Hi,
mich würde eure Meinung interessieren, ob es ausreicht, zum Surfen nur einen pihole zu installieren und auf weitere Browserplugins zu verzichten. Grundsätzlich würde ich z.b. auch uBlock origin vertrauen, aber es ist ja bereits häufiger vorgekommen, dass Plugins von zweifelhaften Firmen übernommen werden oder ggf. sogar auch gekapert werden. Dafür filtert pihole nur auf DNS-Ebene.
Sind euch Fälle bekannt, in denen schafhafte Werbung vom Hoster der Seiten direkt und nicht über Ad-Netzwerke ausgeliefert wurde? Welcher Variante würdet ihr letztlich den größeren Sicherheitsgewinn (vom Surfkomfort mal abgesehen) zusprechen?
Ich nutze PiHole schon seit geraumer Zeit und bin damit zufrieden. Als Testwebseite nehme ich immer www.waz.de. Schau Dir die Seite mal ohne Blocker an - das soll eine Tageszeitung sein. Die ist aber ohne Blocker quasi nicht lesbar. Mit Pihole verschwindet die Werbung links und rechts zu 99%. So ist das auch bei anderen Webseiten.
Es kommt dann eventuell noch auf die in PiHole eingesetzten „Adlists“ ein. Ich habe 8 im Einsatz, wovon aber nur 2 Werbung blocken (die anderen Filtern Zeugs von Windows oder Amazon FireTV raus).
Die Filterung auf DNS-Ebene reicht mir. Du kannst ja in Deinem DHCP-Server (DSL-Router wie FritzBox o.ä.) als IP-Adresse für den DNS direkt den PiHole-Rechner angeben, dann sparst Du Dir zumindest eine manuelle DNS-Einstellung an einzelnen Rechnern oder Mobilgeräten.
Auf mobilen Geräten (Smartphones und Tablets) nutze und verlasse ich mich ausschliesslich auf meine Pi-holes: zuhause und für unterwegs einen per VPN auf einem VPS in der „Hetzner-Cloud“.
Auf PCs und Laptops nutze ich in allen Browsern zusätzlich noch „uBlock Origin“, um nicht nur auf DNS-Ebene, sondern auch einen Level weiter/tiefer filtern zu können. Bei einem familiären IT-Zoo von mehreren PCs (Win, Linux, Mac) und Laptops, die wiederum mehrere Browser drauf haben (Firefox, Chrome, Edge, Safari) wird das aber mindestens einmalig recht aufwändig, wenn man JEDE mögliche Kombination abgedeckt haben will.
Pi-hole ist also definitiv schon mal ein sehr guter „Grundschutz“, aber mit einer Browser-Erweiterung bekommst du noch mal mehr weggefiltert
Da ich kürzlich auf der Arbeit mitbekommen habe, wie ein Windows-PC per ausgespielter (maliziöser) Werbung hops genommen wurde, würde ich zumindest auf Windows-PCs den Aufwand nicht scheuen und durch Werbeblocking sogar noch mehr (Lese-)Komfort dabei rausholen wollen
hängt davon ab wie Du schadhaft definierst. Ich definiere jede Werbung als schadhaft, und ja es gibt Anbieter die Werbung direkt von ihrer Domain ausspielen. Ich befürchte sogar, dass wir das aufgrund des Ende der 3rd-Party-Cookies in Zukunft öfter sehen werden. Dagegen helfen dann wahrscheinlich nur noch Blocker, die nicht nur Domänen sondern auf Basis des Pfads sperren.
Für mich ist „schadhaft“ tatsächlich etwas, was das System selbst gefährdet, drive by Angriffe sozusagen. Das ist ab und an Werbung sehe würde ich dabei in Kauf nehmen.
Häufig werden Werbeanzeigen dafür genutzt, da man den eigentlichen Server nicht kompromittieren muss und trotzdem eine hohe Reichweite hat. Betroffen waren auch „die Großen“ wie Google Ad und die New York Times.
Ich setze auf beides: So früh wie möglich (browserseitig; uBlock Origin) und den Rest auf DNS-Ebene.
Ja und genau darauf zielt meine Frage ab … denn hier würde pihole ja ausreichen, wenn man die üblichen guten Blocklisten mit etwas Gespür verwendet. Übrig blieben ja nur die Anzeigen, die vom jeweiligen Server selbst ausgeliefert würden - und mein Surfverhalten ist eher moderat, keine porns, keine warez, etc.
Sogesehen würde auch uBlock Origin ausreichen Ich verwende uBlock Origin ausschließlich im Medium Mode, somit sind Drittanbieter und Blocklisten eher unrelevant.
Sich einzig auf Blocklisten zu verlassen hat den Nachteil des „Katz-und-Maus-Spiels“. Mit einem gewissen zeitlichen Versatz muss man rechnen.
Aber mir ging es ja ursprünglich um die Reduzierung von AddOns. Und bei Deiner Lösung wäre z.b. ein Safari auch raus, da es dort kein uBlock mehr gibt.
Aber ich merke schon, die Frage lässt sich nicht adäquat beantworten.
Bezüglich Sicherheit lässt sich sagen, dass Blocklisten eine eher statische Momentaufnahme sind. Letztendlich können nur die Dinge blockiert werden, die dort auch hinterlegt sind. Erst mit Techniken wie uBlock Origin und Medium/Hard-Mode ist es möglich immer alle Drittanbieter zu blockieren - dynamisch und unabhängig von Blocklisten.
Zum Verständnis: Sind dort lediglich 3rd-party scripts und frames blockiert oder auch 3rd-party generell? Offenbar gibts dahingehend einen nicht unwesentlichen Unterschied.
3rd-party scripts and frames are blocked by default.
Ob es eine gute Methode ist, hängt von den Anforderungen ab und ob man bereit ist, Abstriche in Unabhängigkeit und Kontrolle zu machen
Grundsätzlich hat die DNS-Variante auch Nachteile ggü. Tools wie uBlock Origin:
Es ist die letzte Station, bevor die Zieladresse tatsächlich aufgerufen wird.
Gilt pauschal für alle Browsertabs.
Keine Kontrolle über die Einträge in der Blockliste.
Keine, nur auf bestimmte Webseiten bezogene, feingranulare Konfiguration möglich.
Eingeschränkte Möglichkeiten bei Over-/Underblocking.
Der Wunsch die Anzahl der installierten Addons zu reduzieren ist nachvollziehbar, aber hebt das die Nachteile der DNS-Variante auf, wenn man sich nur darauf verlassen würde?
Der beste Weg ist mMn beide Techniken zu kombinieren: Durch uBlock Origin werden die Anfragen frühestmöglich abgefangen - nämlich genau dort, wo sie entstehen. Gleichzeitig behält man aber die volle Kontrolle und kann unabhängig und dynamisch Anpassungen vornehmen.
Auf DNS-Ebene würde ich gar keinen öffentlichen DNS-Server verwenden, sondern lokal im Heimnetz einen Pi-hole mit unbound einsetzen und per VPN auch mobil erreichbar machen.
Man erreicht dann ein Maximum an Unabhängigkeit und behält die volle Kontrolle - beides Punkte, die bezüglich Sicherheit/ Malvertising nicht unwichtig sind. Pauschal erst alle Drittanbieter blockieren und anschließend bei Bedarf mit uBlock Origin diejenigen freigeben, die zwingend notwendig sind.
Bei der DNS-Variante gehe ich natürlich von ziemlich sicheren und vertrauenswürdigen Anbietern aus. Als ein Beispiel möchte ich hier adminforge mit dem Angebot dnsforge nennen.
Das kann ich im PiHole super gut kontrollieren über die Whitelist. Und das gilt dann direkt für alle meine Geräte, wenn ich will. Für mich ein großer Gewinn gegenüber ublock.
Die Blocklisten kontrolliert damit nach wie vor nicht. Es werden „nur“ Ausnahmen im Pi-hole erzeugt. Technisch ein nicht unwichtiger Unterschied bezüglich Abhängigkeiten. Über diese Ausnahmen kann man zwar Overblocking korrigieren, aber nicht Underblocking welches manuelle Einträge im Pi-hole erforderlich macht, während „das Kind schon in dem Brunnen gefallen ist“. Der technisch saubere Weg wäre je Webseite alle Drittanbieter blockieren und nach und nach freigeben.
Das kann sowohl Vorteil als auch Nachteil sein. Leider kenne ich die Webseite nicht mehr, aber mir wurde mal eine Webseite gemeldet, die keinen Inhalt angezeigt hatte, wenn Google Fonts nicht geladen werden konnten. Wenn man auf diese Webseite aus irgendwelchen Gründen angewiesen ist, dann muss man im Pi-hole die Google Fonts für alle Webseiten freigeben.
Leider bringt dieser (zugegebenermaßen) technisch saubere Weg einen entscheidenden Nachteil mit. Der technisch saubere Weg ist (leider) viel zu oft nicht gehbar. Warum? Weil viele Webseiten (leider) viel zu oft so viele Abhängigkeiten zu Drittanbietern mitbringen, dass es schlicht aus Zeitmangel (bei der Arbeit zum Beispiel) nicht machbar ist. Nicht zu vergessen zu erwähnen, dass das Ganze obendrein auch noch mächtig am Nervenkostüm rüttelt.
Hallo zusammen, ich beschäftige mich gerade mit dem Thema, bin aber nicht ganz so versiert, wie die meisten, die hier mitreden. Auf jeden Fall ein interessanter Thread mit guten Links und viel Hintergrund-Infos.
Bei mir ist sowohl ein Pi-Hole als auch UBlock im Einsatz.
Genau diese Adressen habe ich bei mir im Pi-Hole als DNS Server eingetragen, und zwar „DNS-Clean“. Macht es nun Sinn, wenn ich die selben Listen auch im Pi-Hole nochmals unter Adlists eingetragen habe? Die stehen nämlich schon länger da drin und nun habe ich mich gefragt, ob mir dadurch irgend ein Vor- oder Nachteil entsteht.
Welche Adlists würdet Ihr denn, zusätzlich zu denen von Adminforge „DNS-Clean“ im Pi-Hole noch empfehlen? Bringt ja nix, wenn mann einfach blind sämtliche Blocklisten aus dem Netz sammelt und da einträgt, nur damit man dann irgendwie 11Mio. Domains on Adlists gelistet hat.
Für mich ist es immer so eine Gratwanderung. Auf der einen Seite möchte man gerne so viel wie möglich blockiert haben um Tracking usw. zu minimieren. Auf der anderen Seite wird es dann halt einfach auch sehr zeitaufwändig mit whitelisting anstatt mit blacklisting zu arbeiten.
Ich verwende uBlock Origin ausschließlich im 
