Nachdem Mull und Mulch nicht mehr upgedatet werden bleibt die Frage, welche
Browser für CustomROMs als datenschutzfreundlich und mit zeitnahen Updates verbleiben?
Wohl Brave. GrapheneOS hat noch Vanadium, Calyx aber z.B. nicht.
Iceraven wurde mal in einem Thread erwähnt.
Gibt es Erfahrungen/Empfehlungen - erstmal egal ob auf Gecko oder Chromium
Basis?
Ich nutze neben Vanadium noch den Privacy Browser (F-Droid).
Das mit den Updates ist so eine Sache, aber ich nutze trotzdem gerne Fennec F-Droid. Ähnlich zu Mull, aber mit weniger Anti-Fingerprinting Privatsphärentheater.
https://f-droid.org/packages/org.mozilla.fennec_fdroid/
1 „Gefällt mir“
Ich verwende und empfehle nur Chromium-Browser unter Android: Brave, Vanadium. Mit Einschränkungen: Cromite.
WebView- und FF-basierte Browser haben deutliche Sicherheitsnachteile unter Android.
Für Mull gibt es einen Fork: https://gitlab.com/ironfox-oss/IronFox
Nutze selbst Fennec, Firefox und Firefox Focus. Die ersten beiden wegen dem besten Adblocker uBlock Origin 
1 „Gefällt mir“
Danke @Chief1945 und @timbuktu
Ich sehe zwar den Punkt von @Chief1945 , halte es im Alltag aber ähnlich wie @timbuktu : bisher habe ich Mull via F-Droid genutzt. Da ich für IronFox kein extra Repository einrichten will (wenn „man“ so anfängt, könnte „man“ mehrere zusätzliche Repositories für diverse Apps einrichten, die nicht per Standard enthalten sind…), nutze ich jetzt Fennec (via F-Droid). Auf Apple iPhone dann (leider) Firefox Klar. Für mich zählt ebenso uBlock Origin.
Ich habe den Punkt von @Chief1945 auf https://www.kuketz-blog.de/sichere-und-datenschutzfreundliche-browser-meine-empfehlungen-teil-1/ u.ä. gelesen:
Zusammenfassend lässt sich sagen, dass sowohl Mozilla Firefox als auch Google Chrome auf Site-Isolation setzen, um die Benutzer zu schützen und die Auswirkungen von Angriffen zu minimieren. Auf Android-Plattformen fehlt den Gecko-basierten Browsern jedoch ein Sandbox-Schutz durch Site-Isolation (Fission) und/oder das Android-Flag isolatedProcess. Ein erfolgreicher Exploit würde dann potenziell Zugriff auf Browserdaten, Authentifizierungs-Cookies und/oder Passwörter ermöglichen.
Dennoch sollten Android-Nutzer von Firefox jetzt nicht in Panik verfallen – es handelt sich zwar um eine Härtungsmaßnahme, der Browser ist aber nicht völlig unsicher bzw. ungeschützt. Sofern Updates zeitnah eingespielt werden und man nicht gerade im Fokus eines gezielten Angriffs steht, ist die Nutzung vertretbar. Sicherheitstechnisch sind Chrome-basierte Browser jedoch überlegen. Wer also vor allem Wert auf Sicherheit legt, kommt an einem Chrome-basierten Browser – insbesondere unter Android – nicht vorbei.
Ich persönlich halte das Risiko für vertretbar, kann dafür aber tatsächlich uBlock Origin nutzen.
2 „Gefällt mir“
Ich nutze für Android als Hauptbrowser Cromite (weil komplett FOSS wenn auch eine ein bisschen schlechtere Fingerprintigprotection) und ansonsten noch Brave
1 „Gefällt mir“
uBlock Origin ist mit Abstand ein unschlagbarer Adblocker. Sobald man die Funktionsweise und die Möglichkeiten verstanden hat, wird es zu einem äußerst mächtigen Werkzeug. Viele Webseiten sind oft so schlecht gestaltet (übermäßig viel Werbung und/oder mit nervenden Popups überladen), dass ein sehr guter Adblocker für mich unverzichtbar geworden ist. Browser, die das Addon nicht unterstützen, müssen sich bei mir ganz weit hinten anstellen. Daher verwende ich Fennec und Firefox und gelegentlich auch Focus.
Möglicherweise wäre Brave eine Alternative. Der integrierte Adblocker kann allerdings in keinster Weise mit uBlock Origin mithalten, gleichzeitig bringt der Browser aber völlig unnötige Funktionen mit. Mir ist der Browser mit seinen über 200 MB für meinen Geschmack viel zu überladen.
4 „Gefällt mir“
Welche Einschränkungen hat Cromite bgegenüber den erstgenannten?
Hier kannst du Brave und Cromite vergleichen. Mir reicht der in Cromite integrierte Add-Blocker aber ich nutze sowieso eine Device-Firewall und einen DNS-Anbieter, der Belästigungen filtert, weshalb ich vermutlich nicht der beste Maßstab bin.
1 „Gefällt mir“
Frage zum Brave-Browser: Da es kein F-Droid-Repo gibt, muss man auf andere Quellen zurückgreifen. Kann es Unterschiede zwischen den App-Versionen von github (Updates z.B. mit Hilfe der Apps FFUpdater oder Obtainium) und vom G Play Store geben?
Ja, das kann es. Da der Google Play Store die Signaturen des Appdev nutzt, kann es sogar sein, dass es noch nicht mal zu einem Signaturkonfikt kommt. Allerdings wird das (bzw. die Unterschiede) normalerweise dokumentiert (so wie bei Organic Maps, wo es drei verschiedene Varianten gibt).
1 „Gefällt mir“
IronFox will ganz klar die Nachfolge zu Mull antreten, leider tun sich die Entwickler mit einer Veröffentlichung im üblichem F-Droid schwer, weil sie hauptsächlich Sorge haben nicht schnell genug Updates anbieten zu können. Dabei wird übersehen, dass neben 0-Days der Review durch F-Droid auch einen Vertrauensvorteil darstellen KANN. Ob der Review einen Vorteil bringt entscheiden wir Nutzer und Sicherheitsforscher die sich dann auch wirklich ggf. mal die Mühe machen die Dinge zu reviewen.
Zudem gibt es noch den Torbrowser, der nervt aber da er wirklich sehr hart mit Tor verknüpft ist. Der wird auch nur über den Repo vertrieben, hat aber immerhin eine jahrlang aufgebaut Reputation.
Zudem gibt es noch den Mullvad-Browser, der von den Torentwicklern entwickelt und nun von Mullvad supported wird. Klar will Mullvad deren VPN verkaufen, aber der Browser funktioniert auch ohne deren VPN im Clearweb. Die Sourcen sind im Git immer in den Branches, da muss man immer ein wenig suchen um zu gucken was gemacht wurde. Mir sieht das Mullvad-Browser-Projekt aber auch vertrauenswürdig aus. Wieder nur mit vollem Vertrauen auf die Entwickler uns da keine verseuchten Binaries unterzuschieben.
Ob die drei/viert Tage Verzögerung durch den Default-F-Droid-Store so wild sind, die Entwickler bewerten es so und fragen uns reine Nutzer eben nicht. Leider denken die Entwickler von sich, dass Sie doch die guten sind und man deren Repo doch einfach einbinden soll. Ist doof (für mich als Verwender), ist aber scheinbar so.
2 „Gefällt mir“
Plus die allgemeinen Bedenken bzgl. der Sicherheit von F-Droid, nachzulesen unter
https://gitlab.com/ironfox-oss/IronFox/-/issues/7
Die wurden ja auch schon hier im Forum diskutiert, zuletzt unter:
https://www.kuketz-forum.de/t/mangelhafte-zertifikatspruefung-bei-f-droid/10848
Nicht unbedingt alltagstauglich; aber das schreibst Du ja selber.
Aber nicht für Android…
1 „Gefällt mir“
Und es gibt da auch noch einen Fork von Mulch: AOSmium 
Nachgefragt Chief1945:
Warum genau mit Einschränkungen?
Siehe https://discuss.grapheneos.org/d/10550-mull-hardened-firefox-security/52 und https://discuss.grapheneos.org/d/16562-browser-mulch-vs-cromite/10
Habe ich das richtig verstanden, dass Cromite kein Control-flow integrity und kein Multithreading unterstützt? Kann das Brave? Kann man bei Brave eigentlich JIT State deaktivieren? (kann man wohl unter brave:flages > WebAssembly lazy complication > Disabled) Brave hat natürlich wieder den Nachteil, dass sie, anders als Cromite, propräritäre Libraries (wohl vermutlich ausschließlich GMS) nutzen. Oder hat sich das geändert?
Wichtiger sind die anderen genannten Punkte in den Links.
Ja
Nein
Soweit ich weiß ebenfalls kein CFI unter Android
Die zwei höchsten von 3 JIT-Tiers
Keine Ahnung. Stört mich nicht, so lange es nicht zum Tracking verwendet wird.
Was heißt dann MTI?
Bei Cromite ist/kann man JIT State ganz deaktivieren, was ich getan habe. Ich bleibe dann erstmal bei Cromite, weil ich keinen Mehrwert in Brave sehe. Da sind die technischen Daten sogar eher schlechter als die Daten bei Cromite sind, also sehe ich keinen Grund meinen Hauptbrowser für Android zu wechseln.