uBlock Origin: Option: Freigabe der lokalen IP-Adresse via WebRTC verhindern

  • Firefox-Version
    73.0.1
    Betriebssystem
    Windows 7, -> aber bald Linux

    Hallo zusammen,

    (Ich habe zu diesem Thema einen separaten Faden eröffnet, da es im uBO Faden meistens darum geht, Regeln für Werbung, die nicht blockiert wird, zu suchen.)

    Bei uBO gibt es die Optuion "Freigabe der lokalen IP-Adresse via WebRTC verhindern".

    Ich habe mir überlegt, ob ich diese Option aktiviern soll. Um dies herauszufinden, habe ich versucht mich darüber zu informieren, welche Funktionalität eine Aktivierung dieser Option deaktiviert.

    Gemäss

    https://www.dev-insider.de/vorteile-und-n…ebrtc-a-616308/

    dient WebRTC dazu,

    -z.B. Chats zu ermöglichen oder

    -z.B. Rein browserbasierte, plattformunabhängige und cloudgestützte Produktivitätslösungen

    zu ermöglichen.

    Ich habe die Option in uBO aktiviert und habe dann den Nokia Chat aufgerufen:

    Suche nach "Live-Chat" auf https://www.nokia.com/phones/de_ch/support

    ->Nun hätte ich erwartet, dass der Chat nicht funktioniert, aber er funktioniert.

    (Natürlich muss man einige geblockte Inahlte erlauben, aber die Option war angehakt)

    Dann habe ich das Google Online Excel (Edit, Danke Sören!) eine "Online Excel Anwendung" von ZOHO aufgerufen:

    https://sheet.zoho.com/sheet/excelviewer

    -> Ich habe erwartet, dass das nicht funktioniert, aber es funktioniert.

    (Natürlich muss man einige geblockte Inahlte erlauben, aber die Option war angehakt)

    Naja, ich wundere mich halt jetzt, dass geht, was nicht gehen soll. (?)

    3 Mal editiert, zuletzt von Bafire (25. Februar 2020 um 09:06)

  • Hallo,

    da liegen bei dir gleich mehrere Missverständnisse vor.

    WebRTC bezeichnet eine Sammlung von Protokollen und Schnittstellen zur Echtzeitkommunikation. Unter anderem ist die getUserMedia-Schnittstelle Teil von WebRTC, welche den Zugriff auf die Kamera und das Mikrofon erlaubt, oder die RTCPeerConnection-Schnittstelle zur Peer-to-Peer-Verbindung zwischen zwei Systemen. Das heißt nicht, dass jeder Chat oder jede beliebige Webanwendung irgendeinen WebRTC-Standard nutzen würde.

    Das andere ist, dass deine Erwartung offensichtlich ist, dass die Dienste mit entsprechender Einstellung gar nicht mehr funktionieren würden. Die Option in uBlock Origin sagt aber etwas vollkommen anderes. Da geht es ausschließlich um den Leak der IP-Adresse in Zusammenhang mit PeerConnections. Das heißt, selbst wenn die von dir genannten Seiten WebRTC nutzen würden (was ich bezweifle), bedeutet die Option nicht, dass die Seiten nicht mehr funktionieren würden, wenn du die Option aktivierst.

    Wie kommst du eigentlich auf "Google Online Excel"? Ich kann keinen Zusammenhang zwischen der von dir genannten Seite und Google entdecken. Die Firma heißt ganz offensichtlich ZOHO.

  • Zitat

    "Freigabe der lokalen IP-Adresse via WebRTC verhindern".

    Rein logisch diesen Satz betrachtet: "Gib meine LAN-IP nicht ins Web weiter".

    Und von abgeschalteter Funktionalität ist auch nicht die Rede, es geht nur um die IP.

    Genauer kann es dir das Wiki erklären:

    https://github.com/gorhill/uBlock/wiki

    https://github.com/gorhill/uBlock/wiki/Dashboard:-Settings

    Wie ich sagte - LAN-IP - oder die vorm VPN/Proxy

    Zitat

    Keep in mind that this feature is to prevent leakage of your non-internet-facing IP adresses. The purpose of this feature is not to hide your current internet-facing IP address

    (siehe auch Sören, der war schneller)

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Zitat

    Da geht es ausschließlich um den Leak der IP-Adresse ... .

    Zitat

    Rein logisch diesen Satz betrachtet: "Gib meine LAN-IP nicht ins Web weiter".

    OK. Danke Euch.


    Zitat

    Wie kommst du eigentlich auf "Google Online Excel"?

    Habe das jetzt editiert.


    Zitat

    ... selbst wenn die von dir genannten Seiten WebRTC nutzen würden (was ich bezweifle), bedeutet die Option nicht, dass die Seiten nicht mehr funktionieren würden, wenn du die Option aktivierst.

    Zitat

    Und von abgeschalteter Funktionalität ist auch nicht die Rede, ... .

    OK. Aber die Nicht-Abschaltung von "Freigabe der lokalen IP-Adresse via WebRTC verhindern" muss ja auch eine Funktion haben, die verloren geht, wenn man diese uBO Option aktiviert.

    In welchem Fall könnte dann etwas nicht mehr richtig funktionieren? Die Aktivierung muss ja auch irgendwelche Nachteile haben. Oder nicht?

  • Wie gesagt geht es bei dieser Funktion ausschließlich darum, welche IP-Adresse übermittelt wird. Bei gewöhnlicher Webnutzung ist das völlig irrelevant, da deine IP-Adresse sowieso an jeden Server gesendet wird, den du kontaktierst. Dagegen ist diese Option nicht. Wenn du aber beispielsweise ein VPN nutzt, dann hast du nach außen normalerweise eine andere IP-Adresse, via WebRTC kann aber deine originale IP-Adresse geleakt werden. Nur in so einem Fall ist die Option in uBlock Origin interessant. Eine funktionale Beeinträchtigung für Dienste, welche WebRTC nutzen, würde ich durch Aktivierung dieser Option nicht erwarten, aber es gibt nichts, was es nicht gibt, daher will ich nicht pauschal für alle Websites auf der Welt sagen, dass es keinen Nachteil hat. Nur wie gesagt: Erwarten würde ich es nicht.

  • Anscheinend geht es hier gerade etwas durcheinander. Im Kontext von #5 gibt es, wenn man mal nur die IPv4 betrachtet, drei IP-Adressen:

    1. Die im internen LAN. Für Fritzboxbenutzer ist das meist eine wie 192.168.178.x
    2. Die Internet-IP-Adresse des eigenen Routers, z.B. 84.182.174.y für einen Router im Netz der Telekom
    3. Die IP-Adresse eines Proxys im VPN, z.B. 84.16.242.z für den VPN-Proxy von Avira.

    Bei gewöhnlicher Webnutzung ist das völlig irrelevant, da deine IP-Adresse sowieso an jeden Server gesendet wird, den du kontaktierst.

    Das betrifft aber nur die Adresse aus 2. und nicht die interne LAN-Adresse.

    Wenn du aber beispielsweise ein VPN nutzt, dann hast du nach außen normalerweise eine andere IP-Adresse, via WebRTC kann aber deine originale IP-Adresse geleakt werden.

    Das wäre dann auch die Adresse aus 2. . Obwohl der Nutzer u.U. möchte, dass nur 3. sichtbar ist. Dieses Leak lässt sich meines Wissens mit einem Konfigparameter im Firefox abschalten.

    Gemäß der Beschreibung geht es bei der Einstellung in uBlock darum, dass über WebRTC auch die LAN-Adresse aus 1. weitergereicht wird. Das ist also etwas anderes als das Leak der eigenen Internet-Adresse.

  • Anscheinend geht es hier gerade etwas durcheinander.

    Das scheint ganz so.

    Das betrifft aber nur die Adresse aus 2. und nicht die interne LAN-Adresse.

    Die ist bei dem, was ich beschrieben habe, völlig irrelevant und hätte auch für Websites keine Bedeutung. Beim bekannten IP-Leak geht es um die öffentliche IP-Adresse, da nur diese die Privatsphäre der Nutzer betrifft.

    Dieses Leak lässt sich meines Wissens mit einem Konfigparameter im Firefox abschalten.

    Nein. Über about:config kannst du nur PeerConnections als Ganzes abschalten. Das beseitigt natürlich auch den dadurch verursachten IP-Leak, aber eben indem das komplette Feature abgeschaltet wird. Explizit das Leak kann nicht über about:config abgeschaltet werden.

    Gemäß der Beschreibung geht es bei der Einstellung in uBlock darum, dass über WebRTC auch die LAN-Adresse aus 1. weitergereicht wird

    Gorhill ist nicht gerade für intuitve Benutzeroberflächen bekannt, entsprechend skeptisch darf man seine Beschreibung der Option sehen. Es gibt im Web aber viele gute Quellen dafür, worum es beim IP-Leak in Zusammenhang mit WebRTC geht.

    Hier ist das sehr verständlich beschrieben: https://www.expressvpn.com/de/webrtc-leak-test

    Eine Weitergabe der lokalen IP-Adresse wäre jedenfalls völlig uninteressant. Vielleicht habe ich mich ja geirrt und geht es bei der Option in uBlock Origin ja tatsächlich um die lokale Adresse. Dann ist die Option meines Erachtens aber ziemlich nutzlos.

  • Die ist hier völlig irrelevant und hätte auch für Websites keine Bedeutung. Beim IP-Leak geht es um die öffentliche IP-Adresse, da nur diese die Privatsphäre der Nutzer betreffen kann.

    Das ist es nicht. Denn ersten schreibt Gorhill ganz klar von der lokalen LAN-Adresse und zweitens ist deren Herausgabe in Zeiten von IPv6 sehr wohl relevant für die Privatsphäre. Da steht sogar auf der von dir verlinkten Seite.

    Zitat

    Die am häufigsten mit Ihrem Gerät verknüpften IP-Adressen sind lokale IPv4-Adressen, deren Erkennung keinen Einfluss auf Ihre Privatsphäre haben. Wenn Sie jedoch IPv6-Adressen haben, könnte Ihre Privatsphäre gefährdet sein.

    Gorhill ist nicht gerade für intuitve Benutzeroberflächen bekannt, entsprechend skeptisch darf man seine Beschreibung der Option sehen.

    Keine Ahnung, was die Benutzeroberfläche damit zu tun haben soll. Seine Erklärung ist aber relativ ausführlich:

    Zitat

    Keep in mind that this feature is to prevent leakage of your non-internet-facing IP adresses. The purpose of this feature is not to hide your current internet-facing IP address -- so be cautious to not misinterpret the results of some WebRTC-local-IP-address-leakage tests found online.

    For example, if you use a VPN, your internet-facing IP address is that of the VPN, so your ISP-provided IP address should not be visible to outside world with this setting checked. However, if you are not behind any VPN or proxy, your ISP-provided IP address will be visible regardless of this setting.

    Es geht zweifelsfrei um die lokale LAN-Adresse und eben nicht um die öffentliche IP-Adresse.

  • Du hast wahrscheinlich bereits angefangen mit Schreiben, als das Ende meines Beitrags noch fehlte. Daher wiederhole ich es gerne:

    Vielleicht habe ich mich ja geirrt und geht es bei der Option in uBlock Origin ja tatsächlich um die lokale Adresse. Dann ist die Option meines Erachtens aber ziemlich nutzlos.

    Und bei dieser Meinung bleibe ich, schränke aber sehr gerne auf die Masse der Nutzer ein. Leider sind meine Zahlen schon über ein Jahr alt, aber es könnte schlimmer sein. Demnach beträgt der Anteil der IPv6-Verbindungen in Deutschland magere sechs Prozent. Das heißt, selbst wenn man davon ausgeht, dass die lokale IPv6-Adresse mehr Relevanz für die Privatsphäre als die IPv4-Adresse hat (was erst einmal zu begründen ist), so ist das nicht der allgemeine Fall, von dem ich spreche. Und es ist nun einmal so, dass wenn vom WebRTC-Leak gesprochen wird, tatsächlich immer von der öffentlichen IP-Adresse die Rede ist. Und auch die gezeigte Erklärung von Gorhill zu seiner Option erklärt nur, dass es bei der Option nicht um die öffentliche Adresse geht, aber sagt kein Wort darüber aus, was nun der konkrete Nutzen davon ist, die lokale Adresse zu verstecken, denn es ist und bleibt nun einmal eine lokale Adresse.

  • Du hast wahrscheinlich bereits angefangen mit Schreiben, als das Ende meines Beitrags noch fehlte.

    Vermutlich, denn die Ergänzung hatte ich nicht gelesen.

    Ich versuche mal, die technischen Punkte bewertungsfrei zusammenzufassen. Es gibt zwei mögliche Leaks von IP-Adressen in Zusammenhang mit WebRTC.

    1. Das Veröffentlichen der eigene Internetadresse auch dann, wenn man einen Proxy/VPN benutzt. Das lässt sich vermeiden, indem man WebRTC bzw. peerconnetion im Firefox deaktiviert. (media.peerconnection.enabled, false).
    2. Das Veröffentlichen der lokalen Adresse. Das lässt sich durch die genannte Einstellung in uBlock verhindern. Das war der Punkt von Bafire .

    Ah, vergessen ...

    Das heißt, selbst wenn man davon ausgeht, dass die lokale IPv6-Adresse mehr Relevanz für die Privatsphäre als die IPv4-Adresse hat (was erst einmal zu begründen ist),

    Nun, das liegt auf der Hand. Die IPv6-Adressen der Geräte sind in unter Umständen einmalig und nicht dynamisch. Das heißt, sie können einem ganz bestimmten Gerät zugeordnet werden.

    Einmal editiert, zuletzt von Thunderbyte (25. Februar 2020 um 14:58)

  • @Thunderbyte

    Hier noch einmal Deine schöne Aufstellung der verschiedenen Arten von IP Adressen aus Post 6:

    1. Die im internen LAN. Für Fritzboxbenutzer ist das meist eine wie 192.168.178.x

    2. Die Internet-IP-Adresse des eigenen Routers, z.B. 84.182.174.y für einen Router im Netz der Telekom

    3. Die IP-Adresse eines Proxys im VPN, z.B. 84.16.242.z für den VPN-Proxy von Avira.

    Wenn ich dich richtig verstehe, sagst Du, dass wenn man VPN benutzt, die IP's aus 1) vor dem WebRTC-Leaken geschützt werden, wenn man die uBO Option aktiviert.

    Und Du sagst, dass wenn man VPN benutzt, die IP aus 2) nicht vor dem WebRTC-Leaken geschützt wird, wenn man die uBO Option aktiviert. Sondern, dass man dann schon WebRTC selbst auschalten müsste. Richtig?

    Aber widerspricht das nicht dem Zitat von Gorhill, das Du in Post 8 zitiert hast?

    Hier noch einemal ein Ausschnitt aus dem Zitat von Gorhill, das Du in Post 8 zitiert hast:

    Zitat

    For example, if you use a VPN, your internet-facing IP address is that of the VPN, so your ISP-provided IP address should not be visible to outside world with this setting checked.

    Wenn ich jetzt das Zitat richtig übersetzte, bedeutet doch das folgendes:

    -> Wenn man VPN benutzt, will man, dass die IP aus 2) nicht sichbar ist, und wenn man die uBO Option
    "Freigabe der lokalen IP-Adresse via WebRTC verhindern" aktiviert, wird dies verhindert.

    (In diesem Zitat geht es doch nicht um die IP's aus "1" , sondern um die IP aus "2". (ISP-provided IP address) . Und es steht hier nicht, dass man WebRTC selbst ausschalten muss, sondern nur die Option aktivieren muss.)

    Habe ich etwas übersehen? Etwas falsch interpretiert?

    3 Mal editiert, zuletzt von Bafire (26. Februar 2020 um 13:27)

  • Ja, man kann das schon so lesen, wenn man diesen letzten Teil allein für sich betrachtet, also aus dem Zusammenhang löst. Aus dem gesamten Text wird aber deutlich, um was es geht. Ich übersetze mal frei den gesamten Text und hebe ein paar Stellen hervor. Du siehst schon an der Überschrift, dass es um die lokale IP-Adresse geht.

    Verhindern, dass WebRTC lokale IP-Adressen sichtbar macht (streut)

    Beachten Sie, dass diese Funktion dazu dient, die Weitergabe Ihrer lokalen IP-Adresse (der nicht an das Internet gerichteten IP-Adresse) zu verhindern.
    Der Zweck dieser Funktion besteht nicht darin, Ihre aktuelle Internet-Adresse (wörtlich: die dem Internet zugewandte IP-Adresse) zu verbergen - seien Sie also vorsichtig, damit Sie um die Ergebnisse einiger WebRTC-lokal-IP-Adressenleckagen-Tests, die man online findet, nicht falsch interpretieren.


    Wenn Sie zum Beispiel ein VPN verwenden, ist Ihre Internet-zugehörige IP-Adresse die des VPN, so dass Ihre vom ISP bereitgestellte IP-Adresse für die Außenwelt nicht sichtbar sein sollte, wenn diese Einstellung aktiviert ist. Wenn Sie sich jedoch nicht hinter einem VPN oder Proxy befinden, ist Ihre vom ISP zur Verfügung gestellte IP-Adresse unabhängig
    von dieser Einstellung sichtbar.

    Er sagt also,

    • Es geht nur um die lokale IP, nicht um die öffentliche IP, mit der man ins Internet geht.
    • Die öffentliche IP ist sichtbar, wenn man kein VPN verwendet. Egal, was man in uBlock einstellt.
    • Wenn man ein VPN verwendet, dann ist nicht die eigene IP-Adresse sondern die des VPN-Proxies sichtbar, (auch dann) wenn man die Einstellung bzgl. der lokalen IP in uBlock setzt. Das "auch dann" habe ich ergänzt, denn nur so ergibt es Sinn. Ansonsten würde er sich selbst widersprechen. Ich glaube er wollte hier nur sagen, dass die genannte Einstellung darauf keinen Einfluss hat und somit diesbezüglich unbedenklich ist.

      An dieser Stelle erwähnt er nicht, dass WebRTC die eigene IP eben doch selbst dann sichtbar machen kann, wenn man ein VPN benutzt. Insofern ist die letzte Aussage nicht ganz richtig. Auf dieses Leak geht er gar nicht ein. Muss er auch nicht, denn ihm geht es ja nur um die lokale IP.

    Das klärt es vielleicht.

  • Ergänzung: Präzisierung:

    Mit der UBlock Option "Freigabe der lokalen IP-Adresse via WebRTC verhindern", werden in "about:config" die Einstellungen ...

    Code
    media.peerconnection.ice.default_address_only

    ... und ...

    Code
    media.peerconnection.ice.no_host

    ... von "false" auf "true" gestellt.

    Das betrifft, wie Thunderbyte gesagt hat, die IP Adressen-Art 1), die dann abgeschaltet werden (Post #6):

    Zitat

    1. Die im internen LAN. Für Fritzboxbenutzer ist das meist eine wie 192.168.178.x

    5 Mal editiert, zuletzt von Bafire (15. September 2020 um 01:24)