Ein Tor zu Tor, das keine Wünsche offen lässt

Onion Browser ist eine App fürs iPhone und das iPad fürs Tor-Ano­nymi­sie­rungs­netz­werk, die sich durch aus­ge­klü­gel­te Ein­stel­lungen aus­zeichnet.

Wer gelegentlich mit dem Tor-Browser unterwegs ist (Tor ist ein Menschenrecht), der kann dazu am iPad den Red Onion Browser verwenden, der den Zweck noch immer bestens erfüllt.

Gold, Silber oder Bronze? Hier legt man die Restriktionen fest, die für Websites gelten.

Neulich bin ich indes einer Alternative begegnet, nämlich dem Onion Browser. Diese App fürs iPhone und iPad macht das, was man von ihr erwartet: Sie ermöglicht erstens den Zugriff auf normale Websites über das Tor-Netzwerk, das die Datenpakete über mehrere, häufig wechselnde Relais-Stationen leitet und extra verschlüsselt, sodass keine Lokalisierung mehr möglich ist und das Tracking massiv erschwert wird. Zweitens erreicht man mit mir ihr Websites im sogenannten Dark web: Die sind mit normalen Mitteln nicht zugänglich, weil die Adressen nicht wie üblich über das DNS-System aufgelöst werden.

Man sieht, welche Wege die Datenpakete nehmen

Onion Browser verrät, über welche Zwischenstationen der Datenverkehr läuft.

Was den Onion Browser zusätzlich interessant macht, sind mehrere Dinge: Er ist Open-Source. Er verrät etwas über die Geschehnisse im Hintergrund und zeigt konkret, über welche Stationen die aktuelle Verbindung geführt wird – was neugierige Leute wie ich natürlich unbedingt wissen wollen.

Und der Browser hat diverse interessante Einstellungen: Man wählt beim Start eines von drei Schutz-Niveaus. Sie sind mit Gold, Silber und Bronze bezeichnet. Der Gold-Standard ist der sicherste, hat aber zur Folge, dass manche Websites nicht mehr funktionieren. Silber ist weniger sicher, hat dafür bessere Kompatibilität. Und mit Bronze müssten die meisten Websites funktionieren, allerdings bei erhöhter Tracking-Gefahr.

Genau das passende Sicherheits-Niveau

Das Sicherheitsniveau und die Berechtigungen können auch pro Website festgelegt werden.

Dieses Niveau wählt man allgemein. Es ist aber möglich, für einzelne Websites Ausnahmen zu bestimmen (Menüpunkt Spezielle Seiteneinstellungen). Und man darf das gewählte Sicherheitsniveau seinen Bedürfnissen anpassen. Das tut man in den Einstellungen bei Standardsicherheitsniveau.

Hier wählt aus vier Inhaltsrichtlinien. Bei Offen wird nichts blockiert. Bei der normalen Richtlinie fallen die Programmierschnittstellen für JavaScript (XHR), Websockets und Videos weg. Bei Strikt gibt es gar kein JavaScript und bei Sehr strikt wird sogar das Kontextmenü blockiert. Ausserdem kann man gemischte Verschlüsselungen (HTTP und HTTPS auf einer Seite) verweigern und die Browserkennung (den Browser Agent) ändern.

Auch Tracker werden geblockt

Die allgemeinen Einstellungen. Und ja, man kann auch Google als Suchmaschine verwenden – auch wenn das nicht sehr konsistent wäre.

In den allgemeinen Einstellungen findet sich die Möglichkeit, den Browser per Face ID/Touch ID abzusichern, via HTTPS everywhere die verschlüsselte Verbindung für bestimmte Domains zu erzwingen und bei URL Blocker die bekannten Tracking-Domänen sperren. Schliesslich gibt man bei Cookies und Website-Daten an, wie lange die Daten lokal auf dem Gerät gespeichert werden sollen, wozu man das Selbstreinigungsintervall in Stunden und Minuten wunschgemäss festlegt.

Das ist so ausgeklügelt, dass nicht nur Leute, die aus Prinzip auf ihre Privatsphäre pochen, auf ihre Rechnung kommen sollten, sondern auch Aktivisten, die Repressionen befürchten müssen, wenn sie enttarnt würden.

Geduld ist gefragt

Was in meinem Test auffällt, ist die sehr langsame Verbindungsgeschwindigkeit. Das dürfte wohl nicht am Browser liegen – allerdings war Tor bei früheren Gelegenheiten deutlich flinker unterwegs. Aber wie eben erwähnt: Die meisten Leute nutzen Tor nicht zum Vergnügen, sondern zum eigenen Schutz.

Zwei Tipps noch: Wer Tor nur sporadisch benutzt, dem dürfte auffallen, dass die ehemals einigermassen verständlichen Onion-Adressen (wie piratebayztemzmv.onion) zu alphanumerischen Monstern mit 56 Zeichen mutiert sind (piratebayo3klnzokct3wt5yyxb2vpebbuyjl7m623iaxmqhsd52coid.onion). Die kann man sich nun definitiv nicht mehr merken – aber es gibt einen triftigen Grund für diese Neuerung. Die Details beschreibt «Heise» hier ausführlich, eine kürzere und volkstümlichere Erklärung gibt es bei der «Deutschen Welle», die, wie einige andere Medien, ebenfalls via Tor erreichbar ist¹.

Bei Tor geht es nicht ohne Lesezeichen

Die Tor-Adressen sind kryptografische Schlüssel, die sich mit brutaler Rechenpower (Brute Force) allerdings knacken lassen:

Das Tor-Projekt hat daraufhin beschlossen, nur noch Adressen mit einer Länge von 56 Zeichen zu unterstützen und dafür den Onion v3-Standard verabschiedet. Adressen in dem neuen Standard gelten nicht nur aufgrund der grösseren Länge, sondern auch aufgrund weiterer moderner kryptografischer Funktionen für die nächsten Jahre als sicher.

Tipp zwei: Wer nur kurz mal eine Onion-Website aufrufen möchte und keinen Tor-Browser zur Hand hat, kann die Endung .onion einfach durch .tor2web.to ersetzen. Das führt zu einem Gateway, das an die entsprechende Seite weiterleitet – aber natürlich ganz ohne den Schutz, den es nur durch den Tor-Browser gibt.

Fussnoten

1) BBC: https://www.bbcnewsd73hkzno2ini43t4gblxvycyac5aw4gnv7t2rccijh7745uqd.onion/

Deutsche Welle: https://dwnewsgngmhlplxy6o2twtfgjnrnjxbegbwqx6wnotdhkzt562tszfid.onion

New York Times: https://www.nytimesn7cgmftshazwhfgzm37qxb44r64ytbb2dj3x62d2lljsciiyd.onion/

Pro Publica: http://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion/

The Intercept: https://27m3p2uv7igmj6kvd4ql3cct5h3sdwrsajovkkndeufumzyfhlfev4qd.onion/

Beitragsbild: Wenn ihr euch den Zugang zu Tor nicht auch so vorstellt, dann ist euch nicht zu helfen (Ani Adigyozalyan, Unsplash-Lizenz).

Autor: Matthias

Computerjournalist, Familienvater, Radiomensch und Podcaster, Nerd, Blogger und Skeptiker. Überzeugungstäter, was das Bloggen angeht – und Verfechter eines freien, offenen Internets, in dem nicht alle interessanten Inhalte in den Datensilos von ein paar grossen Internetkonzernen verschwinden. Wenn euch das Blog hier gefällt, dürft ihr mir gerne ein Bier oder einen Tee spendieren: paypal.me/schuessler

Kommentar verfassen