Das BSI hat Version 3.0 seiner Mindestanforderungen an sichere Webbrowser veröffentlicht und zeigt unter anderem, wie es um deren Sicherheit bestellt ist.
Soweit ich das verstehe, hat Google Chrome nochmal mehr Tracking, aber auch Chromium beinhaltet proprietäre Binaries und Tracking, siehe z.B. die Änderungsliste von Ungoogled-Chromium: https://github.com/ungoogled-software/ungoogled-chromium
Es geht aber auch um größere Schwachstellen, wie dass der Chrome Sync standardmäßig Benutzerdaten leakt, weil die nämlich unverschlüsselt auf den Google-Servern abgelegt werden und Google muss als US-Unternehmen unverschlüsselte Daten an die US-Geheimdienste weiterreichen, die es dann auch gerne an die 14 Eyes weiterreichen.
(Kann man optional absichern, aber das erfordert ein zweites Passwort, was ein Garant ist, dass das quasi niemand nutzt.)
Firefox hat aber eben auch einige Features, die die Sicherheit selbst gegenüber Ungoogled-Chromium verbessern, wie z.B. standardmäßiges Blockieren von Tracking-Skripten, die Trennung von Drittanbieter-Cookies verschiedener Webseiten, Multi-Container-Tabs, und eine mächtigere Erweiterungs-API, die z.B. NoScript ermöglicht und uBlock Origin effizienter macht.
Ich bezweifle, dass Chromium proprietäre Binaries beinhaltet. Ich habe Chromium schon ein paar mal selbst gebaut (nicht empfehlenswert, dauert Jahrtausende) und ich habe keinerlei 3rd-party-Quellen dazu gebraucht und auch keine proprietären Libs.
Soweit mir hingegen bekannt ist, unterscheiden sich Chrome und Chromium im wesentlichen dadurch, dass Chrome DRM und bestimmte geschützte Codecs wie MP3 unterstützt und Chromium hingegen nicht, weil es lizenztechnisch nicht möglich wäre, so open source zu vertreiben.
Die Info mit den Binaries stammt von der Ungoogled-Chromium README. Die Binaries könnten in den Quellcode eingecheckt sein – da weiß ich nicht, ob das der Fall ist – es ist aber auch möglich, dass Chromium die nach der Installation automatisch herunterlädt, wie z.B. hier geschehen: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909
Soweit ich das verstehe, hat Google Chrome nochmal mehr Tracking, aber auch Chromium beinhaltet proprietäre Binaries und Tracking, siehe z.B. die Änderungsliste von Ungoogled-Chromium: https://github.com/ungoogled-software/ungoogled-chromium
Es geht aber auch um größere Schwachstellen, wie dass der Chrome Sync standardmäßig Benutzerdaten leakt, weil die nämlich unverschlüsselt auf den Google-Servern abgelegt werden und Google muss als US-Unternehmen unverschlüsselte Daten an die US-Geheimdienste weiterreichen, die es dann auch gerne an die 14 Eyes weiterreichen.
(Kann man optional absichern, aber das erfordert ein zweites Passwort, was ein Garant ist, dass das quasi niemand nutzt.)
Firefox hat aber eben auch einige Features, die die Sicherheit selbst gegenüber Ungoogled-Chromium verbessern, wie z.B. standardmäßiges Blockieren von Tracking-Skripten, die Trennung von Drittanbieter-Cookies verschiedener Webseiten, Multi-Container-Tabs, und eine mächtigere Erweiterungs-API, die z.B. NoScript ermöglicht und uBlock Origin effizienter macht.
Ich bezweifle, dass Chromium proprietäre Binaries beinhaltet. Ich habe Chromium schon ein paar mal selbst gebaut (nicht empfehlenswert, dauert Jahrtausende) und ich habe keinerlei 3rd-party-Quellen dazu gebraucht und auch keine proprietären Libs.
Soweit mir hingegen bekannt ist, unterscheiden sich Chrome und Chromium im wesentlichen dadurch, dass Chrome DRM und bestimmte geschützte Codecs wie MP3 unterstützt und Chromium hingegen nicht, weil es lizenztechnisch nicht möglich wäre, so open source zu vertreiben.
Die Info mit den Binaries stammt von der Ungoogled-Chromium README. Die Binaries könnten in den Quellcode eingecheckt sein – da weiß ich nicht, ob das der Fall ist – es ist aber auch möglich, dass Chromium die nach der Installation automatisch herunterlädt, wie z.B. hier geschehen: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909
Chromium ist ein absolutes Biest an Abhängigkeiten, es würde mich absolut nicht wundern, wenn so etwas passiert.
Gleichzeitig muss man aber auch anerkennen, dass die Devs dort schreiben, so etwas auf keinen Fall als Default auszuspielen oder einzuschließen.