Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

1. Firefox

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Firefox analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Firefox ist wie folgt:

Betriebssystem: Windows 10 Pro (Version 20H2)
Version: 94.0.1 (Offizielles Build – Windows) (64-Bit)
Konfiguration: Standardkonfiguration (keine Anpassungen)

Firefox wird aktuell wie folgt beworben:

Keine zwielichtigen Datenschutzhinweise oder Hintertürchen für Werbetreibende. Nur ein blitzschneller Browser, der deine Privatsphäre respektiert.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Mozilla zum Host »detectportal.firefox.com«:

GET /canonical.html HTTP/1.1
Host: detectportal.firefox.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Connection: close

Mit dem Verbindungsaufbau zu »detectportal.firefox.com« prüft Firefox auf die Existenz eines Captive Portals, das insbesondere in öffentlichen WiFi-Netzwerken anzutreffen ist. Bei Bedarf wird der Browser dann zu einem Anmeldebildschirm umgeleitet. Mit einem Aufruf der about:config und der folgenden Einstellung kann der Captive-Portal-Check deaktiviert werden: network.captive-portal-service.enabled = false

Firefox versucht den Captive-Portal-Check gleich dreimal. Nämlich auch über:

GET /success.txt?ipv4
GET /success.txt?ipv6

[2] Verbindungsaufbau zu Mozilla zum Host »shavar.services.mozilla.com«:

POST /downloads?client=navclient-auto-ffox&appver=94.0&pver=2.2 HTTP/1.1
Host: shavar.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: text/plain
Content-Length: 557
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: none
Pragma: no-cache
Cache-Control: no-cache
Te: trailers
Connection: close

mozplugin-block-digest256;
ads-track-digest256;
social-track-digest256;
analytics-track-digest256;
content-track-digest256;
mozstd-trackwhite-digest256;
google-trackwhite-digest256;
allow-flashallow-digest256;
except-flashallow-digest256;
block-flash-digest256;
except-flash-digest256;
block-flashsubdoc-digest256;
except-flashsubdoc-digest256;
base-fingerprinting-track-digest256;
base-cryptomining-track-digest256;
social-tracking-protection-facebook-digest256;
social-tracking-protection-linkedin-digest256;
social-tracking-protection-twitter-digest256;

Bei dieser Adresse handelt es sich um den Shavar-Server von Mozilla. Dieser übersendet neue Blocklisten (Werbung, Fingerprinting, Cryptomining etc.) an den Client, sofern ein Update bereitsteht. Diese Listen sind Teil der in Firefox integrierten Tracking Protection. Sofern Updates bereitstehen, werden diese von der Adresse »tracking-protection.cdn.mozilla.net« bezogen. Bspw.:

mozplugin-block-digest256
ads-track-digest256
social-track-digest256
analytics-track-digest256
content-track-digest256
mozstd-trackwhite-digest256
google-trackwhite-digest256
base-fingerprinting-track-digest256
base-cryptomining-track-digest256

[3] Verbindungsaufbau zu Mozilla zum Host »location.services.mozilla.com«:

GET /v1/country?key=7e40f68c-7938-4c5d-9f95-e61647c213eb HTTP/1.1
Host: location.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Te: trailers
Connection: close

Mozilla betreibt den Mozilla Location Service (MLS) – ein Dienst, der anhand von verfügbaren Daten wie Mobilfunkmasten, WiFi-Netzwerkinformationen oder Bluetooth-Beacons den (ungefähren) Standort eines Nutzers ermitteln kann. Als Rückgabe erhält Firefox in meinem Beispiel folgende Information:

{„country_code“: „DE“, „country_name“: „Germany“}

Mit einem Aufruf der about:config und der folgenden Einstellung kann der Location-Service deaktiviert werden: geo.enabled = false

[4] Verbindungsaufbau zu Mozilla zum Host »incoming.telemetry.mozilla.org«:

POST /submit/firefox-desktop/baseline/1/350f66b3-f233-4480-957e-577e14fec838 HTTP/2
Host: incoming.telemetry.mozilla.org
User-Agent: Glean/42.0.1 (Rust on Windows)
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
Date: Mon, 08 Nov 2021 08:39:11 GMT
Content-Encoding: gzip
Content-Length: 316
X-Client-Type: Glean
X-Client-Version: 42.0.1
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: none
Pragma: no-cache
Cache-Control: no-cache
Te: trailers

[Verschlüsselt/Codiert]

Der Endpunkt »incoming.telemetry.mozilla.org« dient Mozilla dem Empfang von Telemetriedaten. Die Übermittlung ist allerdings verschlüsselt/codiert und kann nicht eingesehen werden. Unmittelbar nach dem ersten Start kontaktiert Firefox die Gegenstelle bereits über zehn Mal und übermittelt Telemetriedaten. Über »Einstellungen -> Datenschutz & Sicherheit -> Datenerhebung durch Firefox und deren Verwendung« lässt sich die Übermittlung deaktivieren. Man muss die Übermittlung von Telemetrie aktiv abschalten. Also Opt-Out statt Opt-In.

[5] Verbindungsaufbau zu Mozilla zum Host »contile.services.mozilla.com«:

GET /v1/tiles HTTP/2
Host: contile.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Te: trailers

Bei der Gegenstelle »contile.services.mozilla.com« handelt es sich um den Contile Tile Server von Mozilla. Hintergrund ist die Startseite bzw. Kachelansicht, bei der Kacheln von Amazon, eBay, YouTube, Facebook, Wikipedia und Reddit geladen werden. Eine Server-Antwort sieht folgendermaßen aus (Beispiel Amazon):

"id":74357,
"name":"Amazon",
"url":"https://www.amazon.de/?tag=admpdesktopde-21&ref=pd_sl_a70ED3A23FDA6F3B4DC8F614AB", 
"click_url":"https://bridge.sfo1.ap01.net/ctp?version=16.0.0&ci=1636359241037.12791&key=1636359241400300001.1&ctag=70ED3A23FDA6F3B4DC8F614AB",
"image_url":"https://contile-images.services.mozilla.com/obgoOYObjIFea_bXuT6L4LbBJ8j425AD87S1HMD3BWg.9991.jpg",
"image_size":200,
"impression_url":"https://imp.mt48.net/static?id=7RHzfOIWHG7kJnEYgFIvxnEnJrNWxnwmHF4%2Bj%3DwTIGfnxrEOfCkXfplkfBIZjF8YgF%2Bwjr3NHOIZjF8ZgCxkfZDr7nckxYdvIpkZfCLY4CDr4ZqnHF3m5FwqgCxkfZDr7n4NJGeNiFjU5FwqgC8XfpqWfYIksGew5FwqgC8y",
"position":1

Mit einem Aufruf der about:config und der folgenden Einstellung kann der Aufruf unterbunden werden: browser.topsites.contile.enabled = false

[6] Verbindungsaufbau zu Mozilla zum Host »firefox.settings.services.mozilla.com«:

GET /v1/buckets/monitor/collections/changes/changeset?collection=cfr&bucket=main&_expected=0 HTTP/1.1
Host: firefox.settings.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers
Connection: close

Bei der Adresse »firefox.settings.services.mozilla.com« handelt es sich offenbar um einen Mozilla-Server für »Remote Settings«, der auf Anfrage XML-Dateien zurückgibt. Diese XML-Dateien beinhalten unter anderem die neuesten Informationen zu Datenlecks bei Zugangsdaten oder Zertifikatswiderrufe. Beim initialen Start des Browsers werden ca. zehn XML-Dateien über den Host »firefox.settings.services.mozilla.com« empfangen.

[7] Verbindungsaufbau zu Mozilla zum Host »www.mozilla.org«:

GET /de/privacy/firefox/ HTTP/2
Host: www.mozilla.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Te: trailers

Die initiale Startseite des Browsers ist eine Mischung aus Suche (via Google), Kacheln (Amazon, eBay etc.) und Mozilla-Pocket-Meldungen. Mit dem Starten des Browsers/öffnen eines neuen Tabs geht das Nachladen von etlichen Ressourcen (JavaScript, Stylesheet, Bilder, Schrift (WOFF2) etc.) einher.

Über »Einstellungen -> Startseite -> Neue Fenster und Tabs« lässt sich das Verhalten beeinflussen. Dort einfach jeweils »Leere Seite« wählen. Anschließend kommen die Verbindungen nicht mehr zustande.

[8] Verbindungsaufbau zu Mozilla zum Host »content-signature-2.cdn.mozilla.net«:

GET /chains/remote-settings.content-signature.mozilla.org-2021-12-10-14-46-08.chain HTTP/2
Host: content-signature-2.cdn.mozilla.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers

Hinter der Gegenstelle »content-signature-2.cdn.mozilla.net« verbirgt sich eine Schnittstelle zur Überprüfung von Inhaltssignaturen. Dies sollte aus Sicherheitsgründen nicht deaktiviert werden.

[9] Verbindungsaufbau zu Mozilla zum Host »getpocket.cdn.mozilla.net«:

GET /v3/firefox/global-recs?version=3&consumer_key=40249-e88c401e1b1f2242d9e441c4&locale_lang=de&region=DE&count=30 HTTP/2
Host: getpocket.cdn.mozilla.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Te: trailers

Über die Adresse »getpocket.cdn.mozilla.net« lädt Firefox die neuesten Pocket-Informationen. Das sind meist Artikelteaser von Nachrichtenportalen wie ntv, Spiegel, Zeit, FAZ etc. Hier bspw. die Antwort zu einem Artikel zur FAZ mit dem Titel »Von Mafia gebaute Brücke in Italien beschlagnahmt«:

"id":110335,
"url":"https:\/\/www.faz.net\/aktuell\/gesellschaft\/kriminalitaet\/italien-von-mafia-gebaute-morandi-bruecke-beschlagnahmt-17618207.html?utm_source=pocket-newtab-global-de-DE",
"domain":"faz.net",
"title":"Von Mafia gebaute Br\u00fccke in Italien beschlagnahmt",
"excerpt":"Als 2018 die sogenannte Morandi-Br\u00fccke in Italien einst\u00fcrzte, starben 43 Menschen. Nun wurde eine Br\u00fccke gleichen Namens gesperrt: Offenbar wurde sie von einem Unternehmen gebaut, das von der Mafia kontrolliert wird \u2013 und aus minderwertigem Material besteht.",
"image_src":"https:\/\/img-getpocket.cdn.mozilla.net\/direct?url=https%3A%2F%2Fmedia0.faz.net%2Fppmedia%2Faktuell%2F4101924630%2F1.7618456%2Ffacebook_teaser%2Fluftaufnahme-der-stadt.jpg&resize=w450",
"published_timestamp":"-62169962400",
"engagement":"",
"word_count":"599",
"time_to_read":3,
"parameter_set":"default",
"item_score":0.96666666666667,
"domain_affinities":{},
"raw_image_src":"https:\/\/media0.faz.net\/ppmedia\/aktuell\/4101924630\/1.7618456\/facebook_teaser\/luftaufnahme-der-stadt.jpg"

Mit einem Aufruf der about:config und der folgenden Einstellung kann der Aufruf unterbunden werden: extensions.pocket.enabled = false

[10] Verbindungsaufbau zu Mozilla zum Host »push.services.mozilla.com«:

GET / HTTP/1.1
Host: push.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-WebSocket-Version: 13
Origin: wss://push.services.mozilla.com/
Sec-WebSocket-Protocol: push-notification
Sec-WebSocket-Key: +yvrDG56H1zYj0ofLL4WgA==
Connection: keep-alive, Upgrade
Sec-Fetch-Dest: websocket
Sec-Fetch-Mode: websocket
Sec-Fetch-Site: cross-site
Pragma: no-cache
Cache-Control: no-cache
Upgrade: websocket

Firefox hat den Mozilla-Push-Dienst integriert, über den Webseiten Push-Nachrichten (via Websocket) senden können. Mit einem Aufruf der about:config und der folgenden Einstellung kann die URL zum Push-Dienst auf einen leeren Wert gestellt werden, damit der Aufruf nicht mehr erfolgt: dom.push.serverURL = leer

[11] Verbindungsaufbau zu Mozilla zum Host »firefox-settings-attachments.cdn.mozilla.net«:

GET /main-workspace/ms-language-packs/11cd591e-940e-4c26-bc3f-86532ee72b3c.ftl HTTP/1.1
Host: firefox-settings-attachments.cdn.mozilla.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers
Connection: close

Über die CDN-Adresse »firefox-settings-attachments.cdn.mozilla.net« bezieht Firefox unter anderem Sprachpakete.

[12] Verbindungsaufbau zu Mozilla zum Host »aus5.mozilla.org«:

GET /update/6/Firefox/94.0.1/20211103134640/WINNT_x86_64-msvc-x64/de/release/Windows_NT%2010.0.0.0.19042.1320%20(x64)/ISET:SSE4_2,MEM:8192/default/default/update.xml?force=1 HTTP/2
Host: aus5.mozilla.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers

Über den Host »aus5.mozilla.org« sucht Firefox automatisch nach Updates für den Browser und seine Komponenten, wie bspw. den H.264-Video-Codec für WebRTC.

[13] Verbindungsaufbau zu Mozilla zum Host »services.addons.mozilla.org«:

GET /api/v4/addons/search/?guid=default-theme%40mozilla.org%2Cgoogle%40search.mozilla.org%2Cleo_ende_de%40search.mozilla.org%2Cecosia%40search.mozilla.org%2Cwikipedia%40search.mozilla.org%2Cfirefox-compact-light%40mozilla.org%2Cfirefox-alpenglow%40mozilla.org%2Clush-balanced-colorway%40mozilla.org%2Clush-bold-colorway%40mozilla.org%2Cabstract-soft-colorway%40mozilla.org%2Cabstract-balanced-colorway%40mozilla.org%2Cabstract-bold-colorway%40mozilla.org%2Ccheers-balanced-colorway%40mozilla.org%2Cfirefox-compact-dark%40mozilla.org%2Clush-soft-colorway%40mozilla.org%2Cgraffiti-bold-colorway%40mozilla.org%2Cgraffiti-soft-colorway%40mozilla.org%2Ccheers-bold-colorway%40mozilla.org%2Ccheers-soft-colorway%40mozilla.org%2Celemental-bold-colorway%40mozilla.org%2Celemental-balanced-colorway%40mozilla.org%2Cfoto-bold-colorway%40mozilla.org%2Cfoto-balanced-colorway%40mozilla.org%2Cfoto-soft-colorway%40mozilla.org%2Cgraffiti-balanced-colorway%40mozilla.org%2Cbing%40search.mozilla.org%2Cddg%40search.mozilla.org%2Cebay%40search.mozilla.org%2Celemental-soft-colorway%40mozilla.org%2Camazon%40search.mozilla.org&lang=de HTTP/1.1
Host: services.addons.mozilla.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers
Connection: close

Über die Adresse »services.addons.mozilla.org« bezieht Firefox Updates für Add-ons und Themes, die vorinstalliert sind oder selbst vom Nutzer nachgerüstet werden.

[14] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$ct=application/x-protobuf&key=AIzaSyC7jsptDS3am4tPx4r3nxis7IMjBc5Dovo&$httpMethod=POST&$req=ChUKE25hdmNsaWVudC1hdXRvLWZmb3gaJwgFEAEaGwoNCAUQBhgBIgMwMDEwARDw4AwaAhgMsLK0JyICIAIoARonCAEQARobCg0IARAGGAEiAzAwMTABEPniCRoCGAxPsk5vIgIgAigBGicIAxABGhsKDQgDEAYYASIDMDAxMAEQmqcJGgIYDDzeu4ciAiACKAEaJwgHEAEaGwoNCAcQBhgBIgMwMDEwARComgoaAhgMCGh18iICIAIoARolCAkQARoZCg0ICRAGGAEiAzAwMTABECAaAhgMyNAspyICIAIoAQ== HTTP/2
Host: safebrowsing.googleapis.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
X-Http-Method-Override: POST
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: none
Pragma: no-cache
Cache-Control: no-cache
Te: trailers

Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Firefox in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Chrome/Chromium anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.

Im Zusammenhang mit der Aktualisierung der Blockliste erfolgt ebenfalls ein Aufruf zur Domain »ssl.gstatic.com«.

Mit einem Aufruf der about:config und den folgenden Einstellungen kann Google Safe Browsing vollständig deaktiviert werden:

browser.safebrowsing.downloads.enabled = false
browser.safebrowsing.downloads.remote.block_potentially_unwanted = false
browser.safebrowsing.downloads.remote.block_uncommon = false
browser.safebrowsing.malware.enabled = false
browser.safebrowsing.phishing.enabled = false

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu Google zum Host »www.google.com«:

GET /complete/search?client=firefox&q=kuketz-blog HTTP/2
Host: www.google.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers

Während der Eingabe einer URL in der Adresszeile wird der Name der Domain an die Suchmaschine Google übermittelt. Google erhält über die Adresszeile also Kenntnis über jede Suchanfrage bzw. Webseite, die jemand besucht.

Über »Einstellungen -> Suche« sollte eine andere Suchmaschine (bspw. Startpage) festgelegt werden. Ebenso ist es sinnvoll die Option »Suchvorschläge anzeigen« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.

[2] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$ct=application/x-protobuf&key=AIzaSyC7jsptDS3am4tPx4r3nxis7IMjBc5Dovo&$httpMethod=POST&$req=ChUKE25hdmNsaWVudC1hdXRvLWZmb3gaJwgFEAEaGwoNCAUQBhgBIgMwMDEwARDw4AwaAhgMsLK0JyICIAIoARonCAEQARobCg0IARAGGAEiAzAwMTABEPniCRoCGAxPsk5vIgIgAigBGicIAxABGhsKDQgDEAYYASIDMDAxMAEQmqcJGgIYDDzeu4ciAiACKAEaJwgHEAEaGwoNCAcQBhgBIgMwMDEwARComgoaAhgMCGh18iICIAIoARolCAkQARoZCg0ICRAGGAEiAzAwMTABECAaAhgMyNAspyICIAIoAQ== HTTP/2
Host: safebrowsing.googleapis.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
X-Http-Method-Override: POST
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: none
Pragma: no-cache
Cache-Control: no-cache
Te: trailers

Während dem Test kontaktiert Firefox ca. alle 30 Minuten die Adresse »safebrowsing.googleapis.com«, um die Blockliste herunterzuladen. Das Verhalten lässt sich über die about:config (oben beschrieben) oder »Einstellungen -> Datenschutz & Sicherheit -> Schutz vor betrügerischen Inhalten und gefährlicher Software« deaktivieren. Es ist darauf zu achten, alle Häkchen zu entfernen.

[3] Verbindungsaufbau zu Mozilla zum Host »shavar.services.mozilla.com«:

POST /downloads?client=navclient-auto-ffox&appver=94.0&pver=2.2 HTTP/1.1
Host: shavar.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: text/plain
Content-Length: 557
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: none
Pragma: no-cache
Cache-Control: no-cache
Te: trailers
Connection: close

mozplugin-block-digest256;
ads-track-digest256;
social-track-digest256;
analytics-track-digest256;
content-track-digest256;
mozstd-trackwhite-digest256;
google-trackwhite-digest256;
allow-flashallow-digest256;
except-flashallow-digest256;
block-flash-digest256;
except-flash-digest256;
block-flashsubdoc-digest256;
except-flashsubdoc-digest256;
base-fingerprinting-track-digest256;
base-cryptomining-track-digest256;
social-tracking-protection-facebook-digest256;
social-tracking-protection-linkedin-digest256;
social-tracking-protection-twitter-digest256;

In regelmäßigen Abständen wird die Domain »shavar.services.mozilla.com« kontaktiert, um ein Update der Blocklisten anzustoßen.

[4] Verbindungsaufbau zu Mozilla zum Host »firefox.settings.services.mozilla.com«:

GET /v1/buckets/monitor/collections/changes/changeset?collection=cfr&bucket=main&_expected=0 HTTP/1.1
Host: firefox.settings.services.mozilla.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers
Connection: close

In regelmäßigen Abständen wird der Remote-Settings-Server kontaktiert und die XML-Dateien empfangen.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Firefox ist ein quelloffener Browser der Mozilla Foundation, der im Jahr 2002 das Licht der Welt erblickte. Zur Darstellung/Rendering von Webseiten nutzt der Browser die Gecko-Engine von Mozilla. Im März 2021 hatte Firefox einen Anteil von knapp 8% an der weltweiten Internetnutzung. Seit nunmehr fast zwei Jahrzehnten bildet Firefox das Gegengewicht zu Browsern wie Google Chrome, Microsoft Edge (ehemals Internet Explorer) und den Apple Safari.

Es gibt einige Browser-Abspaltungen (Forks), die auf Firefox basieren. Dazu zählen unter anderem:

Forks haben allerdings im Vergleich zum Mutterprojekt den Nachteil, dass diese meist nur von wenigen Entwicklern begleitet werden. Oftmals verzögert sich dadurch die Bereitstellung der aktuellen Version um ein paar Tage. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Firefox grassiert bzw. geschlossen wurde – es kann unter Umständen etwas dauern, bis der Patch/Aktualisierung seinen Weg in einen der Browser-Forks findet. Beim Original – dem Firefox-Browser – hat man dieses Problem hingegen nicht.

Hinweis

Das im Jahr 2018 veröffentlichte Firefox-Kompendium basiert auf Firefox. Das Kompendium erklärt ausführlich, mit welchen Add-ons, Einstellungen und Anpassungen ein sicheres und datenschutzfreundliches Surfen im Internet erreicht werden kann.

3.2 Suchmaschine

Als Standardsuchmaschine ist Google voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an Google übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen.

3.3 Tracking

Mozilla verfolgt/trackt den Nutzer im Auslieferungszustand. Unter anderem werden Informationen zum Nutzungsverhalten und auch Absturzberichte versendet. An sog. Firefox-Studien nimmt man auch automatisch teil.

Über »Einstellungen -> Datenschutz & Sicherheit -> Datenerhebung durch Firefox und deren Verwendung« lässt sich die Übermittlung deaktivieren bzw. ein Opt-Out vornehmen.

3.4 Add-ons/Erweiterungen

Erweiterungen (Add-ons) können über die Firefox-Add-ons-Seite installiert werden. Es werden Unmengen an Add-ons angeboten. Empfehlenwerte Add-ons findet ihr in der Empfehlungsecke.

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Die schlechte Nachricht vorab: Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser. Im Gegensatz zu seinen Konkurrenten wie Google Chrome oder Microsoft Edge lässt er sich aber zu einem datenschutzfreundlicher Browser umwandeln. Ausführlich beschrieben ist das im »Firefox-Kompendium« – dort insbesondere im letzten Beitrag: about:config | user.js – Firefox-Kompendium Teil10.

Wir erinnern uns mal kurz an den Marketingspruch, mit dem Firefox beworben wird:

Keine zwielichtigen Datenschutzhinweise oder Hintertürchen für Werbetreibende. Nur ein blitzschneller Browser, der deine Privatsphäre respektiert.

Liebes Mozilla-Team, ein Browser, der die Privatsphäre seiner Nutzer respektiert, trackt diesen nicht ohne seine Einwilligung. Genau das tut Firefox allerdings im Auslieferungszustand. Zu bemängeln ist ebenfalls Google als Standardsuchmaschine, bei dem jede URL bzw. Suchanfrage an Big-Brother übermittelt wird. Diese finanzielle Abhänigkeit zu Google wird ja nun bereits seit Jahren bemängelt.

Insgesamt ist Firefox äußerst gesprächig bzw. sendet viele Anfragen an Mozilla. Alle unnötigen bzw. datenschutzunfreundlichen Datenverbindungen lassen sich über die GUI bzw. die about:config abstellen. Das ist zwar mit Aufwand verbunden, aber notwendig, wenn man mit einem sicheren und datenschutzfreundlichen Browser im Internet unterwegs sein möchte.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

6 Ergänzungen zu “Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20”

Dean sagt:

9. November 2021 um 11:34 Uhr

Für versierte Nutzer bietet sich natürlich noch arkenfox/user.js und das Anpassen der Gruppenrichtlinien an, um das Datensendeverhalten anzupassen bzw. vollständig zu unterbinden. Einzig der Aufruf von firefox.settings.services.mozilla.com lässt sich nicht verhindern – und nur auf DNS-Ebene (hosts, PiHole, etc).
- Tom sagt:
  
  13. November 2021 um 11:34 Uhr
  
  Doch, lässt es sich.
  
  Via about:config nach „firefox.settings.services.mozilla.com“ suchen und die URL löschen oder umbenennen.
  - Dean sagt:
    
    23. November 2021 um 10:24 Uhr
    
    Da muss ich leider widersprechen. Du kannst die URL in der Tat aus dem Key „services.settings.server“ entfernen. Dennoch hindert das FF nicht daran, sie weiterhin zu kontaktieren. Möglicherweise war das früher mal der Fall, aber die aktuelle Version inkl. ESR und DevEdtition nehmen immer Kontakt auf.
    - Tom sagt:
      
      26. November 2021 um 19:46 Uhr
      
      Nun, bei mir funktioniert es mit Firefox 94.0.2.
      
      Aber es gibt ja noch die hosts-Datei oder den Router, wo man es blocken kann.
Uli sagt:

22. November 2021 um 16:23 Uhr

Ich finde es ärgerlich, dass die getroffenen Einstellungen für die Startseite bei einem Update (hier unter MacOS) von Firefox wieder überschrieben werden und mir die sog. „Firefox-Startseite“ mit Links zu Facebook, Amazon und Co. erneut präsentiert wird, die ich abgestellt hatte. Die anderen getroffenen Anpassungen – auch via about:config – blieben unangetastet. Anscheinend muss man also nach jedem Update wieder Hand anlegen. Schade.
- Mike Kuketz sagt:
  
  23. November 2021 um 10:00 Uhr
  
  Das ist korrekt. Man sollte da immer auf dem Laufenden bleiben. Hier beschrieben: Firefox: about:config | user.js – Firefox-Kompendium Teil10

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (421)