Jeff Jones, Security-Strategy Director bei Microsofts Trustworthy Computing Group, hat den hauseigenen Webbrowser Internet Explorer mit dem freien Mozilla Firefox verglichen und kommt zu dem wenig überraschenden Ergebnis, dass das Microsoft-Produkt sicherer sei.
In seinem Blog hat Jones schon öfter Microsoft-Lösungen mit Konkurrenzprodukten verglichen, nun hat er sich die seiner Meinung nach führenden Browser vorgenommen. Zu seinem aktuellen Ergebnis zugunsten des Internet Explorer (IE) kommt er nach einem Vergleich der veröffentlichten und behobenen Sicherheitslücken der beiden Webbrowser. Betrachtet hat Jones die Entwicklung seit November 2004. In diesem Zeitraum sind mit Firefox 1.0, 1.5 und 2.0 drei Versionen des Open-Source-Browsers erschienen. Microsoft hat seinen Browser im November 2006 von Version 6 auf Version 7 aktualisiert. Die schnelleren Release-Zyklen des Firefox bezeichnet Jones nun als Sicherheitsrisiko und nennt die Unternehmens-Versionen der Linux-Betriebssysteme Red Hat Enterprise Linux, Novells Suse Linux Enterprise und Ubuntu als Beispiele. Dass die Hersteller lange Supportzyklen garantieren, schließe auch den Browser Firefox ein. Weil Mozilla selbst jedoch den Support früher einstelle, müssten die Hersteller selbst für ältere Versionen den Support übernehmen. Alternativ wären sicherheitsbewußte Anwender gezwungen, regelmäßig auf die neueste Version zu aktualisieren.
Jones vergleicht bei den beiden Browsern auch die Zahl der Fehler, deren Schwere und die erfolgreiche Behebung: Für die Firefox-Versionen nennt er 199 Sicherheitslücken, 75 davon als hochkritisch eingestuft. Für IE6 und 7 nennt er 87 Lücken, hiervon 54 hochkritische. Für die erste Zeit nach der Veröffentlichung zählt er für Version 2.0 des Firefox 56 gefundene und behobene Fehler gegenüber 14 beim Internet Explorer 7. Bei den offenen Lücken herrscht nach seiner Zählung nahezu Gleichstand: Für den freien Browser zählt er 24 offene Themen, acht davon als kritisch eingestuft. Das Microsoft-Produkt kommt auf 21 Sicherheitslecks, wovon zehn als kritisch einstuft sind.
Auf diese Zählweise reagiert Mozilla-Manager Mike Shaver ungehalten: “Wenn Mozilla für diesen Bericht besser als Microsoft sein wollte, gäbe es einen einfachen Weg: Aufhören mit dem Beheben und Veröffentlichen von Fehlern, die wir In-House finden”, schreibt er in seinem Blog. “Es ist bekannt, dass Microsoft die Veröffentlichungen zu Service-Packs und Fehlerbehebungen redigiert. Manchmal heißt das, dass du nur eine einzige Schwachstelle genannt bekommst, für beispielsweise sieben behobene Fehler. Oder Du hörst gar nichts darüber, weil es mit SP2 (Service Pack 2) verteilt wurde und sie kein Aufhebens darum machen.” Seiner Meinung nach ist diese Art des Vergleichs zwar einfach, aber nutzlos.
Immerhin gibt der Sicherheitsdirektor von Microsoft zu, daß auch das eigene Programm nicht sicher ist. Aber die Tatsache, daß wohl beide Browser enorme Lücken haben zeigt, welche Krankheit Internet- Browser allgemein haben, wenn man sie als massentaugliches Produkt aufputscht. Sie werden als GUI für Applikationen zweckentfremdet und mit auf die Fastfood-Gesellschaft angepassten Features aufgebort. Während früher nur der Internet Explorer dafür bekannt war, über proprietäre Skripting- Möglichkeiten als Applikation mit Eingriffsmöglichkeiten in das System zu fungieren (neben Dialern hauptsächlich von Webseiten genutzt, die dem User etwas installieren, der mit Installationspogrammen nicht umgehen kann), hat sich der Firefox-Browser im Laufe seiner… Mehr »
Hi GoaSkin, wenn Du bessere Alternativen kennst, dann lass uns doch bitte nicht Dumm sterben :-) Aber im Ernst, meinst Du das so ein Vergleich überhaupt objektiv gemacht werden kann? Ich glaube es nicht. Denn was sagt die Anzahl und die ganz grobe Kategorie denn schon aus? – Meiner Ansicht nach nichts. Fiel entscheidender ist doch, wie schnell wird eine solche Sicherheitslücke erkannt, anerkannt und korrigiert. Und genau in ersten Punkt wird es für Closed Source meines Erachtens ganz problematisch, da der Code ja nicht gereviewed werden kann. Dadurch muß jede Lücke durch ausprobieren gefunden werden, was aber erheblich länger… Mehr »
Mit Alternativen meine ich natürlich jegliche Browser, die wirklich nur Browser sind und nichts weiter. Programme, die HTML interpretieren und Browser-Plugins zur Darstellung von Inhalten nutzen können und nicht darüber hinaus als Skripting-Plattform für Anwendungen dienen, deren Funktionen über das Darstellen von Web-Inhalten hinaus gehen. Und das ist immernoch bei allen Browsern außer denen, die hier verglichen wurden der Fall. Selbst die weiter in die Systeme integrierten Browser Konqueror und Safari bieten immernoch (zum Glück) keine Schnittstellen zwischen System und Webinhalten an. Die Frage danach, wie schnell Bugs gefunden werden ist im Normalfall ein wichtiges Argument für die Sicherheit. Aber… Mehr »
Zum 1-ten Abschnitt: Also so richtig erschließt sich mir noch nicht was Du mir sagen möchtest. Aber muß ja auch nicht sein – liegt aber Warscheinlich an mir. Zum 2-ten Abschnitt: Grundsätzlich tendiere ich für eine Sicherheit geht vor Strategie. Im Zweifelsfall kann man dann immer noch eine Option zum wieder einschalten anbieten (default sollte also die sichere Einstellung sein). Außerdem bin ich der Meinung dass ein Unternehmen das eine nicht sichere Anwendung erstellt, sich selbst ein Ei legt. In der Regel kommen bei mittleren und großen Unternehmen die Angreifer von innen (z.B. gekündigte oder frustrierte Mitarbeiter). Besser ist es… Mehr »