1. FOSS Browser

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird der FOSS Browser analysiert, der ausschließlich für Android verfügbar ist. Die Ausgangslage für den nachfolgenden Test des FOSS Browsers ist wie folgt:

Betriebssystem: Android 11
Version: 7.4.4 (F-Droid)
Konfiguration: Standardkonfiguration (keine Anpassungen)
WebView-Version: 91.0.4472.101 (09.06.2021)

Der FOSS Browser wird aktuell wie folgt beworben:

The intention is to provide a simple and light weight but powerful browser with a nice looking user interface.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu GitHub zum Host »github.com«:

GET /scoute-dich/browser HTTP/1.1
Host: github.com
Connection: close
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/91.0.4472.101 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
dnt: 1
X-Requested-With: de.baumann.browser
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

FOSS Browser hat als Startseite die GitHub-Seite des Projekts voreingestellt. Beim ersten Öffnen des Browsers werden daher diverse Verbindungen zu GitHub initiiert, um die Seite darzustellen. Das löst eine Reihe von Verbindungsanfragen aus, um Ressourcen wie Stylesheets, JavaScript und Bilder nachzuladen.

Keine ideale Standardeinstellung, die sich allerdings fix über »Einstellungen -> Startseite« anpassen lässt. Ein leerer Eintrag bezweckt, dass keine Seite beim Starten des Browsers geladen wird.

2.2 Während der aktiven Nutzung

FOSS Browser lädt beim Aufruf einer Webseite alle Ressourcen nach, die zur Darstellung erforderlich sind bzw. vom Webseitenbetreiber eingebunden wurden. Darüber hinaus baut der Browser keine weiteren Verbindungen auf.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Der Quellcode des FOSS Browsers ist für jeden frei einsehbar. Zur Darstellung/Rendering von Webseiten nutzt der Browser die in Android mitgelieferte System WebView. Anders als bspw. Firefox, der eine eigene Rendering-Engine für Webseiten mitbringt (Gecko), basiert FOSS Browser also auf der systemeigenen von Google.

Insgesamt ist der Browser übersichtlich gestaltet und bietet nur die wesentlichsten Einstellungsmöglichkeiten. Unter Security/Data wird der Browser auf der GitHub-Seite wie folgt beworben:

fully open source
no trackers
no unnecessary permissions
third party cookies disabled by default
enable/disable cookies, javascript, location access, history
whitelist for javascript, cookies and AdBlocker
toggle image/third party content loading
do not track me
backup data
AdBlocker
delete data on exit (optional)

3.2 Suchmaschine

Startpage ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suchmaschine« lässt sich bei Bedarf eine andere Suchmaschine einstellen.

3.3 Tracking

Der FOSS Browser trackt den Nutzer nicht:

FOSS Browser doesn’t collect any data. FOSS Browser isn’t responsible for any data collected by opened websites.

3.4 Add-ons/Erweiterungen

Add-ons werden keine unterstützt. Standardmäßig hat der Browser allerdings einen Werbeblocker integriert, der bereits im Auslieferungszustand aktiviert ist. Die Filterlisten werden übrigens mit dem Browser ausgerollt und werden nur dann aktualisiert, wenn eine neue Version des FOSS Browsers zur Verfügung steht.

3.5 Private Browsing/Privates Fenster

Einen »privaten Surf-Modus«, wie man ihn von anderen Browsern kennt, gibt es beim FOSS Browser nicht.

4. Fazit

Insgesamt hinterlässt der FOSS Browser einen datenschutzfreundlichen Eindruck und es gibt eigentlich gar nichts zu bemängeln – außer vielleicht die GitHub-Seite des Projekts als Startseite. Aber das wäre wirklich kleinlich.

Der FOSS Browser telefoniert nicht nach Hause, bringt einen Tracking- und Werbeschutz bereits mit und ist kompakt/übersichtlich gestaltet. Insgesamt ein toller Browser für die Android-Plattform.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (400)

FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14