uMatrix zeigt als Browser-Firewall in einer Matrix alle Verbindungsanfragen einer Webseite an. Diese lassen sich anschließend zu- oder abschalten. Das kann regelbasiert oder manuell geschehen. So hat man volle Übersicht und Kontrolle über den Datenfluß.

Schau mal, wer da mitliest

Was sich heutzutage als Webseite darstellt, ist in Wirklichkeit eine wilde Mischung aus Informationen, Formatanweisungen, Scripten, Code, Bildern und vielem anderen. Damit sie das alles bereit stellen können, nehmen die Browser Kontakt zu zahllosen Zweit- und Dritt-Servern auf. Dies geschieht alles im Namen der Hyperfunktionalität; meist aber das nur, weil sich damit wunderbare Verhaltensmuster des Users erstellen und in bare Münze umwandeln lassen.

Wer sich dagegen wehren möchte, kann sein blaues Wunder erleben. Es gibt natürlich eine ganze Reihe an Möglichkeiten, wie man diesen Datenfluß, mehr oder weniger gut, kontrollieren kann. Die einfachste Variante ist eine Blocking-Software oder ein Add-on für den Browser. Die bequeme Version à la Ghostery oder Adblock-Plus, filtert allerlei Scripten und anderes Zeugs heraus. Was erwischt wird und was durchkommt, ist aber leider nicht gut ersichtlich. Man muss also auf die Programmierer vertrauen (aber wo muss man das nicht, außer bei open-source-Software).
Filtern, aber richtig: uMatrix

uMatrix sperrt, was gesperrt gehört

Eine andere Möglichkeit bietet zum Beispiel uMatrix. Das Add-on für Firefox und Chrome (und für alle Derivate) ist wesentlich mehr als ein Werbeblocker. Es ist eine Applikation-Firewall, denn es filtert alle Inhalte, die der Browser anfordert. Im Vergleich zu Ghostery und Konsorten arbeitet uMatrix nicht mit mehr oder weniger gewissenhaft gepflegten Listen von bekannten Trackern, sondern filtert alles weg, was nicht explizit erlaubt ist.

Gut, alle Inhalte zu filtern wäre natürlich etwas unsinnig, denn dann kann der Browser ja nichts mehr darstellen, weshalb zumindest in der Grundeinstellung der Code der aufgerufenen Webseite schonmal zugelassen wird. Aber es ist konsequent! Und das ist auch der Ansatz von uMatrix erst einmal konsequent alles blockieren und dann Stück für Stück zulassen, was der Benutzer zulassen will.

die Einstellungen von uMatrix sind gut verständlich

Das ist am Anfang definitiv frustrierend, sogar sehr! Ich war zu Beginn immer wieder versucht, einfach auf Durchzug zu schalten und sogar das Add-on wieder zu deinstallieren. Aber ich konnte widerstehen und das hat sich definitiv gelohnt. Der Erkenntnisgewinn ist enorm und mein Misstrauen gegen die meisten Webseiten nochmal um Potenzen gewachsen.

Sieht einfach aus, ist es aber nicht

uMatrix zeigt sich in der Buttonleiste als ein kleiner, grüner Knopf. Der sieht harmlos aus, hat es aber in sich. Denn bei Klick auf den Knopf entfaltet sich eine Matrix (daher der Name), auf der fein säuberlich aufgelistet ist, aus welchen Domains und Webseiten sich der Inhalt der Seite speist.

Die Matrix ist unterteilt in Spalten, in denen cookies, css (Formatierungsanweisungen), images, plugin, scripten, XHR (Netzanfragen durch Skripte), frame und other aufgelistet werden. Die Zeilen der Matrix listen die Herkunft nach Domain und Subdomain auf. Im Kästchen selber steht noch, wieviele Elemente jeweils von der Domain stammen.

Es lassen sich auch externe Listen einbinden – das macht die Sache ein bisschen einfacher.

Diese Übersicht läßt einen staunen, denn sie kann ungeheure Ausmaße annehmen. Jetzt erklärt sich auch, warum man zuerst einmal eine verkrüppelte Webseite vorgesetzt bekommt. Bei den meisten Seiten stammt der geringste Teil noch von der Ursprungs-Domain. Zahlreiche, vor allem dynamische Elemente, werden dann von anderen Domains gezogen. Besonders beliebt ist dabei (horribile) Google, von denen Scripten, Schriften, Tracker und massenhaft anderes Zeug gezogen wird.

Der Kram ist also erst einmal geblockt und man beginnt in seiner Verzweiflung, nach und nach weitere Elemente freizuschalten. Das geschieht, indem man entweder auf das Kästchen oder in den Zeilen oder Spaltennamen klicken kann und damit entweder die Erlaubnis (grün) oder das Verbot (rot) zu laden erteilt. Hat man also ein Script oder nur eine Formatierungsanweisung (css) erlaubt und startet den reload – wächst die Liste der Drittdomains nicht selnte erneut dramatisch an. Es ist der blanke Horror, einer populären Webseite zuzuschauen, was da nach und nach alles quergeladen wird. Ich zweifle, dass die meisten – seriösen – Entwickler von Webseiten wissen, welchem Pack sie da oft Tür und Tor öffnen.

Das Filtermodul von uMatrix arbeitet nach einer logischen Rangordnung, was blockiert oder erlaubt werden soll. Man kann also zum Beispiel eine komplette Seite erlauben oder nur einzelne Unterbereiche.

Regeln wachsen und dauerhaft speichern

Richtig gut wird uMatrix erst mit einem Satz an Regeln.

Natürlich hat niemand Lust, diese Arbeit bei jedem erneuten Aufruf einer Webseite zu wiederholen. Deshalb lassen sich einmal erstellte Regelwerke mit einem Klick dauerhaft speichern. Wer sich ein bisschen eingearbeitet hat, bekommt in den Einstellungen noch viel weitreichendere Möglichkeiten. DIe Zugriffe können nach weitreichenden Regeln erlaubt oder verboten werden.

Das Ganze ist nach einem Regelsystem aufgebaut. Wer das verstehen und sicher anzuwenden will, sollte eine längere Einarbeitungszeit einplanen. Eine Dokumentation findet man im Wiki unter https://github.com/gorhill/uMatrix/wiki . Ich bin damit, ehrlich gesagt, noch nicht so weit gekommen.

Hostdateien als pauschale blacklist

Wie andere Add-Blocker kann auch uMatrix auf fertige Hosts-Dateien zurückgreifen. Im Moment sind es sechs anerkannte Quellen, die derzeit über 80.000 Einträge enthalten. Das geht von einer Liste bekannter Add-Server bis hin zu einer Sammlung von bekannten Malware-Domains. Die Listen können aber auch erweiteret werden. Selbstredend sollte man sich nicht nur auf diese Liste verlassen, denn sie veralten wahrscheinlich schneller als sie aktualisiert werden können. Sie stellen aber sicher einen guten Grundstock dar.

Zusätzliche Einstellungen

uMatrix bietet noch ein paar weitere Einstellungen, die hier nicht unerwähnt bleiben sollen. Man kann jederzeit zwischendrin die Cookies und den lokalen Speicher löschen (was anzuraten ist, denn Google darf zum Beispiel schon beim Start sein Cookie platzieren, falls man die Startseite nicht geändert hat). Außerdem läßt sich fest einstellen, dass der HTTP-Referer und die Angabe des user agent (welcher Browser, welches Betriebssystem und noch einige andere typische Angaben des Nutzerrechners) sowie das hyperlink auditing (eine Art Klick-Tracking) nicht mehr übertragen werden. Das verursacht zwar manchmal kuriose Effekte, zeigt aber auch, wie stark die Webserver auf Informationen des Browsers reagieren.

Nicht zuletzt lassen sich alle Einstellungen sichern und, was viel wichtiger ist, auf diesem Weg auf andere Browser übertragen. Damit kann man sich eine einheitliche Schutzumgebung aufbauen.

Fazit

Mit uMatrix kann man den webseiten-Programmierern und vor allem den zahllosen Schmeißfliegen des Internets mal so richtig auf die Finger schauen. Das macht am Anfang wenig Spap und ist eigentlich nur etwas für fortgeschrittene Webseitennutzer. Lässt man sich darauf ein, ist die Lernkurve ziemlich steil, aber man wird mit einem hohen Erkenntnisgewinn belohnt. Für mich ist uMatrix das beste und wichtigste Tool zum sicheren Surfen geworden. Und ganz nebenbei erhöht sich die Ladegeschwindigkeit der Webseiten enorm, wenn der ganze überflüssige Kram nicht mehr mitgeladen wird. Leider ist das Add-on nicht für mobile Browser zu haben.

 

  • Pro: Sehr mächtiges Werkzeug, individuell anpassbar, Applikation Level Firewall
  • Contra: Schwer zu lernen

 

Link: