Tabelle: Browser-Empfehlung (Entwicklungsstand)

Ich arbeite an einem (sehr) ausführlichen Artikel über Browser. Dieser wird auch eine Begleit-Tabelle mit empfohlenen Browsern enthalten. Anbei eine Vorschau. Die Tabelle wird sich sicher noch ändern.

Hinweis: In den folgenden Empfehlungen werden Browser wie Microsoft Edge, Chrome, Opera, Vivaldi oder diverse Forks nicht berücksichtigt. Der Grund dafür ist einfach: Entweder sind keine oder nur unzureichende Anti-Fingerprinting-Maßnahmen implementiert, der Nutzer wird überwacht oder die Forks hinken bei der Bereitstellung von Updates (erheblich) hinterher, was die Sicherheit deutlich beeinträchtigt – oder sogar alles zusammen.

3 „Gefällt mir“

Sollte man Desktop und Mobile in einem Abwasch machen? Würde das persönlich jeweils in eine eigene Zeile packen.

1 „Gefällt mir“

Genau. Da kann man auch noch berichten vom regulären Android-Firefox und dem Firefox-Klar. Beide ziemlich unterschiedlich zum Desktop-Browser.

  • Oder werden Apps gar nicht betrachtet?

Firefox-Klar wird nicht berücksichtigt. Den empfehle ich nicht. Da lassen sich keine Add-ons wie uBlock Origin installieren.

1 „Gefällt mir“

Bei Firefox fehlt noch das „Forgetful Browsing“ Äquivalent „Forget About This Site“ in Firefox. Es ist (leider) nicht automatisiert, tut aber Ähnliches. Der Umfang dessen was gelöscht wird hat sich seit der Veröffentlichung in v91 noch geändert.

https://blog.mozilla.org/security/2021/08/10/firefox-91-introduces-enhanced-cookie-clearing/

https://support.mozilla.org/en-US/kb/delete-browsing-search-download-history-firefox

All history items (browsing and download history, cookies, cache, active logins, passwords, saved form data, exceptions for cookies, images, pop-ups) for that site will be removed.

Aktueller Dialog:

Diese Aktion entfernt Daten, die sich auf mozilla.org beziehen, einschließlich Chronik, Cookies, Cache und Inhaltseinstellungen. Zugehörige Lesezeichen und Passwörter werden nicht entfernt. Sind Sie sicher, dass Sie fortfahren möchten?

1 „Gefällt mir“

Toll, dass in der Richtung was aktualisiertes kommt.

In der Browserserie von vor 1-2 Jahren schreibst Du von einem durchwachsenen Fazit für Brave, insbesondere wg. Telemetrie seitens Brave und dem Laden von Javaskripten für Social Media. Ist das nicht mehr gültig? Gehst Du darauf im geplanten Artikel genauer ein?

Ich nehme mal an, welche Addons da für welchen Browser weiter zu empfehlen sind, dazu schreibst Du noch?

Außerdem, gelten die Einschätzungen für die Desktop-Varianten unabhängig vom Betriebssystem? Denn ich meine mich zu erinnern, dass RFP, jedenfalls beim Firefox, nur unter Windows verwendet werden sollte.

Ich wäre auch dafür, jeder Browservariante für Desktop oder Mobil eine eigene Zeile zu gönnen (dann weiß man z.B. eindeutiger, ob Firefox und Torbrowser in der Desktop-Version mit Brave hinsichtlich Sicherheit vergleichbar ist)

Gibt es denn Bugreports/FeatureRequests für die Dinge die kritisiert werden ?
Ich mein die Entwicklung bleibt ja nicht stehen.
Da wäre es sicher interessant wenn ggf. Links dazu angeheftet würden, damit man es im Auge behalten und dafür abstimmen kann.

Mozilla hat einige TelemetriePunkte in der Datenschutzprüfung zum Thema Fingerprinting.
Der Plan ist ein solides Set an Infos zu bekommen um hier ansetzen zu können mit Verbesserungen.
https://bugzilla.mozilla.org/show_bug.cgi?id=1879151 wenn jemand die Bemühungen verfolgen möchte.

Ich habe einige Anmerkungen zur Tabelle, hier die wichtigsten:

1. Bei Gecko-Browsern unter Android sollte die Sicherheit immer rot sein.

Die „untrusted_app“-Sandbox (bitte nicht OS-Sandbox nennen, Androids OS kennt nämlich mehrere Sandboxen, wenn dann App-Sandbox) schützt Daten innerhalb der App nicht vor den eigenen Prozessen, z.B. Cookies, Passwörter, Chronik usw. Da Verified Boot unter Android (im Gegensatz zu iOS) nicht die Apps mit inkludiert, sondern nur alles außerhalb genannter App-Sandboxen, kann das bei einer unbemerkten Kompromittierung selbst für zukünftige Daten gelten. Zudem ist ihre Stärke auch nicht für ein Threat-Model ausgelegt, in dem 100.000-fach im Jahr neuer Code aus unterschiedlichsten nicht-vertrauenswürdigen Quellen ausgeführt wird. Dafür wurde die isolatedProcess-Sandbox entwickelt und mit Android 4.1 (2012 !), also schon vor Ewigkeiten eingeführt und auch von Chromium genutzt. Diese schützt auch die Daten innerhalb des App-Speichers vor dem gesandboxten Prozess. Dass Firefox es bis heute nicht geschafft hat auf dem meistgenutzten Betriebssystem der Welt eine Prozess-Sandbox einzuführen, geschweige denn Site Isolation, ist einfach nur eine Zumutung für die Sicherheit der Nutzer und war schon vor Ewigkeiten nicht mehr angemessen. Die Renderer-Sandbox ist in einem Browser die größte Hürde für Angreifern, aber FF ist auch in nahezu allen anderen Sicherheits-Bereichen deutlich hinter Chromium, insbesondere unter Android. Ganz klare Anti-Empfehlung für Gecko-Browser als Alltagsbrowser unter Android.

2. State Partitioning und Total Cookie Protection haben nichts mit Fingerprinting zu tun.

Sie dienen dem Schutz vor stateful tracking während mit Fingerprinting normalerweise stateless tracking gemeint ist. Alle in der Tabelle aufgeführten Browser haben State Partitioning zumindest für die wichtigsten Teile, allerdings werden diese durch Ausnahmen aufgeweicht (außer bei Tor Browser und Vanadium).

3. Total Cookie Protection ist ein Teil von FFs State Partitioning und sollte deshalb nicht extra aufgeführt werden.

4. Vanadiums Schutz vor Fingerprinting ist nicht „Gering“, sondern setzt auf Homogenität

Der Schutz vor Fingerprinting ist viel besser, als die vielen Leute, die Firefox verwenden und entsprechend viele Einstellung vornehmen (müssen), von denen viele gefingerprintet werden können. Mehrere andere Nutzer mit den gleichen Anpassungen, gleicher Hardware, Extensions usw wird man kaum finden, und das kann FPP auch nicht ausgleichen. Wie will man hingegen Vanadium-Nutzer auf dem gleichen Geräte-Modell unterscheiden? Vanadium bietet (gerade deshalb) nahezu keine Anpassungsmöglichkeiten, die Hardware ist die gleiche, das OS auch, Extensions gibt es keine, also bleiben nur noch Sprache und Zeitzone und die reichen in der Regel nicht aus, damit man einzigartig ist. Das ist guter Schutz auch ganz ohne Mitigations, einfach durch Homogenität. Auf dem Desktop wären Mitigations deutlich wichtiger, aufgrund der Inhomogenität der Hardware-Setups. Wer sich nur auf Fingerprinting-Mitigations fokussiert und den Crowd-Aspekt (inklusive Hardware, Anpassungen usw) außer Acht lässt, arbeitet am Thema vorbei.

5. Viele Schlagwörter sind nicht schwarz-weiß, aber die Tabelle lässt einen anderen Eindruck entstehen

  • Sandboxen sind unterschiedlich je nach OS und Browser
  • Site isolation ist nicht gleich Site isolation (bspw. FFs (Desktop) immer noch schwächer als Chromiums (Desktop))
  • State Partitioning kann auch unterschiedlich gut oder schlecht sein (Tor Browser am besten)
  • RFP ist unter Android schlechter als auf dem Desktop

Gäbe noch viele andere Dinge. Würde dir empfehlen mit Daniel Micay Kontakt aufzunehmen, der kennt sich nicht nur mit Android hervorragend aus, sondern auch mit Browsern.

3 „Gefällt mir“

Vielen Dank für euer bisheriges Feedback. Ich möchte nochmal daran erinnern, dass es sich um eine Begleit-Tabelle. Weitere Informationen bzw. Ausführungen sind im Beitrag zu finden.

Ich kenne die Probleme. Wird auch im Artikel benannt. Der Hinweis von OS-Sandboxing → App-Sandboxing war gut. Habe ich angepasst.

Ja, es gibt ein Kapitel, dass sich mit Anti-Tracking- und Anti-Fingerprinting-Maßnahmen befasst. Habe das in der Tabelle noch ergänzt. Es geht in der Spalte um beides.

Stimmt, das ist ein Teil davon. Kam aber etwas später dazu. Das sind auch nur Beispiele. Gibt ja noch mehr.

Ja, ich kenne Micays Einschätzung dazu. Teile sie jedoch nur in Teilen. GrapheneOS/Vanadium hat IMHO einfach eine zu kleine Nutzerbasis. Das weiß auch Micay und es sind ja auch Anti-Fingerprinting-Maßnahmen geplant - wenn ich korrekt informiert bin. Ich persönlich halte das Blockieren von Trackern als sehr wirksam und bietet in der Praxis einen realen Schutz der Privatsphäre: Ein Tracker kann mich nicht verfolgen, wenn er nie geladen wird. Das Blockieren von Trackern bietet auch eine „Verteidigung in der Tiefe“, indem es Anti-Fingerprinting-Schutzmaßnahmen ergänzt, die nie perfekt sind/sein können. Du kannst auch mal über mehrere Wochen deine Browser beobachten: Browser Fingerprinting.

Das soll eine vereinfachte Tabelle sein, die eine Orentierung bietet. Eine tiefergehende Betrachtung bzw. auch noch aufzudröseln, wie sich das State Partitioning bei den Browsern unterscheidet, kann man zwar machen, lasse ich aber weg. Ihr könnt auf Basis der Tabelle gerne ein Community-Projekt starten, dass tiefergehender differenziert.

2 „Gefällt mir“

Man kann den Browser (hier Vanadium) und das OS (zumindest die OS-Gattung Android) nicht verheimlichen, also bringen die zusätzlichen Maßnahmen auch nicht viel. Selbst die Major-Browserversion lässt sich nicht verheimlichen z.b. via Featuretesting. Auch der Gerätetyp lässt sich nur in Teilen verheimlichen. Von daher würden zusätzliche Anti-Fingerprinting-Maßnahmen nur wenig Vorteil bringen, da schon jetzt nur noch Sprache und Zeitzone übrigbleiben, wenn man keine Einstellungen ändert und auf dem selben Gerätemodell ist. Ein Ausweiten der Verfügbarkeit von Vanadium auf andere nicht-GrapheneOS-Androids könnte etwas für die GrapheneOS-Nutzer bringen, wenn beispielsweise Vanadium zusätzlich auf Google Pixels mit Stock OS verfügbar wäre. Bei einem ganz anderen Smartphone-Modell allerdings nicht, da das in den vielen Fällen deutlich zu unterscheiden ist. Anti-Fingerprinting-Maßnahmen werden gerade im Smartphone-Bereich überschätzt. Selbst Tor Browsers Maßnahmen sind auf Android nicht so gut wie sie sein sollten. Die Gesamtzahl an Vanadiumnutzern ist somit irrelevant. Wichtig ist wie viele Nutzer Vanadium auf dem gleichen Smartphone-Model bei gleichen Einstellungen hat. Das gleiche gilt auch für andere Browser. Bei Google Pixels gibt es wohl mehr Nutzer von Vanadium als von den anderen zwei genannten Browsern. Mir ist klar, dass die Tabelle nur ein kleiner Teil deines Artikels ist. Trotzdem suggeriert sie, dass es hier einen Vorteil von Fennec und Mull gegenüber Vanadium gibt, was aber praktisch nicht der Fall ist.

Ich kenne die Seite, sie ist aber vollkommen irrelevant. Die Methoden sind nicht mal annähernd state-of-the-art, und die Teilnehmerzahl zu gering für verlässliche Zahlen. Man kann auch sehr gut geschützt sein ohne dass sich der Fingerprint ändert. Gute Algorithmen ignorieren veränderliche oder gar verfälschte Anteile sowieso, da Maßnahmen wie RFP leicht zu detektieren sind (sie können trotzdem die Informationsmenge reduzieren, da die veränderten Teile nicht mehr verlässlich ausgewertet werden können), machen Machine Learning und Fuzzy-Hashing. Diese ganzen Testseiten verschaffen einen völlig falschen Eindruck von dem was möglich ist und vor allen Dingen wie gut man geschützt ist. Und was am schlimmsten ist, sie führen zu völlig falschen Schlussfolgerungen, bei vielen Privacy-Enthusiasten mit wenig Ahnung vom Thema. Um es verlässlich statistisch zu evaluieren würden groß angelegte Studien mit state-of-the-art Methoden die auf häufig besuchten Seiten automatisch ablaufen benötigt, und die gibt es bisher nicht. Also bleibt einem nur durch tiefgehendes Wissen über Browser und Browserfingerprinting die Sache zu analysieren, mit den aktuell bekannten Methoden auf dem neusten Stand zu bleiben und daraus seine Schlüsse zu ziehen. Hier gibt’s die Papers in einer Sammlung: https://github.com/prescience-data/dark-knowledge

1 „Gefällt mir“

Das mag sein. Es gibt in der Tat viele Fingerprinting-Möglichkeiten, aber wie ich bereits weiter oben geschrieben haben:

Ich persönlich halte das Blockieren von Trackern als sehr wirksam und bietet in der Praxis einen realen Schutz der Privatsphäre: Ein Tracker kann mich nicht verfolgen, wenn er nie geladen wird. Das Blockieren von Trackern bietet auch eine „Verteidigung in der Tiefe“, indem es Anti-Fingerprinting-Schutzmaßnahmen ergänzt, die nie perfekt sind/sein können.

Ein Tacker-Script, dass dich nicht tracken kann, weil es gefiltert wird, kann auch keinen Fingerprint erstellen.

Wir reden hier sehr viel darüber, was theoretisch möglich ist. Leider gibt es dagegen keinen 100%igen Schutz. Die Frage ist diesem Kontext ist aber auch, was wird technisch von diesen Fingerprinting-Techniken denn umgesetzt, wogegen dich ein aktueller Brave oder Firefox (mit uBlock Origin) nicht schützt? Gibt es konkrete Beispiele von Websites?

Sowohl Brave als auch Firefox bieten Anti-Tracking- und Anti-Fingerprinting-Maßnahmen. Diese mögen nicht perfekt sein, aber den Nutzer dennoch schützen. Nicht vor jeder Website/Anbieter, das ist klar.

Das ist genau der Punkt, der fehlt. Wir arbeiten mit Annahmen über das, was theoretisch möglich ist. Und wenn wir ehrlich sind, hilft dagegen weder der Ansatz von Brave oder Firefox, noch von Vanadium.

Ich behaupte nicht, dass die Anti-Tracking und Anti-Fingerprinting Maßnahmen von Brave oder Firefox perfekt sind. IMHO wird der höchste Schutz derzeit mit dem Tor-Browser erreicht (vorausgesetzt, der Benutzer kennt das Prinzip und fängt nicht wild an, den Browser zu ändern). Alles in allem aber immer noch besser als nichts zu tun und sich fröhlich tracken zu lassen. Soll heißen: Ich kann mich gegen 99% Mist schützen, aber das 1% ist eben technisch so weit fortgeschritten, dass ich erkannt/getrackt werde.

3 „Gefällt mir“

Das bietet Vanadium teilweise auch. State Partitioning (fehlt in der Tabelle bei Vanadium), Private-Browsing-Mode für state clearing, Referrer-Policy-Verbesserungen und Content Blocker, der zwar neu ist, aber noch deutlich verbessert wird. Man kann das ganze immer noch mit DNS-Blocking verbinden, wie bei jedem Browser. Das meiste cross-site und cross-session tracking findet immer noch über stateful tracking statt, da es zuverlässiger ist als stateless fingerprinting tracking (nur statistisches Tracking möglich) und für den allergrößten Teil der Nutzer funktioniert.

Was in Vanadium fehlt sind beispielsweise Query-Parameter- und Bounce-Tracking- sowie Pool-Party-Tracking-Mitigations, aber ich sehe die im Alltag als weniger wichtig an als die anderen genannten Techniken, sowie QOL-Improvements wie Backup- und Sync-Features.

Um den geht es mir auch gar nicht. Mir geht es darum, darzulegen, dass ein Browser mit mehr aktiven Fingerprinting-Mitigations nicht unbedingt besser gegen Fingerprinting geschützt ist, als einer ohne, sogar das Gegenteil der Fall sein kann. Und das Fingerprinting-Testseiten und insbesondere deren angezeigte Statistiken zu falschen Schlussfolgerungen führen können und bei den meisten Besuchern auch führt.

Kenne ich. Halte ich aber für noch zu wenig. Der Content-Blocker geht aber in die richtige Richtung. Die Empfehlung von GrapheneOS ist ja, DNS-Blocking zu verwenden. Das kannst du von einem Durchschnittsnutzer kaum verlangen - entweder die Maßnahme ist im Browser integriert oder sie ist eben nicht Teil davon.

Einverstanden. Das sehe ich auch so.

1 „Gefällt mir“

@kuketzblog
Diese Funktion hat es leider nicht in den Artikel geschafft. Es ist klar, dass nicht alles in den Artikel kann. Aber gibt es einen anderen Grund weshalb diese Funktion nicht auftaucht?

vielleicht weil es nicht automatisch ist?

Naja, indem es eine Ausnahme vom automatischen Löschen der Offline-Daten ist, ist es doch invers automatisch?
Jedenfalls tausend Mal besser als beim Safari (iOS, iPadOS), der ein automatisches Löschen absichtlich nicht vorsieht, wohl weil Google die Daten wünscht?

@kuketzblog :
Wenn ich im FF die beiden Optionen zur Verhinderung/Verminderung von Canvas-Tracking aktiviere, wird dann ebenfalls, wie beim „Safe-Browsing“ die weltgrößte Datenkrake involviert, d.h. bekommt (mindestens!) jeweils die aktuelle IP ?

Ich dachte da an Cookies und Co und da macht es schon einen Unterschied ob ich den Browser oder nur das Tab zu mache wenn keine Extra Addons installiert sind.