Dekodierung der Netzwerkaktivität in Vivaldi

In diesem Artikel taucht der Vivaldi-Sicherheitsexperte Yngve Pettersen tief in die Netzwerkaktivitäten in Vivaldi ein.
Yngve Pettersen erklärt hier, welche Netzwerkaktivitäten der Vivaldi-Browser im Hintergrund durchführt, auf welche Weise und warum dies geschieht.

Gelegentlich fragen sich Vivaldi-Benutzer, mit welchen Diensten sich Vivaldi verbindet.

Sie werden dann mit einem Netzwerkaktivitätsscanner feststellen, dass er sich automatisch mit Online-Diensten von Vivaldi und Google verbindet.

Gelegentlich alarmiert dies einen datenschutzbewussten Benutzer und wir erhalten einen Bug-Report, der beschreibt, was der Benutzer beobachtet hat.

Einige Nutzer werden zu dem Schluss kommen, dass Vivaldi ihre Aktivitäten ausspioniert und die Details an Google „nach Hause telefoniert“. Schließlich gibt es andere Browser, die ihre Benutzer aktiv überwachen und die Details an den Browserhersteller zurücksenden.

In den meisten Fällen dreht es sich einfach darum, dass sie keine zuverlässigen Netzwerk-Überwachungsergebnisse erhalten (scrollen Sie zum Ende des Artikels, um Hinweise erhalten, wie Sie genaue Ergebnisse erzielen können).

Obwohl Vivaldi die gleiche Engine wie Chrome benutzt und einige Funktions- und Sicherheitskomponenten von Google herunterlädt, bleiben die Details Ihres Surfens privat – verborgen vor Vivaldi und anderen Dienstleistern. Vivaldi sammelt keine Details oder Statistiken über Ihre Browseraktivitäten und den Zeitraum. Im Gegensatz zu vielen anderen Browsern verfügt Vivaldi nicht einmal über Informationen über die Funktionen, die Sie im Browser verwenden.

Dieser Artikel erklärt, was jeder der wenigen Dienste, mit denen wir uns verbinden, leistet und warum er benötigt wird. Es listet die Informationen auf, die jeder Dienst benötigt, damit der Browser reibungslos funktioniert und Sie sicher bleiben.

Inhaltsverzeichnis

  1. Vivaldi Anfragen an Google
    1. Herunterladen von Komponenten
    2. SafeBrowsing-Daten
    3. Download-Schutz
    4. Rechtschreibprüfung
    5. Weitere Aktivitäten
  2. Anfragen an Vivaldi
    1. Benutzerzahl (User count requests)
    2. Liste zum blockieren der missbräuchlichen Werbung
    3. Automatische Prüfung auf Updates
  3. Vom Benutzer initiierte Aktivitäten
    1. Synchronisierung
    2. Push-Benachrichtigungen
    3. Installierte Erweiterungen
  4. Warum Netzwerkaktivitätsscanner Ihnen nicht das gesamte Bild zeigen.

Vivaldi Anfragen an Google

Herunterladen von Komponenten

Mehrere Funktionen in Vivaldi hängen von separat gepflegten und aktualisierten Komponenten ab, die von den Chromium/Google-Teams bereitgestellt werden. Diese Komponenten sind auf dieser speziellen Seite aufgeführt: vivaldi://components. Die heruntergeladenen Komponenten bieten zusätzliche Funktionen, die im Haupt-Quellcode nicht sinnvoll sind, in der Regel weil sie Updates benötigen, die nicht mit dem normalen Browser-Update-Zyklus übereinstimmen.

Die wichtigsten sind der sicherheitsrelevante Certificate Assistant und die CRLset Komponenten, sowie die Widevine Komponente, mit der Sie DRM-geschützte Videos online ansehen können (z.B. Netflix).

Diese Komponenten werden kurz nach dem ersten Start von Vivaldi heruntergeladen und installiert. Vivaldi wird automatisch nach Updates für diese Komponenten suchen.

Die erste Anfrage für diese Downloads geht an die Server update.googleapis.com und clients2.google.com, aber die eigentlichen Downloads können von/über andere Server wie redirector.gvt1.com und r3---sn-8xouxav-vnas.gvt1.com erfolgen.

Cookies Keine
Verwaltung ComponentUpdatesEnabled policy in vivaldi://policy
Netzwerkanmerkung https://cs.chromium.org/­chromium/­src/­components/­update_client/net/­network_impl.cc?­l=24&­rcl=17b2a­df184f­b218b6096­359b8a06­a92be6d22d7

SafeBrowsing-Daten

Die SafeBrowsing-Funktionalität wird verwendet, um Sie vor dem Zugriff auf Websites zu schützen, die beispielsweise gefährliche Downloads anbieten. Diese Funktionalität basiert auf einer von Google geführten Blacklist, und Vivaldi wird mehrmals täglich Updates für die Grundliste vom Server safebrowsing.google.com herunterladen.

Früher verwendete SafeBrowsing eine Technik namens Bloom-Filter, aber Google hat dies mittlerweile auf ein einfacheres System umgestellt.

Das aktuelle System erstellt einen „Hash“ (eine kryptographische Prüfsumme) der URL, sowie von Teilen der URL, die Sie besuchen möchten. Dieser Hash lässt sich nicht leicht umkehren, um den ursprünglichen Text zu erhalten, der zu seiner Berechnung verwendet wurde. Weiterhin ist es möglich, dass mehrere Texte zum gleichen Hash führen, aber damit die ursprünglichen Texte zu finden ist ebenfalls sehr hart, was auch der eigentliche Sinn der Prüfsumme ist. Dabei wird mit einem kurzen Teil der berechneten Hashes in der Grundliste gesucht, um festzustellen, ob es einen Blacklist-Eintrag für einen der Teilbereiche der URL gibt. Wenn dies der Fall ist, wird für jeden der übereinstimmenden Teile eine Anforderung gesendet, und der Server antwortet mit einer Liste aller vollständigen Hashes, die einem der Präfixe entsprechen.

Wenn einer dieser vollständigen Hashes aus der Liste mit einem der berechneten Hashes übereinstimmt, wird die URL, die Sie besuchen wollten, blockiert, da es sich sehr wahrscheinlich um eine schädliche URL handelt.

Da jeweils nur ein Teil des Hashes der URL (oder des URL-Teils) an den SafeBrowsing-Server gesendet wird, weiß der Dienst nicht, welche URL Sie besucht haben, oder welche Übereinstimmungen, falls überhaupt, es mit den vollständigen Hashes gegeben hat.

Cookies Einige Modi erlauben Cookies, aber von einem isolierten Cookie-Speicher, der nicht mit anderen Websites geteilt wird.
Verwaltung chrome://settings/syncSetup
Netzwerkanmerkung

https://cs.chromium.org/­chromium/­src/­chrome/­browser/­safe_browsing/­client_side_model_loader.cc?­l=125&­rcl=2b5ee7­a019262c57d80b274­0925a5226a­be97bb4

https://cs.chromium.org/­chromium/­src/components/­safe_browsing/­db/­v4_get_hash_protocol­_manager.cc?­l=305&­rcl=17b2adf­184fb218b609­6a359b8a0­6a92be6d22d7

https://cs.chromium.org/­chromium/­src/components/­safe_browsing/­db/­v4_update_protocol­_manager.cc?­l=312&­rcl=17b2ad­f184fb218b6­096a359b8a­06a92be6d22d7

Diese Option ist standardmäßig deaktiviert URL-Upload im Zweifelsfall
Verwaltung „Suchanfragen und das Surfen verbessernSuchanfragen und das Surfen verbessern“ Option in chrome://settings/syncSetup
Netzwerkanmerkung https://cs.chromium.org/­chromium/src/­components/­safe_browsing/­realtime/­url_lookup_service.cc?­l=54

Download-Schutz

Wenn Sie beispielsweise ein Installationsprogramm für Windows herunterladen, kann diese Software für Ihren Computer gefährlich sein, wenn es z.B. ein Trojaner oder andere Malware ist. Um möglichst viele Benutzer vor solchen Gefahren zu schützen, prüft der SafeBrowsing-Code in Chromium und Vivaldi auf gefährliche URLs und Downloads auf der Whitelist. Wenn die Reputation der heruntergeladenen Datei nicht lokal bestimmt werden kann, werden einige detaillierte Informationen an den SafeBrowsing-Server gesendet, darunter die URL, der Referrer, Hashes der Datei, sowie vorhandene Code-Signatur-Informationen. Der Browser erhält im Gegenzug eine Rückmeldung darüber, ob die Datei hinreichend sicher oder möglicherweise gefährlich ist.

Leider ist es sehr schwierig, die Reputation einer Datei ohne all diese Informationen zu ermitteln, da Malware-Anbieter zwar die tatsächlichen Signaturen der Download-URLs sowie die tatsächlichen Downloads ändern können, aber in der Regel müssen einige Teile gleich gehalten werden. Es gab in der Vergangenheit schon Angriffe, die den Schutz umgangen haben, bevor die URL und die Referrer zu den Daten hinzugefügt wurden.

Dieses System wird auch von Mozilla Firefox verwendet.

Cookies Erlaubt, aus dem isolierten Cookie-Speicher von SafeBrowsing (zur Zählung eindeutiger Benutzer).

Permitted, from SafeBrowsing’s isolated cookie store (for counting unique users)

Verwaltung Die SafeBrowsing Einstellung in Chrome://settings/syncSetup
Netzwerkanmerkung https://cs.chromium.org/­chromium/­src/­chrome/­browser/­safe_browsing/­download_protection/­check_client­_download­_request­_base.cc?­l=568&­rcl=17b2adf­184fb218b6­096a359b8­a06a92be6d22d7

Rechtschreibprüfung

Vivaldi verwendet die Rechtschreibprüfung von Chromium. Die Rechtschreibprüfung von Chromium lädt von Google ein Wörterbuch für den lokalen Gebrauch herunter und startet den Download über redirector.gvt1.com.

Cookies Keine
Verwaltung chrome://settings/languages
Netzwerkanmerkung https://cs.chromium.org/­chromium/­src/­chrome/­browser/­spellchecker/­spellcheck_hunspell_dictionary.cc?­rcl=95bfa1651­b4e2e8­43fa06ead­8506e22f17­8c00f8&l=282

Weitere Aktivitäten

Die Chromium-Codebasis kann unter bestimmten Bedingungen Netzwerktests durchführen, um zu überprüfen, ob sie sich hinter einem „Captive Portal“ wie einem öffentlichen WiFi-Netzwerkportal befindet, das ein Login oder einen EULA-Akzeptanz-Klick erfordert.

Cookies Keine
Verwaltung chrome://settings/languages
Netzwerkanmerkung https://cs.chromium.org/­chromium/­src/chrome/­browser/­captive_portal/­captive_portal_service.cc?­rcl=ee1c95­1278003­09d94e54­57d41983­d326fda1fcf&l=252

Anfragen an Vivaldi

Benutzerzahl (User count requests)

Vor kurzem haben wir beschlossen, die Art und Weise, wie wir unsere Benutzer zählen, zu ändern, da einige Leute die Verwendung von eindeutigen IDs als eine Form des Tracking wahrnehmen. Wir sind derzeit dabei, eine neue Art der Benutzerzählung zu implementieren, die keine eindeutigen IDs erfordert.

Bevor wir die eindeutige ID vollständig entfernen können, durchlaufen wir mehrere Schritte, um sicherzustellen, dass der neue Code wie vorgesehen funktioniert und dass wir den von ihm gemeldeten Zahlen vertrauen können. Für weitere Details schauen Sie sich diesen Artikel an, in dem erklärt wird, wie wir unsere Benutzer zählen.

Liste zum blockieren von missbräuchlicher Werbung

Anfang dieses Jahres haben wir unsere eigene Unterstützung für die Blockierung von Anzeigen auf Websites mit schlechten Werbepraktiken, wie irreführenden Anzeigen oder Anzeigen, die Sie die Website nicht verlassen lassen, implementiert. Diese Funktionalität wird mithilfe einer von Google bereitgestellten Liste umgesetzt. Diese Liste wird nicht direkt von Google heruntergeladen, stattdessen wird sie auf unseren eigenen Servern gehostet, nachdem wir auf unseren Backend-Servern eine einfache Vorverarbeitung der von Google herutergeladenen Listen durchgeführt haben. Die Liste wird täglich auf den neuesten Stand gebracht sowie automatisch vom Browser aktualisiert und bei störenden Websites angewendet, ohne, dass der Server jedes Mal kontaktiert werden muss.

Automatische Prüfung auf Updates

Vivaldi für Mac und Windows überprüft regelmäßig, ob es eine aktualisierte Version von Vivaldi gibt.

Vom Benutzer initiierte Aktivitäten

Sync

Wenn Sie die Synchronisierung Ihrer Daten mit dem Synchronisierungsdienst von Vivaldi aktivieren, werden Sie über den Server login.vivaldi.net in Ihr Konto eingeloggt, und die Synchronisierung erfolgt danach durch die Kommunikation mit dem bifrost.vivaldi.com Server.

Push-Benachrichtigungen

Wenn Sie einer Website (z.B. einer Nachrichten-Website) erlauben, Ihnen Benachrichtigungen zu senden, installiert die Website ein kleines Skript in Ihrem Browser, das angibt, woher Sie die Benachrichtigungen erhalten möchten. Es gibt mehrere Dienstleister dafür, und die Website entscheidet, welcher davon verwendet wird. Einer davon ist das Cloud Messaging (GCM)-System von Google, das auf mtalk.google.com gehostet wird. Relevante interne URLs für dieses System sind:

  • chrome://settings/content/notifications
  • chrome://settings/siteData
  • vivaldi://gcm-internals.

Installierte Erweiterungen

Vom Benutzer installierte Erweiterungen können sich mit der eigenen Website des Anbieters verbinden, um Updates anzufordern oder verschiedene Nutzungsdaten zu melden. Das ist nichts, was Vivaldi kontrollieren kann, daher empfehlen wir unseren Nutzern immer, ihre Extensions sorgfältig auszuwählen und sicherzustellen, dass sie dem Extension Provider/Lieferanten vertrauen können.

Warum Netzwerkaktivitätsscanner Ihnen nicht das gesamte Bild zeigen.

Benutzer, die Netzwerkaktivitätsscanner ausführen, verwenden in der Regel nur einen Netzwerkaktivitätsmonitor. Dieser führt einen Reverse-DNS-Lookup durch, was dazu führt, dass ein „zufälliger“ Hostname angezeigt wird.

Dienste wie die Google-Server, mit denen sich Vivaldi verbindet, werden in großen Serverparks auf mehreren Servern gehostet, sogar an mehreren geografischen Standorten, und jeder dieser Server hat einen eindeutigen Hostnamen. Dieser eindeutige Name ist es, der im Reverse-DNS-Index für seine IP-Adresse registriert ist.

Es ist sehr unwahrscheinlich, dass die Scanner eine vollständige Liste der Server erhalten, auf denen die wichtigsten Anwendungen von Google, Amazon oder Microsoft unter einer bestimmten IP-Adresse gehostet werden, oder dass die Liste überhaupt den Namen des Servers enthält, mit dem der Client tatsächlich verbunden ist.

Der bessere Weg, um herauszufinden, mit welchen Servern sich Vivaldi verbindet, ist, die DNS-Anfragen und -Antworten zu protokollieren. Dadurch erfahren Sie genau, zu welchen Servern Ihr Browser eine Verbindung herstellt.

Eine noch bessere Möglichkeit besteht darin, die von Vivaldi bereitgestellten Informationen zu nutzen, um das Geschehen zu verfolgen. Starten Sie Vivaldi mit dem Argument --enable-logging=stderr --v=1. Dies erzeugt eine große Ansammlung von Daten, die in der Datei chrome_debug.log im User Data Verzeichnis der Installation gespeichert werden. In den dort gespeicherten Daten befinden sich Zeilen die den folgenden Text enthalten: NetworkDelegate::NotifyBeforeURLRequest:. Dadurch wird angezeigt, welche URLs angefordert wurden.

Abschließend sei festgestellt, dass keiner der automatischen Dienste Details oder Statistiken Ihrer Browseraktivitäten an Vivaldi oder Google sendet.

Ein großes Dankeschön an Varun Khaneja (@vakh) vom Chromium-Team für die Überprüfung relevanter Teile dieses Artikels.

Hauptfoto von Luca Bravo auf Unsplash.

* * *

Weitere Informationen:

Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Vivaldi