Als Webbrowser wird Firefox der Mozilla Foundation eingesetzt.

Verwendet man den Webbrowser ohne Privoxy (oder einen anderen lokalen Proxy) wird der Webbrowser manuell wie im Kapitel Tor Namensauflösung bei Internetanwendungen mit SOCKS eingestellt.

Wird Privoxy (oder ein anderer lokaler Proxy) zusammen mit Tor verwendet, werden die Verbindungsoptionen – über Menü Extras / Einstellungen / Erweitert / Netzwerk / Verbindung / Einstellungen – wie folgt angepasst:

Abgebildet ist der Standardport 8118, den Privoxy verwendet. Für andere Proxyanwendungen muss deren Port eingetragen werden.

Mit den Einstellungen ist keine Nutzung von FTP mit dem Webbrowser möglich, aber es wird auch die Möglichkeit unterbunden, dass Inhalte, die in Webseiten über FTP URLs (ftp://...) verlinkt sind, unter Umgehung von Tor direkt von Zielrechnern angefordert werden können.

Die Einstellungen sollten für alle Webbrowser vorgenommen werden, die auf dem System installiert sind. Besonders für Windows Benutzer ist es wichtig, die gleichen Einstellungen in den Internetoptionen des Internet Explorers vorzunehmen, auch wenn ein anderer Webbrowser verwendet wird, da einige Internetanwendungen (wie z. B. auch Google Earth) den Internet Explorer im Hintergrund nutzen.

Gleiches gilt generell für alle Internetanwendungen, die Verbindungen zum Internet über das HTTP(S) Protokoll aufnehmen.

Zu kontrollieren sind auch diverse Plug-ins und Erweiterungen für Webbrowser, die Verbindungseinstellungen der Webbrowser missachten oder eigene Verbindungseinstellungen aufweisen können. Deshalb sollte generell ein Webbrowser nur mit der minimalen Anzahl an Plug-Ins und Erweiterungen betrieben werden.

Ein Proxy bzw. Tor sollte nicht bei denjenigen Adressen verwendet werden, zu denen Kontendaten (Benutzernamen, Passwörter) ohne SSL/TLS Verschlüsselung (https://...) übertragen werden, da in diesem Fall der Versand der Kontendaten im Klartext stattfindet und deshalb die Kontendaten von böswilligen Tor Ausgangsrouter Betreibern mitprotokolliert werden können.

Auch bei Nutzung verschlüsselter HTTP Verbindungen ist eine Prüfung des Zertifikats bzw. Warnmeldungen des Webbrowser zu beachten (siehe dazu auch die Ausführungen zu Phase 4 des verschlüsselten Versands über die anonyme Tor Verbindungskette).

Alternativ zur direkten Konfiguration über die Verbindungseinstellungen des Webbrowsers können mit dem Firefox Webbrowser Proxy Erweiterungen genutzt werden. Die Vorteile: Leichter und schneller Zugriff auf Verbindungseinstellungen, flexible Nutzung von Tor oder anderen Proxys, wenn die Erweiterung Verbindungs- bzw. Proxyprofile anbietet.

Die Bedienung des Torbuttons gestaltet sich denkbar einfach. Nach der Installation erscheint in der Firefox Statusleiste ein Torbutton Icon (wahlweise ein Texteintrag), über dessen Anklicken die Nutzung von Tor an- bzw. abgeschaltet wird:

Über das Kontextmenü des Torbutton Icons wird das Fenster mit den Torbutton Optionen aufgerufen. Die Abbildung zeigt die Torbutton Entwicklerversion 1.1.5 v. 17.07.2007.

Über die Karteireiter kann eine Vielzahl zusätzlicher Sicherheitsmechanismen aktiviert werden, die man sonst über weitere Erweiterungen und manuelle Änderung der Firefox Konfiguration realisieren muss. Viele der Mechanismen werden je nachdem, ob die Tor Nutzung gerade aktiv ist oder nicht, an- oder abgeschaltet.

Die Torbutton aktiviert bei aktuellen Mozilla Programmen gleichzeitig automatisch die anonyme Namensauflösung per SOCKS Proxy für Tor in den Mozilla Programmen Firefox und Thunderbird.

• Torbutton Homepage
• Mozilla Add-ons: Torbutton Homepage

Mit der FoxyProxy Erweiterung können verschiedene Proxyprofile angelegt werden, die entweder automatisch vom Webbrowser oder manuell durch den Benutzer genutzt werden.

Man kann zum Beispiel parallel ein Profil für die Nutzung von Tor (mit Privoxy), ein Profil für die Nutzung eines anderen Anonymisierungsdienstes, ein Profil für die Nutzung des Web-Proxys des Internetproviders und ein Profil für die direkte Kommunikation ohne Proxys (bereits enthalten) anlegen.

Die "automatische" Nutzung eines Proxyprofils für bestimmte Zieladressen wird durch die Definition von Adressmustern mit Platzhalterzeichen (Wildcards) oder Regulären Ausdrücken erreicht, wobei eine Gruppe von Adressen einem Proxyprofil zugeordnet sind. Trifft ein Muster zu, wählt FoxyProxy automatisch das entsprechende Proxyprofil und damit den passenden Proxy aus, über den der Datenverkehr abgewickelt werden soll.

FoxyProxy "Fuchskopf" Icon in der Firefox Statuszeile mit vier Proxyprofilen im Kontextmenü.

Alternativ kann der Benutzer fallweise über das Kontextmenü von FoxyProxy manuell auf ein Proxyprofil umschalten, das so lange für alle Verbindungen des Webbrowser verwendet wird, wie die Umschaltung aktiv bleibt.

Mit der Nutzung von FoxyProxy erübrigt sich das Einpflegen von Weiterleitungsregeln und Adressen in die Privoxy Konfigurationsdatei, stattdessen werden sie in die Proxyprofile von FoxyProxy eingesetzt.

Das Hauptfenster von FoxyProxy für die Konfiguration, das sich öffnet, wenn das FoxyProxy Icon angeklickt wird.

Der Modus bestimmt, wann FoxyProxy die Proxys verwendet. Wenn der festgelegte Modus Verwende Proxies entsprechend ihrer konfigurierten Muster und Prioritäten aktiv ist, wird der obige Muster-Automatismus verwendet. Mit dem Modus Verwende Proxy NAME für alle URLs wird ein bestimmter Proxy für alle Adressen verwendet und mit dem Deaktiviere FoxyProxy vollständig Modus kein Proxy. Zwischen den Modi kann auch im Browserfenster über das Seitenkontextmenü oder das Kontextmenü des FoxyProxy Icon in der Statuszeile hin und her gewechselt werden.

Der letzte Proxyeintrag nimmt die Verbindungskonfiguration auf, die für alle Adressen gilt, für die es kein entsprechendes Muster bei einem anderen Proxy gibt. Zum Beispiel kann in der Verbindungseinstellung der "Direkte Verbindung" aktivieren werden.

Nach Anklicken des Buttons Neuer Proxy wird ein Name vergeben, der im FoxyProxy Kontextmenü und eine Beschreibung vergeben, die im FoxyProxy Hauptfenster erscheint.



Hier werden die Adress- und Portdaten zum Proxy hinterlegt. Im obigen Beispiel für Privoxy (mit Weiterleitung an Tor). Wird Tor direkt ohne Privoxy benutzt, kann man entweder über das Menü Datei den Assistenten zur Einrichtung von FoxyProxy mit Tor ausführen oder man aktiviert an dieser Stelle SOCKS-Proxy - SOCKS v5 und trägt 127.0.0.1 mit 9050 als Portnummer ein.



Im Muster-Fenster sind alle Adressmuster hinterlegt, die den Gebrauch des Proxy steuern. Auch hier gilt wie bei Privoxy, dass das zuletzt zutreffende Muster ausschlaggebend ist. Ganz oben steht ein Adressmuster, das besagt, dass für alle Adressen dieser Proxy verwendet werden soll – also generell Privoxy mit Tor.

Darunter stehen zwei Muster, von denen eines wie das erste Muster als Regulärer Ausdruck und das zweite mit Wildcard Platzhalterzeichen angelegt wurde. Während das erste Muster als generelle Regel als Whitelist gekennzeichnet ist, sind die beiden folgenden Muster als Blacklist gekennzeichnet, um sie vom Gebrauch des Proxy auszuschließen – entweder, weil man einen anderen bzw. keinen Proxy verwenden oder die Adressen direkt ohne Proxy aufrufen möchte.



Über den Button Neues Muster wird ein Name und Adressmuster für einen Zielrechner eingetragen, darunter die entsprechenden Markierungen für Whitelist oder Blacklist und Regulärer Ausdruck oder Wildcard aktiviert. Das I-Symbol öffnet eine Kurzreferenz für Wildcard Muster. Für Reguläre Ausdrücke bedient sich FoxyProxy der Syntax für JavaScript 1.5.

Wenn eine Adresse mit der Blacklist Kennzeichnung in einer Proxy Konfiguration ausgenommen wurde und von einem anderen Proxy (im Beispiel oben JAP oder Arcor-Proxy) übernommen werden soll, muss das gleiche Adressmuster als Whitelist Eintrag in der anderen Proxy Konfiguration aufgenommen werden.

Das heißt, bei Eingabe einer URL im Adressfeld des Webbrowser gleicht FoxyProxy die Adresse mit den Mustern des ersten Proxy ab. Findet FoxyProxy keinen Blacklist Eintrag, werden die Daten dem ersten Proxy übergeben. Ist die Adresse als Blacklist Eintrag angelegt, wechselt FoxyProxy zum zweiten Proxy, vergleicht dort die Muster usw. Hat man die Mehrheit der verwendeten URLs einmal in FoxyProxy erfasst, regelt sich der Gebrauch von Tor, eines speziellen Proxy oder gar keines Proxy wie von selbst.

In der globalen Konfiguration muss man die Option SOCKS-Proxy für DNS-Lookups verwenden aktivieren, um für Firefox die anonyme Namensauflösung von Hostnamen über Tor zu garantieren, sofern man keine anonyme Namesauflösung auf Betriebssystemebene oder Privoxy als Proxy einsetzt.

Wenn man die transportable Version von Firefox für USB-Sticks verwendet, sollte man die enstprechende Option aktivieren. In diesem Fall ist es nicht möglich, den Speicherort der Datei foxyproxy.xml zu ändern, in der FoxyProxy alle Einstellungen und Muster speichert und die bei der transportablen Firefox Version immer im Firefox Profilverzeichnis liegen muss.

Anmerkung: Die FAQ zu TorButton enthält eine unfaire Warnung vor FoxyProxy, vermutlich aus kleinlichem Konkurrenzdenken heraus, weil die TorButton Entwickler unterstellen, dass man mit FoxyProxy kein Muster benutzt, das erst einmal alle Anfragen über Tor leitet, sondern nur selektiv für einzelne URLs und FoxyProxy weitere Schwachstellen nicht verhindert wie TorButton, wozu FoxyProxy auch nicht gedacht ist, aber die Schutzfunktionen von TorButton durch die Kombination von FoxyProxy mit weiteren Sicherheitserweiterungen und auf Sicherheit ausgerichtete Browserkonfigurationen genauso erreicht werden können. Wenn die TorButton Entwickler in der Lage wären, ähnliche Filter- und Umschaltungsfunktionen wie FoxyProxy zu realisieren, wäre FoxyProxy in der Tat überflüssig.

• FoxyProxy Homepage
• Mozilla Add-ons: FoxyProxy

Für den Firefox Browser gibt es einige Erweiterungen, die zur Absicherung des Browser beitragen, die Benutzung von Tor unterstützen oder allgemein das Websurfen erleichtern.

Ältere Erweiterungen, die wegen neuer Firefoxversionen als inkompatibel ausgewiesen, aber dennoch lauffähig sind, können mit der Nightly Tester Tool Erweiterung wieder aktiviert werden.

• Adblock Plus
  
  Dient der Filterung bzw. Blockierung von Seiteninhalten, speziell verlinkten Werbeinhalten. Adblock kann als Ergänzung zum Filterproxy Privoxy dienen bzw. dessen Filterfunktionen übernehmen, wenn man Privoxy nur zur Weiterleitung an Tor nutzen will.
  Filterregeln werden mit Wildcards und Regular Expressions über das Adblock-Kontextmenü zum zu blockierenden Inhaltaufgenommen, wobei Adblock automatisch Angaben zur Quelladresse übernimmt.
  
  Mozilla Add-ons: Adblock Plus
  Adblock Plus Homepage
• Cache Status
  
  In einem Einstellungsfenster kann man die maximale Größe des Zwischenspeichers festlegen, die Firefox an Festplattenplatz und Arbeitsspeicher belegen darf. Der aktuelle Verbrauch der Zwischenspeicher wird grafisch in der Statuszeile angezeigt, über die auch die beiden Zwischenspeicher komplett oder selektiv gelöscht werden können. Alternativ kann man in den Einstellungen die automatische Löschung der zwischengespeicherten Daten bei Erreichen einer prozentualen Füllmenge aktivieren, so dass der Inhalt automatisch während einer längeren Browsersitzung ausgetauscht wird.
  
  Mozilla Add-ons: Cache Status
• Controle de Scripts und JavaScript Options
  
  Über die NoScript Erweiterung wird die Aktivierung von JavaScript selektiv zugelassen oder verweigert. Wird JavaScript für eine Website zugelassen, kann über die beiden Erweiterungen mit unterschiedlichem Umfang gesteuert werden, welche einzelnen JavaScript Berechtigungen und Ereignisse verweigert werden sollen. Beide Erweiterungen vergrößern den Umfang der JavaScript Funktionen, die man ansonsten in der erweiterten JavaScript Konfiguration in den Firefox Inhaltseinstellungen angezeigt bekommt.
  
  Die JavaScript Options Erweiterung wird nicht mehr weiterentwickelt, ist aber u. U. mit einer aktuellen Firefox Version weiterhin lauffähig.
  
  Mozilla-Add-ons: Control de Scripts
  Control de Scripts Homepage
  JavaScript Options Homepage
• CookieSafe
  
  Die Erweiterung legt ein einzelnes Icon in der Statuszeile an, über dessen Kontextmenüs das Management von Cookies durchgeführt wird, was auch bedeutet, dass ohne Eingriff des Benutzers kein Cookie unbemerkt auf dem eigenen Rechner gespeichert wird. Beim Besuch einer Website kann man über Mausklicks festlegen, ob die Website und fremde verlinkte Websites nur für den aktuellen Besuch Cookies setzen darf, ob immer Sitzungscookies oder permanente Cookies zugelassen oder gar keine Cookies angenommen werden. Welche Erlaubnis für eine Website besteht, wird durch das Icon grafisch angezeigt. Bei einer Änderung der Cookie-Rechte löst die Erweiterung dynamisch ein Neuladen der aktuellen Webseite aus. Außerdem kann man sich alle gespeicherten Cookies anzeigen lassen, löschen und exportieren.
  
  Mozilla Add-ons: CookieSafe
  CookieSafe Homepage
• CustomizeGoogle
  
  Die Erweiterung richtet sich an alle Internetnutzer, die Googles Suchmaschine oder weitere Dienste ausgiebig nutzen. Mit ihr können einige Mechanismen von Google neutralisiert werden, die auf die Vermarktung von Werbung durch Google ausgerichtet sind. Außerdem wird für einige Dienste die sichere SSL-Verbindung als Standard gesetzt und Funktionen deaktiviert, die der Verfolgung des Benutzerverhaltens, die Identifizierung des Google Nutzers und die Profilbildung durch Google dienen.
  
  Mozilla Add-ons: CustomizeGoogle
  CustomizeGoogle Homepage
• Tweak Network
  
  Die Erweiterung bietet die zwei vordefinierten Profile Default und Power, die abgestuft Funktionen und Optionen von Firefox aktivieren, die im Hintergund für einen schnelleren Empfang von Inhalten und schnelleren Seitenaufbau sorgen und damit zum Teil den aus verschiedenen Gründen langsameren Datenempfang über Tor kompensieren können. Statt der beiden Profile können auch die Werte für die Optionen network.http.max-connections, network.http.max-connections-per-server, network.http.max-persistent-connections-per-proxy, network.http.max-persistent-connections-per-server, network.http.pipelining.maxrequests und die Aktivierung des Pipelining manuell vorgenommen werden.
  
  Mozilla Add-ons: Tweak Network
  Tweak Network Homepage
• Flashblock
  
  Mit der Erweiterung werden generell alle Flash-, Shockwave und Authorware Inhalte in Webseiten blockiert und erst nachgeladen, wenn der Benutzer das Laden der Inhalte durch einen Klick auf ein Platzhaltersymbol auf der Webseite oder ein Icon in der Firefox Symbolleiste zulässt. Die NoScript Erweiterung blockiert ebenfalls Flash-Inhalte, so dass die Installation dieser Erweiterung nicht unbedingt nötig ist.
  
  Will man das Flash Player Plug-In nutzen, sollten zusätzlich die Optionen des Flash Players mit dem Flash Player Manager (JavaScript und Flash Aktivierung nötig) so restriktiv wie möglich gewählt werden.
  
  Die globalen Einstellungen werden in der Datei C:\Dokumente und Einstellungen\benutzer\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol gespeichert.
  
  Website-spezifische Einstellungen in settings.sol Dateien in Unterordnern des C:\Dokumente und Einstellungen\benutzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects und des obigen Verzeichnisses gespeichert.
  
  Mozilla Add-ons: Flashblock
  Flashblock Homepage
• BetterPrivacy
  
  Die BetterPrivacy Erweiterung deaktiviert die DOM Ablage (Einstellungsname dom.storage.enabled), über die Websites große Speicherobjekte abspeichern können, löscht beim Start von Firefox und in regelmäßigen Abständen LSO Flash "Cookies", die über das Flash-Plugin abgespeichert werden und verhindert das User-Tracking über Auswertung des Ping-Attributs (Einstellungsname browser.send_pings) für Anker-Elemente ("Links").
  
  Mozilla Add-ons: Better Privacy
  Better Privacy Homepage
• Layerblock
  
  Mit der Erweiterung können Anzeigefenster, die Werbetreibende über Layer einblenden, blockiert werden. Die Erweiterung legt ein Icon in der Statuszeile an, das mit einer zusätzlichen Textnachricht anzeigt, ob Layerwerbung blockiert wurde.
  
  Layerblock Homepage
• NoScript
  
  Viele und immer wieder neu auftretende Sicherheitslücken, die sich auch auf die Anonymität negativ auswirken können, resultieren aus der Art und Weise, wie Javascript und Java in Webseiten verwendet und vom Browser ausgewertet wird. Die NoScript Erweiterung sorgt dafür, dass vorab jede Ausführung von Java und Javascript (optional auch Flash und andere Plugins) unterbunden und nur für ausgewählte Websites temporär oder dauerhaft zugelassen wird. Das Aussehen des NoScript Icon in der Firefox Statuszeile zeigt dem Benutzer an, ob die Blockierfunktionen aktiv sind. Über das Kontextmenü können Adressen der Originalwebsite und der Websites, die Bestandteil der eingebundenen Skripte sind, temporär oder permanent einer Positivliste hinzugefügt werden, um die Blockierfunktionen aufzuheben.
  
  Mozilla Add-ons: NoScript
  NoScript Homepage
• RefControl
  
  Mit der RefControl Erweiterung kann man die Übermittlung des Referer Headers durch den Webbrowser manipulieren. Dessen Übertragung wird entweder ganz blockiert, er kann durch einen eigenen Header ersetzt werden (nicht empfehlenswert) oder es wird die Stammadresse der besuchten Website übertragen.
  
  Da der Referrer Header die URL der Seite enthält, von der die aktuell aufgerufene Seite über einen Link auf der Vorgängerseite aufgerufen wurde, können über die Protokollierung der Referrer auf den Webservern, Speicherung der Informationen in Cookies und Verknüpfung mit eindeutigen Identifizierungsmerkmalen Bewegungsprofile zu Besuchern angefertigt werden, was die Anonymität beeinträchtigt.
  
  Wenn Tor genutzt wird und der Webbrowser abgesichert wurde, ist dies auch der Fall, allerdings liegen dann nur anonyme Bewegungsprofile vor.
  
  Einzelne Websites verlangen z. B. aus Sicherheitsgründen die Übermittlung der realen Referrerinformationen, so dass für diese Websites Ausnahmen erforderlich sind, um den realen Referrer Header vom Webbrowser übertragen zu lassen. Auch das ist mit RefControl möglich.
  
  Mozilla Add-Ons: RefControl
  RefControl Homepage
• SafeCache
  
  Die Erweiterung wehrt Tracking-Methoden ab, die Angreifer über den Zugriff und das Auslesen des Zwischenspeichers anwenden.
  
  Mozilla Add-ons: SafeCache
  SafeCache Homepage
• SafeHistory
  
  Die Erweiterung wehrt Tracking-Methoden ab, die Angreifer über die Analyse besuchter Links bzw. der Browser-Chronik anwwenden.
  
  Mozilla Add-ons: SafeHistory
  SafeHistory Homepage
• Secure Login
  
  Die Erweiterung verwendet den eingebauten Passwort Manager von Firefox, über den man Website spezifische Log-in Daten (Benutzernamen und Passwörter) verschlüsselt abspeichern kann, verhindert aber, dass Log-in Daten automatisch eingetragen und abgesendet werden und den Diebstahl der Daten durch Log-in Formulare, die mit JavaScript Funktionen verbunden sind. Die Erweiterung legt ein Icon in der Firefox Statuszeile ab, in dessen Tooltip-Fenster die vorhandenen Konten bzw. Log-ins einer Website angezeigt werden und erst nach Bestätigung durch den Benutzer bzw. Auswahl eines Kontos, wenn mehrere Konten verfügbar sind, werden die Daten abgesendet und das – wenn möglich – direkt ohne Verwendung eines Log-in Formulars.
  
  Mozilla Add-ons: Secure Login
  Secure Login Homepage
  
  Master Password Timeout
  
  Der Zugang zu allen Passwörtern, die über den Passwort Manager eingetragen und von Firefox in einer Datenbankdatei gespeichert werden, ist durch ein Master-Passwort geschützt – wenn der Benutzer ein Master-Passwort vergibt. Mit der Erweiterung kann ein Zeitwert in Sekunden vergeben werden, nach dessen Ablauf die Datenbankdatei wieder geschützt/geschlossen wird und das Master-Passwort erneut angegeben werden muss, um Zugang zu den Passwörtern zu erhalten.
  
  Mozilla Add-ons: Master Password Timeout
  Master Password Timeout Homepage
  
  Eine höhere Sicherheit – auch bei zukünftigen Angriffen gegen den Passwort Manager – ist zu erreichen, wenn im Firefox Passwort Manager überhaupt keine Authentifizierungsdaten gespeichert werden, sondern in externen Passwort Managern. Einige Passwort Manager bieten ebenfalls Funktionen, um Authentifizierungsdaten automatisch in die richtigen Eingabefelder von Formularen zu übermitteln. Ein Beispiel ist der GNU GPL lizensierte und OSI zertifizierte KeePass Password Safe.
• TrackMeNot
  
  Primär ist die Erweiterung dazu gedacht, die Logdateien der Suchmaschinenbetreiber mit vorgetäuschten Suchanfragen zu "überfüttern", damit den Suchmaschinenbetreibern erschwert wird, die Daten per Data-Ming so auszuwerten, dass sie einem Nutzer / einer Person zuzuordnen sind bzw. soll die "eine reale Suchanfrage" in der Masse der vorgetäuschten Suchanfragen untergehen. Dazu sendet die Erweiterung an die Suchmaschinen von AOL, MSN, Yahoo und Google im Hintergrund in Abständen Suchanfragen mit zufällig zusammengestellten Wortkombinationen.
  
  Wenn man Suchmaschinen durch Tor und einen abgesicherten Webbrowser (ohne Cookies, JavaScript, Kontennutzung usw. für die Suchmaschinenseiten) bedient, ist es einem Suchmaschinenbetreiber generell nicht möglich, personalisierte Profile zu erstellen, aber da der Traffic, den die Erweiterung erzeugt, ebenfalls durch das Tor Netz geleitet wird, trägt man mit dem Gebrauch der Erweiterung dazu bei, dass quasi auch im Tor Netzwerk "Dummy-Traffic" erzeugt wird, der eine Methode einiger Anonymisierungplattformen ist, um Traffic-Analysen zu erschweren, die zur Einschränkung bzw. Aufhebung der Anonymisierung führen können. Zusätzlich dient man dem obigen Zweck.
  
  Mozilla Add-ons: TrackMeNot
  TrackMeNot Homepage
• User Agent Switcher
  
  Die Erweiterung ist auf die Manipulation des User Agent Headers (HTTP_USER_AGENT) spezialisiert. Nach der Installation kann man die Angaben entweder über das Extras Menü oder über ein Icon in der Symbolleiste wechseln. Die Erweiterung enthält bereits ein paar vorkonfigurierte Beispiel-Header, eigene Header können manuell hinzugefügrt oder über eine Datei importiert werden.
  
  Anmerkung:
  
  Wenn in der erweiterten Firefox Konfiguration (über about:config im Adresseingabefeld) der Einstellungsname useragentswitcher.reset.onclose auf den Wert false gesetzt wird, kann bei Verwendung bestimmter Versionen des Sun Java Plug-ins verhindert werden, dass der einmal gewählte User Agent nicht jedesmal zurückgesetzt wird, wenn Firefox geschlossen wird, d. h. der gewählte User Agent bleibt über die Browsersitzungen hinweg der Gleiche.
  
  Sollte es einmal zu Startproblemen beim Gebrauch der Erweiterung kommen, löscht man in der prefs.js Datei im Profilverzeichnis die Zeile, die general.useragent.override enthält.
  
  Mozilla Add-ons: User Agent Switcher
  User Agent Switcher Homepage

Als Teil der Kommunikation per HTTP werden von Anwendungen wie Webbrowsern zusätzliche Angaben in "Kopfzeilen" (Header) übertragen, die ebenfalls zu einer Einschränkung der Anonymität bzw. zur Identifizierung eines bestimmten Clients beitragen können. Browsererweiterungen oder Proxyprogramme können eigene Header erzeugen und zusätzlich übertragen. Die Gesamtheit aller Angaben kann dann eine für einen Benutzer spezifische Ansammlung von Einzelinformationen ergeben, die zur Identifizierung beiträgt.

Bei der Benutzung von Webbrowsern und Proxys sind dies vor allem die Header, die Angaben zur bevorzugten Sprache, dem verwendeten Browser, dem Betriebssystem oder Verwendung eines Proxys enthalten:

Um zu verhindern, dass diese Angaben für einen Benutzer spezifisch sind, gibt es verschiedene Ansätze, die auf eine Manipulation der Angaben hinauslaufen. Bei allen Ansätzen ist Grundvoraussetzung, dass entweder eine genügend große Menge an Benutzern die gleichen Angaben aufweisen oder sich bei einer genügend großen Menge an Benutzern die Angaben ständig (d. h. pro Besuch einer Site) ändern.

Im Fall des verwendeten Betriebssystems und der verwendeten Betriebssystemsversion kann durch Vortäuschung eines anderen Betriebssystems erreicht werden, dass Angriffe über die Ausnutzung browser- oder betriebssystemspezifischer Schwachstellen ins Leere laufen, wenn der Angriff über den Abruf von Daten per HTTP erfolgt und der Angreifer dazu die Angaben des verwendeten Browsers und Betriebssystems auswertet. Setzt aber voraus, dass man ebenfalls über die existierenden Schwachstellen des vorgetäuschten Betriebssystems informiert ist.

Für die Änderung der Zeichensatz- und Sprachwerte der HTTP_ACCEPT_CHARSET und HTTP_ACCEPT_LANGUAGE Kopfzeilen, um zum Beispiel vorzutäuschen, dass man vermutlich kein Deutscher ist, der sich eventuell in Deutschland aufhält, geht man bei Firefox so vor:

1. Menü Extras / Einstellungen
2. Inhalt / Schriftart & Farben / Erweitert / Zeichenkodierung ändert den HTTP_ACCEPT_CHARSET Header
3. Erweitert / Allgemein / Sprachen / Sprachen bearbeiten ändert den HTTP_ACCEPT_LANGUAGE Header

Für die Änderung des HTTP_USER_AGENT Headers, also der Werte für die Firefoxversion, das Betriebssystem und der Sprachversion installiert man die User Agent Switcher Erweiterung.

Wie der aktuelle User Agent Header des eigenen Browsers ausschaut und woraus er zusammengesetzt ist, bekommt man auf der Seite UserAgentStrings angezeigt. User Agent Zeichenketten für verschiedene Browser mit unterschiedlichen Betriebssystemen kann man in den Listen von User-Agents nachschlagen, bei UserAgentStrings für den Firefox auf einer eigenen Seite.

Für die permanente Änderung des User Agent gibt es das Firefox-User-Agent-Generator Perlscript von Fabian Keil, für dessen Nutzung Kurzanleitungen zur Inbetriebnahme unter *nix und Windows bereitstehen.

Es ist empfehlenswert, von ausgedachten User Agent Angaben Abstand zu nehmen, weil gerade ein einmaliger User Agent zu einem eindeutigen Merkmal wird, das zur Wiedererkennung führt.

Für die Änderung der HTTP_REFERER Kopfzeile setzt man die RefControl Erweiterung ein.

Zur Verdeutlichung der Bedeutung des HTTP_REFERER Header sieht man auf folgendem Screenhot oben in der Adresszeile die aktuell aufgerufene Adresse. Unten sieht man aber in der Zeile mit den HTTP_REFERER Angaben die Ursprungsadresse, von der aus die aktuelle Adresse aufgerufen wurde:

Über die Auswertung des HTTP_REFERER Header kann der Betreiber einer Website in Erfahrung bringen, welche fremden Websites und -seiten der Besucher zuvor aufgesucht hat und er kann auf seiner Website protokollieren, welche Bewegungen der Besucher unternommen hat. Um diese Möglichkeit der Profilbildung zu unterbunden, setzt man die RefControl Erweiterung ein.

Hinweis:
Die Manipulation der Header kann dazu führen, dass bestimmte Eigenschaften von Webseiten, wie zum Beispiel die automatische Anzeige in der eigenen Sprache, nicht mehr genutzt werden können.

Auf verschiedenen Seiten im Web kann man überprüfen lassen, ob der Zugriff auf die Webseite mit dem Browser mit Tor anonymisiert wurde bzw. welche IP-Adresse der Webserver feststellt und welche Angaben der Browser zu Webservern überträgt.

Die Seite Benutzt Du Tor? des Tor Projekts zeigt das Ergebnis mit einer entsprechenden Meldung an:

Die Seiten Current IP Check von DynDNS zeigt die IP-Adresse, die My-IP-Service Seite von Heise zeigt die IP-Adresse an und ob es sich um die IP-Adresse eines Tor Routers handelt und die hostip.info Seite die IP-Adresse, den Hostnamen und die geografische Lokalisierung.

Beispiel: Ausgabe der My-IP-Service Seite.

Auf den Seiten Environment Variables und Anontest von JonDonym werden neben der IP-Adresse die Header angezeigt, die der Browser zum Webserver überträgt, wobei man bei der Anontest Seite mit den angezeigten Bewertungen eines Headers als "schlecht" vorsichtig sein muss, weil JonDonym die Verwendung des vorgegebenen Headersatzes ihres vorkonfigurierten "JonDoFox" Browsers propagiert. Auf BrowserSpy kann man umfassend einsehen, welche Angaben vom Browser übertragen und welche Angaben von Websites ausgelesen werden. Viele Angaben können aber nur ausgelesen werden, wenn man für BrowserSpy Javascript und Java zulässt, was aber umso deutlicher macht, dass zur Anonymisierung Javascript und Java zu deaktivieren oder restriktiv zu handhaben ist.

Um auch an fremden Rechnern (Arbeitsplatz, Internetcafe, Bibliothek), auf denen man selbst keine Programme installieren kann, Tor nutzen zu können, installiert man sich zuerst auf dem USB-Stick Tor (mit Vidalia) und Privoxy wie im Kapitel Tor transportabel auf einem USB-Stick.

Für den Firefox Webbrowser gibt es die transportable Version (Englisch / Deutsch) von PortableApps.

Nach Installation bzw. Entpacken des Programmarchivs auf dem USB-Stick werden die oben beschriebenen Einstellungen bzw. Installationen der Tor Erweiterungen Torbutton oder FoxyProxy mit dem Firefox Webbrowser vorgenommen.

Vom Opera Webbrowser gibt es bei OperaUSB und Opera Portable transportable Opera Versionen für den USB-Stick.

Nach Installation bzw. Entpacken des Programmarchivs werden in den Opera Versionen die gleichen Verbindungseinstellungen vorgenommen wie bei der direkten Konfiguration von Firefox für Tor.

Daneben gibt es das OperaTor Paket für USB-Sticks, das Opera, Tor, Privoxy und einen Programm-Starter enthält, über den alle drei Anwendungen gestartet werden.

Thunderbird ist ein E-Mail Programm, das ebenfalls als transportable Version (Englisch / Deutsch) von PortableApps angeboten wird.

Um E-Mails mit Thunderbird über Tor zu versenden, installiert man am besten die Torbutton Erweiterung als Add-on in Thunderbird, da mit ihr die Tor Nutzung schnell aktiviert bzw. deaktiviert werden kann, wenn es keinen Tor Ausgangsrouter gibt, der die Auslieferung von E-Mails an Mailserver unterstützt.

Da die Anzahl der Tor Ausgangsrouter, die Auslieferungen von E-Mails unterstützen, bregrenzt ist, kann der erstmalige Versand fehlschlagen und der wiederholte Versandversuch notwendig sein.

Auch für E-Mail Programme gilt, dass Tor nicht benutzt werden sollte, wenn keine verschlüsselte Kommunikation mit dem Mailserver möglich ist, da ansonsten böswillige Tor Ausgangsrouter Betreiber die im Klartext versendeten Kontendaten mitprotokollieren können.