Über Sinn und Unsinn von „anonymizing Proxies“

Gerade bin ich im Forum von PageRestrictor / Bot-Trap über die Frage gestolpert, wie man einen „seriösen Proxy“ erkennt. Er habe von allen „Profis“ geraten bekommen, einen Proxy zu verwenden, habe sich jetzt einen von proxy4free.com rausgesucht und schon wäre er auf einer Webseite ausgesperrt worden.

Da ich mich dabei mal wieder zu einer umfangreicheren Antwort habe hinreißen lassen, hier auch eine Kopie meines Beitrags:

Als „seriöse Proxies“ würde ich Proxies definieren, die man nicht „ohne Anmeldung“ verwenden kann. Beispielsweise wäre es okay, wenn man als Nutzer eines Internet-Providers (Arcor, T-Online, AOL, …) den Proxy dieses Anbieters nutzen kann, um damit ggf. die Zugriffsgeschwindigkeit auf Webseiten zu beschleunigen. Gleiches gilt für Firmen, die einen Proxy im Haus stehen haben.

Andersrum gesagt: Alle Proxies aus öffentlichen Proxy-Listen (z.B. proxy4free.com) sind unseriös. Oft sind die auch gar nicht als Proxy gedacht, sondern durch Unachtsamkeit des Administrators des entsprechenden Servers entstanden, der beispielsweise den Webserver falsch konfiguriert hat – und vermutlich gar nicht weiss, dass er einen entsprechenden Proxy „anbietet“. Mit anderen Worten: Man nutzt eine Lücke in dessen System aus, um seine eigenen Daten umzuleiten und damit seine IP zu verschleiern. Man schadet also dem Betreiber des Webservers, weil der gegebenenfalls Geld für den zusätzlichen Traffic bezahlen muss.

Ansonsten: Proxies haben nicht viel mit Sicherheit beim Surfen zu tun. Insbesondere diese „offenen Proxies“, die nur Daten durchreichen. Es mag ausnahmen geben, die eine Art „Virenscanner“ zwischenschalten, um schadhafte JavaScript-/sonstige Schadcodes ausfiltern. Das sind aber sicher nicht die falsch konfigurierten Server auf diesen Proxy-Listen.

Ich würde sogar so weit gehen, und behaupten: Unbekannte Proxy-Server sind ein Sicherheitsrisiko!

Die Idee hinter einem Proxy-Server ist ja grundsätzlich eigentlich, deine Anfragen „umzuleiten“. Du schickst „Hol mir http://www.google.com/“ an den Proxy, der fragt dann Google nach der Seite, und schickt die Antwort von Google an dich. Das kann beispielsweise dann von Vorteil sein, wenn dieser Proxy die Seite von Google schon geladen hat, und dir nur noch seine Kopie schicken muss. Google ist hier vermutlich ein schlechtes Beispiel, weil die Seite immer schnell verfügbar ist. Aber stell dir das mal mit einem Download vor. Es kann einen spürbaren Unterschied machen, ob du einen 100MB Download von einem langsamen Webserver in Australien laden musst, oder ob du die zwischengespeicherte Kopie direkt bei deinem Provider bekommst.

Der sicherheitsrelevante Haken ist aber, dass der Proxy die Daten, die zwischen dir und – bleiben wir mal dabei – Google hin und her gehen, verarbeiten und verändern könnte. Er könnte zum Beispiel ein böses Stückchen JavaScript in die vorher saubere Seite von Google einbauen.

Und abgesehen davon, dass er vorstehendes TUN KÖNNTE — Folgendes wird er MIT SICHERHEIT TUN: Er bekommt alles mit, was du so im Netz treibst. Selbst der falsch konfigurierte Webserver loggt damit alle deine Anfragen mit. Der Betreiber des Proxies kann also sehen, wo du dich rumtreibst – und das allerbeste: Was du in Formulare eingibst. Seien es Suchanfragen, Login-Daten oder Kreditkartennummern. All diese Daten schickst du an den dir unbekannten Server im Netz – der vielleicht irgendwo in Russland oder China steht – und vertraust darauf, dass er dann schon kein Schindluder mit den Daten treibt.

Finde ich mutig 😀

[…]

Lange Rede, kurzer Sinn: Anonymisierende Proxies machen für die Leute Sinn, die etwas zu verbergen haben. Und solche Leute will ich auf meiner Webseite nicht haben – denn das sind die, die Unruhe stiften und mir schaden wollen. Für „normale Nutzer“ macht es überhaupt keinen Sinn, die Spur im Netz verwischen zu wollen.

3 Antworten auf „Über Sinn und Unsinn von „anonymizing Proxies““

  1. Lange Rede, kurzer Sinn: Anonymisierende Proxies machen für die Leute Sinn, die etwas zu verbergen haben. Und solche Leute will ich auf meiner Webseite nicht haben – denn das sind die, die Unruhe stiften und mir schaden wollen. Für “normale Nutzer” macht es überhaupt keinen Sinn, die Spur im Netz verwischen zu wollen.

    Kommt drauf an in anbetracht der Vorratsdatenspeicherung Bundestrojaner und anderer genialer Ideen aus dem Innenministerium kann man das steigende Bedürfniss nach Anonymität schon verstehen.

    Sicher stellt der öffentliche Proxy für Normal User nen zusätzliches Risiko dar aber es lässt sich mit einigen sauberen schon ein gewisses Maß an Anonymität und Schutz vor Willkürlicher Datenspeicherung erreichen eine Warnung vor den Gefährlichen Proxys wäre von Seiten der (Fach) Zeitschriften angebracht.

    Du wirst mir sicher zustimmen, dass zuviel Einsicht in das Surfverhalten negative Auswirkungen hat. Aktuelles Beispiel die von AOL veröffentlichten Daten aus der Suche die bereits nach kurzer Zeit einer Person zugeordnet werden konnten und deren Interessen nun theoretisch aller Welt offen liegen also haben die Proxys schon Ihre daseins Berechtigung.

  2. Zitat: „nonymisierende Proxies machen für die Leute Sinn, die etwas zu verbergen haben“

    Genau, und nur Leute, die was zu verbergen haben, scheuen davor zurück, ihre Fingerabdrücke und biometrischen Daten bei der Passerstellung „abnehmen“ zu lassen. Ich meine wir haben ja alle nichts zu verbergen, oder? Was macht es da schon aus, wenn einer meine Fingerabdrücke hat, oder meinetwegen weiß wo ich herumsurfe, oder als Verkaufsladen weiß, welche Seiten ich zuvor angeklickt habe, wie lange ich im Shopsystem war, welche IP und damit welchen Provider und welchen Browser ich nutze, wie oft ich schon auf der Seite war und was ich da gekauft habe…sind doch alles unwichtige Daten, oder? Oder nicht?…

  3. Proxies haben wenig damit zu tun, dass man verhindern kann, dass eine Stelle alle Daten sammelt. Keine Frage: Mir wird Google auch zu groß und sammelt zu viele Daten. Aber nein, Google ist nicht der böse. Alle nutzen Google, Gmail, …

    Und was ist mit den Proxy-Betreibern? Wenn man einen Proxy benutzt, dann kann nicht nur der Provider die Surf-Daten sehen – nein, auch der Proxy-Betreiber hat noch mal eine Kopie des ganzen.

    Ein Shop-Betreiber weiss sowieso, wie lange man in seinem Shop-System war. Die IP und der Browser dienen ihm dabei dazu, die Seite so darzustellen, dass sie für den Kunde am sinnvollsten ist. Was ich da gekauft habe, das weiss der Händler sowieso – er hat es doch verkauft – und wenn er es mir zuschicken soll, dann braucht er auch meine Adresse. Anonym? Sehr…

    Ist sicher ein bisschen eine Art religiöser Streit. Aber aus meiner Sicht bergen anonymisierende Proxies viel mehr Risiken und machen viel mehr Schwierigkeiten, als sie potentiell Vorteile bieten können.

    Und gerade so lange so viel Unsinn mit Proxies getrieben wird, werde ich mich als Webseitenbetreiber an kritischen Stellen sicherlich vor Proxy-Nutzern schützen. Tut mir Leid für die „sauberen“ Proxy-User, aber da geht der Selbstschutz vor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.