Brave-Browser: Warum ich ihn Gecko-basierten Browsern (Firefox) vorziehe

Einige Bemerkungen dazu. Ich vermute mal, dass du als Quelle v.a. die bekannte Seite von madaidans benutzt, die ja häufiger mal zitiert wird.

  1. Vieles von dem, was da steht, ist sicherlich richtig. Aber er schüttet m.E. das Kind mit dem Bade aus, und der Artikel mit Stand 19.03.2022 ist auch nicht mehr aktuell. (Das trifft übrigens auch auf das zu, was er über Firejail und Linux schreibt.) Click-bait beherrscht er jedenfalls gut.
  2. So ist z.B. unter Windows der win23k-lockdown mittlerweile umgesetzt, und die X11 Isolierung in Linux ist ebenfalls inzwischen umgesetzt.
  3. Die Seitenisolierung (Fission) ist in Firefox auch inzwischen standardmäßig aktiviert. Dass sie schlechter bzw. noch nicht so ausgereift ist wie in Chromium, müsste im Detail belegt werden.
  4. M.E. unterschätzt wird die Verwendung von Rust in Firefox. Der Anteil von Rust am gesamten Code liegt zwar aktuell nur bei 11,6%. Wichtig ist aber, dass kritische Komponenten, nämlich die Rendering Engine (WebRender) und der CSS Parser komplett in Rust geschrieben sind und auch Teile der Javascript-Engine Spidermonkey.
  5. Schaut man sich die CVEs für Firefox und Google Chrome an, stellt man fest, dass Firefox deutlich besser abschneidet. Das mag ja tatsächlich daran liegen, dass Chrome aufgrund des deutlich höheren Marktanteils ein interessanteres Ziel darstellt. Vielleicht liegt es aber auch daran, dass die in Rust geschriebenen kritischen Browser-Komponenten von Speicherfehlern nicht/kaum betroffen sind - und das sind ja die Fehler, die laut Microsoft und Google zu 2/3 bis 3/4 aller Sicherheitslücken führen. Und tatsächlich liegt die Zahl der CVEs im Bereich Memory Corruption bei Firefox nur etwa halb so hoch wie bei Chrome. Bei Letzterem hat man ja den Eindruck, dass kaum eine Woche vergeht, in dem er nicht von kritischen oder gar zero-day Lücken betroffen ist. So viel besser können die „Exploit Mitigations“, von denen madaidans schwärmt, offenbar nicht sein.

Mein Fazit: Es ist unter dem Strich schwierig, die beiden Browser(architekturen) sauber miteinander zu vergleichen. Die Sandbox von Chrome mag ja tatsächlich (noch) stärker zu sein, dafür punktet Firefox mit den in Rust geschriebenen Komponenten. Was speziell Brave angeht: Ich verwende ihn als Zweitbrowser mit Einstellungen, die im Wesentlichen deinen entsprechen, bevorzuge aber nach wie vor Firefox (den ich - wie auch Brave - unter Linux mit Firejail und AppArmor absichere).

Meine Bemerkungen beziehen sich im Wesentlichen auf die Desktop-Varianten. Mit Android kenne ich mich nicht mehr so gut aus. Da scheint Firefox in der Tat noch Defizite zu haben, die aber allmählich kleiner werden.

5 „Gefällt mir“

Ein Beitrag wurde in ein neues Thema verschoben: Warum werden Seiten in Brave nicht wie bspw. bei Firefox direkt dunkel angezeigt?

In dem Eingangs genannten Artikel wurde ja Brave empfohlen und begründet. In der Empfehlungsecke wird unter den Android-Apps Brave nicht (mehr?) aufgeführt. Dafür taucht (u.a.) der Bromite-Nachfolger Cromite auf.
Wenn ich mich richtig erinnere, ist die Empfehlungsecke so um den Jahreswechsel aktualisiert worden, also neuer als der Artikel.
Ist Cromite auf Android die bessere Wahl als Brave? Oder zumindest gleichwertig?

Brave taucht deshalb nicht dort auf, weil dort nur Apps gelistet sind, die in F-Droid verfügbar sind.

1 „Gefällt mir“

Danke für die schnelle Antwort! Dann gilt aber abgesehen davon noch, dass Brave sicherer und/oder datenschutzfreundlicher ist als Cromite oder sind sie ungefähr gleichwertig?

EDIT:
Warum ich nachfrage - vielleicht habe ich auch nur was missverstanden:

In dem Artikel, auf den sich dieser Thread bezieht heißt es am Ende:
„Für mehr Sicherheit käme auch der Chrome-basierte Cromite in Frage, dessen Fingerprinting-Protection allerdings weniger ausgereift ist als der von Brave.“

Ich habe das so verstanden, dass Cromite „sicherer“ ist als Brave, Brave aber das bessere Fingerprinting-Protection hat.
Oder bezieht sich die „mehr Sicherheit“ auf Fennec, der im Absatz zuvor erwähnt wird - also Cromite ist sicherer als Fennec, aber genauso sicher wie Brave, aber bzgl. Datenschutz hinter Brave?

Wenn du dir die verlinkten Issues in Mozillas Issue-Tracker ansiehst, wirst du sehen, dass das meiste noch aktuell ist.

Seine Ansichten werden von anderen Sicherheitsforschern wie Justin Schuh, Daniel Micay, Demi Obenour und Alex Gaynor geteilt und ergeben technisch Sinn. Ich verstehe nicht, warum technische Fakten als Klick-Bait bezeichnet werden.

Zu gut deutsch, Firefox war mal wieder sehr spät dran. Chromium hatte win32k-lockdown schon seit vielen Jahren, währenddessen Firefox-Nutzer aufgrund des Fehlens, der riesen win32k-Angriffsfläche ausgesetzt waren und dadurch das Sandboxing deutlich schwächer war.

Site Isolation und insbesondere das Sandboxing, was Site Isolation erzwingt, ist deutlich schwächer, insbesondere unter Linux. Auf Android wird noch immer keine Sandbox verwendet, also nur eine Multi-Prozess-Architektur, aber technisch kein Site Isolation.

Nein, er wird überschätzt. Zwar ist die Mehrzahl der Bugs in Browsern aufgrund memory-unsafety, aber die wichtigen RCE-Vulnerabilitäten passieren im Normalfall im Content/Renderer Prozess, in dem erstens noch nicht überwiegend Rust in Firefox eingesetzt wird und zweitens ca. 60% der RCE-Vulnerabilitäten aufgrund logischer Bugs entstehen, wo also Rust gar nicht helfen würde. Wenn man RCE erreicht hat, ist der nächste wichtige Schritt ein Sandbox-Escape, der teilweise über den Kernel passiert, aber meistens über logische Bugs im IPC. Auch dagegen hilft Rust nicht, sondern nur Sandboxing, Exploit Mitigations und starker Fokus auf logische IPC-Sicherheit.

WebRender ist keine komplette Rendering Engine, sondern nur ein Teil der auf der GPU läuft und die Komposition und Darstellung der Grafik übernimmt. Bitte nicht mit dem kritischen Renderer-Prozess (Chromium-Bezeichnung) bzw. Content-Prozess (Firefox-Bezeichnung) verwechseln in dem JS, DOM usw, verarbeitet werden. In letzterem ist bei weitem nicht so viel Rust vorhanden wie in Webrender und wie schon beschrieben ist der Großteil der RCE-Vulnerabilitäten sowieso logische Bugs.

Dass CVE-Counting nicht aussagekräftig ist, sollte sich mittlerweile herumgesprochen haben. Die höhere Zahlen können aufgrund einer Vielzahl an Ursachen zustande kommen. Beispielsweise höhere Popularität oder mehr Aufmerksamkeit durch Sicherheitsforscher (was plausibel ist, da Firefox nur ein Nischenbrowser ist).

Doch sind sie und könntest du, wenn entsprechendes Wissen über Exploit Mitigations vorhanden wäre, auch über die Links die Madaidan teilt nachvollziehen.

Werden sie leider kaum und Chromium bleibt auch nicht stehen, sondern eilt davon. Immer noch keine Sandbox zu haben in 2024 ist vollkommen unangemessen.

Google hat einfach weltklasse Sicherheitsexperten, die das Sicherheitskonzept rund um Chromium entwickeln, deutlich mehr finanzielle Mittel und vor allem legen sie auch Fokus auf Sicherheit. Die Sicherheits-Modelle rund um Android, Chromium und anderen Google-Produkten sind vorbildlich und für Interessierte höchst empfehlenswert sich zu Gemüte zu führen. Für Mozilla ist es da einfach schwierig mitzuhalten, auch wenn ich mir es anders wünschen würde.

Mozilla hatte leider auch einfach lange Zeit nicht so den Fokus auf Sicherheit gelegt, wie Google. Beispiele sind die nicht vorhandene interne Sandbox unter Android, sowie, dass Firefox, obwohl es der Standardbrowser bei vielen Linux-Distributionen war und ist, keine SUID-Sandbox hatte, in Zeiten als unprivileged user namespaces auf den meisten Distros noch nicht aktiviert waren.

Und Chromiums Sicherheit bleibt ja nicht stehen, so dass Firefox aufholen kann, sondern geht rasend schnell voran. Mit V8-Sandboxing, welches die meisten der o.g. 60% der RCE-Vulnerabilitäten im Content/Renderer-Prozess eindämmen wird, d.h. dort sind zukünftig zwei Sandbox-Escapes notwendig. Oder Miracle-Ptr, was 57% der use-after-free in privilegierten Prozessen unbrauchbar macht, oder gerätegebundene Cookies (noch in der Entwicklung).

Sollte man vielleicht als Einschränkung aufheben. Man kann auch außerhalb von F-Droid sichere und datenschutzfreundliche Apps beziehen. F-Droid hat zudem zahlreiche Probleme: https://privsec.dev/posts/android/f-droid-security-issues/

2 „Gefällt mir“

Mir war bis heute gar nicht bekannt, dass Brandon Eich auch als Anti-Vaxer bekannt ist. Leute nennen andere Menschen aller Hand Dinge, aber - wow:
https://news.ycombinator.com/item?id=38547670

if your face diaper makes you feel safe, by all means wear one.