Firefox-Sicherheitswunde wurde geheilt

Das Leck im Firefiox, das Nutzer verunsicherte und Hackern neue Möglichkeiten eröffnete, ist geschlossen. Seit Montag gibt es einen Patch. Mozilla musste jetzt doch professionelle Hilfe dafür in Anspruch nehmen – die Carnegie Mellon University griff dem Hersteller unter die Arme.

Die Warnung wies in einem solchen Fall darauf hin, dass die Site, die der Nutzer gerade besuchen wollte, gekapert sein könne. Das ging vielen Nutzern und auch Site-Betreibern zu weit. Sie argwöhnten, dass Mozilla nur die Zertifikate von Vertragspartnern im SSL-Bereich akzeptiere. Dem ist nicht so, hieß es jetzt in Blogs in den USA.

Außerdem spreche die Tatsache, dass die renommierte Universität so schnell eine Abhilfe gefunden hat, für den Browserhersteller. Der Patch von Carnegie Mellon tut nicht mehr, als dem Nutzer einen ruckelfreien Weg an der Warnung vorbei zu eröffnen. Er kann selbst entscheiden, ob er der Site vertraut. Er wird trotzdem gewarnt. Aber er wird nach den ersten Schritten auf die potentiell nicht abgesicherte Site nicht mehr von weiteren Pop-up-Fenstern belästigt, hieß es.

In diesem Zusammenhang wurde auch die Frage der Zertifikate neu aufgerollt. Einige anonyme Blogger stellen das System der Zertifizierung an sich in Frage, weil immer mehr neue “Web-Notare” mit den Zertifikaten beschäftigt sind. Die Kontrolle und die richtige Einschätzung dieser Stellen durch den Nutzer werden unmöglich.

Ein weiterer Blogger, den die Zeitschrift Networkworld zitierte, wies auf einen anderen Aspekt hin. Zirka 15 Prozent der Fortune-1000-Unternehmen haben ihm zufolge ständig eine abgelaufene SSL-Regelung. Pikanterweise verwies ein Nutzer von Firefox 3.0 darauf, dass auch das US-Verteidigungsministerium zu den Sites gehöre, die von Firefox 3.0 als potentiell gefährlich getaggt werden. Auch dort werden die 15 Dollar, die eine Erneuerung des Zertifikates demnach kostet, offensichtlich gespart.