[English]Neue, und irgendwie unschöne, aber erwartbare Entdeckung, die ein Sicherheitsforscher die Tage öffentlich gemacht hat. Der Google Chrome-Browser, und auch der auf Chromium basierende Microsoft Edge-Browser, übermitteln persönliche Daten aus Formularen an Google bzw. Microsoft (beim Edge). Dazu gehören übrigens auch Passwörter. Verantwortlich dafür ist wohl die Erweiterte Rechtschreibprüfung im Browser bzw. im MS-Editor.
Anzeige
Der Browser als Datenschleuder
Das Research-Team der auf JavaScript spezialisierten Sicherheitsfirma Otto (otto-js.com) hat sich mit den beiden Browsern Google Chrome und Microsoft Edge befasst und dabei die unschöne Entdeckung gemacht, dass beide Browser private Daten des Benutzers an Google und Microsoft weitergeben können.
Es handelt sich um Formulardaten, die der Benutzer beim Besuch von Webseiten im Browser eingeben muss oder eingibt. Das können Benutzernamen, E-Mail-Adressen, Sozialversicherungsnummern etc., aber auch Passwörter sein. Normalerweise sollen diese Daten nur an die Webseite übermittelt werden, die der jeweilige Anwender gerade besucht. Bei der Funktion Erweiterte Rechtschreibprüfung, die sich im Google Chrome aktivieren lässt, werden solche Eingaben aber zur Prüfung an Google übertragen. Beim Microsoft Edge ist es ähnlich, wobei die Übertragung an Microsoft erfolgt. In einem am 16. September 2022 veröffentlichten Blog-Beitrag schreiben die Sicherheitsforscher dazu:
Die erweiterte Rechtschreibprüfung von Chrome und der MS-Editor von Edge senden Daten, die Sie in Formularfelder wie Benutzername, E-Mail, Geburtsdatum, Sozialversicherungsnummer, im Grunde alles, was in den Feldern steht, an Websites, bei denen Sie sich mit einem dieser Browser anmelden, wenn die Funktionen aktiviert sind. Wenn Sie außerdem auf "Kennwort anzeigen" klicken, sendet die erweiterte Rechtschreibprüfung sogar Ihr Kennwort, wodurch Ihre Daten im Wesentlichen abgefangen werden.
Verantwortlich ist also die Erweiterte Rechtschreibprüfung in Google Chrome bzw. der MS-Editor im Microsoft Edge. Die Erweiterte Rechtschreibprüfung muss vom Benutzer aber explizit aktiviert werden. Und der Benutzer muss mit seinem Browser bei Google bzw. Microsoft an seinem Benutzerkonto angemeldet werden. Dazu heißt es:
Einige der größten Websites der Welt sind dem Risiko ausgesetzt, dass Google und Microsoft sensible Benutzerdaten wie Benutzernamen, E-Mail und Passwörter senden, wenn sich Benutzer anmelden oder Formulare ausfüllen. Ein noch größeres Problem für Unternehmen ist die Tatsache, dass dadurch die Zugangsdaten des Unternehmens zu internen Ressourcen wie Datenbanken und Cloud-Infrastrukturen gefährdet sind.
Das Team hat in seinem Blog-Beitrag ein Beispiel mit einer Anmeldung an der Alibaba-Webseite dokumentiert. Der nachfolgende Screenshot zeigt die Benutzereingaben im Anmeldeformular.
Anzeige
Alibaba-Anmeldeseite, Quelle: otto-js.com
Dann haben die Sicherheitsforscher sich die übertragenen Daten sowie den JavaScript-Quellcode angesehen und sind auf ihre Entdeckung gestoßen. Nachfolgender Screenshot zeigt einen Auszug aus den Daten und dem Quellcode:
Übertragene Daten, Quelle: otto-js.com
In obigem Beispiel wird die Google API der Rechtschreibprüfung angesprochen und das zugehörige Browser-Script überträgt den Inhalt des Formularfelds (hier sharedpassword) im Klartext an die Rechtschreibprüfung, um dann einen Korrekturvorschlag zurück zu bekommen. In nachfolgendem YouTube-Video demonstrieren die Sicherheitsforscher das Ganze.
Die Sicherheitsforscher haben in ihrem Beitrag mehrere Webseiten aufgelistet, bei deren Besuch solche vertraulichen Informationen durch die Erweiterte Rechtschreibprüfung übermittelt wurden. Die Kollegen von Bleeping Computer haben weitere Webseiten überprüft und dort das gleiche Verhalten gefunden.
Natürlich ist das alles eine maschinelle Auswertung und bei Google oder Microsoft sitzt kein Mitarbeiter, der am Server auf eintreffende Passwörter oder vertrauliche Daten warten. Aber alleine der Umstand, dass dort Formularfelder mit sensitiven Daten an Google bzw. Microsoft übertragen werden, ist ein no-go.
Firmen dürften nicht allzu glücklich darüber sein, dass diese Daten an Dritte gehen, denn niemand hat mehr Kontrolle, wo diese Daten landen und was damit passiert. Im dümmsten Fall wird die Cloud- und Netzwerksicherheit gefährdet – in Europa kommt noch hinzu, dass es ggf. zu Verstößen gegen die DSGVO kommt, wenn persönliche Daten in Formularen an Drittstellen übermittelt werden. Ich denke nicht, dass dies im DSGVO-Konzept zur Datenverarbeitung berücksichtigt wurde (mag mich aber täuschen).
Gegenmaßnahmen möglich
Unternehmen können, laut Otto, das Risiko der Weitergabe personenbezogener Daten ihrer Kunden mindern, indem sie allen Eingabefeldern der betreffenden Webseiten die Option "spellcheck=false" hinzufügen. Das kann allerdings zu Problemen für die Nutzer führen. In solchen Fällen könnten Unternehmen diese Option, so der Sicherheitsanbieter, auch nur für die Formularfelder mit sensiblen Daten einrichten. Beachtet aber die Diskussion in den folgenden Kommentaren, dass das Attribut für Passwort-Felder nicht vorgesehen sein soll.
Sowohl Amazon (AWS) als auch LastPass haben auf die Mitteilung der Sicherheitsforscher reagiert und die betreffenden Anpassungen vorgenommen. Unternehmen können zudem auch die Funktion "Passwort anzeigen" entfernen. Das verhindert zwar kein Spell-Jacking, aber es verhindert, dass Benutzerpasswörter gesendet werden. Unternehmen können auch client-seitige Sicherheitssoftware (z.B. von otto-js) zur Überwachung und Kontrolle von Skripten Dritter einsetzen.
Administratoren in Unternehmen sollten die interne Gefährdung firmeneigener Konten verringern, indem sie Sicherheitslösungen für Endgeräte implementieren, die die erweiterte Rechtschreibprüfung deaktivieren und Mitarbeiter daran hindern, nicht zugelassene Browsererweiterungen zu installieren.
Nutzer des Browser Chrome die Möglichkeit, die Funktion Erweiterte Rechtschreibprüfung in den Chrome-Einstellungen unter Synchronisierung und Google-Dienste abschalten (ggf. einfach in den Einstellungen nach Rechtschreibprüfung suchen lassen – oder chrome://settings/?search=Enhanced+Spell+Check verwenden, siehe hier und hier).
Bei Edge ist die Rechtschreib- und Grammatikprüfung des Microsoft Editors ein Browser-Addon, das explizit installiert werden muss, um dieses Verhalten zu ermöglichen. Falls vorhanden, sollte dieses Browser-Addon deinstalliert werden.
Ähnliche Artikel:
Chrome speichert Passwörter im Speicher im Klartext
Google Chrome erlaubt Webseiten das Schreiben (ohne Nachfrage) in die Windows-Zwischenablage
Google Chrome: Blockliste für Erweiterungen (ADMX) in Build 86 geändert
Niederlande: Datenschutzbedenken gegen Chrome/ChromeOS in Schulen
Google Chrome: Drittanbieter Cookie-Blockade kommt erst im 3. Quartal 2024
Edge Stable 103.0.1264.37 macht Gruppenrichtlinien kaputt (Chrome-Bug)
Anzeige
Dazu braucht es keinen Chrome oder Edge. Eure Daten können auch so abgegriffen werden. Wenn ihr das nicht wollt dann kündigt euren Internetvertrag.
Dummer Kommentar
Oh, ein zweiter "Ralf S."! Oder mein Name wurde benutzt/missbraucht … – schlecht!!
Stimmt natürlich: Saudummer Kommentar – da ja auch nicht von mir!
@ Hr. Born:
Danke für's Einfügen des Unterscheidungsmerkmals beim ersten Kommentarnamen!
So ein erNSAtaunlicher Zufall. Wer hätte sowas auch nur anPRISMweise ahnen können.
Man muss nicht mit Arglist argumentieren, wenn Dummheit oder Sorglosigkeit als Begründung ausreicht.
Ich würde der relativen Erwartbarkeit oder vermeintlichen Harmlosigkeit (die Daten werden nur automatisiert verarbeitet) aber widersprechen. Spellcheck in Browsern sollte niemals das als privat angenommene Umfeld verlassen können. Das Risiko eines nicht absichtlichen Datenabflusses ist in jedem Fall nicht hinnehmbar. Andernfalls muss darauf in jedem Einzelfall hingewiesen werden, dass private Texte, Zugangsdaten etc. ggf. auch dauerhaft geloggt, indexiert, oder in Statistiken gespeichert werden.
Beim deutschen Chrome lautet der Link aber chrome://settings/?search=erweiterte+Rechtschreibpr%C3%BCfung ;-)
Bei Firefox hat man das Wörterbuch für die Rechtschreibprüfung offline als Extension. Außerdem solle doch bei Paßwortfeldern klar sein, daß es dort gar keinen Sinn macht …
Unter "Einstellungen > Sprachen" sind einige Einstellungen standardmäßig aktiviert. Nur bei der Übersetzungsfunktion erfolgt der Hinweis "Der Webseitentext wird zur Übersetzung an den Microsoft Translator-Dienst gesendet, wo der Text zu Dienstverbesserungszwecken gespeichert wird.".
Eine "Verbesserte Rechtschreibprüfung" ist im Edge ebenfalls bei der Standardinstallation integriert.
Für Chrome:
Die deutsche Gruppenrichtlinie dazu heißt "Webdienst für die Rechtschreibprüfung aktivieren oder deaktivieren"
Wenn diese Richtlinie auf deaktiviert steht, ist die Erweiterte Rechtschreibprüfung aus und ausgegraut.
Danke für die Ergänzung
Was nützt das wenn in 30Tagen mit nächstem Browserupdate die Näcjhste versteckte Richtlinie eure Daten abfließen lässt, oder die Bestehende Richtlinie deaktiviert wird, und dafür eine neue Erfunden wird?
Richtlinien verschleiern letztlich das Optionen vorgegaukelt werden, die mittelfristig keine sind.
Solang solches Geschäftsgebaren nicht ein für alle Male Juristisch mit Empfindlichen Strafen unterbunden wird, solang ist Datenschutz unter Windows/MacOS/Android/iOS eine Farce.
Darum stellen staatliche Behörden ja auch fest das solche Produkte nur Offline Datenschutz-Konform einsetzbar sind.
Ein Kampf gegen Windmühlen, ja.
Aber für uns als Admins größerer Umgebungen, unser tägliches Brot, denn es gibt keine Alternativen, insbesondere dann nicht, wenn z.B. externe Auflagen oder Beziehungen bestimmte Browser vorschreiben.
Da nützt auch das Gejammere nichts.
Das mag für bezahlte Adminjobs akzeptabel sein, für Heimanwender ists das sicher nicht.
englisch: "Enable or disable spell checking web service"
Können Sie mir bitte zeigen wo ich dies im "Editor für lokale Gruppenrichtlinien" finden kann?
Unter regedit find ich nämlich weder was zu Google Chrome oder Microsoft Edge.
https://intermundien.de/datenschutz-und-sicherheit-in-chrome-ueber-gpo/
"webdienst für die Rechtschreibprüfung aktivieren oder deaktivieren"
Kann auch daran liegen dass ich Google Chrome nicht nutze und MS Edge komplett entfernt habe (samt Maßnahme zur automatischen erneuten Installation).
Danke!
Und gilt dies alles auch für den Opera Browser?
Habe dort vorsichtshalber "spellchecking" unter Eintellungen deaktiviert. Formulardaten werden nicht gespeichert.
Und wie wäre es mal wenn Sie Ihre Vor-Zensur in den Kommentaren deaktivieren?
Oder ist dies so eine Angst-für-Benutzerkommentare-belangt-zu-werden-Sache? Das ist doch genau was die Agenden wollen: Das sich die Menschen voller Angst selbst zensieren.
Diese Zensur ist nervig. Einerseits über Zensur rügen, im gleichen Satz selber machen.
Zensur ist Zensur, egal ob private (auf meiner Webseite), von Staatsdienern etc.
Zu deiner Frage Zensur: Das werde ich definitiv nichts an meinen Einstellungen verändern. Als Blog-Betreiber halte ich a) meine Knochen hin, dass da nichts justiziables in die Kommentare rein kommt. b) Ist es ein Muss, da der Kommentarbereich andernfalls mit Trillionen an SEO-Kommentaren oder anderem Mist geflutet wird. Und c) nehme ich mir als Hausmeister der Blogs das Recht heraus, Kommentare unter der Gürtellinie oder sonst arg unpassend zu löschen.
Ansonsten lassen sich die Regeln zum Kommentieren hier nachlesen – wer sich da an die Netiquette hält, dessen Kommentare werden auch freigeschaltet. In den letzten Wochen habe ich im Übrigen nur Troll-Kommentare und SEO-Spam gelöscht. In den Vormonaten wurde es an einigen Stellen zu politisch oder persönlich, so dass ich nach Verwarnung eingegriffen habe.
Zur Frage nach der GPO – in den Kommentaren wurden die Richtlinien genannt – ich selbst nutze die nicht – und wenn diese nicht für den Chrome installiert sind, werden die naturgemäß auch nicht in gpedit.msc angezeigt.
Die genannte Option "Webdienst für die Rechtschreibprüfung aktivieren oder deaktivieren" gilt für Google-Chrome.
Für Edge-Chromium gilt vermutlich:
Dafür die Funktion "Vom Microsoft-Editor bereitgestellte Rechtschreibprüfung"
https://learn.microsoft.com/de-de/DeployEdge/microsoft-edge-policies#microsofteditorproofingenabled
In Englisch:
"Spell checking provided by Microsoft Editor"
===============================
Mal wieder ganz besondere Geschenke aus den Häusern Microsoft/Google.
Das ist nur die halbe Miete. Am sinnvollsten ist es, das Editor-AddOn auch gleich zu blockieren.
PS: Die AddOn ID lautet:
hokifickgkhplphjiodbggjmoafhignh
Wie/Wo kann man das machen?
Ich mache das ebenfalls per Gruppenrichtlinie:
Richtlinien -> Administrative Vorlagen -> Microsoft Edge -> Erweiterungen -> Steuern welche Erweiterungen nicht installiert werden können -> Aktivieren und dann die ID hinterlegen.
komisch, ich habe unter Edge > Sprachen die Option "Microsoft Editor" oder "Einfach"
allerdings ist das Erweiterung "Microsoft Editor" gar nicht installiert.
Jo, ist hier auch so, also die einfache nehmen.
In den Einstellungen vom Chrome steht:
Erweiterte Rechtschreibprüfung
verwendet dieselbe Rechtschreibprüfung wie die Google Suche. Der in den Browser eingegebene Text wird an Google gesendet.
Immerhin wird es dort klar mitgeteilt, macht die Sache aber auch nicht besser.
Beim Edge habe ich so eine Einstellung auf die Schnelle nicht gefunden.
Wer Datenschutz wünscht wird nur Offene Betreibsysteme und Browser einsetzen können – dieses Beispiel reiht sich in die vielen andern vorherigen Beispiele ein.
Ich habe z.B. unter Windows10 Pro via "Einstellungen" und via "local GPO" den Aktivitätenverlauf unter Windows abgestellt. Ein halbes Jahr später habe ich Testweise Office365 mit Online-Account installiert – selbstverständlich war der Aktivitätenverlauf dort auch deaktiviert.
Als ich dann unter Windows10 in das Online-Konto zu Office365 gewechselt bin staunte ich nicht schlecht als unter Datenschutz>Aktivitäten "einzelne" Appikationen trotzdem mit genauen Zeitangaben erschienen.
Nur mal so zur Info: Euer Windows fragt Betriebssystem-Konfigurationen auf Microsofts Cloud-Systemen ab, und konfiguriert euer Windows entsprechend der Serverdefinierten Vorgaben – ein Schelm der Denkt das das nicht auf Landes und/oder Geräte-ID herunterbrechbar ist.
Fazit: Es gibt keinen Datenschutz unter Windows10/11/Android/MacOS/iOS. Ihr werdet von den Systemherstellern belogen und betrogen.
Darum kam man im Projekt SiSyPHuS des BSI sowie weiteren staatlichen Datenschutz-Analysen ebenfalls zum Ergebnis, das Microsoft-Produkte nur Offline DSGVO-Konform nutzbar sind.
Unsere Staatlichkeit kennt das Problem also – ignoriert das Problem, trotz DSGVO Gesetzgebung – und liefert euch damit willentlich aus. Ganz im Gegenteil – unsere Staatlichkeit forciert gerade Vollüberwachung aller Online-Inhalte.
Wer mit den Einschränkungen leben kann findet in WinSpyBlocker einen recht guten Helfer: https://github.com/crazy-max/WindowsSpyBlocker
Mit Hilfe der Windows-Firewall wird Datenverkehr zu MS unterbunden.
Auch "Windows Firewall Control" (https://www.binisoft.org/wfc.php) ist eine Hilfe, kann man doch die default policy für (neue) Applikationen auf DENY setzen und dann selektiv öffnen.
Ist halt ne Menge Arbeit, bis es fertig eingerichtet ist.
Bernd – ein schöner Versuch – jedoch:
1.
Die Realität ist leider das Windows-Updates, DNS, DHCP und Telemtrie parallel via "svchost.exe" senden. Da ist dann in der Regel schicht im schacht mit Firewall-Blockieren von Telemetrie wenn man noch Windows-Updates und Store-Apps wünscht.
2.
Wer hindert Microsoft daran Telemetrie in Zukunft über Edge/IE/Chrome oder Firefox zu senden?
3.
Das Projekt SiSyPHuS des BSI beschreibt eine Methodik zur Deaktivierung der Telemetrie-Dienste. Solcher Methodik inkl. selbst definierter Firewall-Regeln vertraue ich mehr als irgendwelchen Versprechen von Thirdparty-Binary-Applikationen.
Das Beispiel "O&O ShutUp10++" hat mehrfach bereits falsche oder veraltete Registry-Keys für Datenschutz Sensible Settings hergenommen – daher meine Skepsis zu ThirdParty-Applikationen die nicht direkt GPOs setzen.
Windows:
==========
https://learn.microsoft.com/de-de/windows/privacy/manage-connections-from-windows-operating-system-components-to-microsoft-services
Edge:
========
https://docs.microsoft.com/de-de/DeployEdge/microsoft-edge-policies
600 Minuten Lesedauer um sich durch die Richtlinien zu wühlen, und die 50 zu finden, die DSGVO-Relevant sind. Alle 30Tage diverse Änderungen.
Zu den 600 Minuten weitere Tage um das alles zu verstehen, die Konfigurierbarkeit zu Teste und prüfen.
Wenn das keine DSGVO Farce ist – was dann?
Wann endlich greifen hier Juristen ein?!
Hier der Regkey, der für Chrome gesetzt werden muss:
https://admx.help/?Category=Chrome&Policy=Google.Policies.Chrome::SpellCheckServiceEnabled&Language=en-gb
Das Attribut 'spellcheck' exisitert aber nicht für Passwortfelder:
https://www.w3schools.com/tags/att_global_spellcheck.asp
w3schools ist wohl die einzige Seite, die das so thematisiert. Auf groups.google.com gibt es eine aktuelle Diskussion, dass Passwort-Felder keine Rechtschreibprüfung im Chromium-Browser zulassen sollen. Es scheint noch Klärungsbedarf zu geben – oder ich habe es auf die Schnelle falsch einsortiert.
Ergänzung: Ich habe mal den HTML-Standard auf dieser whatwg.org-Seite nachgeschlagen. Wenn ich auf die Schnelle nichts überlesen habe, gibt es die Einschränkung auf Passwort-Felder dort nicht.
Doch, steht da genauso. Das Attribut bezieht sich nur auf Input-Felder der Typen: Text, Search, URL, oder Email
Bei MS Edge hätte ich keine Policy gefunden für "enhanced" Spellcheck da gibt es nur "Enable Spellcheck".
Interessant wäre auch das Feature "Text prediction enabled by default" kann mir gut vorstellen, dass da aus Formularfeldern Daten zu MS (Turing Service) zur Auswertung geladen werden. (seit Edge 104 – also noch Recht frisch)
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#microsofteditorproofingenabled
"Spell checking provided by Microsoft Editor"
"Synonyms are provided when using Microsoft Editor spell checker"
DE:
https://learn.microsoft.com/de-de/deployedge/microsoft-edge-policies#microsofteditorproofingenabled
"Von Microsoft Editor bereitgestellte Rechtschreibprüfung"
"Bei Verwendung der Rechtschreibprüfung von Microsoft Editor werden Synonyme bereitgestellt"
Ah das ist erst mit Version 105 dazu gekommen, das erklärt warum ich nichts in meinem Template gefunden habe. Danke für die Info.
die Rechtschreibprüfung arbeitet lokal, die erweiterte Rechtschreibprüfung mit Hilfe des Web. Was einem aber auch in der Info angezeigt wird. Was erwartet man also wenn man die erweiterte Rechtschreibprüfung aktiviert? Das sie macht wofür sie da ist, sollte einem dann aber auch klar sein was das bedeutet!
Rechtschreibprüfung mit Hilfe des Webs … tja wer kann da schon dran denken das das alles ins web geschickt wird ? ROFL
Beim Datenschutz und IT-Sicherheit sollten solche Dinge aber als Opt-In und nicht als Opt-Out aktiviert werden. Der User muss aktiv dazu eingewilligt haben und nicht einfach mit einem Feature Update heimlich untergeschoben bekommen. Lies dir die GDPR Mal genau durch.
also, soweit mir bekannt ist die erweiterte Rechtschreibprüfung nicht angehakt und man muss sie als User erst aktivieren.
Zumindest ist sie bei keinen meiner Rechner standardmäßig ein, sondern ich muss die extra anklicken.
Die Info/Hilfe dazu zeigt auch eindeutig an das die Daten dabei ins Web gesendet werden.
die Option ist ja auch optional.
steht sogar im Artikel oben?
daher verstehe ich das Problem nicht so ganz.
und an alle die immer mit der dsgvo winken…
dort geht es um personenbezogene Daten.
wann welches Programm auf einem pc gestartet wurde ist erst einmal keine personenbezogene Information.
Ob das gut oder schlecht ist steht auf einem anderen Blatt.
mich nerven auch die Leute, die wegen jeden Unsinn nach DSGVO schreien, wo es überhaupt nix damit zu tun hat. ABER in diesem Fall wie sollte das System unterscheiden können, ob die Daten, die dort jetzt übertragen und verarbeitet werden, personenbezogen sind oder nicht. Im Zweifelsfall musst du für die DSGVO entscheiden.
Die Rechtschreibprüfung kann das gar nicht den das ist keine KI … gefragt ist da auch nicht der Browser, der ist auch nicht smart. Gefragt ist der Webseitenbetreiber der bei entsprechenden Datenfelder das Flag setzen muss! Da aber ja keiner mehr richtig Webseiten programmieren kann und nur noch Klickiklicke Seiten produziert ;-P
Die erweiteret Rechtschreibprüfung und der Browser machen genau das was sie sollen! Nämlich die Rechtschreibung übers web prüfen! So wie es mit abhacken des Erweiterten Modus gedacht ist.
Jetzt kannst du antürlich hingehen und sagen die Webseitenprogarmmierer sind alle dumm oder du bauscht ein nicht wirklich relevantes Problem eines Browsers auf … was erzeugt wohl mehr "Aufmerksamkeit" für so einen Forscher?
EDGE: Einstellungen -> Sprachen -> Rechtschreibprüfung aktivieren -> deaktivieren (Schalter nach links und ausgegraut)
CHROME: Einstellungen -> Sprachen -> Rechtschreibprüfung -> deaktivieren (Schalter nach links und ausgegraut)
Also mal wieder viel Lärm um nichts. Wenn ich alles, was ich tippe, explizit und auf eigenen Wunsch (nicht standardmäßig) irgendwo hin schicken lasse, um es zu prüfen, brauche ich mich nicht zu wundern. Ich benutze Edge, und darin müsste ich diese Funktion also erst installieren. Aus dem gleichen Grunde nutze ich auch keine Browser Add-Ons, weil die meisten wohl nicht blicken, dass damit ganze (!) Webseiten-Inhalte von diesen Addons ausgelesen, irgendwo verschlüsselt hingeschickt werden können, ja sogar das, was mir angezeigt wird, manipuliert werden kann. Sorry, so viel Wert ist mir kein Add-On, dem ich also zu 110 % vertrauen müsste, d. h. auch darauf, dass der Anbieter nicht gehackt wird…
Die Anzahl an Single Point of Failures versuche ich seit Jahrzehnten so gering wie möglich zu halten und bin damit bisher blendend gefahren
Wenn Du so verfährst, ist das doch gut so. Der Blog richtet sich aber weniger an Leute, die bereits alles wissen, sondern an die Admins/Nutzer die da nicht drauf geachtet haben bzw. für die das neu ist.
Ich würde mich gerne, was die Single Point of Failures anbetrifft, korriegieren lassen.
Doch wenn ich am Beispiel Browser und OS jeden Drittanbieter aussperre, habe ich zwar den Single Point of Failure reduziert, doch leiste ich einer Datenzusammenführung richtigen Vorschub.
Ich denke da alleine an den von Haus aus installierten Virenscanner und die Smart Screen Funktion. Ist es unter Umständen nicht ein wenig schlauer seine Daten, die unwiderruflich anfallen, in mehrere Teilstücke und dadurch mehrere Hände zu verteilen?
Meine, ohne dabei politisch werden zu wollen, wir sehen doch gerade wo unsere zentrale Energieabhängigkeit von Russland unsere Energiepreise hinführt. Und wenn ich meine Daten nur in eine Richtung pumpe begebe ich mich dann nicht in eine umgekehrte Abhängigkeit?
Wie gesagt… wenn ich da auf dem Holzweg bin würde ich mich über eine Antwort freuen.
Klar ist ja auch um neben dem modifizierten OS (Windoof der Marke Winzig-Weich) nutze ich eine Filterliste in der Fritzbox, DNS via HTTPS für meinen normalen und verschlüsselten Internetbetrieb (VPN).
Auch dort halte ich es für einigermaßen sinnvoll, weder den DNS-Server meines Internetproviders, bzw. VPN-Anbieters zu nutzen.
Mir ist natürlich klar, das sich ich hier die Büchse der Pandora in eine andere Richtung öffnen kann, doch bin ich zu dem Entschluss gelangt, dass nicht jeder, bzw. einer, alles über einen wissen sollte.
—Grüße—
PS: Für den normalen Internetbetrieb nutze ich übrigens Opera mit 2 Erweiterungen und für den VPN Betrieb den LibreWolf ;)
@Michael
das Ganze ist das Gleiche wie der Aufdruck: Achtung Kaffee heiß! auf dem Pappbecher bei McDonalds
Es gibt einfach eine irre Menge Leute, die man vor sich selbst schützen muss. Die ihr eigenes Handeln ums verrecken nicht verstehen.
Ich verwende den Chromium https://chromium.woolyss.com/#windows. Der bietet die erweiterte Rechtschreibprüfung nicht an. Aber die Übersetzung von Quellsprache in Zielsprache, was praktisch ist. Da werden die Inhalte übertragen (vermutlich zu Google) sonst würde die Übersetzung nicht funktionieren. Bin mit dem Browser zufrieden. Ich meide Google Services wo es geht oder blocke die per VPN beim meinem Android Mobile per Blokada. Die Updates kommen mit einem Tag Verzögerung. Aber klar für Unternehmen vermutlich keine Option. Als Suchmaschine nutze ich Metager.de (womit ich meist zufrieden bin), Startpage sammelt ja auch Daten.
Zu den Addons: Einige Addons von Google kann ich aktivieren. Das die Inhalte auslesen können habe ich gelesen daher nutze fast nur die Mike Kuketz empfiehlt wie NoScript, HTTPS Everywhere, ublock Orgin, Privacy Redirect, Skip Redirect, Privacy Badger, Privacy Settings, ClearURLs, Canvas Fingerprint Defender,
Cookie AutoDelete, Deaktivierungs-Add-on von Google Analytics, Decentraleyes,
Aber vielleicht sende ich damit auch meine Daten weiter?
Es wurde die erweiterten Rechtschreibprüfung genannt. Die einfache Rechtschreibprüfung ist demnach nicht betroffen? Kann mir vorstellen das dort auch Inhalten ausgelesen werden.
Die Gruppenrichtlinie habe ich in windows 10 pro nicht gefunden. Frage ist die für Chromebooks?
Ich denke, man muss bei MS Edge (cromium) Bei "Sprachen" dann "Verwenden der Schreibunterstützung" das komplett deaktivieren.
NB: Ich hatte mal in einen Kommentar meinen Unmut über den Edge ausgelassen, weil er sich nicht richtig schließt. Die Lösung ist wohl: Unter:
Einstellungen/System und Leistung/ Leistung optimieren Dann unter "Effizenzmodus aktivieren" es dekativieren und auch für den Spielemodus. Wennman dann Edge schließt, dann schließt es sich auch richtig. Das kann man das über den Tast-Manager unter Details prüfen.
Der saublöde Egde-Browser hat derart verstecke Einstellungen, dass man schwer durchschauft, wenn man kein IT-Entwickler ist. Erscheint dann der Edge in einer neuer Version, so kann es sein, dass es neue Einstellungen gibt und das ganze Spiel der Anpassung geht von vorne los.
Alles was chrombasiert ist, also von Google, ist höchst problematisch. Da sind die 25 Mrd Euro "Strafe" viel zu wenig.
Bei Chrome hatte ich sowieso nur die einfache Rechtschreibprüfung. Ich habe diese jetzt mal komplett ausgeschaltet.
In diesem Zusammenhang vermute ich, dass die Brwosererweiterung "IMTranslator", von Google ebenfalls mächtig unberechtigterweise Daten sammelt. Gibt es dazu Erkenntnisse?
MS und Google müssen richtig mal zur Kasse gebeten werden und das vierteljährlich (so jeweils 100 Mrd Euro), solange bis die das "lernen" und ihre dummen Spielchen lassen. Das ist ein sehr komplexes Thema.
Im Edge Chromium findet man das hier:
edge://settings/?search=rechtschreibpr%C3%BCfung
Dort lässt sich die Unterstützung entweder auf "Einfach" umschalten oder gar ganz abschalten. Habe mich für letzteres entschieden.
Ich bekomme gerade eine Anfall.
Mit einer der letzten Edge Versionen ( 104/105?) hat der Registry Eintrag
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SpellcheckEnabled"=dword:00000000
Noch wunderbar funktioniert !
Leider nicht mehr mit Edge 106.0.1370.52 …
Hat jemand eine Idee wie man die Rechtschreibprüfung möglichst sicher blocken kann ?
Oder das der Edge von Standard-Usern verwendet wird ?
Gibt es eine Lösung/Workaround? Habe das gleiche Problem.
Edge Version 107.0.1418.35