Sicher im Browser

Tim Berners-Lee schrieb 1991 den ersten Browser "WorldWideWeb" — er konnte nur Text darstellen. Netscape Navigator (1994) fügte Bilder hinzu. JavaScript, hinzugefügt von Brendan Eich in 10 Tagen im Jahr 1995, änderte alles: plötzlich konnte Code aus dem Netz direkt auf dem Computer ausgeführt werden. Die Konsequenzen wurden erst später klar. Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF), Clickjacking — alles Angriffe, die JavaScript erst möglich machte. Internet Explorer dominierte mit 95 % Marktanteil und war zur Jahrtausendwende der häufigste Angriffsvektor der Welt. Chrome (2008) änderte das Sicherheitsparadigma: Sandboxed tabs, process isolation, schnelle Update-Zyklen.

• 1995: JavaScript in 10 Tagen entwickelt — mit gravierenden Sicherheits-Folgen für Jahrzehnte
• IE6 (2001): 95 % Marktanteil, jahrelang ohne Update — Paradies für Drive-by-Downloads
• 2008: Chrome revolutioniert: Sandboxed Tabs, Process Isolation, schnelle Updates
• Pwn2Own: Jährlicher Wettbewerb, bei dem Chrome, Firefox und Safari regelmäßig fallen
• Extensions als Angriffsfläche: 2020 "Great Suspender" mit 2 Mio. Nutzern heimlich als Spyware verkauft
• Browser-Fingerprinting: Eindeutige Identifikation ohne Cookies — kaum abschaltbar

Drive-by-Downloads sind Angriffe, bei denen der bloße Besuch einer Webseite genügt, um Malware zu installieren — kein Klick nötig, kein Download-Dialog. Ein ungepatchter Browser oder ein verwundbares Plugin genügt. Extension-Angriffe haben zugenommen: Der Chrome Web Store wurde bereits mehrfach mit Spyware-Extensions kompromittiert, die Millionen Nutzer betrafen. Browser-Fingerprinting ermöglicht Tracking ohne Cookies — durch Kombination von Bildschirmgröße, Fonts, GPU-Eigenschaften und Timezone sind 87 % aller Nutzer eindeutig identifizierbar (EFF-Studie).

• Drive-by-Download: Malware-Infektion durch bloßen Seitenaufruf — kein Klick nötig
• Extension-Supply-Chain: Malware in populären Extensions nach Verkauf oder Kompromittierung
• Formjacking: Schadcode auf Checkout-Seiten stiehlt Kreditkartendaten direkt im Browser
• Typosquatting: "googel.com" statt "google.com" — böswillige Klon-Seiten
• Browser-Fingerprinting: 87 % der Nutzer einzigartig identifizierbar ohne Cookies
• WebRTC-Leak: VPN-Nutzer können durch Browser-Funktion echte IP-Adresse leaken

Content Security Policy (CSP) ist ein HTTP-Header, der dem Browser mitteilt, von welchen Quellen Scripts, Styles und Bilder geladen werden dürfen. Richtig konfiguriert verhindert CSP Cross-Site-Scripting vollständig. Subresource Integrity (SRI) stellt sicher, dass externe JavaScript-Bibliotheken nicht heimlich verändert werden. HTTPS-only Mode in modernen Browsern blockiert unverschlüsselte HTTP-Verbindungen. DNS-over-HTTPS (DoH) verhindert, dass der Internetprovider Browsing-Verhalten aufzeichnet.

• HTTPS-only Mode: In Chrome/Firefox aktivieren — blockiert unverschlüsselte Verbindungen
• DNS-over-HTTPS: Sichert DNS-Anfragen vor Abhören und Manipulation durch Provider
• uBlock Origin (beste Erweiterung): Blockiert Werbung, Tracker und malvertising gleichzeitig
• Minimal Extensions: Jede Extension hat Zugriff auf alle Webseiten — weniger ist sicherer
• Browser in einer VM oder Sandbox für besonders riskante Seiten
• Firefox Multi-Account Containers: Trennt Bank-Tab von Social-Media-Tab — kein Cross-Tracking

Der wichtigste Grundsatz: Browser aktuell halten. Punkt. Danach folgen Extensions reduzieren und die wenigen, die man nutzt, auf vertrauenswürdige Quellen beschränken. uBlock Origin ist die einzige Erweiterung, die fast jeder Sicherheitsexperte empfiehlt.

• Browser immer aktuell halten — automatische Updates einschalten, nie verzögern
• Nur Extensions aus offiziellen Stores, von bekannten Entwicklern, mit Quellcode auf GitHub
• uBlock Origin installieren — blockiert Malvertising, Tracker und Ressourcen-Missbrauch
• HTTPS-only Modus aktivieren: Firefox → Datenschutz → Nur-HTTPS-Modus
• Passwörter nicht im Browser speichern — Password Manager nutzen
• Privater Modus isoliert Sessions, löscht Cookies — aber schützt NICHT vor echtem Tracking