Update 20.12.2023: Wir haben heute eBlockerOS 3 mit IPv6 veröffentlicht. Der folgende Artikel ist daher nicht mehr aktuell.
Für die nächste große Entwicklungsstufe von eBlockerOS haben wir die Wünsche unserer Community analysiert, priorisiert und in einer Roadmap zusammengefasst.
Roadmap zu eBlockerOS 3
Ursprünglich hatten wir geplant, die Entwicklung von eBlockerOS 3 mit freiberuflichen Entwicklern zu beschleunigen, die wir für ihre Vollzeit-Implementierungsleistungen bezahlen. Die finanziellen Mittel hierzu wollten wir über eine neue Crowdfunding Kampagne einwerben. Leider wird es aber kurzfristig keine Crowdfunding Kampagne geben, so dass die Feature-Entwicklung alleine mit dem Engagement der ehrenamtlichen Unterstützer voraussichtlich nur langsam vorankommen wird. Mehr dazu unten im Abschnitt „Änderungen vorbehalten“.
Advanced Ad-Blocker & Cookie-Banner Blocker
Heute blockt eBlocker alle Aufrufe zu datensammelnden Diensten. Dabei werden auch die meisten Werbebanner und andere Elemente dritter Anbieter blockiert, so dass Webseiten fast frei von Werbung sind. Es kann aber vorkommen, dass Werbung durch die besuchte Website selbst – also nicht von einem Dritten wie beispielsweise Google oder andere Werbe-Server – ausgeliefert wird.
Gleiches gilt für sogenannte Consent- bzw. Cookie-Banner, die heute ebenfalls fast vollständig verschwinden, wenn der Cookie-Banner Filter im eBlocker eingeschaltet ist. Jedoch können direkt in der Website integrierte Banner technisch nicht blockiert werden.
Damit sowohl Werbung als auch Cookie-Banner vollständig verschwinden, kann man diese – selbst wenn sie direkt von der besuchten Website geladen wurden – im Browser durch sogenanntes „Element hiding“ unterdrücken. Die Elemente werden dann nicht angezeigt, obwohl sie geladen wurden. Für eBlockerOS 3 planen wir genau dieses Element hiding zu implementieren und so für ein noch ungestörteres Surf-Erlebnis zu sorgen.
Update: Das Feature haben wir in einer ersten Version bereits in eBlockerOS 2.8 inkl. dem häufig gewünschten YouTube Ad-Blocker implementiert.
Fingerprinting erschweren, Anonymität weiter verbessern
Der eBlocker kann heute bereits das Endgerät tarnen und der besuchten Website ein anderes Gerät durch sogenanntes „Cloaking“ vorspiegeln. Dabei wird technisch der User Agent im http-Request ersetzt. Diese Ersetzung ist heute statisch, dass heißt der User Agent ist fest für den jeweils gewählten Gerätetyp, auch wenn er quartalsweise von uns aktualisiert wird. Damit erscheint ein beispielsweise als Linux-Rechner getarntes Gerät aller eBlocker Nutzer, die eine Tarnung als Linux-Rechner gewählt haben, für die Website als wäre es ein und dasselbe Gerät.
Diese Art der Tarnung kann weiter verbessert werden, indem kein statischer, fester User Agent verwendet wird, sondern ein User Agent, der sich von Aufruf zu Aufruf unterscheidet und variiert. Damit wird eine Wiedererkennung und ein Fingerprinting des Nutzers bei eingeschalteter Gerätetarnung noch weiter erschwert.
Intelligente Behandlung neuer Netzwerk-Geräte
eBlocker bietet heute umfangreiche Schutzeinstellungen für bereits im Netzwerk bekannte Geräte. Jedoch könnte beispielsweise der Jugendschutz- oder andere Filter „aus Versehen“ ausgehebelt werden, wenn Freunde des Kindes eigene Geräte mit dem Netzwerk verbinden. Diese Geräte wären nicht per se gefiltert, falls der eBlocker nicht optimal konfiguriert wurde. Eltern würden dann diese neuen Geräte später, wenn sie wieder aus dem Netz entfernt wurden, eventuell gar nicht erkennen.
Um dies zu verhindern, ist eine intelligente, automatisierte Behandlung neuer Geräte geplant. Damit wird der eBlocker Administrator beim Verbinden eines neuen Gerätes automatisch informiert und es können auch Filter-Vorgaben für neue Geräte festgelegt werden. Beispielsweise kann so verhindert werden, dass ein neues Gerät überhaupt ins Internet kann oder erzwungen werden, dass stets bestimmte Jugendschutz, Malware oder sonstige Filter angewendet werden. Zudem behält der Administrator leichter den Überblick, welche Geräte mit dem Netzwerk neu verbunden wurden und kann so auch „ungewünschte Eindringlinge“ im Netzwerk erkennen.
Verbesserter Domain Name Service der DNS-Firewall
Die heutige DNS-Firewall ist bereits sehr flexibel und beherrscht das Standard DNS-Protokoll zur Auflösung von Domainnamen zu IP-Adressen. Zudem ist eine „Round-Robin“ Verteilung der DNS-Anfragen über verschiedene DNS-Provider sowie ein Routing von DNS-Anfragen über das Tor-Netzwerk problemlos möglich.
Zusätzlich zu diesen Funktionen sollen in eBlockerOS 3 auch neue DNS-Protokolle implementiert werden, die sich derzeit langsam am Markt etablieren:
- DoH (DNS over HTTPS), mit dem DNS-Anfragen per HTTPS-Standard verschlüsselt werden.
- DNSSEC (Domain Name System Security Extensions), mit dem das Fälschen von DNS-Antworten verhindert werden kann.
Beide Protokolle haben letztlich sehr ähnliche Vorteile und bei der Detailplanung werden wir entscheiden, welches der Protokolle wir priorisiert implementieren.
Advanced Personal Device Firewall
Mit eBlockerOS 2.7 wird eine erste Version der Personal Device Firewall erscheinen, mit der man individuell die vom Gerät kontaktierten Domains erkennen und blockieren kann.
Nach dieser ersten Version planen wir für eBlockerOS 3 bereits einige Erweiterungen wie beispielsweise eine grafische Darstellung der Domainaufrufe im zeitlichen Verlauf, eine geografische Analyse der aufgerufenen Domains sowie erweiterte Blockier-Möglichkeiten wie eine Blockierung von bestimmten Ländern. Darüber hinaus ist eine genauere Darstellung geplant, welche der eBlocker Filter-Regeln bestimmte URLs und Domains geblockt haben, so dass insbesondere „Power-User“ mehr Transparenz und Flexibilität erhalten.
Update: Das Feature haben wir bereits in eBlockerOS 2.7 vollständig implementiert.
IPv6 Unterstützung
Der bisherige Internet-Standard basiert auf dem IPv4 Protokoll, der heute auch im eBlocker implementiert ist. Die nächste Generation des Internet Protokolls IPv6 dringt langsam auch in private Heimnetze vor. Auch wenn IPv6 nur Nachteile für den Schutz der Privatsphäre hat und besser nicht aktiviert werden sollte, lässt sich das neue Protokoll bei einigen Heimnetzgeräte nicht oder nur mit technischem Aufwand deaktivieren.
Wir planen daher eBlocker auch für die Unterstützung von IPv6 umzustellen, um Nutzern, die IPv6 nicht abschalten können einen genauso umfassenden Schutz wie bei IPv4 bieten zu können.
Update: Den aktuellen Fortschritt der IPv6 Implementierung haben wir hier dokumentiert.
„Änderungen vorbehalten“
Die oben geschilderte Roadmap ist eine Zusammenfassung, die wir im Team festgelegt haben. Am Ende des Tages wird die konkrete Umsetzung von Entwicklern gemacht, die entweder ehrenamtlich oder auf Honorarbasis die Features implementieren. Die ehrenamtlichen Entwickler entscheiden selbst, ob und welche Punkte sie in welcher Geschwindigkeit entwickeln möchten. Eine genaue Priorisierung und zeitliche Eingrenzung von Entwicklungstätigkeiten können wir nur bei Freiberuflern erreichen, die wir für ihre Leistungen bezahlen. Wann also welches Feature genau kommt, hängt im Wesentlichen auch davon ab, ob wir weitere Feature-Förderer wie die DEVK-Versicherungen finden. Natürlich kann es dadurch auch immer Änderungen und neue Ideen geben, die ein Entwickler implementiert oder ein Förderer sich wünscht.
Entwickler, Sponsoren und Förderer gesucht
Du bist selbst Entwickler, kennst mögliche Feature-Sponsoren oder Förderer oder kannst anderweitig zur schnelleren Entwicklung der Features beitragen?
Dann freuen wir uns sehr auf deine Kontaktaufnahme: partner@eBlocker.org
