Welcher Webrowser ist sicher und schützt die Privatspähre?

[failXontour]

Hey da ich mich Privat seit letzens mit dem Thema Sicherheit und Privatspähre beschäftige würde ich gerne wissen welcher Browser eurer Meinung nach sicher ist und aktiv Maßnahemen ergreift um entsprechend die Privatspähre eines Nutzers zu schützen. Welche vielleicht nicht nach dem Motto arbeiten: Don't be evil

Hoffe ich übersehe jetzt nicht einen Post doch in der Themenliste und in der Suche hätte ich jetzt auf die schnelle nichts finden können. Außer vielleicht individuelle Browser-Reviews zu jedem einzelnen Browser.

Habe natürlich auch nur begrenzt Zeit mich mit jedem Browser auszuprobieren. Deshalb fang ich mal an ich persönlich habe ja auch gerade meinen eigenen Favoriten wie Firefox da hier sehr viel an diesem sehr viel verändert werden kann und entsprechend mit Erweiterungen gearbeitet werden kann um die Sicherheit zu gewährleisten. Hab i.d.F. mich Hauptsächlich an die Tipps und Tricks über privacytools.io gehalten:

Jetziger Webbrowser:
Firefox 73.0.1

Add-Ons

• Adobe Acrobat
• Cookie AutoDelete
• Decentraleyes
• Export Tabs URLs
• Facebook Container
• Firefox Multi-Account Containers
• HTTPS Everywhere
• KeePassXC-Browser
• Link Cleaner
• NoScript
• Privacy Badger
• Startpage.com — Datenschutz-Suchmaschine
• Tab Image Saver
• Terms of Service; Didn’t Read
• User-Agent Switcher and Manager
• uBlock Origin
• Wappalyzer
• Web Archives

Suchmaschine die ich für 99% der Dinge benutze ist Startpage auch wenn Sie kürzlich ein wenig aufsehen auf sich erregt haben mit System1 (Marketing- und Werbeplattform welche Paradoxerweiße gegenteil von dem Gedanken den Startpage verfolgt agieren entsprechend Tracking momentan über Fingerprinting, Cookie-Tracking betreiben der Satan also.) welche Anteile eingekauft haben und entsprechend nicht mehr gelisten worden sind von privacytools.io. Der restliche 1% sind wirklich Dump-Suchen in denen ich einfach nur ein paar Keywords-Suche, da ich die Bildersuche nicht sehr ausgereift finde bei Startpage. Duck-Duck-Go ist halt einfach nicht mein Fall weil Teils die Suchergebnisse von Bing nicht gut genug sind.

Ein paar Fixes zu WebRTC und Fingerprinting sind in der about:config eingetragen. Wobei ich gesehen habe das man ghacks-user.js hier noch ein bisschen mehr machen kann.

Hab jetzt folgende Browser gerade mal so im Blick Tor Browser, Waterfox, IceCat, vielleicht auch Bromite, Brave. Bin auch Prinzipiell nicht abgneigt von Chromium mit entsprechenden Fixes, obwohl ich mir oben ein Spaß erlaube. Doch würde ich gerne mal wissen was eure Erfahrungsberichte so mit den Browsern sind, oder ob ihr noch andere kennt welche man mal ausprobieren sollte und was Ihr für Erweiterungen und Fixes parat hättet?

Nicht falsch verstehen, möchte noch auch normal Browsen können ohne zu Striktes Regelwerk in dem ich auf jeder Webseite hundert Dinge vorher kontrollieren muss.

 

[luckysh0t]

https://www.kuketz-blog.de/firefox-ein-browser-fuer-datenschutzbewusste-firefox-kompendium-teil1/

Das habe ich mal durch exerziert - wenn auch glaube nicht alles und nicht strict.Zumal ich auch ff Sync für Lesezeichen nutze xD Und auch noch andere Add ons nutze

Abgegrundet durch einen PiHole.

Also etwas Komfort darf es schon sein ^^.


Als Suchmaschine nutze ich qwandt light.
Bzw. habe ich mal https://www.kuketz-blog.de/searx-in...ntergruende-und-infos-zu-www-kuketz-suche-de/ getestet.

 

[Vitali.Metzger]

Die Standard Add-Ons für meinen Fuchs sind uBlock Origin und Privacy Badger. Hab auch mal eine Zeit lang eine andere Suchmaschine (duckduckgo und Startpage) benutzt, bin aber wieder zurück zu Google.

 

[calippo]

Schau Dir auch mal PiHole an, damit kann man die Aktivitäten der anderen Geräte in Heimnetz auch schön sichtbar machen und gezielt blocken bzw. whitelisten.

 

[Groug]

Du meinst eher den am wenigsten unsicheren Browser. Dem kommt sicher lynx am nächsten, aber ob man sich das geben will. Der erwähnte Blog von Mike Kuketz ist sicher eine gute Anlaufstelle um den Firefox auf ein akzeptabeles Niveau zu bekommen.

 

[Harry Bo]

... der
https://www.torproject.org/de/

 

[Lord_Dragon]

Tor wäre noch erwähnenswert.
Aber um so mehr Addons du einbaust, desto mehr potentielle Lücken schaffst du, nur mal so als Hinweis am Rande.

 

[luckysh0t]

Und selbst bei Tor bedarf es einige Regeln um seine Anonymität nicht wieder aufzuweichen.
Wie Installation von Add ons - das Offensichtlichste, neben der Wahl des OS.
Aber auch Sprache ändern, Größe der Fenster, Monitorauflösung etc. alles lässt sich irgendwie tracken und führt zum Gegenteil - wie hoch es sich auswirkt sei mal dahingestellt xD

Es gebiert dem eigenen Urteil wie extrem man dass betreiben möchte ^^

 

[Groug]

Nicht zu vergessen das der Torbrowser ein LTS Firefox ist.

 

[failXontour]

Danke für die vielen Antworten, lese mich gerade erstmal bei @luckysh0t im Blog ein! Besonders bzgl. searx habe mitbekommen, dass dies eine Search-Engine ist doch nicht entsprechend das dahinter eine eigenes selbsthostbares dezentralisiertes Netzwerk dahintersteckt.

 

[KnolleJupp]

Ich nutze zu 99% Firefox.
Und zwar seit Jahren im Beta-Kanal: https://download.mozilla.org/?product=firefox-beta-latest-ssl&os=win64&lang=de.

Als Add-ons nutze ich u.a. uBlock Origin https://addons.mozilla.org/de/firefox/addon/ublock-origin/
und Ghostery https://addons.mozilla.org/de/firefox/addon/ghostery/.

Als Suchmaschine empfehle ich DuckDuckGo https://duckduckgo.com/.

Damit fahre ich IMHO ganz gut.

 

[Joshinator]

Nutze Brave jetzt seit ein paar Monaten auf all meine Geräten, am Desktop macht es meiner Meinung nach recht wenig aus. Nicht weil die "Schilde" nicht funktionieren sondern weil man per Addons das gleiche bekommen kann. Man spart sich damit also eigentlich nur das einrichten von ein paar Addons.
Wirklich interessant wird es auf Handy/Tablet, da sind die recht nützlich. Wenn man unterwegs ist bringt der PiHole zuhause nicht wirklich was, und die Boardmittel von Android und iOS sind dann doch eher mau (wobei Firefox glaub ich auch schon Addons kann).
Aber alles was über normales Blockieren geht braucht am Ende aber auch Addons. Wenn du nicht unbedingt auf Blink als Engine setzen willst sehe ich keinen Grund von Firefox zu wechseln, zumal Firefox einfach mehr Funktionen hat (offene Tabs lassen sich z.B. nicht in Brave zwischen Geräten teilen, Multi-User Containers gibt es nicht usw).


Das einzige Alleinstellungsmerkmal von Brave ist eigentlich nur die Werbung durch Brave Rewards.
Man merkt Brave einfach an das der Browser noch recht frisch ist, vom Funktionsumfang ist es kein Vivaldi oder Opera. Ein automatische Update vor einem Monat hat dazu geführt das Brave auf Windows sich sofort selbst geschlossen hat, wegen sowas kann man Brave dann doch nicht jedem 0815-User ans Herz legen.

 

[Tamron]

https://www.kuketz-blog.de/firefox-ein-browser-fuer-datenschutzbewusste-firefox-kompendium-teil1/

Von dem Typen würde ich Abstand halten. Alles was Javascript benutzt oder darauf sogar basiert ist für den Typen unsicher Absolut null verständlich.

Generell bist du doch schon echt gut dabei @Klosteinmann .
Noch mehr und es wird doch wieder nervig. U-Block nervt mich ja schon dezent oft, aber das nehme ich hin.

 

[luckysh0t]

lles was Javascript benutzt oder darauf sogar basiert ist für den Typen unsicher Absolut null verständlich.

Um das zu beurteilen kenne ich mich zu wenig mit JS aus - gar nicht. ^^ Aber das eine Sprache per se unsicher ist, ist für mich dann doch neu.

 

[Groug]

Aber das eine Sprache per se unsicher ist, ist für mich dann doch neu.

Eher die Frage was eine Sprache im Kontext deines Browsers anstellen kann. Und da kann Javascript durchaus ein größeres Problem sein. Und verständlich ist es durchaus wenn man sich seinen Anspruch ansieht.

 

[failXontour]

Ich kann mich hier leider auch nicht zu Äußern auch wenn ich es können müsste und auch wollte, denn ich bin geteilter Meinung bei JavaScript zum einen ist es toll was daraus enstanden ist und ist Grundbaustein des modernen Webs, ist eigentlich überall dabei sei es bei VR/AR Projekten.

Zum Web/Cloudserver heute ist mit NGINX u. Nextcloud mit und ist in fast jedem größerem Webprojekt in dem ein Framework zum Einsatz kommt JavaScript mit enthalten. Doch die Devise bei JS ist halt folgendes habe ich auch so mitbekommen damals bei mir in der Klasse und eigentlich so auch in Stein geschrieben ist und bleibt am sichersten und deaktiviert unbekannte Scripts von daher sollte man Sicherheitshalber lieber deaktivieren also eigentlich JS aus.

Besonders beim Webdesignen hab ich die Erfahrung gemacht ist die Versuchung Groß auf Frameworks und Skripts aufzuspringen. Ich meine fast jede Webseite seit in irgendeiner Form auf jQuery auf, besonders bei älteren Webseiten. Doch ob sich das Lohnt steht auf der Kippe besonders weil im Normalfall man nicht genau weiß welche Funktion was genau mit sich bringt. Bei richtiger Verwendung spart man gut und gerne Tage und Stunden an Zeit, wenn es schlecht läuft addiert man sich 2 Wochen an Arbeitszeiten.

Doch dem ggü. gibt es Bitcoin-Miner, Fingerpinting-Skripte und alles mögliche an Malware und bösen Dingen per JavaScript auch kommen. Zweischneidiges Schwert, ich glaube bei beiden hat man keinen wirklichen Sieg davon getragen.

Von dem Typen würde ich Abstand halten. Alles was Javascript benutzt oder darauf sogar basiert ist für den Typen unsicher Absolut null verständlich.

Doch ich glaube wohl sondern eher, dass einer ählichen Aufassung @luckysh0t auch gekommen ist.

Damit nicht genug, auch die Sicherheit von JavaScript wird aufgrund der mannigfaltigen Funktionen und Möglichkeiten immer wieder kontrovers diskutiert. Dieses insbesondere deshalb, da die meisten der in Browsern bekannt gewordenen Sicherheitslücken oftmals eng mit JavaScript und deren Funktionalität verknüpft sind.

 

[Joshinator]

Unrecht hat der Typ ja nicht, das gesamte Javascript-Ökosystem ist unsicher. Nutzer da mit 99% Genauigkeit ohne Cookie zu identifizieren ist da noch das kleinere Problem.

In der Dependency-Chain von einem Projekt muss es nur ein Paket geben wo das npm-Passwort vom Besitzer "test123" ist und schon hat man potenziell tausende von Websites gekapert.
npm install hypejs als nichtsahnender Entwickler und das Paket was in Abhängigkeit der 20ten Stufe benutzt wird macht ein paar Ajax-Requests im Browser meiner Website.
Auch Open-Source hilft da nicht, keiner guckt sich den minified Code von jedem Release an wo dann mit eval & Co zur Laufzeit bitweise Zeichen getauscht werden damit man URL & XHR nicht so einfach im Code finden kann.
Und da hilft dann auch kein 3rd-Party blocker, der schädliche Code wird dann nämlich direkt von der Website serviert.


Es ist nicht mal der Website-Betreiber der was böses vorhaben muss, jeder Code der von Extern kommt kann ein Problem sein. Aber das gilt nicht nur für Javascript, ein App-Entwickler kann genauso in die Scheiße treten wenn man sich externen Code nimmt.
Die Sprache selbst ist meiner Meinung nach weniger das Problem, eher die Einstellung (Faulheit/Naivität) der Programmierer.

Bin keiner der Noscript benutzt, aber ich kann verstehen wieso sich manche Leute die Arbeit machen.
Am Ende muss jeder selbst entscheiden ob die potenzielle Sicherheitslücke es Wert ist sich Noscript-Regeln anzulegen.

 

[BeBur]

Joshinator: Das betrifft aber explizit das npm Ökosystem (und da hast du absolut recht) und nicht sandboxing-exploits, die im Browser kontext eher eine Rolle spielen.

Ich würde die ganzen Komfort-Plugins die du da hast deinstallieren oder zumindest mal drüber gucken über die Permissions. Ich vermute da ziemlich drastische Befugnisse.
"Tab Image Saver" hat z.B. "Auf Ihre Daten für diverse Websites zugreifen" Berechtigung. Wäre mir viel zu viel für ein kleines Comfort-Tool.
Also 20.000 Zeilen Code, die meistens eine einzelne Person mal angeschaut hat über die du nichts weißt + 20 externe Abhängigkeiten. Da kommt dann doch wieder in Spiel was Joshinator geschrieben hat.

 

[failXontour]

Ich würde die ganzen Komfort-Plugins die du da hast deinstallieren oder zumindest mal drüber gucken über die Permissions. Ich vermuete da ziemlich drastische Befugnisse.
"Tab Image Saver" hat z.B. "Auf Ihre Daten für diverse Websites zugreifen" Berechtigung. Wäre mir viel zu viel für ein kleines Comfort-Tool.

Sind unter der GNU/GPLv3 Lizenz veröffentlicht, ich glaube da sitzt kein böser Hintergedanke hinter. Leider lässt sich so ein Komfort-Tool nunmal nicht anders schreiben, selbe gilt auch für Export Tabs URLs. Wobei ich ehrlich gesagt, ein wenig enttäuscht von Mozilla bin, wenn ich mir so die einhergehenden gelisteten Skandale anschaue.

Werde nachher mal bei den Forks schauen alá IceCat, Tor Browser was mir besser in den Kram passt nachdem ich es angepasst habe. Übrigens bin ich am überlegen WaterFox als Alternative zu streichen, ganz vergessen System1 hat hier auch ein schönen Teil Geld mit dazugestoßen die Intentionen dahinter kann man glaube erahnen.

 

[BeBur]

Sind unter der GNU/GPLv3 Lizenz veröffentlicht

Tab Image Saver hat 20.000 Zeilen Code. Zu 99% entwickelt von einer anonymen Person mcdamo. Wer ist das, wieso sollte der sehen dürfen welche Passwörter du verwendest, was sind das für externe Abhängigkeiten, wer sind die anderen die Code beigetragen haben, wurde da ordentlich drüber geschaut, was der Code macht? Wir wissen es nicht.
Ich würde aller mindestens bei jedem Plugin mit weitreichenden Erlaubnissen prüfen: Wer ist der Ersteller, hat der noch mehr laufende Projekte, ist vielleicht der realname verfügbar etc.