1. LibreWolf

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »nach Hause telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird LibreWolf analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von LibreWolf ist wie folgt:

Betriebssystem: Windows 10 Pro (Version 20H2)
Version: v89.0 (Offizielles Build basierend auf Firefox v89.0) (64-Bit)
Konfiguration: Standardkonfiguration (keine Anpassungen)

LibreWolf wirbt aktuell wie folgt:

A fork of Firefox, focused on privacy, security and freedom.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Es findet kein Verbindungsaufbau statt.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu GitHub zum Host »raw.githubusercontent.com«:

GET /gorhill/uBlock/master/assets/assets.json HTTP/1.1
Host: raw.githubusercontent.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Dnt: 1
Te: trailers
Connection: close

LibreWolf hat den Tracking- und Werbeblocker uBlock Origin vorinstalliert. Zur Aktualisierung der Filterlisten nimmt das Add-on Kontakt zu GitHub und zwei weiteren Adressen (cdn.jsdelivr.net / cdn.statically.io) auf.

Abgesehen vom Nachladen/Aktualisieren der Filterlisten baut der Browser keine weiteren Verbindungen auf – außer man ruft eine Webseite auf.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

LibreWolf basiert auf Firefox – einem quelloffenen Browser der Mozilla Foundation. Im Gegensatz zum Firefox wurden proprietäre Bestandteile und die Telemetrie bzw. Übermittlung von Diagnosedaten/Absturzmeldungen an Mozilla entfernt:

LibreWolf is designed to minimize data collection and telemetry as much as possible. This is achieved through hundreds of privacy/security/performance settings and patches. Intrusive integrated addons including updater, crashreporter, and pocket are removed too.

Ein paar Features auf einen Blick:

Extensions firewall: limit internet access for extensions.
IJWY (I Just Want You To Shut Up): embedded server links and other calling home functions are removed. In other words, zero unauthorized or background connections by default.
User settings updates: gHacks/pyllyukko base is kept up to date.
[…]

Bei LibreWolf handelt es sich um einen Fork (Abspaltung) von Firefox. Forks haben allerdings im Vergleich zum Mutterprojekt den Nachteil, dass diese meist nur von wenigen Entwicklern begleitet werden. Oftmals verzögert sich dadurch die Bereitstellung der aktuellen Version um ein paar Tage. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Firefox grassiert bzw. geschlossen wurde – es kann unter Umständen etwas dauern, bis der Patch/Aktualisierung seinen Weg in LibreWolf findet. Bei LibreWolf ist man sich dessen aber offenbar bewusst:

Fast Updates

LibreWolf is always built from the latest Firefox stable source, for up-to-date security and features along with stability.

Die Verzögerungen sollten daher minimal sein.

Hinweis

Erwähnenswert ist allerdings, dass sich LibreWolf nicht automatisch aktualisiert. Man muss sich also um die Updates kümmern – jedenfalls unter Windows (Abhilfe LibreWolf WinUpdater oder Package Manager für Windows) und macOS. Unter Linux-Derivaten erfolgen die Updates meist automatisiert über die jeweilige Paketverwaltung.

3.2 Suchmaschine

DuckDuckGo ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suche« lässt sich die Suchmaschine anpassen.

3.3 Tracking

LibreWolf trackt/verfolgt den Nutzer in keinster Weise.

3.4 Add-ons/Erweiterungen

LibreWolf unterstützt die Installation von Firefox-Add-ons über die Webseite. Allerdings werden die Add-ons nicht automatisch aktualisiert, darum muss man sich selbst kümmern. Ein kleiner Wermutstropfen bzw. Trade-Off, um die Kommunikation zu Mozilla möglichst auf ein Minimum zu reduzieren.

Update 12.03.2022

Add-ons werden automatisiert aktualisiert. Über Einstellungen -> LibreWolf lässt sich das Verhalten nun anpassen.

In den FAQ ist ein Weg erklärt, wie man die (manuelle) Prüfung auf Updates über about:addons ermöglicht: How do I allow for addons manual updates? Für derartige Anpassungen hat LibreWolf eine spezielle Konfigurationsdatei (librewolf.overrides.cfg) vorgesehen.

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Aus Datenschutzperspektive hinterlässt LibreWolf einen ausgezeichneten Eindruck. Das Datensendeverhalten ist vorbildlich. Zu bemängeln ist lediglich die fehlende automatische Aktualisierungsfunktion des Browsers unter Windows und macOS. Ebenso werden Add-ons nicht automatisch aktualisiert – auch darum muss sich der Nutzer selbst kümmern. Aufgrund dieser Einschränkung ist der Browser nicht für jede Zielgruppe empfehlenswert. Wer allerdings ein Linux-Derivat einsetzt, bei dem die Browser-Updates automatisch ausgerollt werden und die Disziplin besitzt, Add-ons manuell zu aktualisieren, bekommt einen sicheren und datenschutzfreundlichen Browser.

Wir erinnern uns mal kurz an den Marketingspruch, mit dem LibeWolf beworben wird:

A fork of Firefox, focused on privacy, security and freedom.

Das kann ich voll und ganz unterstreichen. Vorbildlich!

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

3 Ergänzungen zu “LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8”

Max sagt:

9. Juni 2021 um 23:10 Uhr

LibreWolf hat ‚privacy.resistFingerprinting‘ in der librewolf.cfg standardmäßig aktiv. Damit wird u.a. der User-Agent auf Windows10/firefox78 geändert. Vielleicht sollte man das noch anpassen, da LibreWolf ja nicht auf Firefox-ESR basiert. Die Abweichung könnte sich negativ auf den Fingerprint auswirken.
Anonymous sagt:

16. Juni 2021 um 17:05 Uhr

Kann sein, dass ich das übersehen habe. Aber: ich wüsste gerne, wer Librewolf „herstellt“. Im Internet-Kontext ist Vertrauen in den Hersteller sehr wichtig und da ist eine Anforderung, dass der nicht anonym ist und sich also Reputation erwerben bzw. verlieren kann.
- Mike Kuketz sagt:
  
  17. Juni 2021 um 10:42 Uhr
  
  Aktuell sind das die »Project members«.
  
  Du kannst ja mal einen Request erstellen, damit sich das Team rund um LibreWolf in der FAQ vorstellt.

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt des Redaktionsschlusses wider, ähnlich wie Zeitungsartikel.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (425)

LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8