Sonderbare Verbindungen zwischen LibreWolf im LAN und Servern im Internet

Senf · 28. April 2024 um 10:00

Hi,

folgendes Setting:

a) Lokaler Rechner in einem LAN. Auf dem Rechner eine aktuell gehaltene Linux-Installation
b) Fritzbox im LAN als Internet-Router, so weit wie möglich dicht gemacht für Zugriffe aus dem Internet. Die Fritzbox benutzt einen im Internet befindlichen DNS per DoHT, der nicht durch meinen ISP betrieben wird.
c) LibreWolf auf lokalem Rechner = einer von mehreren Webbrowsern, die ich einsetze. LibreWolf ist jedoch der Browser, den ich am häufigsten fürs Surfen im Internet benutze. Die in LibreWolf vorinstallierte Extension uOrigin-Block betreibe ich seit ca. 1 Woche im Modus „Ich bin technisch versiert“ (auf dem Reiter „Einstellungen“ in den Einstellungen von uOrigin-Block aktivierbar), das heißt, ich lege quasi auf jeder Webseite, die ich besuche, selber fest, welche Tracker, Cookies usw. dort geblockt werden sollen oder nicht.

Von mir beobachtetes Verhalten:

Der Aufruf des Befehls „netstat -46 -aepNW“ auf meinem lokalen Rechner ergibt folgende merkwürdige, von mir nicht beabsichtigte Verbindungen ins Internet, nachdem mein Browser LibreWolf gestartet worden ist:

Verbindungen zwischen LibreWolf unter Einsatz meines lokalen root-Accounts über http oder https mit dem Verbindungsstatus „TIME_WAIT“ zu Servern, die laut https://www.iplocation.net/ip-lookup von folgenden Organisationen/Firmen betrieben werden:

a) Oracle
b) Fastly Inc.
c) Cloudfare

Außerdem gibt der Befehl „netstat -46 -aepNW“ immer eine Verbindung meines lokalen Rechners zu einem Server aus mit einer IP, die folgendermaßen in der Konsole angezeigt wird:

<Abfolge von Ziffern und Punkten, wie bei IPV4-Adressen üblich>bc.googleusercontent.com

Diese Verbindung hat den Verbindungsstatus „VERBUNDEN“ und läuft unter einem lokalen Benutzeraccount mit eingeschränkten Benutzerrechten.

Alle genannten Verbindungen benutzen auf meinem lokalen Rechner Portnummern im Bereich der so genannten User Ports (Ports 1024 bis 49.151 ), aber nicht im Bereich der Dynamic Ports für Linux (32.768 bis 60.999)* soweit ich das bisher beurteilen kann.

siehe https://de.wikipedia.org/wiki/Port_(Netzwerkadresse)#Dynamic_Ports

Nach einem erneuten Aufruf des oben genannten Befehls „netstat -46 -aepNW“ in einer erneut geöffneten Konsole auf meinem lokalen Rechner, während LibreWolf dabei nicht von mir neu gestartet worden war, stelle ich fest, dass

die Verbindungen zu den o.g. Servern von Oracle, Fastly Inc. und Cloudfare in der Konsole nicht mehr genannt werden
die Verbindung zu der IP-Adresse

<Abfolge von Ziffern und Punkten, wie bei IPV4-Adressen üblich>bc.googleusercontent.com

weiterhin existiert.

Was geht hier vor? Wollen mir hier so genannte CDNs (Content Delivery Networks, hier: Oracle, Fastly Inc. und Cloudfare) über einen anderen Weg ihren Content unterjubeln, die sie mir nicht mehr direkt über die von mir besuchten Webseiten in LibreWolf anzeigen können, weil ich sehr wahrscheinlich die Inhalte dieser 3 CDNs in LibreWolf durch die Verwendung von uOrigin-Block geblockt habe?

Zu diesem Server mit der Zeichenkette „bc.googleusercontent.com“ in seiner IP-Adresse: Ist das eine Verbindung zu Google, die einfach nicht vermieden werden kann, weil mein ISP das so will?

Könnte ich die hier genannten, von mir nicht beabsichtigten Zugriffe aus dem Internet auf LibreWolf auf meinem lokalen Rechner nur durch Einsatz eines lokal eingesetzten Firewall-Skripts verhindern?

void · 29. April 2024 um 08:08

Ich hab die Verbindungen auch und es sieht mir hiernach aus: https://www.reddit.com/r/LibreWolf/comments/15hs76o/comment/juvshcw/
tl;dr: Mozilla Service für Push-Nachrichten, der bei Google gehostet wird. Kann ausgeschaltet werden.

kuketzblog · 29. April 2024 um 10:48

Siehe dazu auch: https://social.tchncs.de/@kuketzblog/110979016256676628

Quote:

Wer LibreWolf nutzt, der sollte die about:config öffnen und den Parameter „dom.push.enabled“ auf „false“ setzen. Ansonsten besteht eine dauerhafte Verbindung zu einem Mozilla-Service (Push-API), der bei Google (*.googleusercontent.com) gehostet wird. Ich hoffe, LibreWolf ist nicht falsch abgebogen - solche Änderungen sind nicht optimal, bei einem datenschutzorienterten Browser.

Gibt auch ein Issue dazu: https://codeberg.org/librewolf/issues/issues/1558

Ist auch bei meinen Einstellungen zu LibreWolf notiert.

Senf · 29. April 2024 um 11:55

@void,

vielen Dank für Deine Info, die ich mir gerade anschaue:

Google Safe Browsing ist in den Einstellungen meines LibreWolf-Browsers nicht aktiviert.

Ich habe gerade die Konfigurationsänderung in der about:config, wie von @kuketzblog angeregt (vielen Dank auch an @kuketzblog für Deine Info, ich werde sie gleich extra hier in diesem Thread kommentieren), vorgenommen und danach LibreWolf neu gestartet.

Resultat: Der Befehl „netstat -46 -aepNW“ gibt nach dem Aufruf der Seite https://kundenportal.m-net.de (so als Beispiel) nicht mehr eine Verbindung zu

<Abfolge von Ziffern und Punkten, wie bei IPV4-Adressen üblich>bc.googleusercontent.com

aus.

Dafür aber eine weitere Verbindung, die mir nach einem weiteren CDN aussieht, und zwar zu dieser Adresse hier, die in der Befehlsausgabe von „netstat -46 -aepNW“ zwei Mal genannt wird:

[…] <Kombination aus Zahlen, Ziffern und Bindestrichen>.deploy.static.akamaitechnologies.com:https VERBUNDEN […]

Nach dem Aufruf dieses Forums hier gibt der Befehl übrigens auch diese Zeile hier aus:

[…] webserver.kuketz-forum.de:https VERBUNDEN […]

Soll das so sein?

Außerdem gibt der Befehl „netstat -46 -aepNW“ zwei Verbindungen zu zwei IP-Adressen aus, die der bereits oben genannten Firma Fastly Inc. gehören, so die Ausgabe auf https://www.iplocation.net/ip-lookup.

Hinzu gekommen ist außerdem eine Verbindung zu einer IP-Adresse, die laut https://www.iplocation.net/ip-lookup einer Firma namens Vercel Inc. oder Amazon.com, Inc. gehören soll.

Ich werde jetzt noch Folgendes machen:

Ich werde LibreWolf beenden, danach den networking.service auf meinem lokalen Rechner neu starten, danach LibreWolf neu starten. Und schauen, ob ich das hier in diesem Post beschriebene Verhalten in gleicher oder analoger Weise wieder beobachten kann.

Ergebnis:

Nö, hat sich eigentlich nix verbessert. Habe jetzt mal spiegel.de im neu gestarteten LibreWolf aufgerufen. Der Befehl "netstat -46 -aepNW gibt jetzt u. a. folgende Verbindungen aus:

[…] <Kombination aus Ziffern, Buchstaben und Bindestrichen>deploy.static.akamaitechnologies.com :https VERBUNDEN […]

2 Mal folgende Verbindung:

[…] server-<Kombination aus Ziffern, Buchstaben und Bindestrichen>.r.cloudfront.net:https VERBUNDEN […]

[…] webserver.kuketz-forum.de:https TIME_WAIT root […]

[…] <Kombination aus Ziffern, Buchstaben und Bindestrichen>deploy.static.akamaitechnologies.com:https VERBUNDEN […]

@kuketzblog, Danke für den Link zu Deinem Tröt in dieser Sache auf Mastodon, damals hatte ich diese Info auch mitbekommen und damals in about:config die Konfiguration des damals installierten LibreWolf entsprechend angepasst. Ich bin aber seitdem eine Neuinstallation meiner Linux-Distribution Debian 12 weiter und somit auch mindestens 1 Neuinstallation von LibreWolf, übrigens aktuell in Version 124.0.1.1.

Danke für Deinen Link zu Deinen LibreWolf-Einstellungen in Deinem Blog, diese Infos kannte ich noch nicht. Dort fiel mir jedoch Folgendes auf beim Punkt „Im Profilorder/chrome eine Datei (userChrome.css) mit folgendem Inhalt anlegen“:

In meiner LibreWolf-Installation gibt es unter ~/.librewolf keinen einzigen Ordner namens „chrome“, auch nicht in den darunter liegenden Unterverzeichnissen. Ich habe allerdings in folgendem Pfad den Ordner „chrome“ angelegt:

~/.librewolf/<8 zufällig generierte Zeichen>.default$

Und in dem Ordner

~/.librewolf/<8 zufällig generierte Zeichen>.default/chrome

die Datei userChrome.css erzeugt und diese Datei mit dem Inhalt versehen, wie von Dir auf https://www.kuketz-blog.de/einstellungen/#librewolf dokumentiert.