Video: Sicherer surfen mit den richtigen AddOns für Firefox und Chrome [CryptoAdvent 2017] (November 2024)
Ist Firefox ein sichererer Webbrowser als der Internet Explorer von Microsoft? Die Antwort mag ja sein, aber die Probleme sind komplizierter, als die meisten Menschen erkennen. Tatsächlich hat Firefox einige Sicherheitsprobleme und wurde wahrscheinlich bisher nur durch seinen einstelligen Marktanteil vor Angriffen aus der realen Welt bewahrt.
Ende Februar veröffentlichte die Mozilla-Organisation das erste Update für Firefox, Version 1.0.1 (www.getfirefox.com). In der neuen Version gibt es keine neuen Funktionen, aber es wurden 17 dokumentierte Sicherheitsanfälligkeiten in Version 1.0 behoben. (www.mozilla.org/projects/security/known-vulnerabilities.html). Am bekanntesten war ein URL-Spoofing-Fehler bei URLs mit internationalisierten Domain-Namen (IDN - www.mozilla.org/security/announce/mfsa2005-29.html). Grundsätzlich könnte ein Angreifer eine Site einrichten, die äußerlich dieselbe URL wie eine andere Site (z. B. www.ebay.com) aufweist, der Domainname jedoch in einem internationalen Zeichensatz und nicht in englischer Sprache. (Mozilla hat dieses Problem nicht wirklich behoben. Dies ist weniger ein Fehler im Programm als ein Problem mit dem gesamten Ansatz für IDNs. Stattdessen deaktiviert Version 1.0.1 standardmäßig nur die IDN-Unterstützung.)
Wahrscheinlich haben Sie vor dem Update noch nichts von diesen Fehlern gelesen. Dies ist darauf zurückzuführen, dass die Mozilla-Organisation erst seit kurzem Sicherheitshinweise herausgibt, wie sie Microsoft jeden Monat herausgibt (siehe www.mozilla.org/security/announce). Zum größten Teil hat Mozilla diese Fehler nicht versteckt, bevor Ratschläge veröffentlicht wurden, aber sie wurden auch nicht veröffentlicht. Wenn Sie wissen, wo und wie Sie suchen müssen, können Sie sich unter bugzilla.mozilla.org, der offiziellen Bug-Datenbank für die Mozilla-Entwicklung, ein besseres Bild von Sicherheits- (und anderen) Bugs in Firefox und anderen Mozilla-Projekten machen. Aber auch hier ist die Organisation hinsichtlich Sicherheitslücken nicht ganz offen. Wenn neue gemeldet werden, werden die Einträge in Bugzilla in der Regel für eine gewisse Zeit privatisiert, während sie untersucht und behoben werden.
Und im Gegensatz zu Microsoft gibt Mozilla beim Beheben eines Fehlers keinen Patch für Benutzer frei. Wenn Sie sich an Programme auf Release-Ebene halten möchten, können Sie nur auf die nächste allgemeine Version warten. Das Upgrade auf Version 1.0.1 von 1.0 dauerte ca. 3, 5 Monate. Sie können eine vorläufige Version des Programms installieren (die nächtlichen Versionen finden Sie unter ftp.mozilla.org/firefox/nightly/pub/mozilla.org/firefox/nightly/news-trunk/). Dies sind jedoch keine offiziellen Release-Versionen, und Sie sollten sie erwarten andere Bugs zu haben; Sofern Sie Unterstützung für Firefox erhalten, wird dies durch die Verwendung eines vorläufigen Builds beeinträchtigt.
In Firefox für Windows können Sie die Optionen unter Extras | Optionen | -Advanced- | Software Update, um Firefox-Server regelmäßig auf Aktualisierungen des Programms zu überprüfen. Es wird Version 1.0.1 finden, aber alles, was es tun wird, ist das gesamte Programm herunterzuladen und das Installationsprogramm zu starten. In der Linux-Version können Sie nur Erweiterungen und Designs aktualisieren, nicht den Programmcode.
Und in Version 1.0.1 gibt es bereits Sicherheitsprobleme, auch wenn noch keine Hinweise dafür vorliegen. Wenn beispielsweise auf einem Mehrbenutzer-Computer wie einem Linux-System ein Benutzer, der als Root ausgeführt wird, Firefox startet, und ein anderer Benutzer, der nicht als Root angemeldet ist, Firefox startet, erhält diese Instanz von Firefox, die nicht als Root angemeldet ist, Root-Berechtigungen (bugzilla.mozilla.org/ show_ bug.cgi? id = 247412).
- Mozilla Firefox 1.0 Mozilla Firefox 1.0
- Top 15 Firefox-Erweiterungen Top 15 Firefox-Erweiterungen
- Firefox erhält Yahoo Toolbar-Unterstützung Firefox erhält Yahoo Toolbar-Unterstützung
- Firefox wird grundlegend überarbeitet Firefox wird grundlegend überarbeitet
Darüber hinaus ist es für einen Benutzer schwierig und nicht naheliegend, das Zertifikat bei der Installation auf eine signierte Erweiterung hin zu überprüfen (bugzilla.mozilla.org/show_bug.cgi?id=278629) eine vertrauenswürdige Quelle. Es gibt auch eine Reihe von Absturz-Fehlern, wie bugzilla.mozilla.org/show_bug.cgi? Id = 263609, die häufig auf eine ausnutzbare Sicherheitslücke im Hintergrund hinweisen.
Schließlich erwarten die Anti-Spyware-Unternehmen Webroot und Sunbelt Software, dass Firefox-spezifische Spyware in diesem Jahr auftaucht, und wenn der Marktanteil des Browsers weiter steigt, ist es leicht zu erkennen, warum dies der Fall ist. Vergessen Sie also nicht zu aktualisieren und ruhen Sie sich nicht auf Ihren Firefox-Lorbeeren aus. Sie sind nicht frei von Sicherheitsproblemen, Sie haben nur andere.
Larry Seltzer, ein häufiger Autor des PC Magazine, schreibt den Security Watch Newsletter für pcmag.com.
