1. Safari
Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.
Im vorliegenden Beitrag wird Safari analysiert, der für iOS und macOS verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Safari ist wie folgt:
- Betriebssystem: iOS 14.8
- Version: 14
- Konfiguration: Standardkonfiguration (keine Anpassungen)
Safari wird aktuell wie folgt beworben:
Unglaublich schnell. Extrem sicher.
- Brave: Datensendeverhalten Desktop-Version – Browser-Check Teil1
- Ungoogled Chromium: Datensendeverhalten Desktop-Version – Browser-Check Teil2
- Bromite: Datensendeverhalten Android-App – Browser-Check Teil3
- Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4
- Vivaldi: Datensendeverhalten Desktop-Version – Browser-Check Teil5
- Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6
- Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7
- LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8
- Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9
- SRWare Iron: Datensendeverhalten Desktop-Version – Browser-Check Teil10
- Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11
- DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12
- Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13
- FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14
- Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15
- Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16
- UC Browser: Datensendeverhalten Android-App – Browser-Check Teil17
- iCab Mobile: Datensendeverhalten iOS-App – Browser-Check Teil18
- Safari: Datensendeverhalten iOS-App – Browser-Check Teil19
- Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
- Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21
2. Datensendeverhalten
2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion
Es findet kein Verbindungsaufbau statt.
2.2 Während der aktiven Nutzung
[1] Verbindungsaufbau zu Google zum Host »clients1.google.com«:
GET /complete/search?json=t&nolabels=t&client=iphonesafari&q=kuketz-blog.de HTTP/1.1 Host: clients1.google.com Cookie: CONSENT=PENDING+484 Accept: */* User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 14_8 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.2 Mobile/15E148 Safari/604.1 Accept-Language: de-de Accept-Encoding: gzip, deflate Connection: close
Während der Eingabe einer URL (kuketz-blog.de) in der Adresszeile wird der Name der Domain an die Suchmaschine Google übermittelt. Google erhält über die Adresszeile also Kenntnis über jede Suchanfrage bzw. Webseite, die jemand besucht. Über »Einstellungen -> Safari -> Suchmaschine
« sollte eine andere Suchmaschine festgelegt werden. Ebenso ist es sinnvoll die Option »Suchmaschinenvorschläge« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.
[2] Verbindungsaufbau zu Apple zum Host »token.safebrowsing.apple«:
GET /api/v1/google.json HTTP/1.1 Host: token.safebrowsing.apple User-Agent: SafariSafeBrowsing/16611.4.1.0.3 CFNetwork/1240.0.4 Darwin/20.6.0 Accept: */* Accept-Language: de-de Accept-Encoding: gzip, deflate Connection: close
Über die URL »token.safebrowsing.apple« ruft Safari ein Token ab, das offenbar im Zusammenhang mit Google Safe Browsing steht.
[3] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:
GET /v4/threatListUpdates:fetch?$ct=application%2Fx-protobuf&$req=ChcKBlNhZmFyaRINMTY2MTEuNC4xLjAuMxopCAEQBRobCg0IBBADGAEiAzAwMTABEJzgBRoCGAlCVkDcIgQgASACKAEaKQgCEAUaGwoNCAUQAxgBIgMwMDEwARCB6wsaAhgJJTjrjiIEIAEgAigB&key=AIzaSyANT-dOXDTNxZS4flEImFNycnoeDh4ehQI HTTP/1.1 Host: safebrowsing.googleapis.com Accept: */* X-Http-Method-Override: POST User-Agent: SafariSafeBrowsing/16611.4.1.0.3 CFNetwork/1240.0.4 Darwin/20.6.0 Accept-Language: de-de Accept-Encoding: gzip, deflate Connection: close
Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Safari in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.
Über »Einstellungen -> Safari -> Betrugswarnung
« lässt sich der Google-Dienst deaktivieren. Anschließend wird keine Liste mit schädlichen Domains bei Google nachgeladen – aber auch eine Warnung vor einer potenziellen Betrugsseite bleibt dann aus.
3. Erwähnenswert
3.1 Basis bzw. Unterbau
Safari ist ein proprietärer Webbrowser von Apple, der ausschließlich für die Apfel-Welt konzipiert und verfügbar ist. Zur Darstellung/Rendering von Webseiten nutzt Safari die Webkit-Engine. Die Werbeversprechen von Apple zu Safari sind vollmundig:
Safari ist die beste Art, das Internet auf all deinen Apple Geräten zu erleben. Du erhältst Optionen zum Anpassen, leistungsstarke Funktionen für Datenschutz und branchenführende Batterielaufzeit, damit du surfen kannst, wie du willst und wann du willst. Und wenn es um Geschwindigkeit geht – er ist der schnellste Browser der Welt.
Von Haus aus bringt Safari keinen Werbeblocker mit. Dieser lässt sich allerdings nachträglich einbinden, wenn man eine App wie AdGuard Pro installiert hat. Über »Einstellungen -> Safari -> Inhalts-Blocker
« lässt sich der Werbeblocker dann aktivieren – sofern eine entsprechende App installiert ist, ansonsten wird der Menüpunkt nicht angezeigt. Ab iOS 15 kann man Inhaltsblocker direkt aus dem App Store herunterladen.
Im Gegensatz zum Werbeblocker ist ein Tracking-Schutz bereits in Safari integriert, der unter anderem das seitenübergreifende Tracking verhindern soll. Über die URL-Leiste lässt sich zu jeder Webseite auch ein Datenschutzbericht anzeigen, der die blockierten Tracker auflistet. Beim Aufruf von Spiegel-Online werden bspw. ganze 29 Tracker blockiert.
Hinweis
Mit iOS 15 hat Apple mal wieder einige Verbesserungen bzw. Veränderungen eingeführt – Safari wurde bspw. komplett überarbeitet und bekam ein paar neue Funktionen spendiert. Zwei davon nennen sich: »Datenschutzwahrende Werbungsmessung« und »IP-Adresse verbergen« – beide solltet ihr besser deaktivieren.3.2 Suchmaschine
Google ist als Standardsuchmaschine voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an Google übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen.
Über »Einstellungen -> Safari -> Suchmaschine
« sollte eine andere Suchmaschine festgelegt werden. Leider ist die Auswahl auf einige Suchmaschinen beschränkt:
- Yahoo
- Bing
- DuckDuckGo
- Ecosia
Ebenso ist es sinnvoll die Option »Suchmaschinenvorschläge« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.
3.3 Tracking
Safari trackt/verfolgt den Nutzer in keinster Weise.
3.4 Add-ons/Erweiterungen
Bis einschließlich iOS 14 unterstützt Safari keine Erweiterungen. Mit iOS 15 ändert sich das nun. Dann können direkt über den App Store Erweiterungen wie Inhaltsblocker geladen und installiert werden.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.5 Private Browsing/Privates Fenster
Keine Auffälligkeiten.
4. Fazit
Insgesamt hinterlässt Safari einen relativ datenschutzfreundlichen Eindruck, wobei insbesondere die Standardeinstellungen nicht optimal sind. Zu bemängeln ist Google als Standardsuchmaschine, bei dem jede URL bzw. Suchanfrage an Big-Brother übermittelt wird. Über die Optionen kann man die Suchmaschine zwar immerhin wechseln, ist bei der Auswahl allerdings sehr eingeschränkt. Erfreulich: Auch Google Safebrowsing lässt sich über die Einstellungen deaktivieren. Bei einigen Browsern ist dies entweder gar nicht vorgesehen oder lässt sich nur umständlich über einen Konfigurationseditor erreichen.
Abgesehen von diesen Mängeln telefoniert der Browser nicht nach Hause und bringt einen Schutz gegen Tracker mit, der allerdings um einen Werbeblocker erweitert werden sollte.
Bildquellen:
Safari: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
3 Ergänzungen zu “Safari: Datensendeverhalten iOS-App – Browser-Check Teil19”
Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Mit iOS 15 können nun über die Errweiterungen auch bisher nicht unterstützte Suchmaschinen hinzugefügt werden. „Keyword Search“ gibt es kostenlos im App Store und funktioniert ähnlich wie die „Bangs“ von Duckduckgo.
Safari basiert nicht auf KHTML sondern ist ein relativ „schmaler“ Aufsatz auf WebKit (welches 2003 von KHTML geforkt wurde).
WebKit ist freie Software und wird nicht nur im Safari Browser eingesetzt, sondern kann z.B. auch auf Linux mit dem epiphany Browser oder luakit etc. benutzt werden.
Das GUI, das Apple um WebKit programmiert hat ist allerdings proprietär, das ist korrekt.
Danke. Aus KHTML -> WebKit gemacht.