1. Waterfox

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Waterfox analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Waterfox ist wie folgt:

Betriebssystem: Windows 10 Pro (Version 20H2)
Version: G3.2.3.1 (Offizielles Build – Waterfox Current G3) (64-Bit)
Konfiguration: Standardkonfiguration (keine Anpassungen)

Waterfox wird aktuell wie folgt beworben:

Striking the perfect balance of privacy and useability.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Mozilla zum Host »detectportal.firefox.com«:

GET /success.txt HTTP/1.1
Host: detectportal.firefox.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Connection: close

Mit dem Verbindungsaufbau zu »detectportal.firefox.com« prüft Waterfox auf die Existenz eines Captive Portals, das insbesondere in öffentlichen WiFi-Netzwerken anzutreffen ist. Bei Bedarf wird der Browser dann zu einem Anmeldebildschirm umgeleitet. Mit einem Aufruf der about:config und der folgenden Einstellung kann der Captive-Portal-Check deaktiviert werden: network.captive-portal-service.enabled = false

[2] Verbindungsaufbau zu Waterfox zum Host »aus.waterfox.net«:

GET /update/Waterfox/G3.2.3/en-US/default/Windows_NT%2010.0.0.0.19042.1052%20(x64)/ISET:SSE4_2,MEM:8192/default/default/update.xml HTTP/1.1
Host: aus.waterfox.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Te: trailers
Connection: close

Über den Host »aus.waterfox.net« sucht Waterfox automatisch nach Updates für den Browser und seine Komponenten, wie bspw. den H.264-Video-Codec für WebRTC.

[3] Verbindungsaufbau zu Mozilla zum Host »firefox.settings.services.mozilla.com«:

GET /v1/buckets/monitor/collections/changes/records?collection=hijack-blocklists&bucket=main HTTP/1.1
Host: firefox.settings.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Te: trailers
Connection: close

Bei der Adresse »firefox.settings.services.mozilla.com« handelt es sich offenbar um einen Mozilla-Server für »Remote Settings«, der auf Anfrage XML-Dateien zurückgibt. Diese XML-Dateien beinhalten unter anderem die neuesten Informationen zu Datenlecks bei Zugangsdaten oder Zertifikatswiderrufe. Beim initialen Start des Browsers werden zehn XML-Dateien über den Host »firefox.settings.services.mozilla.com« empfangen.

[4] Verbindungsaufbau zu Mozilla zum Host »location.services.mozilla.com«:

GET /v1/country?key=no-mozilla-api-key HTTP/1.1
Host: location.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json
Te: trailers
Connection: close

Mozilla betreibt den Mozilla Location Service (MLS) – ein Dienst, der anhand von verfügbaren Daten wie Mobilfunkmasten, WiFi-Netzwerkinformationen oder Bluetooth-Beacons den (ungefähren) Standort eines Nutzers ermitteln kann. Als Rückgabe erhält Waterfox in meinem Beispiel folgende Information:

{"country_code": "DE", "country_name": "Germany"}

Mit einem Aufruf der about:config und der folgenden Einstellung kann der Location-Service deaktiviert werden: geo.enabled = false

[5] Verbindungsaufbau zu Mozilla zum Host »shavar.services.mozilla.com«:

POST /downloads?client=Firefox&appver=78.12&pver=2.2 HTTP/1.1
Host: shavar.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: text/plain
Content-Length: 557
Pragma: no-cache
Cache-Control: no-cache
Te: trailers
Connection: close

mozplugin-block-digest256;
ads-track-digest256;
social-track-digest256;
analytics-track-digest256;
content-track-digest256;
mozstd-trackwhite-digest256;
google-trackwhite-digest256;
allow-flashallow-digest256;
except-flashallow-digest256;
block-flash-digest256;
except-flash-digest256;
block-flashsubdoc-digest256;
except-flashsubdoc-digest256;
base-fingerprinting-track-digest256;
base-cryptomining-track-digest256;
social-tracking-protection-facebook-digest256;
social-tracking-protection-linkedin-digest256;
social-tracking-protection-twitter-digest256;

Bei dieser Adresse handelt es sich um den Shavar-Server von Mozilla. Dieser übersendet neue Blocklisten (Werbung, Fingerprinting, Cryptomining etc.) an den Client, sofern ein Update bereitsteht. Diese Listen sind Teil der in Waterfox integrierten Tracking Protection, die man so auch von Firefox kennt. Sofern Updates bereitstehen, werden diese von der Adresse »tracking-protection.cdn.mozilla.net« bezogen. Bspw.:

mozplugin-block-digest256
ads-track-digest256
social-track-digest256
analytics-track-digest256
content-track-digest256
mozstd-trackwhite-digest256
google-trackwhite-digest256
base-fingerprinting-track-digest256
base-cryptomining-track-digest256

[6] Verbindungsaufbau zu Mozilla zum Host »push.services.mozilla.com«:

GET / HTTP/1.1
Host: push.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Sec-WebSocket-Version: 13
Origin: wss://push.services.mozilla.com/
Sec-WebSocket-Protocol: push-notification
Sec-WebSocket-Key: PTuaRKrSjN/h5kj25PNjmQ==
Connection: keep-alive, Upgrade
Pragma: no-cache
Cache-Control: no-cache
Upgrade: websocket

Waterfox hat den Mozilla-Push-Dienst integriert, über den Webseiten Push-Nachrichten (via Websocket) senden können. Mit einem Aufruf der about:config und der folgenden Einstellung kann die URL zum Push-Dienst auf einen leeren Wert gestellt werden, damit der Aufruf nicht mehr erfolgt: dom.push.serverURL = leer

[7] Verbindungsaufbau zu Mozilla zum Host »services.addons.mozilla.org«:

GET /api/v4/addons/search/?guid=default-theme%40mozilla.org%2Cfirefox-compact-light%40mozilla.org%2Cabyss%40waterfox.net%2Cfloe%40waterfox.net%2Cfirefox-compact-dark%40mozilla.org%2Cbing%40search.waterfox.net%2Cgoogle%40search.waterfox.net%2Cstartpage%40search.waterfox.net%2Cqwant%40search.waterfox.net%2Cddg%40search.waterfox.net%2Cyahoo%40search.waterfox.net%2Cyandex%40search.waterfox.net%2Cwikipedia%40search.waterfox.net&lang=en-US HTTP/1.1
Host: services.addons.mozilla.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Te: trailers
Connection: close

Über die Adresse »services.addons.mozilla.org« bezieht Waterfox Updates für Add-ons und Themes, die vorinstalliert sind oder selbst vom Nutzer nachgerüstet werden.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu Waterfox zum Host »aus.waterfox.net«:

GET /update/Waterfox/G3.2.3/en-US/default/Windows_NT%2010.0.0.0.19042.1052%20(x64)/ISET:SSE4_2,MEM:8192/default/default/update.xml HTTP/1.1
Host: aus.waterfox.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Waterfox/78.12.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Te: trailers
Connection: close

In regelmäßigen Abständen (ca. einmal pro Stunde) sucht der automatische Updatedienst nach Aktualisierungen für den Browser und seine Komponenten. Das Verhalten lässt sich nicht anpassen. Über »Einstellungen -> Allgemein« kann lediglich beeinflusst werden, dass Aktualisierungen manuell eingespielt werden.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Waterfox basiert auf Firefox – einem quelloffenen Browser der Mozilla Foundation. Der Quellcode von Waterfox ist für jeden frei einsehbar. Zur Darstellung/Rendering von Webseiten nutzt der Browser die Gecko-Engine von Mozilla und ist in zwei Versionen verfügbar:

Waterfox Classic: Im Gegensatz zum aktuellen Firefox unterstützt Waterfox Classic weiterhin XUL, XPCOM und NPAPI–Plug-ins, die von Firefox ab Version 57 (Quantum) nicht mehr untersützt werden.
Waterfox Current: In dieser Variante basiert Waterfox auf Firefox 78 ESR (Quantum) und unterstützt das »neue« Add-on-Format.

Im Dezember 2019 hat System1 LLC (Werbe- und Marketinganbieter) Waterfox übernommen. Ein paar Monate zuvor hat das selbe Unternehmen bereits den Hauptanteil an der Suchmaschine Startpage übernommen.

Bei Waterfox handelt es sich um einen Fork (Abspaltung) von Firefox. Forks haben allerdings im Vergleich zum Mutterprojekt den Nachteil, dass diese meist nur von wenigen Entwicklern begleitet werden. Oftmals verzögert sich dadurch die Bereitstellung der aktuellen Version um ein paar Tage. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Firefox grassiert bzw. geschlossen wurde – es kann unter Umständen etwas dauern, bis der Patch/Aktualisierung seinen Weg in Waterfox findet.

Gesamtheitlich betrachtet ist Waterfox ein etwas abgespeckter Firefox. Mit folgenden Funktionen wird Waterfox beworben:

Removed Pocket
Removed Telemetry
Removed data collection
Removed startup profiling
Allow running of all 64-Bit NPAPI plugins
Allow running of unsigned extensions
Removal of Sponsored Tiles on New Tab Page
[…]

3.2 Suchmaschine

Als Standardsuchmaschine ist Bing voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suche« lässt sich bei Bedarf eine andere Suchmaschine einstellen.

3.3 Tracking

Waterfox trackt den Nutzer nicht. Je nachdem wie streng man es auslegt, ist die ständige Suche nach Aktualisierung von Browserupdates und Trackinglisten für einige Nutzer allerdings bereits Tracking – so weit würde ich allerdings nicht gehen, da abgesehen von der IP-Adresse und dem User-Agent keine einmalig erzeugten Identifier übermittelt werden, die eine Wiedererkennung einer (Browser-)Installation ermöglichen.

3.4 Add-ons/Erweiterungen

Waterfox Current unterstützt die Installation von Add-ons im neuen Format (ab Firefox 57), die man aus dem Firefox-Universum kennt. Waterfox Classic hingegen unterstützt ausschließlich »Legacy Addons« auf Basis von XUL/XPCOM. Folgende Add-ons halte ich für empfehlenswert:

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Insgesamt hinterlässt Waterfox einen durchwachsenen Eindruck. Der Nutzer wird zwar nicht getrackt, aber selbst in der abgespeckten Variante sind noch einige Mozilla-Dienste wie der Captive-Portal-Check oder Location-Dienst vorhanden, die datenschutzsensible Nutzer immerhin über die about:config deaktivieren können. Aber auch die nicht deaktivierbare Kontaktaufnahme zu »firefox.settings.services.mozilla.com« hinterlässt einen etwas faden Beigeschmack, obwohl keine einmalig erzeugten Identifier übermittelt werden, die eine Wiedererkennung einer (Browser-)Installation ermöglichen.

Abgesehen von diesen kleinen Mängeln telefoniert der Browser nicht nach Hause. Aufgrund der leicht verzögerten Integration der Sicherheitsupdates ist der Einsatz als Standardbrowser allerdings ein zweischneidiges Schwert.

Wir erinnern uns mal kurz an den Marketingspruch, mit dem Waterfox beworben wird:

Striking the perfect balance of privacy and useability.

Nunja, etwas Luft nach oben ist noch vorhanden.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

2 Ergänzungen zu “Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16”

Izzy sagt:

6. Juli 2021 um 20:01 Uhr

Waterfox Classic hingegen unterstützt ausschließlich »Legacy Addons« auf Basis von XUL/XPCOM

Das stimmt so nicht. Im Gegensatz zu Palemoon (auf den dies zuträfe) unterstützt Waterfox Classic sowohl das Legacy XUL/XPCOM, als auch das neue WebExt Format. Letzteres allerdings nicht in der aktuellsten Fassung, sondern (wenn ich das jetzt richtig im Kopf habe) etwa vom API-Stand Firefox 57/58.

(Ich verwende hier WF Classic, G3, TOR und Chromium als „4-Browser-Prinzip“ (Chromium nur für Web-Konferenzen). Im WF Classic habe ich sowohl XUL-Erweiterungen wie etwa TabMixPlus, als auch Web-Extensions im Einsatz.)
van Grunz sagt:

9. Juli 2021 um 11:00 Uhr

Es besteht die Möglichkeit, mit einer Datei namens policies.json im Haupt-Verzeichnis von Waterfox

\Waterfox\distribution\

die automatischen Updates komplett abzuschalten. Das sieht dann bei mir so aus (Waterfox G3.1.0, Gecko 78.7.0):
```
{
 "policies": {
   "AppAutoUpdate": false
   "DisableAppUpdate": true
   "DisableBuiltinPDFViewer": true
   "PDFjs": {
    "Enabled": false
	}
   "SearchSuggestEnabled": false
   "SanitizeOnShutdown": {
     "Cache": true,
     "Cookies": true,
     "Downloads": false,
     "FormData": true,
     "History": false,
     "Sessions": true,
     "SiteSettings": true,
     "OfflineApps": true,
     "Locked": false
   }
   "DisableTelemetry": true
 }
}
```
Ob damit auch die Kontaktaufnahme gänzlich unterbleibt, habe ich nicht geprüft.

Es hat mich Einiges an Zeit gekostet, eine Version zu finden, die auch funktioniert. Bei falschen Parametern wird ein Error ausgespuckt und die ganze policies.json verworfen.

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (399)

Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16