Firefox ist sicherer als andere Browser: Ja und Nein

EnterpriseSicherheit

Weil Firefox neu ist, beliebt und in aller Munde, erzählt man sich viele Geschichten darüber, manche sind fundiert, andere entstammen eifrigen Nutzern und Entwicklern.

Weil Firefox neu ist, beliebt und in aller Munde, erzählt man sich viele Geschichten darüber. Manche sind fundiert, andere entstammen eifrigen Nutzern und Entwicklern. Die müssen nicht falsch sein, sollten aber auch nicht ungelesen übernommen werden. So wie diese beiden Aussagen: “Firefox ist sicherer als der Internet Explorer (IE) von Microsoft” und “Firefox’ neues Tool Greasmonkey bringt nur Gutes”. Beides derzeit im Internet zu lesen.

Die erste These stammt von einer kleinen Web-Consulting-Firma namens ScanIT. Sie hat im vergangenen Jahr die Sicherheit der beiden Browser Firefox und IE analysiert. Das Ergebnis sei doch erstaunlich gewesen. Der IE, selbst wenn alle verfügbaren Patches aufgespielt waren, sei zu 98 Prozent ungeschützt gegenüber Angriffen aus dem Web gewesen. Firefox dagegen habe nur zu 15 Prozent Lücken aufgewiesen. An 200 Tagen des Jahres 2004 habe der IE-Nutzer mit einem Exploit für ein nicht gepatchtes Loch rechnen müssen, Firefox-User hingegen nur 56 Tage.

Auch wenn in dem Resultat ein Fünkchen Wahrheit stecken mag, ist es ja ein bisschen so wie Äpfeln mit Birnen vergleichen. Im vergangenen Jahr existierte Firefox lediglich als Betaversion. Den IE gibt es seit Jahren und Kenner wissen um die Verletzlichkeit des Browsers. Bei Mozillas Lösung steckt der Hacker quasi noch in den Kinderschuhen was die mögliche ‘Ausbeute’ betrifft. So einfach ist es also nicht, die beiden Browser gegenüber zu stellen.

Die Meinung der Mozilla Foundation ist dennoch eindeutig progressiv: Firefox werde auch mit wachsender Popularität nicht mehr Sicherheitslücken aufweisen, so Mitchell Baker, President and Chief Lizard Wrangler bei der Mozilla Foundation. “Marktanteile alleine machen ein System nicht unsicherer. Ein solches Denken ist nicht rational”, sagte Baker auf einer Veranstaltung für die US-Presse. Damit entgegnete er einer Aussage des Symantec-CEOs John Thompson, der eben das befürchtet. “Wenn mehr Anwender Firefox nutzen wird das Ziel auch attraktiver.”

Baker verwies außerdem darauf, Firefox unterstütze keine ActiveX-Plug-ins. Das Tool sei schon immer unsicher gewesen und noch vor ein paar Jahren habe man Firefox keine Zukunft prophezeit, weil eben ActiveX fehle. Mozilla ist Teil eines Industrieprojekts, das nach Alternativen zum klassischen Active-X-Plug-in sucht. Dazu haben sich auch Opera, Apple, Sun und Adobe gesellt, um Makroprogramme wie Flash ohne die Sicherheitsrisiken von ActiveX starten zu können.

Die zweite These wirft eine weitere Security-Diskussion auf. Denn inzwischen kennen sich auch die Bösen mit dem Firefox besser aus. Und wenn es dann zum Browser eine neue Erweiterung gibt, ist die nicht unbedingt nur mit Vorteilen behaftet.

‘Greasemonkey’ heißt ein neues Tool für den Firefox, das Webseiten beim Download auf die vom Benutzer gewünschte und vorab definierte Weise verändert. Sei es die grafische Oberfläche oder gewichtigere Änderungen wie Verbindungen zu Yahoo oder Gmail mehr abzusichern. Bei allem muss das Protokoll DHTML, dynamisches HTML, verändert werden. Daraus wird ein so genanntes ‘user script’, das Interaktionen oder Aussehen der Seite neu definiert, heißt es auf der Mozilla Developer-Seite.

So weit so gut. Die negative Seite klingt so: Fehlerhaft geschriebene Userscripts können den Browser verlangsamen oder, was wesentlich schlimmer ist, bewusst manipulieren, um beispielsweise Passwörter auszukundschaften. Bloß in den Rechner einbrechen müssten die Hacker noch selbst, den Rest könnte das eingeschleuste und veränderte Script übernehmen. Im Internet frei zugänglich liegen so genannte Script-Bibliotheken, die ein Benutzer im Ganzen herunterladen kann, wenn er sie nicht selbst schreiben kann oder will. Damit sollte jeder vorsichtig umgehen, warnen Experten in der US-Presse. Letztlich ist wie mit jedem Software-Download, den ein User besser erst dann startet, wenn er vorher, soweit möglich, geprüft hat, woher die Software stammt.