Hallo, ich habe den Tor Browser auf Windows und auf Android in Betrieb genommen. Hier im Blog wurde empfohlen, so wenig wie möglich zu ändern am Browser, um in der Masse mitzuschwimmen. Ich habe nun ublock installiert und privacy redirect und decentraleyes und auf Windows auch noch umatrix anstatt no Script. Sind diese Änderungen schon zu viel?
Jede Änderung ist zu viel. Du solltest den Browser starten, benutzen und wieder beenden. Ansonsten nichts weiter einstellen. Bookmarks sind erlaubt.
1 „Gefällt mir“
OK, das habe ich dann bisher auch noch nicht so ganz richtig gemacht. Habe mir daher eben den Tor Browser neu installiert.
Beim Installieren wird Deutsch vorgeschlagen. Hoffe, dem zu folgen ist OK???
Nach dem Installieren ist dann in den Einstellungen natürlich folgendes zu finden:
Sprache für die Anzeige von Menüs, Mitteilungen und Benachrichtigungen von Tor Browser:
Deutsch
UND
Wählen Sie die Sprachen für die Darstellung von Webseiten in der von Ihnen bevorzugten Reihenfolge:
Deutsch
Englisch (US)
Englisch
Tor schlägt beim ersten Surfen diese Einstellung vor:
Englischsprachige Versionen von Websites für verbesserte Privatsphäre anfordern:
Englisch (US)
Englisch
Sollte man dem tatsächlich folgen??? Damit wären die Menüs weiterhin in deutsch, aber die Websitensuche/-darstellung nur noch auf englisch. (Wäre sehr anstrengend und nervig. Aber gut, wenn es wirklich sein muss…)
„Immer automatisch verbinden“ darf man auch nicht aktivieren oder doch???
Die Symbolleiste oben darf man aber anpassen, oder??? Z.B. „Chronik“ und „Sidebars anzeigen“ hinzufügen. Und damit die Sidebar für Lesezeichen einschalten. Damit man die „erlaubten“ Lesezeichen auch sehen und auswählen kann.
Darf man die Standardsuchmaschine ändern und/oder zusätzliche Suchmaschinen hinzufügen???
Angeblich darf man neuerdings die Fenstergröße und -lage ändern. Tor-Browser gaukle dann trotzdem die Größe und Lage vor, die es ohne Änderung gehabt hätte. Leider weiß ich keine Quellen dazu. Weiß jemand eine Quelle dafür oder stimmt das nicht? Ich finde es nämlich recht unpraktisch nur die Hälfte des Bildschirms nutzen zu können und würde lieber auf Vollbild gehen.
1 „Gefällt mir“
Siehe dazu die FAQ.
Ich brauche Tor Browser in einer anderen Sprache als Englisch.
Our current list of supported languages is: … Deutsch (de)
Es ist stark davon abzuraten, neue Add-Ons im Tor Browser zu installieren, weil diese Ihre Privatsphäre und Sicherheit gefärden können.
Was sind graue Balken auf einem in der Größe geänderten Tor Browser Fenster?
Einfach gesagt erstellt diese Technik Gruppen von Nutzern mit bestimmten Bildschirmgrößen, was es schwerer macht einzelne Nutzer anhand ihrer Bildschirmgröße wiederzuerkennen, weil viele Nutzer die selbe Größe haben werden.
3 „Gefällt mir“
Tor Browser bietet also gem. FAQ viele verschiedene Sprachen an. So weit so gut. Da sie dies ohne weitere Hinweise so angeben, kann ich davon ausgehen, dass ich trotz Wahl einer individuellen Sprache bzw. einer anderen Sprache als Englisch in der Masse untergehe?
Vielen Dank für die Quelle mit der Fenstergröße! Das ist wirklich sehr hilfreich. Dann kann ich auf Maximieren gehen und gehe trotzdem in der Masse unter. 
1 „Gefällt mir“
Doch, darf man, sonst wäre es nicht hinzugefügt worden.
Ursprünglich gab es ein Fenster was sich vor dem Browser geöffnet hat, worin man Bridges, etc. einstellen konnte.
Das ist jetzt im Browser selbst, und deshalb ist kein „automatisches verbinden“ standardmäßig aktiv, falls man etwas an diesen Einstellungen ändern möchte.
Ja, und nein. Es gibt sehr wahrscheinlich recht viele deutschsprachige (oder andere) Tor Browser Bundle Nutzer, welche Webseiten Deutsch (oder eine andere Sprache) als präferierte Sprache mitteilen lassen.
Wenn du die Option aktivierst, bist du in einer größeren Gruppe von Nutzern (Nutzer mit Tor Browser, die englische Versionen der Webseiten anfordern), ansonsten bist du in einer kleineren Gruppe (eben jene, die stattdessen deutsche/… Versionen der Webseiten anfordern). Das ist mit „verbesserte Privatsphäre“ gemeint.
Deutsche Versionen der Webseiten anzufordern ist okay, wenn es dir lieber ist. Was du vermeiden solltest, ist dieser Liste selber Sprachen hinzu zu fügen - also von den Standards der entsprechenden Browsersprachen abzuweichen.
Heißt: Browser auf die präferierte Sprache setzen, und dann eben nicht englische Webseiten anfordern lassen - oder um in einer größeren Nutzergruppe zu schwimmen eben doch.
Ja, darauf haben Webseiten keinen Zugriff. Theoretisch könnte man unter raren Umständen raten (könnte sein, dass es ein Bug ist), ob du diese aktiv hast, das sollte aber keine realistischen Auswirkungen haben, insbesondere dann nicht, wenn du eine eigene Fenstergröße für den Browser wählst. Mit Strg + Shift + H gibt es auch ein eigenes Fenster, falls man paranoid ist, weißt du aber bestimmt schon von. 
Bis auf Lesezeichen wird dort aber „nichts“ funktionieren, und soll so sein (nur kürzlich geschlossene Tabs lassen sich öffnen, Chronik Sidebar ist leer).
Die Standardsuchmaschine darfst du ändern. Weitere hinzufügen ist schon eher kritisch, darin könnten Tracking-IDs eingebaut werden.
3 „Gefällt mir“
Kuketz schlägt vor, den Sicherheits Schalter von Standard auf „am Sichersten“ zu stellen, damit JavaScript nicht aktiv ist. Das soll man auch nicht mehr machen? NoScript auch nicht einstellen?
Doch, das kann man machen, ich verwende „Am Sichersten“ als Standard. Im Tor Browser erreichst Du die Dokuemtation dazu über about:manual#security-settings.
Eine Erhöhung der Sicherheitsstufe in den Sicherheitseinstellungen des Tor Browser deaktiviert ganz oder teilweise bestimmte Browserfunktionen, um vor möglichen Angriffen zu schützen. Du kannst diese Einstellungen jederzeit wieder aktivieren, indem du deine Sicherheitsstufe anpasst.
2 „Gefällt mir“
Die Sicherheitsstufen kannst du einstellen, an NoScript sollte man (selbst) aber nichts „einstellen“.
Du könntest dort jedoch einzelne Ressourcen freigeben (das entspricht dann für diese natürlich einer anderen Sicherheitsstufe) - das ist aber potenziell ein Vektor für Fingerprinting.
Hier, unter Security Slider, gibt es eine saubere Auflistung der Unterschiede zwischen den Sicherheitsstufen: https://2019.www.torproject.org/projects/torbrowser/design/#other-security
Der Unterschied zwischen Safer(Sicherer) und Safest(am Sichersten) ist minimal:
· Statt JavaScript nur bei unverschlüsselten Quellen zu deaktivieren (der wichtigste Faktor), wird es komplett deaktiviert - jede Angriffsfläche, die dadurch schwindet, fügst du jedoch wieder hinzu, wenn du JavaScript ausnahmsweise erlaubst.
· Entfernte Schriftarten werden blockiert.
· Und SVG Grafiken werden deaktiviert.
Nur falls du dir über Angriffe auf den Browser Sorgen machst, was übrigens genauso für den „normalen“ Browser gelten würde, ergibt eine Unterscheidung zwischen den letzten beiden Stufen hier Sinn. Das wäre vorallem der Fall, wenn du „fragwürdige“ Webseiten aufrufst, bei Seiten wie Nachrichtenportalen o.Ä. sollte das keine Rolle spielen.
Oder falls du unter allen Umständen eine mögliche Deanonymisierung, oder ein kompromittiertes System, vermeiden musst/willst - dann solltest du aber, falls du einen weiteren Browser nutzt, auch diesen vergleichbar absichern.
1 „Gefällt mir“
Vielen Dank für diese vielen und aufschlussreichen Antworten! Das hilft ungemein.
Du meinst damit, dass, wenn man eine Suchmaschine hinzufügt, dies als individuelles Merkmal erkannt werden kann? Schade, ich hätte gern z.B. Searx oder F-Droid hinzugefügt.
Wie sieht es mit Aktivieren der Funktion „Beim Tippen automatisch im Seitentext suchen“ aus?
Und die Website zoomen, damit der Text größer wird?
1 „Gefällt mir“
Ich habe nun den Tor Browser zurück gesetzt und nur die eine Einstellung auf sicherer gemacht plus die Standard Suchmaschine auf startpage gestellt (hätte gerne metager gehabt, ist aber nicht dabei beigetragen der Standard Auswahl. Metager hätte auch einen onion Dienst). Surfen fühlt sich komisch an ohne Black theme und ohne ad blocker
Ja, besonders ohne Blocker. Wie ungeschützt…
Fehlende Suchmaschinen könnte man sich als Lesezeichen abspeichern.
Die Funktion „Beim Tippen automatisch im Seitentext suchen“ kannst du benutzen, ja.
Zoomen kannst du auch - es lässt sich aber feststellen, wenn du das tust.
Es wird nicht dauerhaft im Browser gespeichert, daher liefert das keinen wirklichen Wiedererkennungswert.
Potenziell könnte es zum „Nutzerfingerprinting“ genutzt werden - wie man Webseiten verwendet unterscheidet sich schließlich von Nutzer zu Nutzer. Aber da reden wir von, meines Erachtens nach vernachlässigbaren, Wahrscheinlichkeiten.
Nein, das nicht. Webseiten können deine installierten Suchmaschinen nicht auslesen.
Das Problem ist, dass der Knopf zum Hinzufügen einer Suchmaschine (in der URL-Leiste) durch ein vom Anbieter bereitgestelltes „Muster“ erst verfügbar wird.
Dieses wird im Quellcode der Webseite angegeben/verlinkt, bei z.B. Metager so, unter den Header Abschnitt:
<link rel="search" type="application/opensearchdescription+xml" title="MetaGer: Sicher suchen & finden" href="https://metager.de/plugins/opensearch.xml">
darin wird hinter der URL nach href= das Muster für die Suchmaschine angegeben.
Dort könnte(!) ein vom Webserver generiertes, nutzerspezifisches Muster liegen, in dem einfach eine Einzigartige-ID eingebaut wird - das ist die mögliche Gefahr hierbei, und technisch nicht sonderlich aufwändig. Damit ließen sich dann Suchanfragen miteinander verbinden.
Du kannst Metager (aktuell) tatsächlich unbesorgt hinzufügen. Es befinden sich keine Trackingparameter oder IDs in deren „Muster“, ebenso bei F-Droid (@Waterdrop).
Einfach per Onion-Dienst oder Clearnet Seite aufrufen, und dann in der Adresszeile hinzufügen.
Ich hasse surfen ohne Ad-Blocker, aber das ist der „Preis“, wenn man das Ideal umsetzen möchte.
„Schutz“ hat man zumindest durch die Anonymität (und die geringere Angriffsfläche des Browsers, je nach Sicherheitsstufe).
Davon ist abzuraten, aber es gibt tatsächlich Leute, die uBlock Origin mit dem Tor Browser Bundle verwenden. Aber die Frage ist, ob diese auch größtenteils nur die Standardkonfiguration davon nutzen, und wie groß diese Nutzergruppe wirklich ist. Zusätzlich wird das Addon nicht mit dem Browser getestet. Je nach persönlichem Bedürfnis könnte man die Nutzung (alles darin auf Standard belassen) riskieren, aber es gab schon einmal (DNS) Leaks durch uBO - auch wenn diese gefixt wurden.
1 „Gefällt mir“
Wie kriegt man denn raus, ob eine nutzerspezifische ID gerade aktuell im Muster enthalten ist? Das würde ich gern für die Suchmaschinen Amazon, Reichelt, Chip, Computerbild, Ebay, Gruble, Wikipedia (de) prüfen. Die Kuketz-Suchmaschine braucht man natürlich nicht prüfen. 
Könnte man die Nutzung des Tor-Browsers wie folgt zusammen fassen?
Das Tracken und Fingerprinting ist im Tor-Browser egal bzw. hat keine Aussicht auf Erfolg, weil u.a. die Website-Aufrufe zunächst verschlüsselt und schlussendlich mit „falscher“/verschleierter IP-Adresse anonym erfolgen. Ein Profil, Auswertung oder was auch immer bezieht sich nur auf die aktuelle Sitzung und ist daher wertlos. Spätestens am nächsten Tag startet man den Tor-Browser neu und hat wieder eine neue Identität, die nicht mit dem Vortag und auch sonst mit keinen persönlichen oder identifizierbaren Daten in Verbindung gebracht werden kann. Daher kann bedenkenlos auf uBlock Origin u.ä. zumindest im Zusammenhang mit Tracking verzichtet werden.
Könnte man weiterhin sagen, dass man allen Cookies zustimmen kann und auch alle googleverseuchten Seiten (z.B. Youtube) bedenkenlos besuchen kann, weil eben kein Tracken und Fingerprinting Erfolg hat? Oder sollte man dies trotzdem weiterhin vermeiden?
Das hat Mike schon 2018 gefordert:
Tor-Browser: uBlock Origin endlich integrieren!
Was wäre also grob zu tun?:
- Das Updaten der Filterlisten (im Hintergrund) müsste vollständig deaktiviert werden
- Stattdessen werden Updates der Filterlisten einfach mit neuen Versionen vom Tor-Browser ausgerollt
- Der Nutzer hat keine Möglichkeit die Filterlisten in irgendeiner Art anzupassen
- Man müsste sich auf eine Art »Default-Filterliste« einigen, die Webseiten nicht »kaputt« macht, aber unnötige Werbung und Tracker blockiert
Insgesamt würde das sowohl das Surfen (Geschwindigkeit), als auch die Sicherheit deutlich erhöhen.
Kann mir aber nicht vorstellen, dass das nochmal kommt…
Die einfachste Variante ist vorher nachschauen:
Im Quellcode der Seite nach opensearch suchen, oder nach anderen Merkmalen der Zeile die das Muster verlinkt, und die verlinkte (vmtl.: opensearch).xml Datei analysieren (lesen).
Wichtig sind die Url-Abschnitte, mit template= „Feld“, und den Wert hinter diesem, oder auch Parameter innerhalb des Abschnittes.
Letzteres wird hauptsächlich bei POST Anfragen genutzt, ersteres nur bei GET Anfragen (zu erkennen am „method“ Feld).
Beispiele, „geklaut“ und verändert (hinzugefügte Beispiele für Tracking-IDs):
<Url type="text/html" method="get" template="https://me.invalid/suche?search={searchTerms}&lnk=45Hdn2euy0kh3d" />
<Url rel="results" type="text/html" method="POST" template="https://me.invalid/search">
<Param name="q" value="{searchTerms}" />
<Param name="user" value="20230410-005423-1" />
</Url>
Im letzten Beispiel ließe sich eine ID in den Parametern - zwischen der Beginn- & End-Zeile - einbringen, oder auch im „template“ Feld (ähnlich dem ersten Beispiel).
Hierbei spreche Ich, nur um sicher zu gehen, von dieser Methode, Suchmaschinen hinzuzufügen:
Man könnte auch hinterher, nach dem hinzufügen, nachschauen, aber dafür braucht man weitere Software, um die search.json.mozlz4 aus dem Profilordner zu dekomprimieren. Das sprengt den Thread m.E. nach dann zu sehr. 
Sowohl Wikipedia als auch Gruble nutzen keine IDs. Bei Reichelt, und Computerbild habe Ich ebenfalls keine gefunden. Ebay bietet keines an. Und bei Amazon funktioniert das hinzufügen nicht, das Muster kann einfach nicht abgerufen werden - obwohl es ironischerweise Ihr Standard war.
Gruble z.B. hat auch die Option für Aktualisierungen aktiv, siehe den entsprechenden MDN Abschnitt zu OpenSearch (Englisch) - dadurch können theoretisch nachträglich auch IDs hinzugefügt werden - auch wenn es unwahrscheinlich ist.
Etwaige seltsame Zeichenfolgen in den „Image“ Abschnitten sind übrigens irrelevant, diese werden automatisch heruntergeladen und dann als „data:“-URI gespeichert.
Wie häufig die Methode in der Wildbahn tatsächlich angewendet wird, kann Ich nicht sagen. Aber wenn sie von jemanden genutzt wird, funktioniert diese zuverlässig.
In etwa, ja. Im Detail sind einige Dinge natürlich etwas anders. Nur: Wenn du z.B. immer wieder die selben 10 Youtube Kanäle aufrufst, und sonst niemand, könnte man deine Youtube Besuche anhand dessen wiedererkennen, und die Verläufe zusammenführen. Es hätte nur wenig nutzen, da keine (einfachen) Rückschlüsse auf dich gezogen werden können - solange du dich nicht selbst identifizierst (Logins o.Ä.).
Je nach Tätigkeiten und (Sicherheits-/Anonymitäts-)Bedürfnissen sollte man sich also trotzdem ein wenig Gedanken machen.
Ich würde aus Prinzip trotzdem immer, sofern möglich, einfach „Ablehnen“ klicken. 
Und hin und wieder eine „neue Identität“ im Browser zu nutzen ist auch eine gute Idee, wenn man mit Recherche „A“ o.Ä. fertig ist, und etwas anderes tun möchte.
Ich mir auch nicht.
Es würde vermutlich leider auch die Akzeptanz von Webseitenbetreibern gegenüber dem Tor Browser verringern, was afaik. mit ein Grund dafür ist, dass uBlock Origin nicht hinzugefügt wird. Schon schlimm genug, dass Cloudflare das Blockieren und/oder Gängeln von Tor-Nutzern als Feature verkauft, und so viele das aktivieren.
1 „Gefällt mir“
In meinem Firefox habe ich Amazon, Ebay, Chip schon eine Ewigkeit drin. Sehe aber auch, dass das neue Hinzufügen von Amazon zur Zeit nicht funktioniert und bei Ebay / Chip nicht mehr angeboten wird. Dafür mache ich jetzt einfach Lesezeichen im Tor-Browser.
Ebay-Kleinanzeigen gibt es komischerweise. Mit deinem Weg den Ort einer möglichen ID zu finden, ist einfach, aber die ID an sich zu erkennen, finde ich nicht ganz so einfach. Habe es aber mit Ebay-Kleinanzeigen mal versucht. Sieht für mich aus, als wenn dort keine wäre (Was meinst du?):
<Url type="text/html" template="http://www.ebay-kleinanzeigen.de/s-suchanfrage.html?keywords={searchTerms}"/>
<Url type="application/opensearchdescription+xml" rel="self" template="http://www.ebay-kleinanzeigen.de/static/xml/opensearch.xml" />
Klar, ich würde trotzdem versuchen, solche Seiten und Cookies zu vermeiden. Für Youtube gibt es schließlich Alternativen. Aber für viele Seiten eben nicht. Und bei den Cookies auf „alle ablehnen“ klicken ist schnell gemacht, aber wenn das wieder total verschachtelt und versteckt ist, würde ich es halt vernachlässigen. Logins finden in einem anderen Browser statt.
Dein Fazit stimmt so, bezüglich deiner kopierten Zeilen, darin befinden sich keine IDs. Die erste von beiden ist die für die Suchanfragen geltende.
Für gewöhnlich sehen die Muster auch alle so, oder sehr ähnlich, aus, daher lässt sich relativ schnell erkennen, wenn man genauer hinschauen sollte.
Ein anderes Problem - welches dank HTTPS-Only-Modus im Tor Browser hier keines ist - wäre, dass dort die Suchseite per http aufgerufen wird, und so die Suchbegriffe auf dem Übertragungsweg abgegriffen werden könnten.
(Hätte Ich das versucht nachzuschauen… Keine Chance, Ich werde mit Tor von ebay-kleinanzeigen.de blockiert. 
)
Es ist nicht ganz so einfach IDs zu erkennen, ... (längerer Text: zwei Anzeichen für IDs, und Tipps in diesen Kontext)
… da theoretisch jede ausreichend lange Zeichenfolge dafür genutzt werden kann.
Ein Anzeichen wären hier Beispielsweise Zeitstempel der aktuellen Zeit, dafür gäbe es keinen Grund, und es ist von Nutzer zu Nutzer variabel, gerade mit Zähler wie im Beispiel weiter oben.
Und insbesondere unerklärliche, zufällige Zeichenfolgen können ein starkes Anzeichen für eine ID sein, dabei müssen diese nicht einmal lang sein.
Es ist aber auch sehr wahrscheinlich, dass sich diese ändert, wenn du das Muster nocheinmal mit einer anderen „Identität“ abrufst.
In diesen Fall sind die URLs für gewöhnlich „aussprechbar“, bzw. logisch verständlich: es sollte nur zu einer bestimmten „Datei“ verlinkt werden (im nachfolgenden Beispiel Fett) welche für gewöhnlich statischer Natur ist, und daher normalerweise höchstens in „normalen“ Verzeichnissen (Kursiv markiert) abgelegt ist. Mit normalerweise einen (Such-)Parameter (Fett-Kursiv), und eventuell noch zusätzlichen, welche markieren, dass die Anfrage über das OpenSearch Feature kam.
Beispiel: https://search.invalid/search/searchmask[.php]?query={searchTerms}&source=opensearch
(zum Verständnis für Dritte: die Dateiendung, in eckigen Klammern, muss nicht vorhanden sein - {searchTerms} wird vom Browser durch die Suchbegriffe ersetzt)
Darin ist zwar der source Parameter unschön, da er unnötig ist, aber für gewöhnlich kein sicheres Identifizierungsmerkmal. Bei langwieriger Protokollierung, und wenn du der einzige Tor Nutzer bist, der die Suchmaschine zum Browser hinzugefügt hat, könnte man natürlich davon ausgehen, dass die Anfragen von der selben Person stammen, wenn solche Parameter vorhanden sind. Ohne diese ist das noch unwahrscheinlicher.
Verstehe, ja (Cookie-, Tracking-banner). Ansich ist es kein Problem, dann auf akzeptieren zu klicken. Man gibt damit aber natürlich sein Einverständnis.
OT… Ich habe fast immer das Gefühl, dass die ganzen Banner sowieso nicht funktionieren. Ich weiß nicht warum. Vielleicht, weil häufig trotzdem Tracker von Drittseiten nachgeladen werden…
3 „Gefällt mir“
Aber bitte nicht im Tor-Browser, wie oben erwähnt.
1 „Gefällt mir“
Funktioniert erst nach mühseligem mehrmaligem „Neuer Tor-Kanal…“. Das Hinzufügen der Suchmaschine funktioniert allerdings leider nicht! Gibt nur eine Fehlermeldung. Nur im Firefox funktioniert es. Also auch hier als Lesezeichen gelöst.
@D299 Nochmal vielen, vielen Dank für die ganzen Erklärungen!!! 
Ich habe eine Menge gelernt! Vielleicht hilft dies auch anderen Anfängern. Ich kann deine ganzen Mühen gar nicht wieder gut machen. Ich spendiere dir zumindest ein virtuelles
