Ein Hinweis zu HTTPS bei der Blacklist der FRITZ!Box

Dieser Artikel beschreibt ein Problem, dass im Januar 2017 mit der Veröffentlichung der FRITZ!OS-Version 6.80  beseitigt worden ist.

fritz-box-filter-httpsSolltet ihr in den Filtereinstellungen den Punkt „HTTPS-Abfragen erlauben“ aktiviert haben, werden die Einträge in der Blacklist ignoriert, falls die aufgeführte Domain über HTTPS aufgerufen wird. Der aufmerksame Leser von Bedienungsanleitungen wird dieser Punkt sicherlich ins Auge gefallen sein.

Warum ich dieses Thema erwähne

Der Hintergrund zu dem Thema ist, das Google nun Nägel mit Köpfen machen möchte und Webseiten ohne HTTPS in naher Zukunft auf die hinteren Plätze der Suchergebnisse verbannen wird. Diese Idee wurde bereits vor einigen Monaten erwähnt.

Normalerweise bewegen sich diese kostspieligen Zertifikate im Bereich von 50 bis 200 EUR für jede Domain. Doch einige findige Webhoster haben angekündigt solche Zertifikate kostenlos ihren Kunden zur Verfügung zu stellen. Andere haben sogar ein Angebot verbreitet, dass sich jeder eines dieser Zertifikate selbst erstellen kann.

Spam-Links mit HTTPS – die Blacklist wird umgangen

Wird der Haken bei „HTTPS-Abfragen erlauben“  entfernt, funktionieren viele Internet-Seiten möglicherweise nicht mehr richtig. Das Problem ist: Die Blacklist, so wie ich sie für die FRITZ!Box anbiete, ist zu streng.

Daher kann ich im Moment davon abraten den Haken zu entfernen. Die meisten Spam-Links verweisen auf Seiten, die kein HTTPS anbieten und daher ist es für mich im Moment noch ein akzeptables Problem.

Ich werde die Filterliste in den nächsten Monaten an diese Gegebenheiten anpassen. Solltet ihr  Fragen haben oder auch interessante Tipps für mich haben, dann schreibt sie ruhig in die Kommentare.

Update vom 13. Juli 2016:
Die Filterliste an diese Gegebenheiten anzupassen halte ich inzwischen für aussichtslos. Hier helfen wahrscheinlich nur noch Leserbriefe an AVM, wo man ihnen Mut für die Erstellung besserer Filterfunktionen zu spricht.

Eine Alternative beschreibe ich kurz in der heutigen Kommentar-Antwort. Einen Sammelartikel mit Informationen und Links dazu plane ich noch.

Advertisements

9 Gedanken zu “Ein Hinweis zu HTTPS bei der Blacklist der FRITZ!Box

  1. Hallo Dawa Le Ross,
    dieser Post ist nun mittlerweile ein Jahr alt. Ich habe selbes Problem dass ich 15 Geräte so regeln müsste dass eine https Filterung von einzelnen https Seiten möglich wird.
    Hat sich da mittlerweile was getan bzw. gibt es für einen NON Profi eine Lösung dafür?

    Fritzbox 7490
    Endgeräte iOS – Andoid – WIN10
    Herzlichen Dank und viele Grüße
    Rudolf

    • Hi, tut mir Leid für die späte Antwort, aber seit Januar 2017 steht dazu ein Hinweis am Anfang des Artikels: AVM hat mit einem Update die Funktion anscheinend neu gestaltet. Dieser Artikel ist daher auch veraltet.

  2. Musste auch geraded feststellen: webseiten und dienste (wie youtube) die nur per HTTPS funktionieren lassen sich mit dem Fritz!Box nicht blocken. Oder anders gesagt: wenn sie filtern, und HTTPS erlauben, sind die sites auf ihre Blackliste ÜBERHAUPT NICHT geblockt insofern man sie per HTTPS erreichen kann. Da fast alle websites HTTPS erlauben, sind somit alle AVM Blacklists ausgehoben.

  3. Liebe besorgte Väter und Ehemänner!
    Hier der Rat von AVM zum Thema https in der Blacklist (es funktioniert):

    Bitte installieren Sie die aktuelle Labor-Version der FRITZ!Box 7490 und testen im Anschluss noch einmal das Verhalten:

    Laden Sie die Labor-Version für Ihr FRITZ!Box-Modell aus dem FRITZ! Labor auf den Computer herunter.
    Entpacken Sie die ZIP-Datei auf Ihrem Computer (z.B. auf dem Desktop).
    Installieren Sie die Labor-Version (Image-Datei) für Ihre FRITZ!Box wie in der infolab.txt beschrieben.

    Hinweis:
    Sie können jederzeit wieder das reguläre FRITZ!OS für die FRITZ!Box installieren. Hinweise zum Vorgehen findet Sie in der infolab.txt.

    Instagram adieu…

    • Die Wichtigen Hinweise von AVM dürfen dann aber auch nicht fehlen:

      Wichtiger Hinweis
      Diese Laborversion hat Betastatus. Sie ist nicht geeignet für 7490-Editionen, die direkt vom Internetanbieter ausgeliefert wurden, ausgenommen 1&1 Homeserver. Sie wurde von uns vor der Veröffentlichung in Standardumgebungen getestet, kann aber eventuell zu Fehlfunktionen führen. Für etwaige Schäden, die aus der Verwendung der Laborversion entstehen, übernimmt AVM keine Haftung. Sie können die FRITZ!Box jederzeit mit Hilfe des beiliegenden Windows-Programms „recover.exe“ (im *.zip) wieder auf das offizielle FRITZ!OS umstellen.
      Beachten Sie bitte auch die Informationen zum Umgang mit Laborversionen in der labinfo.txt. Diese ist Bestandteil der Labor-Datei (*.zip).
      AVM leistet für diese Laborversion keine technische Unterstützung (Support).
      Quelle: avm.de

      Die Liste erstelle ich nur auf Basis der offiziellen FRITZ!OS-Version. Persönlich bin ich kein Fan von Beta-Ware, aber es gibt sicherlich Interesse daran, dass sich da in Zukunft etwas ändern wird.
      Mir wurde auf anderen Kanälen schon zugespielt, dass der von mir erwähnte und zu setzende Haken „HTTPS-Abfragen erlauben“ in den Labor-Versionen nicht mehr vorhanden ist.
      Das führte zunächst zu Verwirrungen, da viele essentielle Dienste nicht mehr erreichbar waren – vermutlich wegen einem Eintrag auf meiner Liste, den ich allerdings nicht finden konnte.

      Grüße aus Tarforst.

  4. Hallo ich suche nach der gleichen lösung wegen sperrung von gewissen https:// seiten die ja die fritz box trotz blacklist zu lässt .
    Auf die idee mit squid bin ich auch schon gestoßen aber bin nicht weiter gekommen nach dem download .wie richtet man das ein und verbindet man das mit der fritz box usw. Fragen über fragen . Kannst du mir da helfen

    • Hallo Missy,
      ich helfe dir gerne, aber leider kann ich dir auf Anhieb wegen den wenigen Informationen nicht wirklich helfen z. B. wieviel Erfahrung hast du mit Linux und auf welcher Art Rechner soll es installiert werden (Modell, Betriebssystem?) etc.

      Was ich im Moment jedem Interessierten empfehlen würde, wäre das Software-Paket Pi-hole anstatt Squid3. Eine gute Anleitung auf Deutsch gibt es auf YouTube unter https://youtu.be/zP7M88vIqM0.
      Ich halte Pi-hole wegen seiner guten Bedienbarkeit über die Weboberfläche für die einfachere Methode um sein Netzwerk schützen zu können.

      Meiner Meinung nach ist auch Squid ein sehr gutes Software-Paket, aber auch um einiges komplizierter – ich empfehle es daher nur eingeschränkt für Anfänger und Fortgeschrittene.

      Schöne Grüße.

  5. Hallo und Danke für die Info. Ich habe mir vor einigen Tagen eine Fritz 7490 zugelegt. Eigentlich nur aus dem Grund, weil bei meiner Netzrecherche die Kinderschutzfunktion über BLACK- WHITELISTS immer hervorgehoben wurde. Super dachte ich ir, auch vem du mit deinem 921V der Telekom bisher zufrieden warst, dieses Teil ist die Lösung deiner Probleme.
    WEIT gefehlt! Nachdem ich an mehreren Tagen nun das gesamte Netz wieder funktionstüchtig habe, bin ich der Kindersicherung auf den Leib gerückt. Habe mir mühevoll eine BLACKLIST für meine Bedürfnisse zusammengestellt. Alles in der 7490 soweit vorbereite, die BL eingefügt. Getestet. Klappt nicht. Muss dazu sagen das meine BL aus sehr vielen Online-Shops besteht. Die meisten sind, wie ich festellen musste via HTTPS erreichbar. Somit fallen diese URLs ALLE aus meiner tollen BL raus und können doch aufgerufen werden, wenn HHTPS nich TOTAL blockiert wird. Und ich denke jeder kann verstehen, das das nicht der Weisheit letzter Schluss sein kann.
    Auch aus meiner Sicht ist diese Funktion der 7490 nicht nutzbar, solange kein selektives Filtering stattfinden kann.
    Ebenso mies ist,, das ich scheinbar keine Wildcards einsetzen kann. Oder Schlüsselworter.
    Ich muss hier den Traffic für 12 Geräte regeln, da kann nur eine zentral genutze BL/WL greifen, ich habe keine Lust mich über hosts etc. zu Tode zu administrieren.
    Habe an den Support ein Feature Request gesandt, fraglich ist was und wann etwas gegen diese grobe Lücke in der 7490 gmeacht wird. Passiert nichts, habe ich mir das Teil umsonst zugelegt.
    Hast Du vielleicht eine Lösung dafür gefunden? Oder Neues von AVM?

    Viele Grüsse

    Joshua

    • Hallo Joshua,

      ich arbeite gerade an einer Lösung, die hat allerdings nichts mehr mit der FRITZ!Box zu tun – hier erwarte ich nicht viel von AVM, da ich auch vermute, dass das Gerät nicht genug Leistung für eine „brauchbare“ Filterung besitzt.

      Derzeit bastele ich an einem Raspberry Pi mit Raspbian und Pi-Hole rum. Es ist einfach und funktioniert ganz gut – das würde ich auf jedenfalls schon einmal empfehlen.
      Einziges Problem dabei ist nur, dass dieser so nicht als Kindersicherung dienen kann, da hier der DNS-Server auf allen Geräten manuell eingestellt werden muss bzw. von einem Benutzer wieder zurückgestellt werden kann. (So ganz stimmt das zwar nicht, aber die lange Erklärung sprengt den Rahmen.)

      Hier versuche ich aktuell zusätzlich einen „transparenten Proxy“ mit Squid3 einzurichten. Dieser bräuchte keine weiter Konfiguration auf den Endgeräten, denn alle Rechner im Netzwerk kriegen nur noch das zu sehen, was der Proxy durchlässt. Diese Lösung funktioniert im Momentganz ordentlich, aber manchmal … funktioniert es wieder zu gut – ich habe mich schon einige Male aus dem Internet ausgesperrt. Aber ich halte es für wesentlich vielversprechender als das, was aktuell auf der FRITZ!Box möglich ist.

      Vielleicht ist das eher eine Möglichkeit für dich, besonders da bei dir viele Geräte im Netzwerk unterwegs sind.
      Wenn du Fragen hast einfach posten. (Ich bin aus dem Urlaub zurück, daher die Verzögerung meinerseits.)

      Schöne Grüße aus dm Moselland.

Hinterlasse eine Nachricht | Leave a Message

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s