Logo: Proxomitron - Ein Universeller Webfilter

Tipps, Tricks und häufige Fragen

Direktlinks zu den Abschnitten

Wie geht was Probleme und Lösungen

Wie geht was

Proxomitron mit eingeschränkten Rechten bzw. als normaler Benutzer ausführen

Als sicherheitsbewusster Windows-Nutzer steht man oftmals vor dem Problem, dass selbst simpelste Programme voraussetzen, mit Administrator-Rechten ausgeführt zu werden. Glücklicherweise gehört Proxomitron nicht dazu.

Proxomitron braucht allerdings Schreibzugriff auf die Dateien, in denen während der Benutzung Daten gespeichert werden sollen. Das betrifft sowohl die Konfigurationsdatei, als auch einen Teil der Listen.

Um das zu erreichen, kann man entweder dem Proxomitron-Benutzer Schreibrechte für die betreffenden Dateien erteilen, oder die Dateien in Ordner verlagern, in denen der Benutzer über die nötigen Schreibrechte verfügt. Letzteres bietet außerdem den Vorteil, dass verschiedene Benutzer jeweils eigene Konfigurationen und Listen haben können, ohne sich gegenseitig zu beeinflussen.

Der Pfad zur benutzereigenen Konfigurationsdatei kann Proxomitron als Parameter beim Programmstart übergeben werden. Die Pfade zu den Listen stehen wiederum in der Konfigurationsdatei.

Prinzipiell ist es auch möglich, Proxomitron ganz ohne Schreibrechte zu betreiben. In diesem Fall muss allerdings auf alle Filter verzichtet werden, die direkt oder indirekt Daten in Listen schreiben. Das sind momentan folgende:

  • Content-Type: (In) 10 Flash-Video-URLs protokollieren
  • Content-Type: (In) 22 Opera PlugIn-Manager [MB]
  • Content-Type: (In) 11 Webbugs protokollieren [MB]
  • Set-cookie: (In) 00 Neue Cookies: Protokollieren [MB]
  • Set-cookie2: (In) 00 Neue RFC2965-Cookies: Protokollieren [MB]
  • .URL: (Out) 05 SSL-Manager [MB]
  • .Prox: (Out) 02 [# WICHTIG! #] Prox: Listenschreiber [MB]
  • Suche: Google-Killfile (Treffer entfernen) [MB]
  • Suche: Google-Killfile (Treffer entfernen + zählen) [MB]
  • Foren: Troll-Collect (Schalter einfügen) [MB]

Design der Fehlermeldungsseiten ändern

Das Aussehen der von Proxomitron erzeugten Fehlermeldungsseiten wird durch die Dateien im Ordner Proxomitron\html\ bestimmt, deren Namen mit "Err" anfangen.

Im Ordner Proxomitron\html\Errors\ befinden sich mehrere Unterordner, die jeweils ein alternatives Meldungsdesign enthalten, das anstelle des standardmäßigen benutzt werden kann.

Um das Design zu wechseln, muss jeweils der komplette Inhalt eines der Unterordner in den HTMl-Ordner kopiert (nicht verschoben!) und die vorhandenen Dateien dabei ersetzt werden. Es ist nicht nötig, die vorhandenen Dateien vorher zu sichern, weil das Standard-Design immer einem der in den Unterordnern enthaltenen entspricht.

Damit die Änderung wirksam wird, muss evtl. der Browsercache manuell geleert werden.

Probleme und Lösungen

Probleme beim Rollen mit dem Mausrad in Proxomitron-Fenstern

Die Fenster mit den Header- und Seiten-Filtern reagieren ziemlich eigenwillig, wenn man versucht, mit dem Mausrad darin zu rollen. Mal reagieren sie verzögert und mal springt die Listenansicht unkontrolliert auf und ab.

Hintergrund

Beide Fenster sind technisch gesehen Listen. Windows 2000 und Windows XP bieten die Möglichkeit, solche Listen mit einem weichen "Anfahr- und Bremseffekt" auszustatten. Bei einigen Mäusen bzw. Maustreibern führt dieser Effekt dazu, dass sehr lange Listen kaum noch bedienbar sind, weil sie zeitverzögert rollen oder springen.

Lösung

Bildschirmfoto von TweakUI unter Windows 2000

Unter Windows 2000 kann man die Listenanimation mit Hilfe des Programms "Tweak UI" deaktivieren.

Tweak UI für Windows 2000:


Bildschirmfoto aus der Systemsteuerung von Windows XP

Unter Windows XP lässt sich die Einstellung mit Bordmitteln ändern:

Systemsteuerug --> System --> Erweitert --> Systemleistung - Einstellungen --> Leistungsoptionen --> "Optimierten Bildlauf für Listenfelder verwenden"


Bildschirmfoto aus der Systemsteuerung von Windows Vista

Unter Windows Vista ist die Einstellung natürlich auch verfügbar. Im gleichen Fenster (mit der gleichen fragwürdigen Platzaufteilung):

Systemsteuerug --> System --> Erweiterte Systemeinstellungen --> Erweitert --> Leistung - Einstellungen --> Leistungsoptionen --> "Optimierten Bildlauf für Listenfelder verwenden"

Eine Sache ist allerdings gegenüber Windows XP anders geworden:

Wenn man das Fenster "Leistungsoptionen" über den langen Weg durch die Systemsteuerung öffnen will, muss man eine Sicherheitsabfrage der Benutzerkontensteuerung bestätigen. Dadurch läuft das danach erscheinende Einstellungsfenster nicht mehr unter dem aktuellen Benutzerkonto, sondern unter dem im Benutzerkontensteuerungssicherheitsabfragefenster ausgewählten Administratorkonto.

Das hat zur Folge, dass Änderungen an benutzerabhängig gespeicherten Einstellungen – und hier geht es um eine benutzerabhängig gespeicherte Einstellung – für das Konto des angemeldeten Benutzers nicht mehr dauerhaft gespeichert werden.

Zum Glück kann man das Einstellungsfenster auch über einen anderen Weg aufrufen:
C:\Windows\System32\SystemPropertiesPerformance.exe

Nach Aufruf dieses Programmes erscheint das Einstellungsfenster ohne Benutzerkontensteuerungsabfrage und alle darin getätigten Einstellungen bleiben auch sofort dauerhaft erhalten.


Problem: Test externer Proxies funktioniert nicht richtig

Die Funktion zum Testen externer Proxies funktioniert nicht richtig.

Lösung

Die Testfunktion für externe Proxies arbeitet mit einer Art Messschleife. Proxomitron startet einen Test-Webserver auf Port 7734 und versucht dann, über den zu testenden externen Proxy auf diesen Test-Webserver zuzugreifen. Dadurch hat Proxomitron beide Enden der Verbindung unter Kontrolle und kann testen, ob der Proxy korrekt arbeitet.
Dieser Vorgang kann durch verschiedene Faktoren gestört werden:

  • Eine Firewallsoftware könnte die aus dem Internet kommenden Verbindungsversuche auf Port 7734 blockieren.
    Port 7734 muss deshalb für eingehende Verbindungen freigeschaltet sein.
  • Wenn der Internetzugang über einen DSL-Router oder über ein Kabelmodem mit NAT-Funktion läuft, dann kann Proxomitron deine aus dem Internet erreichbare IP-Adresse nicht erkennen. Der Proxytest versucht dann, über den externen Proxy auf deine LAN-IP-Adresse zuzugreifen, was natürlich nicht funktioniert. Im Logfenster erscheint dann eine Meldung wie:
    Testing www-proxy.t-online.de:80
    Waiting for remote proxy's reply
    Proxy test Failed!
     >HTTP/1.1 504 Proxy Error: Unable to connect to remote host "192.168.0.1:7734" or host not responding - URL "http://192.168.0.1:7734/", errno: 78
    Ending proxy test

    Für den Proxytest muss das jeweilige Testprogramm die IP-Adresse kennen, mit der dein Computer aus dem Internet erreichbar ist. Sobald die Verbindung über einen Router mit NAT-Funktion läuft, ist diese Adresse deinem Computer aber nicht mehr bekannt. Er sieht statt dessen nur noch die IP-Adresse, die ihm innerhalb des lokalen Netzwerkes zugewiesen worden ist.

    Spezialprogramme wie Multiproxy bieten dem Benutzer allerdings die Möglichkeit, seine aktuelle externe IP-Adresse manuell anzugeben. Zusätzlich muss der in Multiproxy eingestellte Test-Port in der Konfiguration des Routers für eingehende Verbindungen freigeschaltet sein.
  • Der zu testende externe Proxy könnte auf Verbindungen zu bestimmten Zielports beschränkt sein. Proxomitrons Test-Webserver läuft grundsätzlich auf Port 7734. Manche HTTP-Proxies sind allerdings so konfiguriert, dass sie nur Verbindungen zu Webservern auf Port 80 zulassen.
    Auch in diesem Fall ist meine Empfehlung, für die Proxytests ein Spezialprogramm zu benutzen. Bei Programmen wie Multiproxy ist der Test-Port frei einstellbar.

Problem: Testseiten zeigen IP-Adresse trotz Proxomitron

Obwohl Proxomitron arbeitet, wird auf Sicherheits-Testseiten meine echte IP-Adresse angezeigt.

Lösung

Die IP-Adresse ist ein grundlegender Bestandteil der Datenübertragung im Internet. Damit der Server die angeforderten Daten an dich senden kann, muss er deine IP-Adresse kennen. Kennt er sie nicht, kann er dir keine Daten senden.

Es gibt verschiedene Möglichkeiten, wie eine Webseite deine IP-Adresse ermitteln kann. Im einfachsten Fall wird einfach der Server gefragt, von welcher Adresse der Seitenaufruf kam.

Die einzige Möglichkeit, deine IP-Adresse vor dem Webserver zu verbergen ist, zwischen dich und den Server einen Proxy-Server zu schalten. Dieser Proxy ruft dann in deinem Auftrag die Daten vom Server ab und sendet sie an dich weiter. Aus Sicht des Servers ist dann der Proxy-Server der Benutzer und er sieht auch nur dessen IP-Adresse.

Wenn du also nicht möchtest, dass der kontaktierte Webserver deine IP-Adresse erfährt, dann musst du deine Daten über einen anonymisierenden Proxyserver leiten. Solche Proxies werden in Proxomitron mit der Funktion "Externe Proxies" behandelt und müssen auch dort eingetragen werden.

Es gibt automatisch erzeugte Proxylisten, in denen man solche Proxies finden kann. Ich habe hier einige davon verlinkt.

Du solltest aber bei der Auswahl des Proxys vorsichtig sein. Nicht jeder Proxy wirkt anonymisierend. Viele teilen dem Webserver über eine spezielle Headerzeile die IP-Adresse des Clients mit.

Benutzern die regelmäßig über anonymisierende Proxies surfen wollen, empfehle ich daher die Benutzung eines speziellen Proxy-Verwaltungsprogramms. Bekannt sind z.B. "A4Proxy" und "Multiproxy". Diese Programme lassen sich in der Regel problemlos mit Proxomitron kaskadieren und bieten nützliche Funktionen, wie automatische Aktualisierung der Proxyliste und automatische Prüfung, ob ein Proxy wirklich anonymisierend wirkt.

Problem: Webseiten nur noch als Quelltext sichtbar

Alle Webseiten erscheinen nur noch als bunt eingefärbter Quelltext im Browser. Immer wieder tauchen rote Zeilen mit dem Wort "match" und einem Filternamen auf.

Lösung

Du hast im Logfenster die Option "Debug-Ansicht im Browser" aktiviert. Proxomitron zeigt dir in dieser Einstellung, wo und wie die einzelnen Filter den Seitenquelltext verändern.

Problem: Unerklärliche Verbindungen

Meine Firewallsoftware zeigt an, dass Proxomitron Verbindungen aufbaut, ohne dass ich eine Webseite im Browser aufgerufen habe.

Lösung

Die wahrscheinlichste Ursache dafür ist, dass irgend ein Programm in deinem System versucht, diese Verbindungen aufzubauen. Sehr viele Programme die über HTTP kommunizieren, übernehmen bei der Installation automatisch die Proxy-Einstellung des Internet Explorer. Wenn dieser so konfiguriert ist, dass er Proxomitron benutzt, dann tun die anderen Programme das auch.

Problem: Testseiten unterlaufen anonymisierenden Proxy

Obwohl Proxomitron arbeitet und ich einen anonymisierenden Proxy benutze, wird auf Sicherheits-Testseiten meine echte IP-Adresse angezeigt.

Lösung

Neben der oben beschriebenen Methode, gibt es noch die Möglichkeit, deine IP-Adresse direkt vom Browser abzufragen. Mit Java, Active-X und anderen Browsererweiterungen ist es ganz einfach, die momentane IP-Adresse des Benutzers abzufragen.

Die üblichen Testseiten setzen Java-Applets ein, die die Adresse direkt beim Benutzer anzeigen. Es ist aber auch ohne weiteres möglich, dass ein Applet die ermittelten Informationen versendet.

JavaScript lässt sich mit Proxomitron sehr gut beeinflussen. Java-Applets kann man aber leider nicht gezielt filtern. Du kannst Java höchstens komplett ausschalten oder einen Filter benutzen, der Java-Applets nur auf bestimmten Webseiten zulässt und auf allen anderen deaktiviert.

Frage: Java-Applets filtern

Wie kann ich Java-Applets per Filter verändern?

Antwort

Es geht leider nicht.
Damit Proxomitron Inhalte verändern kann, müssen sie im Quelltext vorliegen. Bei HTML-Seiten und JavaScript ist das gegeben. Java-Applets und die meisten Datentypen die über Plugins angezeigt werden, liegen jedoch in binärer Form vor und können deshalb nicht bearbeitet werden.

Um vor lästigen Java-Applets sicher zu sein, genügt es normalerweise, den Filter Java: Nur auf bestimmten Seiten Java-Applets zulassen [MB] zu benutzen und für die wenigen Webseiten, auf denen Java-Applets erlaubt sein sollen, eine Ausnahmeregel anzulegen.

Frage: Active-X filtern

Wie kann ich mich vor schädlichen Active-X-Programmen schützen?

Antwort

Kaum.

Active-X ist eine reine Microsoft-Technologie und besitzt als solche auch kein wirksames Sicherheitskonzept. Active-X besitzt keinerlei Möglichkeiten zur Einschränkung oder Kontrolle der ausgeführten Programme. Anders als Java-Applets, laufen Active-X Programme völlig unkontrolliert. Ein Active-X Programm besitzt auf deinem PC die selben Rechte und Möglichkeiten wie jedes andere Programm, das du bei dir startest.

Das Active-X Sicherheitskonzept – sofern man es so nennen kann – besteht lediglich aus der Abfrage einer digitalen Signatur, die den Urheber des Active-X Programms identifiziert. Eine solche Signatur kann sich jeder ausstellen lassen. Sie sagt nichts darüber aus, ob ein Programm unerwünschte Aktionen ausführt oder nicht.

Bei 0190-Dialern handelt es sich z.B. in den meisten Fällen um signierte Active-X Programme. Da Dialer prinzipiell nicht illegal sind, haben die Anbieter auch keine Probleme damit, sie zu signieren. Internet Explorer vertraut solchen signierten Programmen und ermöglicht so – je nach Version und Konfiguration – das unsichtbare Herunterladen und Installieren der Software.

Als Schutz vor schädlichen Active-X Programmen bleibt nur die Möglichkeit, Active-X vollständig auszuschalten oder einen anderen Browser zu benutzen. Es ist in diesem Fall egal, welchen Browser du benutzt, solange es nicht der Internet Explorer oder ein IE-Frontend wie Netcaptor oder Maxthon ist. Active-X ist eine reine Microsoft-Technologie und wird von keinem anderen Browser unterstützt.

© Michael Bürschgens <website@proxomitron.de>