Browsereinstellungen

Auch der Browser kann ein Einfallstor für Malware sein, Sie sollten ihn daher
  1. immer (automatisch) am neuesten Stand halten und ihn
  2. möglichst sicher einstellen:
    • Aktive Elemente sollten gar nicht oder nur nach Ihrer expliziten Zustimmung - Stichwort Click to Play - ausgeführt werden.
      Für viele Browser gibt es Erweiterungen (Add-ons), mit denen Sie das für Javascript erzwingen können (NoScript, uMatrix, …).
    • Sie sollten verhindern, daß Ihnen in der Adresszeile durch Sonderzeichen aus anderen Zeichensätzen (Unicode oder IPA) eine falsche Adresse untergeschoben wird (Homograph-Angriff).
      Im Firefox setzen Sie dazu über die Eingabe von about:config in der Adress-Zeile den Wert von network.IDN_show_punycode auf true.
      sso.tugrŠ°z.at sieht fast aus wie sso.tugraz.at, aber das erste „a“ ist kein deutsches a, sondern ein kyrillischer Buchstabe, mit den o. g. Einstellungen sehen Sie im Browser http://sso.xn--tugrz-7ve.at/ und können das somit nicht mit sso.tugraz.at verwechseln.
    • Sollten Sie darüber nachdenken Zugangsdaten im Browser zu speichern, dann vergewissern Sie sich vorher, daß Ihr Browser diese Daten verschlüsselt.
      Für Firefox aktivieren Sie dazu in den Einstellungen im Bereich „Datenschutz & Sicherheit“ den Punkt Master-Passwort verwenden:

    • Um zu verhindern, daß Scripts Zugangsdaten anderer Seiten auslesen, sollten Sie verhindern, daß (versteckte) Formularfelder ohne Ihr Wissen ausgefüllt werden.
      Im Firefox setzen Sie dazu mittels about:config den Wert von signon.autofillForms auf false.
      Sinnvoll ist weiters, dass Sie auch den Wert von signon.includeOtherSubdomainsInLookup auf false setzen.
    • Wenn es der Browser unterstützt, dann sollten Sie Website-Isolierung aktivieren.
      Für Browser, die auf Chromium basieren (Chrome, Opera) geschieht dies durch Eingabe von chrome://flags/#enable-site-per-process in der Adresszeile, danach aktivieren Sie Strikte Website-Isolierung.

      Im Firefox geschieht das mittels about:config und fission.autostart = true (noch nicht aktiv).

Weitere Tipps/Links finden Sie z. B. beim BSI.