1. Pale Moon
Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »nach Hause telefonieren« einschränken oder sogar vollständig abschalten lässt.
Im vorliegenden Beitrag wird Pale Moon analysiert, der für Windows und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Pale Moon ist wie folgt:
- Betriebssystem: Windows 10 Pro (Version 20H2)
- Version: 29.2.1 (Offizielles Build) (64-Bit)
- Konfiguration: Standardkonfiguration (keine Anpassungen)
Pale Moon wirbt aktuell wie folgt:
Your browser, Your way
- Brave: Datensendeverhalten Desktop-Version – Browser-Check Teil1
- Ungoogled Chromium: Datensendeverhalten Desktop-Version – Browser-Check Teil2
- Bromite: Datensendeverhalten Android-App – Browser-Check Teil3
- Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4
- Vivaldi: Datensendeverhalten Desktop-Version – Browser-Check Teil5
- Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6
- Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7
- LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8
- Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9
- SRWare Iron: Datensendeverhalten Desktop-Version – Browser-Check Teil10
- Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11
- DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12
- Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13
- FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14
- Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15
- Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16
- UC Browser: Datensendeverhalten Android-App – Browser-Check Teil17
- iCab Mobile: Datensendeverhalten iOS-App – Browser-Check Teil18
- Safari: Datensendeverhalten iOS-App – Browser-Check Teil19
- Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
- Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21
2. Datensendeverhalten
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion
[1] Verbindungsaufbau zu Pale Moon zum Host »start.palemoon.org«:
GET / HTTP/1.1 Host: start.palemoon.org User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: close
Dieser Verbindungsaufbau kommt zustande, weil die Adresse »start.palemoon.org« als Startseite in Pale Moon voreingestellt ist. Dies löst das Nachladen von diversen Ressourcen aus unterschiedlichen Quellen aus. Dazu zählt unter anderem:
- palemoon.start.me
- whatismylocale.start.me
- c.start.me
- www.googletagmanager.com
- api.start.me
- js-agent.newrelic.com
Wer diese Verbindungen bei jedem Start des Browsers vermeiden möchte, öffnet die »Tools -> Preferences -> Startup
« und definiert unter When Pale Moon starts: Show a blank page
.
[2] Verbindungsaufbau zu Pale Moon zum Host »blocklist.palemoon.org«:
GET /?version=29.2.1 HTTP/1.1 Host: blocklist.palemoon.org User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.1 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Cache-Control: no-cache Connection: close
Pale Moon lädt eine XML-Datei (https://blocklist.palemoon.org/v29-1/blocklist.xml), die diverse Add-ons beinhaltet, die innerhalb Pale Moon nicht installiert werden können. Vermutlich handelt es sich hierbei um »schadhafte« Add-ons oder solche, die in Kombination mit Pale Moon nicht korrekt funktionieren.
[3] Verbindungsaufbau zu Pale Moon zum Host »aus.palemoon.org / dua.palemoon.org«:
GET /?application=palemoon&version=29.2.1&arch=WINNT_x86_64-msvc&flavor=false&toolkit=windows&buildid=20210424110356&channel=release HTTP/1.1 Host: aus.palemoon.org User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.1 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Cache-Control: no-cache Pragma: no-cache Connection: close
Der Browser prüft, ob eine neue Version des Browsers zu Verfügung steht und blendet ein Hinweisfenster ein, wenn die installierte Version veraltet ist. Die Aktualisierung umfasst ebenfalls automatische Updates für die Suchmaschinen. Das Updateverhalten lässt sich über »Tools -> Preferences -> Update
« anpassen.
2.2 Während der aktiven Nutzung
Pale Moon lädt beim Aufruf einer Webseite alle Ressourcen nach, die zur Darstellung erforderlich sind bzw. vom Webseitenbetreiber eingebunden wurden. Darüber hinaus baut der Browser keine weiteren Verbindungen auf.
3. Erwähnenswert
3.1 Basis bzw. Unterbau
Pale Moon basiert auf Firefox – einem quelloffenen Browser der Mozilla Foundation. Ursprünglich war der Browser ein Fork (Abspaltung) von Firefox. Seit der Version 12.x von Pale Moon ist der Browser eigenständig bzw. losgelöst von Firefox. Die HTML-Render-Engine nennt sich nun nicht mehr Gecko (Firefox), sondern Goanna. Im Gegensatz zu Firefox unterstützt Pale Moon weiterhin XUL, XPCOM und NPAPI–Plug-ins, die von Firefox ab Version 57 nicht mehr genutzt werden können.
Pale Moon wird offiziell so beschrieben:
This browser, even though fairly close to Gecko-based browsers like Mozilla Firefox and SeaMonkey in the way it works, is based on a different layout engine and offers a different set of features. It aims to provide close adherence to a balanced set of official, common-sense web standards and specifications in its implementation (with minimal compromise), and purposefully excludes a number of features to strike a balance between general use, performance, and technical advancements on the Web.
Interessant ist, wie mit bekannten Sicherheitslücken verfahren wird:
They are handled primarily by me (Moonchild) personally being in touch with the Mozilla Security team which provides me with access to relevant bugs on bugzilla, but only after Mozilla has deemed it safe to release to non-team members (which is usually a few days to a week after a Firefox release, and only insofar the sec bugs have been solved in that particular release, regardless of the criticality of the vulnerability in the wild). This means that every Firefox cycle, but only after release and publication of advisories by Mozilla, I perform an audit of which bugs are applicable and write or port patches to solve sec issues that apply to our code.
This has been done this way for many years and while not ideal, it is most definitely an acceptable solution that keeps us updated with applicable sec fixes for the platform and applications.
Man muss also davon ausgehen, dass Sicherheitsupdates verzögert ihren Weg in Pale Moon finden und nur von einem einzigen Entwickler portiert werden. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Firefox grassiert bzw. geschlossen wurde. Erschwerend kommt hinzu: Pale Moon basiert auf einer anderen Code-Basis, als die neuen Firefox-Versionen.
3.2 Suchmaschine
DuckDuckGo ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Tools -> Preferences -> Suche
« lässt sich die Suchmaschine anpassen.
3.3 Tracking
Pale Moon trackt/verfolgt den Nutzer in keinster Weise.
3.4 Add-ons/Erweiterungen
Pale Moon unterstützt eine ganze Reihe von Add-ons, die man von Firefox kennt. Das neue Add-on-Format (ab Firefox 57.x) unterstützt Pale Moon nicht, sondern ausschließlich »Legacy Addons« auf Basis von XUL/XPCOM. Der Tracking- und Werbeblocker uBlock Origin lässt sich über GitHub als xpi-Datei herunterladen und anschließend in Pale Moon installieren.
3.5 Private Browsing/Privates Fenster
Keine Auffälligkeiten.
4. Fazit
Insgesamt hinterlässt Pale Moon einen datenschutzfreundlichen Eindruck. Nachdem die Startseite des Browsers angepasst ist, gibt es wenig zu beklagen. Während der aktiven Nutzung baut der Browser – abgesehen zu den aufgerufenen Webseiten und den dort eingebunden Ressourcen – keine Verbindungen auf. Er telefoniert also nicht nach Hause. Eine Eigenschaft, die man heute kaum noch vorfindet und nicht oft genug hervorgehoben werden kann.
Ohne dem Hauptentwickler (Moonchild) von Pale Moon seine Fähigkeiten absprechen zu wollen, steht und fällt die Sicherheit des Browsers mit seiner Reaktionsfähigkeit auf bekannt gewordene Sicherheitslücken zu reagieren. Pale Moon ist sicherlich kein schlechter Browser, aber allein aus Sicherheitsgründen würde ich den Browser nicht als Standardbrowser wählen.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.