Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9

1. Pale MoonPale Moon

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »nach Hause telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Pale Moon analysiert, der für Windows und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Pale Moon ist wie folgt:

  • Betriebssystem: Windows 10 Pro (Version 20H2)
  • Version: 29.2.1 (Offizielles Build) (64-Bit)
  • Konfiguration: Standardkonfiguration (keine Anpassungen)

Pale Moon wirbt aktuell wie folgt:

Your browser, Your way

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Pale Moon zum Host »start.palemoon.org«:

GET / HTTP/1.1
Host: start.palemoon.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close

Dieser Verbindungsaufbau kommt zustande, weil die Adresse »start.palemoon.org« als Startseite in Pale Moon voreingestellt ist. Dies löst das Nachladen von diversen Ressourcen aus unterschiedlichen Quellen aus. Dazu zählt unter anderem:

  • palemoon.start.me
  • whatismylocale.start.me
  • c.start.me
  • www.googletagmanager.com
  • api.start.me
  • js-agent.newrelic.com

Wer diese Verbindungen bei jedem Start des Browsers vermeiden möchte, öffnet die »Tools -> Preferences -> Startup« und definiert unter When Pale Moon starts: Show a blank page.

[2] Verbindungsaufbau zu Pale Moon zum Host »blocklist.palemoon.org«:

GET /?version=29.2.1 HTTP/1.1
Host: blocklist.palemoon.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.1
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Connection: close

Pale Moon lädt eine XML-Datei (https://blocklist.palemoon.org/v29-1/blocklist.xml), die diverse Add-ons beinhaltet, die innerhalb Pale Moon nicht installiert werden können. Vermutlich handelt es sich hierbei um »schadhafte« Add-ons oder solche, die in Kombination mit Pale Moon nicht korrekt funktionieren.

[3] Verbindungsaufbau zu Pale Moon zum Host »aus.palemoon.org / dua.palemoon.org«:

GET /?application=palemoon&version=29.2.1&arch=WINNT_x86_64-msvc&flavor=false&toolkit=windows&buildid=20210424110356&channel=release HTTP/1.1
Host: aus.palemoon.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.1
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Connection: close

Der Browser prüft, ob eine neue Version des Browsers zu Verfügung steht und blendet ein Hinweisfenster ein, wenn die installierte Version veraltet ist. Die Aktualisierung umfasst ebenfalls automatische Updates für die Suchmaschinen. Das Updateverhalten lässt sich über »Tools -> Preferences -> Update« anpassen.

2.2 Während der aktiven Nutzung

Pale Moon lädt beim Aufruf einer Webseite alle Ressourcen nach, die zur Darstellung erforderlich sind bzw. vom Webseitenbetreiber eingebunden wurden. Darüber hinaus baut der Browser keine weiteren Verbindungen auf.

3. Er­wäh­nens­wert

3.1 Basis bzw. Unterbau

Pale Moon basiert auf Firefox – einem quelloffenen Browser der Mozilla Foundation. Ursprünglich war der Browser ein Fork (Abspaltung) von Firefox. Seit der Version 12.x von Pale Moon ist der Browser eigenständig bzw. losgelöst von Firefox. Die HTML-Render-Engine nennt sich nun nicht mehr Gecko (Firefox), sondern Goanna. Im Gegensatz zu Firefox unterstützt Pale Moon weiterhin XUL, XPCOM und NPAPIPlug-ins, die von Firefox ab Version 57 nicht mehr genutzt werden können.

Pale Moon wird offiziell so beschrieben:

This browser, even though fairly close to Gecko-based browsers like Mozilla Firefox and SeaMonkey in the way it works, is based on a different layout engine and offers a different set of features. It aims to provide close adherence to a balanced set of official, common-sense web standards and specifications in its implementation (with minimal compromise), and purposefully excludes a number of features to strike a balance between general use, performance, and technical advancements on the Web.

Interessant ist, wie mit bekannten Sicherheitslücken verfahren wird:

They are handled primarily by me (Moonchild) personally being in touch with the Mozilla Security team which provides me with access to relevant bugs on bugzilla, but only after Mozilla has deemed it safe to release to non-team members (which is usually a few days to a week after a Firefox release, and only insofar the sec bugs have been solved in that particular release, regardless of the criticality of the vulnerability in the wild). This means that every Firefox cycle, but only after release and publication of advisories by Mozilla, I perform an audit of which bugs are applicable and write or port patches to solve sec issues that apply to our code.

This has been done this way for many years and while not ideal, it is most definitely an acceptable solution that keeps us updated with applicable sec fixes for the platform and applications.

Man muss also davon ausgehen, dass Sicherheitsupdates verzögert ihren Weg in Pale Moon finden und nur von einem einzigen Entwickler portiert werden. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Firefox grassiert bzw. geschlossen wurde. Erschwerend kommt hinzu: Pale Moon basiert auf einer anderen Code-Basis, als die neuen Firefox-Versionen.

3.2 Suchmaschine

DuckDuckGo ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Tools -> Preferences -> Suche« lässt sich die Suchmaschine anpassen.

3.3 Tracking

Pale Moon trackt/verfolgt den Nutzer in keinster Weise.

3.4 Add-ons/Erweiterungen

Pale Moon unterstützt eine ganze Reihe von Add-ons, die man von Firefox kennt. Das neue Add-on-Format (ab Firefox 57.x) unterstützt Pale Moon nicht, sondern ausschließlich »Legacy Addons« auf Basis von XUL/XPCOM. Der Tracking- und Werbeblocker uBlock Origin lässt sich über GitHub als xpi-Datei herunterladen und anschließend in Pale Moon installieren.

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Insgesamt hinterlässt Pale Moon einen datenschutzfreundlichen Eindruck. Nachdem die Startseite des Browsers  angepasst ist, gibt es wenig zu beklagen. Während der aktiven Nutzung baut der Browser – abgesehen zu den aufgerufenen Webseiten und den dort eingebunden Ressourcen – keine Verbindungen auf. Er telefoniert also nicht nach Hause. Eine Eigenschaft, die man heute kaum noch vorfindet und nicht oft genug hervorgehoben werden kann.

Ohne dem Hauptentwickler (Moonchild) von Pale Moon seine Fähigkeiten absprechen zu wollen, steht und fällt die Sicherheit des Browsers mit seiner Reaktionsfähigkeit auf bekannt gewordene Sicherheitslücken zu reagieren. Pale Moon ist sicherlich kein schlechter Browser, aber allein aus Sicherheitsgründen würde ich den Browser nicht als Standardbrowser wählen.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion
HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.