In der Tat. Amazon FireTV-Stick ist da ähnlich penetrant. Samsung hat übrigens teilweise noch schlechtere Datenschutzpraktiken als Google. Wäre ein Ersatz durch ein Pixel Tablet mit GrapheneOS denkbar?
Es gibt halt schon einen Grund, warum viele Leute ein Custom-OS verwenden.
Ist ja auch verständlich, da die Domain nicht nur für Tracking verwendet wird, sondern auch für legitime Suchanfragen. Das ist das Problem mit blockieren auf DNS-Ebene.
Wenn du wissen willst, welche App die Requests sendet, gibt es Android-Apps, die das Anzeigen können. Wenn du schon einen Verdacht hast welche App es ist, kannst du dir die Domains für eine spezifische App in RethinkDNS anzeigen lassen.
Das Tablet ist erst drei Jahre alt, Neukauf daher noch nicht in Sicht. Problem ist, dass auf einem gerooteten System keine Banking-App läuft, und darauf möchte ich ungern verzichten. Dafür habe ich ja das pi-hole, das fängt einiges ab, und UBlock auf dem Gerät. Damit kann ich leben. Ich werde trotzdem weiter nach der Quelle der vielen Requests suchen und danke für den Tipp! Ich wundere mich nur, dass www.google.com in keiner meiner Sperrlisten enthalten ist. Mir ist keine Einschränkung aufgefallen, was vielleicht daran liegt, dass ich die betreffende App nicht nutze. Trotzdem entwickelt sie eine dermaßen hektische Betriebsamkeit.
Wie kommst du auf rooten? Wenn du GrapheneOS meinst, das ist nicht gerootet. Die deutschen Banking-Apps die ich kenne laufen drauf.
Warum sollte die drauf sein und damit eine der meistbesuchten Webseiten der Welt blockieren? Es gibt viele Domains, die für Tracking verwendet und gleichzeitig legitime und teilweise notwendige Funktionen zur Verfügung stellen. Die wirst du auf allgemeinen Leisten nie finden, außer vielleicht auf einer Liste die explizit alles diesem Anbieter sperrt.
Wie lange bekommt es denn noch Sicherheitsupdates?
Wer Google nicht als Suchmaschine verwendet, braucht www.google.com ja nicht. Wenn trotzdem täglich über 10.000 Anfragen ungewollt stattfinden, finde ich das sperrwürdig. Aber ich kann die Adresse natürlich auch selber auf die Blacklist setzen, klar. Ich dachte nur, das stört mehr Leute, auch wenn sie ein Stock-OS nutzen.
Momentan kommt noch was. Aktueller Sicherheitsstand: 01.08.2024
Mein Pi-Hole läuft soweit gut, ich habe allerdings das Problem das ich nur das Gateway als Client sehe, also die Fritzbox. Die Fritzbox routet von 192.168.11.1 auf den OpwenWrt 4040 auf 192.168.11.50. Der OpenWrt bekommt per DHCP seine Adresse von der Fritze. Der Pi-Hole steht im Netz der Fritzbox mit 192.168.11.100.
Im OpenWrt läuft ein LAN mit 192.168.200.x und ein Wlan mit 192.168.150.x
DNS-Anfragen gehen auf den Pi-Hole im Netz der Fritzbox 192.168.11.100. Das klappt alles jedoch werden mir keine Clients angezeigt imm nur die Fritzbox. Ich hatte Testweise auch den Pi-Hole mal ins Lan des OpenWrt gestellt mit gleichem Ergebnis. Woran könnte das liegen?
Welchen DNS Server bekommen die Clients denn zugewiesen? Deine Beschreibung lässt vermuten, dass die Fitzbox als DNS den Clients zugewiesen wird. Eine mögliche Lösung wäre, den pi-hole als DNS den Clients zuzuweisen und nicht die Fritzbox.
Die Clients bekommen per DHCP Option 6,192.168.11.100 den Pi-Hole zugewiesen im jeweiligen Netz. Also im 150.x und im 200.x läuft ein DHCP Server mit der Option. Das klappt soweit auch getrennt voneinander
Ursache könnte Masquerading oder allgemein SNAT bei deinen Routern sein. Aber auch ein fehlendes Weitergeben von Headers im Server, z.b. bei einem Reverse Proxy.
Die Fritzbox 7560 nattet wohl und der OpenWrt hat ja auch einen Firewall. Anders als mit statischen Routen geht das wohl nicht, also Bridgemode hat die Fritzbox nicht. Keine Ahnung wo ich ansetzen soll
Eines meiner Geräte ist zwar eine Fritzbox, aber auf der läuft auch OpenWRT, von daher kenne ich mich mit den Limitationen von FritzOS nicht aus.
Ich könnte mir vorstellen, dass die FB von einem externen DNS-Server ausgeht und deshalb standardmäßig Masquerading anwendet. Ich würde es zunächst mit DNAT/Port Forwarding des LANs für Verkehr mit Ziel-Port 53 auf den DNS Server probieren. Hoffentlich macht die Fritze da nicht automatisch SNAT.
Wenn kein Bridge Mode geht, wäre PPPoE-Passthrough eine Option und dann alles wichtige über das Gerät mit OpenWRT konfigurieren und anschließen? Dann musst du dich nicht mit den Limitationen der Fritze rumschlagen.
192.168.0.0/16 DHCP: 192.168.11.1 Local Domain: Motorbike
Anders geht es wohl nicht da im OpenWrt für jedes Subnetz ein DHCP werkelt und das WAN-Interface des OpenWrt per DHCP die Adresse von der Fritzbox (192.168.11.50) bekommt.
Mir scheint das irgendwas bei Nat abgefangen wird und deshalb nur das WAN-Interface im Pi-Hole zu sehen ist. Mir ist aber nicht klar wo ich was einstellen muss damit Pi-Hole die Clients erkennt
Edit: Problem gelöst. Masquerading im Openwrt Firewall - Zone Settings WAN-Interface abgeschaltet
Ähem. Zuerst sprachst du davon, dass die Fritzbox angezeigt wird und jetzt das WAN Interface von OpenWRT? Bei letzterem wäre klar gewesen, dass OpenWRT Masquerading macht, weil das normalerweise für ein WAN-Interface Sinn macht und auch sofort in der Firewall-Übersicht ersichtlich und abstellbar ist.
Gut. Wird auch nicht bei OpenWRT benötigt, wenn die Fritzbox schon der PPPoE-Endpunkt ist und nach außen Masquerading macht.
Ich habe eine grundsätzliche Frage zu pihole, nachdem ich gelesen habe, dass browser extensions wie uBlock gewisse Probleme mit sich bringen können, weil sie weitgehende Rechte im Browser haben und schlimmstenfalls ausgenutzt werden könnten. Im Fall von uBlock wurden in einem Artikel die Filterlisten / CSS Selektoren genannt, über die man so etwas angreifen und eingegebene Daten extrahieren könnte, wenn man eine böswillige Regel untergejubelt bekäme.
Mir ist schon klar, dass pihole etwas anderes ist, aber es werden ja dabei auch Listen genutzt. Daher meine Frage, ob so etwas auch bei pihole drohen könnte.
Alle Apps könnten wahrscheinlich im Browser kompromittiert werden, wie gesagt „könnten“ bei entsprechender Schwachstelle.
Ein Pi-Hole blockiert über Listen die du selbst hinzugefügt hast und die dann verglichen werden, dort wäre das nicht möglich da die Daten nicht bei deinem Browser ankommen.
DIe Standardliste ist z.B. die von Steven Black: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
Diese Listen werden sehr ordentlich und schnell aktualisiert.
Meine Frage ist nicht, ob Pihole den Browser kompromittiert. Sondern, ob ein Pihole in ähnlicher Weise ein Einfallstor durch die Listen bietet, wie das angeblich bei uBlock im Browser gehen könnte.
Möglich aber unwahrscheinlich. Ich würde ein ähnliches Risiko durch die Listen vermuten wie bei uBO, was auch nicht hoch sein sollte. Parser können immer irgendwelche Fehler haben. Wie schwer es ist diese zu finden und auszunützen hängt aber von vielen Faktoren ab.
Bei Servern ist es aber generell gut einmal das Szenario eines erfolgreichen Eindringens durchzuspielen um zu schauen wie sehr es durch andere Maßnahmen wie Virtualisierung, MAC oder isolierte Netzwerke abgefedert werden kann. Wenn du den nur in deinem Heimnetz betreibst, ist die Wahrscheinlichkeit für so einen Fall natürlich viel geringer als bei öffentlichen Diensten.
Ich hatte einen Artikel so verstanden, dass das Risiko durch kompromittierte Listen bei uBlock hoch bzw. höher sei, weil solche Browsereinweiterungen weitgehende Rechte in Bezug auf die aufzurufen Websites hätten.
Pihole funktioniert ja ganz anders, aber da es auch dort diese Listen gibt, fragte ich mich, ob da auch eine potenzielle Gefahr droht. Nur falls meine Frage nicht für jeden verständlich war.
