kuketz sagt:

      Das ist ein generelles Problem, was du hier ansprichst. Die Vertrauensfrage. Ohne Vertrauen, brauchst du deinen Rechner erst gar nicht mehr anmachen. Du vertrauchst dem Chip-Hersteller, dass er keine Backdoors eingebaut hat. Du vetraust deinem Betriebsssystem, dass es dich nicht hinterrücks ausschnüffelt. Du vetraust deiner Software, dass sie keine sensiblen Daten an Dritte versendet.

      So ist es auch bei den hier vorgestellten Browser-Plugins. Aber aus meiner Sicht kann ich dir dazu wenigstens sagen:

      • Alle vorgestellten Firefox-Plugins sind quelloffen. Das sorgt für die nötige Transparenz, hier auch mal reinschauen zu können.
      • Ich habe alle Plugins auf ihren Netzwerkverkehr analysiert und keines davon war auffällig.

      Letztendlich ist das keine Garantie für die Zukunft. Du musst dich eben entscheiden: Vertrauen oder besser nicht installieren. Diese Entscheidung musst du nach Abwägung selbst treffen.

  13. Comment Avatar Xerves sagt:

    Was ist mit den 6 Filterlisten die in uB verhanden sind, muss man die in uB rausnehmen oder bleiben die auch in uB aktiv ?

    Danke

    • Comment Avatar Mike Kuketz sagt:

      Die Filterlisten ergänzen sich. Du kannst in uBlock Origin übrigens weit mehr als 6 Filterlisten auswählen.

      • Comment Avatar Xerves sagt:

        Meinte die 6 Filterlisten die in uMatrix sind, muss man diese 6 Listen dann in uBlock rausnehmen ?
        Habe in uBlock alle Listen aktiv, außer die Länderspezifischen

        In Deinem Chat gibt es da immer unterschiedliche Meinungen was sinnvoll ist :)

        • Comment Avatar Mike Kuketz sagt:

          Ich habe nirgendwo geschrieben, dass die Filterlisten deaktiviert werden sollten. Also nein: Auf Standard belassen.

          • Comment Avatar Xerves sagt:

            ja das war auch immer meine Meinung aber die Mehrheit in dem Kuketz Chat war immer der Meinung das es sinnvoller ist, die doppelten Listen aus uB zu entfernen.

            Damit sollte es jetzt für die anderen geklärt sein.

          • Comment Avatar Mike Kuketz sagt:

            Darüber habe ich im Chat bisher nichts gelesen. Gut, ich lese zwar nicht alles, aber das wäre mir doch sicherlich auch mal aufgefallen.

  14. Comment Avatar woodchuck sagt:

    Raymond Hill dazu: uBlock is pattern-based/cosmetic-based filtering (EasyList etc.), while uMatrix is matrix-based filtering. Any one of them can be used standalone, hence why some of the preset lists are the same (uBlock supports hosts files). They are not specifically made to run together, but if they are, unchecking malware-related hosts files in uBlock is suggested to avoid unneeded overlap.

  15. Comment Avatar Redgun sagt:

    Hut ab! Ich habe ja schon einigen Verhau betrieben, um meine Daten-Burka zu härten, aber diese Artikelreihe öffnet nochmal neue Perspektiven! Wie ist es eigentlich mit einem laufenden PiHole im Netz? Können dann Funktionen im Browser (speziell Filterlisten) abgeschaltet werden? Nebenbei: So richtig bitter ist, dass der Normaluser wohl schon bei Folge 2 der Serie aussteigt. Meine Beobachtungen mit Gästen an meinem Firefox mit NoScript sind leider ernüchternd.

  16. Comment Avatar Geheim sagt:

    Schöne Einführung in Umatrix. Allerdings verstehe ich nicht warum ich überhaupt Umatrix mit Ublock (im erweiterten Modus) verwenden sollte. Persönlich sehe ich hier nämlich weder aus Gründen der Sicherheit noch dem Schutz der Privatsphäre einen Vorteil. Im Prinzip erlaubt einem Ublock ja bereits Drittseite (Skripte oder alle Inhalte) auszuschließen. Damit hat man bereits alles abgedeckt. Der Vorteil darin von einer Drittseite jetzt auch noch feingranular kein CSS zu erlauben bringt doch keinen zusätzlichen Schutz.

    Hier wäre es schön wenn der Artikel etwas klarer stellt warum Umatrix verwendet werden soll (oder eher warum nicht) und warum man Umatrix mit Ublock kombinieren soll. Ich befürchte hier wurde der Fokus auf die Ziele Sicherheit und Privatsphäre verloren und hat hin zur technischen Spielerei gewechselt. Aus technischem Interesse ist Umatrix bestimmt interessant, aber das ist eher ein Selbstzweck und hat wenig mit dem Schutzziel zu tun.

    Am Schluss noch das obligatorische Danke für die interessante Artikelreihe!

  17. Comment Avatar Mark sagt:

    Hallo,

    erstmal vielen Dank für die Serie an Mike, die ja noch nicht ganz zuende ist. Ich freue mich auch schon auf den letzten Beitrag. Die Serie ist der Hammer. ;-)

    Allerdings habe ich noch eine Frage. Ich nutze auch den Firefox und habe schon seit längerem uBlock drauf. Habe jetzt auch den easymode eingestellt, da ich auch uMatrix verwenden möchte. Ist dann FPI überhaupt noch erforderlich? Und wenn ja, nutzt Ihr dann auch noch die zwei Addons Firefox Multi-Account Container und Temporary Containers?

    Viele Grüße Mark

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.