firefox versus chrome: sicherheit, wenn man sonst schon alles via google macht

[ed_lumen]

bisher nutze ich firefox, wo auch hinter 2FA alle paßwörter liegen und nur gel. edge. bei google liegen meine mails von 20 jahren, kontakte, kalender, android. bisher habe ich es vermieden, via chrome auch noch alle paßwörter (viele!) mit google zu teilen. nun wollte ich chrome mal testen, wurde aber wohl zum glück daran gehindert, weil der import von "allem" von firefox dank 2FA nicht geht und google dafür keine lösung bereit stellt, die ich auf die schnelle gefunden hätte. so hab ich bedenkzeit: sollte ich das besser weiterhin lassen? was denkt ihr?

 

[Termy]

Bleib beim Firefox, Chrome ist...in vielerlei Hinsicht suboptimal
Gibt eigentlich keinen einzigen Grund, auf Chrome zu wechseln - einige der anderen Chromium-Browser haben Punkte, die sie fuer sich verbuchen koennen, aber allen gemein ist der baldige Zwang zu Manifest v3 (und damit sehr eingeschraenkte Content-Blocker) und alle festigen Googles Macht ueber das Internet ueber den chromium-Marketshare...

 

[cumulonimbus8]

Irgendwie verquirlst du hier Einiges.

2FA ist nicht mehr und nicht weniger als eine Sicherheitsstufe bei einer Anmeldung.

Welche Passwörter & zugehörige Benutzernamen ein Browser speichern darf oder nicht in ein anderes Paar Schuhe und insofern immer deine Sache bei Anmeldungen mit oder mit ohne 2FA alles einzutippen oder nicht.

CN8

 

[madmax2010]

von firefox dank 2FA nicht geht und google dafür keine lösung bereit stellt

bei mir gehts. von problemen habe ich noch nichts mitbekommen.

 

[ed_lumen]

danke, habe chrome wieder entsorgt.

 

[eloy]

Evtl. solltest du für deine Passwörter mal über KeePass nachdenken.

 

[Der Kabelbinder]

Gibt eigentlich keinen einzigen Grund, auf Chrome zu wechseln

Doch. Zum Beispiel die ausgereiftere Sicherheitsarchitektur, die bei Problemen auch schneller gepatched wird.

FF ist in der Theorie besser auf Privatsphäre und Datensparsamkeit optimierbar. Je mehr man an seiner Konfiguration ändert, desto spezifischer wird jedoch das Finger Printing.

Alles Übrige sind in der Regel politische Argumente, wo ich aber grundlegend mitgehe und feststelle, dass Google das gesamte Mozilla-Universum schon seit etlichen Jahren ganz gezielt unter Druck setzt und manipuliert, um sie vom Markt zu verdrängen. Nach Ansicht von Google sollte es offenbar nur eine einzige Möglichkeit geben, ins Netz zu gehen: über ein Google-Produkt.

 

[ed_lumen]

... was mich darin bestärkt, daß meine ursprüngliche idee, wenigstens den browser und seine passwörter nicht auch noch google anzuvertrauen, nicht verkehrt war. a bissel diversifikation muß scho no sei.

 

[andy_m4]

Doch. Zum Beispiel die ausgereiftere Sicherheitsarchitektur,

Ist das so?
Also ja. Chrome hat sehr früh darauf gesetzt alles in einzelne Prozesse zu trennen und haben zudem ne relativ gute Sandbox. Aber das hat der Firefox inzwischen auch. Zudem hat er für den oftmals sicherheitskritischen Rendering-Teil mit Quantum eine in Rust geschriebene Engine und Rust vermeidet halt per Konzept schon viele Sicherheitsprobleme die C++ so mitsich bringt (auch wenn ein richtig genutztes C++ inzwischen auch viel bringt).

Von daher würde mich mal interessieren, wie Du zu der Einschätzung kommst.

die bei Problemen auch schneller gepatched wird.

Das kann durchaus sein. Allerdings ploppen bei Chrome auch mehr Sicherheitsprobleme auf als bei Firefox.

 

[Der Kabelbinder]

Allerdings ploppen bei Chrome auch mehr Sicherheitsprobleme auf als bei Firefox.

Das stimmt. Die Anzahl der bekanntgewordenen Exploits hat jedoch keine unmittelbaren Zusammenhang zu der Härte eines Systems. Vor allem nicht bei diesem deutlich unterschiedlichen Marktanteil. Keiner weiß, auf wie viel Pulverfässern etwa Mozilla zur Zeit sitzt - nicht mal Mozilla selbst. Wichtig ist, dass die Schwachstellen möglichst schnell gefixt werden. De facto hat Google an der Stelle deutlich mehr Manpower. Fairerweise muss man aber klarstellen, dass es nur schwer realistisch abzuschätzen ist, wie schnell das eine oder andere Entwicklerteam auf solche Schwachstellen wirklich reagiert und wann die Meldungen tatsächlich live gehen. Man hat zwar solche Berichte, die tendenziell für Chrome sprechen ...
https://www.zdnet.com/article/googl...ays-to-fix-reported-security-vulnerabilities/
... allerdings mit nur wenig Datenpunkten bei FF und einer nach wie vor fragwürdigen Transparenz.

Aber das hat der Firefox inzwischen auch.

"Inzwischen". Bis dahin musste man sich mit unausgereiften Übergangslösungen behelfen, die das Problem nicht an der Wurzel packen konnten. Gerade was den mobilen Sektor betrifft hat Google leider den klaren finanziellen und vor allem zeitlichen Vorsprung. Fission funktioniert auch da höchstens als Bastellösung, war laut Devs auch nicht als direkte mobile Impementierung vorgesehen.

Wenn ich mich recht erinnere, hat Mozilla vor zwei Jahren personell abgerüstet, unter anderem im Bereich Security Management. Angesichts dessen ist es schon beachtlich, wie gut sie sich schlagen. Das ist denke ich auch der großen Community zu verdanken, die Google hingegen nicht hat. Auf die lange Frist hat Mozilla selbst aber keine großen Kontingente, von sich aus Innovationen zu setzen und muss alle Möglichkeiten ergreifen, sich überhaupt irgendwie über Wasser zu halten. Daher zum Beispiel auch Google als Standardsuchmaschine (ironischerweise wohl die wichtigste Lebensader) oder Mullvad als hauseigener VPN.

Davon abgesehen schätze ich die Anpassbarkeit von FF persönlich sehr. Zugleich ist diese Plattform aber immer noch viel zu leicht für Malware oder Tracking missbrauchbar, was in der Vergangenheit ja auch schon etliche Male vorgekommen ist. Wenn ich allein bedenke, wie viele fremde FF-Installationen ich schon gesehen habe, bei denen irgendwelche zwielichtigen Video-Downloader installiert waren, die wiederum andere zwielichtige Seiten anfunkten ... da frage ich mich ernsthaft, ob diese Diversität nicht vielleicht mehr Fluch als Segen ist.

Am Ende steht und fällt es natürlich mit dem Nutzerverhalten. Der Browser ist nur so sicher, wie ich konfiguriere und bediene.

 

[andy_m4]

Danke für Deine Antwort die etwas mehr Substanz in das rein bringt.

Die Anzahl der bekanntgewordenen Exploits hat jedoch keine unmittelbaren Zusammenhang zu der Härte eines Systems. Vor allem nicht bei diesem deutlich unterschiedlichen Marktanteil. Keiner weiß, auf wie viel Pulverfässern etwa Mozilla zur Zeit sitzt - nicht mal Mozilla selbst.

Ja.
Wobei Du das bei Chrome auch nicht weißt. Sonst würden ja auch nicht ständig neue bekannt gewordene Sicherheitslücken hinzu kommen. Aber ja. Ein Browser mit hohen Marktanteil wird sicherlich auch intensiver "ausgetestet".

Wichtig ist, dass die Schwachstellen möglichst schnell gefixt werden.

Ja. Wobei man auch sagen könnte, es reicht ja wenn die gefixt sind bevor die ausgenutzt werden.
Wenn wir da mit einer idealistischeren Erwartung rangehen wo es darum geht möglichst nahe an einem sicherheitstechnischen Optimum ranzukommen dann reicht es eben nicht mehr aus Sicherheitslücken nur möglichst schnell zu fixen, sondern dann geht es darum Sicherheitslücken erst gar nicht in die Welt zu setzen.

Das schafft man aber realistischerweise nur mit einer Reduktion der Komplexität. Da hat sich bisher Chrome nicht sonderlich hervorgetan. Im Gegenteil. Die haben jeglich erdenkliches Feature eingebaut was man nur einbauen kann. Beim Firefox siehts zugebenermaßen nicht wirklich besser aus, aber dann Chrome ist da aus Sicherheitssicht nicht wirklich die Antwort. Die müsste sehr viel radikaler ausfallen.

Man kann ja gerne darüber streiten welcher der beiden Browser nun sicherer ist aber die simple Wahrheit ist, das die da nicht wirklich grundsätzlich unterschiedlich und und beide von einem akzeptablen Niveau weit entfernt sind.

Wenn ich mich recht erinnere, hat Mozilla vor zwei Jahren personell abgerüstet, unter anderem im Bereich Security Management.

Ja. Das ist eher nicht so gut.

die wiederum andere zwielichtige Seiten anfunkten ... da frage ich mich ernsthaft, ob diese Diversität nicht vielleicht mehr Fluch als Segen ist.

Wir brauchen auch mehr Diversität. Gerade im Browser-Bereich haben wir ja vor einigen Jahren erst bestaunen dürfen was passiert, wenn ein Browser die "Weltherrschaft" ansich reißt.

Die Komplexität schlägt da gleich doppelt zu. Erstens begünstigt sie Bugs. Zweitens wirds auch für etwaige Konkurrenz schwer. Mal eben einen alternativen Browser auf die Beine zu stellen ist halt nur schwer möglich.

Am Ende steht und fällt es natürlich mit dem Nutzerverhalten. Der Browser ist nur so sicher, wie ich konfiguriere und bediene.

Ja. Wobei man ja gerne dazu tendiert zu viel Verantwortung auf den Nutzer abzuwälzen. Gerade der Laie kann auch vieles gar nicht abschätzen. Und wenn ich erst was aktiv konfigurieren muss damit es sicher ist läuft sowieso schon grundlegend etwas falsch. Die defaults sollten schon möglichst sicher sein.

 

[Der Kabelbinder]

Wobei man ja gerne dazu tendiert zu viel Verantwortung auf den Nutzer abzuwälzen.

Die defaults sollten schon möglichst sicher sein.

Deswegen setze ich persönlich auch auf vorkonfigurierte Browser wie etwa LibreWolf, wo bereits die Arkenfox-Config integriert und uBlock für das Adblocking vorinstalliert ist. Im Grunde muss und sollte man da ansonsten auch nicht mehr viel einstellen. Höchstens das Beibehalten von Cookies bzw. Definieren von Ausnahmen, damit man sich auf bestimmten Seiten nicht jede Session neu einloggen muss.
Parallel dazu habe ich auch noch Ungoogled Chromium installiert, falls die Config von LibreWolf mal zu restriktiv sein sollte oder in seltenen Fällen irgendwelche Module geladen werden, die nativ in Chrome besser laufen.

Und ja, es wird heutzutage einfach zu viel unnötiger Müll ausgeliefert, der zusätzliche Angriffsfläche schafft und dann auch noch persönliche Daten sammelt und übermittelt. Bei Chrome nativ natürlich mehr als bei Firefox. Nativ würde ich beide aber ohnehin nicht nutzen.

Mal sehen, was mit Manifest V3 noch so auf uns zukommt. 👀

 

[andy_m4]

Deswegen setze ich persönlich auch auf vorkonfigurierte Browser wie etwa LibreWolf,

LibreWolf kannte ich noch gar nicht. Wobei solche Projekte immer ein Problem haben. Wir waren ja vorhin beim Thema Updates und wie wichtig es ist, das die möglichst zeitnah eingespielt werden.
Wenn ich dazwischen noch ein Projekt habe was sowas macht, dann bringt das noch zusätzliche Verzögerung rein.
Dann finde ich es doch besser ein extra Tool zu haben welches den Browser entsprechend konfiguriert. Da kann es natürlich passieren das es mit einer brandaktuellen Version Probleme gibt aber wenigstens kann ich dann direkt die (schnelleren) Updates vom Upstream nehmen.

Ein Fork fände ich dann sinnvoll, wenn man gezielt noch was am Browser ändert. Zum Beispiel die schon von mir angesprochene Komplexitätsreduktion. Also Kram der nicht unbedingt gebraucht wird ganz rausgepatcht wird. Oder irgendwelche Security-Features zusätzlich einbaut (native Sandboxing-Mechanismen vom Betriebssystem nutzen oder sonstwas). Keine Ahnung ob LibreWolf das macht. Auf dem ersten Blick sah es aber eher nicht so aus.

Und ja, es wird heutzutage einfach zu viel unnötiger Müll ausgeliefert, der zusätzliche Angriffsfläche schafft und dann auch noch persönliche Daten sammelt und übermittelt.

Die Frage ist dann auch, was man stattdessen nimmt. Und wie praktikabel das ist. Wenn man einen Browser ohne Javascript-Engine hat dann entledigt man sich zweifelsohne einer ganzen Reiher potentieller Sicherheitsprobleme aber ein nicht unerheblicher Teil des Webs wird damit unbenutzbar.

Um zumindest völlig unnütze Features loszuwerden lohnt aber ein schlanker Browser a-la GNOME Web durchaus. Allerdings gilt da natürlich auch dein Einwand das die weniger Manpower haben, was aber hoffentlich dadurch kompensiert wird das die weniger Funktionen haben und das daher verschmerzbar ist.