Habe diese Erweiterung getestet:

https://addons.mozilla.org/de/firefox/addon/anonymox/

Flash und Java lassen auch hier die richtige IP erkennen.

Nun kommt noch hinzu das sich per Jondonym Anon Test die Proxy UID auslesen lässt.
Die UID ist gleichzeitig beim Dienst die Kunden/Nutzerkennung.
Damit ist eine genaue Identifikation möglich.

Wie wird die Proxy UID ausgelesen ?

AnonymoX ist eine interessante Erweiterung. Laut Angaben des Entwicklers kann man sie auch mit Tor oder JonDonym kombinieren.

Natürlich erreicht sie nicht den Grad von Anonymität, der mit JonDonym erreichbar ist. Aber zumindest verschleiert man die IP - Adresse, vorausgesetzt man deaktiviert JavaScript bzw. benutzt NoScript.

Ich nutze dieses Add - on gelegentlich, zumindest bis ich es mir leisten kann, den gesamten Datenverkehr über JonDonym abzuwickeln.

Zur Frage Proxy - UID vermag ich allerdings nichts zu sagen.

Das Problem ist,das der Anbieter nicht auf die Flash und Java Problematik hinweist.
Hier ist die Transparenz von Jondonym vorbildlich.
Da werden Probleme beim Namen genannt,und Lösungen aufgezeigt.
Würde auch gerne nur mit Jondonym surfen,erzeuge zu viel Traffic durch meine Umtriebe.

Wenn man sich die Erweiterung von Mozilla herunterholt und nicht von der Homepage des Entwicklers, kann man am Ende der Add - On - Beschreibung einen Link entdecken mit " Hinweisen zur richtigen Benutzung ". In dieser ausführlichen Bedienungsanleitung wird auch auf die JavaScript & Flash - Problematik eingegangen:

https://www.anonymox.net/de/hinweise-zu ... -benutzung

Die Erweiterung ist schon sehr ambitioniert, auch wenn sie nicht an JonDonym heranreicht und dies auch nicht vorgibt zu tun. Als "Übergang" und "Zwischenlösung" aber gut zu gebrauchen.

Für die die kostenpflichtige Premium - Variante ist auf Anfrage auch eine anonyme Bezahlung per Post möglich.

Ich habe mir die Erweiterung jetzt erstmal nur im Quelltext angeschaut. Mit Anonymität hat die nichts wirklich zu tun. Es handelt sich letztlich um einen dynamischen Proxy-Switcher. Die haben etwas Geld in die Hand genommen, lassen verschiedene HTTP-Proxies laufen und setzen die über die Erweiterung dynamisch als Proxy im Firefox.

Da ist nichts verschlüsselt. Da ist lediglich ein einziger Betreiber da - keine verschiedenen Parteien. Deshalb ist das keine Ernst zu nehmende Anonymität. Das ist so als würde man einen normalen Proxy im Firefox eintragen, nicht mehr und nicht weniger.

Der Vergleich auf ihrer Website mit anderen Anonymisierungsdiensten ist in diesem Lichte betrachtet aber Unfug. Man kann nur hoffen, dass ihre Datenschutzerklärung seriöser ist.

Und nun zur Startfrage, was es mit der Proxy-Authorization UID auf sich hat: Sie fügen durch die Erweiterung in jeden über ihre Proxies geleiteten Requests einen HTTP-Header



ein. Wenn ihre Proxies den dann nicht ausfiltern, sondern unverändert weiterleiten, dann kommt der natürlich bei der Zielwebsite so an. Da braucht man keine Kunst o. ä. um den auszulesen, das ist einfach ein HTTP-Header im Request, den der Anontest einfach nur anzeigt.

Zeigt natürlich, dass die Betreiber von Anonymität nicht wirklich viel verstehen - ein besseres Langzeitverkettungsmerkmal kann es für Websites kaum geben. Denn diese ID wird laut Anleitung standardmäßig nur einmal bei Installation des Addons erzeugt und bleibt dann für immer erhalten - und wird offenbar sogar den angefragten Websites auf dem Silbertablett serviert.

Ein Ausfiltern dieses HTTP-Headers auf dem Proxy wäre das Mindeste. Aber selbst dann würde ich diesen Dienst für Anonymität nicht empfehlen. Zur Umgehung von landesspezifischen Zugriffsbeschränkungen auf einigen Websites ist er im Einzelfall vielleicht brauchbar - für mehr in meinen Augen nicht.

EDIT: Ich habe jetzt auf einem Testsystem mal einen Schnelltest gemacht. Normalerweise scheinen die Proxies den Proxy-Authorization-Header auszufiltern. Ich konnte beim Anontest keinen entsprechenden Header sehen. Eventuell handelt es sich nur um einzelne fehlkonfigurierte Proxies oder das Problem wurde zwischenzeitlich behoben.

Ich habe jetzt gerade nochmal getestet: Das Problem ist, wenn man AnonymoX mittels dessen Konfigurationspanel deaktiviert. Denn dann senden sie trotzdem den Proxy-Authorization-Header mit obwohl ja gar nicht deren Proxies verwendet werden. Damit wird der Header aber auch nicht ausgefiltert (weil ja kein Proxy dazwischen ist, der es tun könnte) und damit kommt er natürlich bei der Website an.

Letzteres ist eine fatale Angelegenheit.
Habe die Erweiterung gerade nicht installiert.
Danke für den Test und die Informationen!

Das erste Problem habe ich schon gemeldet. Es soll in einer zukünftigen Version gefixt sein (noch nicht probiert).

Es wird aber sogar noch besser (oder schlimmer, je nachdem, wie man es sehen will): Und zwar hat die AnonymoX-Erweiterung noch die Eigenheit, bei Websites von AnonymoX (*.anonymox.net/) einen weiteren HTTP-Header einzufügen:



Dummerweise ist dieser Test, ob man wirklich eine AnonymoX-Website aufruft, aber sehr leicht auszutricksen. Denn es wird alles akzeptiert, wo die URL wie folgt aussieht:

http[s]://[*.]anonymox.net/*

Das kann man natürlich nun etwas erweitern, z. B. erfüllt auch die URL

http://morater37.byethost7.com/a.anonymox.net/test.php

obige Bedingung (eine von mir bei einem Freehoster testweise eingerichtete Seite, die einfach nur alle gesendeten HTTP-Header ausspuckt - bei Verwendung von AnonymoX ist der "X-AnonymoX-Auth"-Header mit dabei). Damit kann also jede beliebige Website (die ein geeignetes Unterverzeichnis anlegt) AnonymoX-Nutzer tracken - und zwar völlig unabhängig davon, ob sie AnonymoX gerade eingeschaltet haben oder nicht (denn auch die AnonymoX-Proxies filtern diesen Header nicht aus).

Edit: Auch dieser Fehler wurde nun an AnonymoX gemeldet.

@Feritko:

Schön, dass Sie sich die Mühe gemacht haben, die Erweiterung etwas näher anzusehen; auch ich danke dafür. Es hat ja schon einiges bewirkt:

Gerade habe ich mir ihre Beiträge im Forum von AnonymoX angesehen und die Reaktionen darauf. Mit meinem Eindruck, dass der Entwickler und seine Erweiterung ambitioniert und engagiert sind, lag ich ja nicht ganz daneben. Ihre zuerst geäußerte Einschätzung, dass der Betreiber von Anonymität im Netz nichts versteht, scheint mir zu harsch.

Aus oben schon erwähnter Gründen nutze ich gelegentlich eine nicht anonymisierte Firefox - Version, die ich allerdings privacy - freundlich stark verändert habe. Die IP - Anschrift blieb allerdings bisher unverschleiert. Ich wüsste im Augenblick keinen stichhaltigen Grund, warum ich dafür nicht AnonymoX nützen sollte, vor allem wenn der Betreiber so schnell auf Fehlermeldungen reagiert wie es jetzt den Anschein hat.

Dass AnonymoX nicht an JonDonym heranreicht, hatte ich oben schon erwähnt und wird vom Betreiber auch nicht behauptet. Manchmal muss man halt Kompromisse machen, vor allem, wenn die Größe des Portemonnaies nicht ausreicht.

PS: Gerade wird mir im Add - ons - Manager die neue Anonymox - Version 0.9.8 angezeigt.

Engagement des Betreibers hin oder her - Fakt ist, dass sämtliche momentan verfügbaren AnonymoX-Versionen deine Bestrebungen nach Datenschutzfreundlichkeit vollkommen konterkarieren. Auf Grund des Problems in meinem letzten Beitrag braucht jeder Websitebetreiber nur ein unsichtbares Zählpixel mit geeigneter URL in seine Website einbetten und erhält damit deine eindeutige und stets gleiche AnonymoX-User-ID. Ob das schon gemacht wurde und wird, weiß ich nicht. Da kannst du dir die Vorsicht mit Cookies u. ä. dann komplett sparen. Das ist die Lieferung eines Super-Cookies frei Haus. Da bist du in meinen Augen mit deiner regulären IP-Adresse ohne AnonymoX besser dran - denn die wechselt in der Regel wenigstens täglich.

Und so wahnsinnig toll finde ich die Reaktion des Betreibers darauf nicht, dass ein Fix bis zur nächsten regulären Version warten kann, denn schließlich würde das ja einen speziell auf AnonymoX zielenden Angriff benötigen... Wenn man Benutzern Anonymität (was auch immer darunter verstanden werden soll) verspricht, ist das schon eine bemerkenswert lässige Herangehensweise. Man sollte als Anonymitätsanbieter immer davon ausgehen, dass es für einige Benutzer gefährlich sein könnte, wenn sich die eigenen Versprechen als heiße Luft herausstellen.

Ganz davon abgesehen, dass ich solche Vergleiche bei der tatsächlichen Funktionsweise des Dienstes (keinerlei Verschlüsselung, normaler Proxyanbieter) absolut daneben finde, ist auch die Funktionsbeschreibung in meinen Augen absolut ungenügend. Ich persönlich würde in derartige Anbieter deshalb kein Vertrauen fassen können. Wenn es kostenlos sein soll, dann lieber Tor, auch wenn es nicht ganz unproblematisch ist...

Auch von der Geschwindigkeit her waren die kostenlosen Tests bei AnonymoX nun nicht gerade berauschend. Mit den auf der Website genannten Zahlen hatte das - wenig verwunderlich allerdings - nichts zu tun.