Sicherheit und Web-Browser – Firefox vs. Internet Explorer

Einleitung

Das Internet wird mehr und mehr zu einem gefährlichen Platz, auf dem ein nicht unerheblicher Teil Sicherheitsrisiken zu finden sind, die durch Viren und Spyware verursacht werden. Zudem sind in Anwendungen mit Zugriff zum Internet Fehler in den Funktionen zu finden, die zur normalen Arbeit benutzt werden und dadurch Angreifern ermöglichen, sich unerwünscht Zugang zum Computer oder zu laufenden Programmen zu verschaffen. Die Sicherheit und Vollständigkeit von Daten wird durch die schnell wachsende Zahl an Angriffsmethoden kompromittiert, wie zum Beispiel durch Phishing und Identifikationsdiebstahl.

Angesichts der Gefahren ist es wichtig, dass Anwender einen zuverlässigen und sicheren Web Browser benutzen, der frei von Fehlern ist und schädlichen Inhalt nicht zum Computer vordringen lässt.

Die Web-Browser Industrie wird weiter mit einem 85% Marktanteil angeführt von dem mit Windows verbundenen Internet-Explorer, aber in den letzten Jahren sind auch funktionale und flexible Browser wie Mozilla/Firefox und Opera in den Markt eingetreten, die ein seriöses Sicherheitskonzept mitbringen und mit regelmäßigen Aktualisierungen die Sicherheit der Anwender schützen.

Der Internet-Explorer ist auch in der aktuellen Version 6.0 das gleiche Produkt, das mit Windows XP 2001 zusammen eingeführt wurde. Vor 18 Monaten wurde das Service-Pack 2 für Windows XP veröffentlicht und mit ihm sollte auch die Sicherheit des Internet-Explorer verbessert werden. Es sind jedoch nicht alle Sicherheitslücken geschlossen worden, die durch feindlichen Programmcode ausgenutzt werden können. Zur Zeit ist Firefox Version 1.5 aktuell, der eine sehr unterschiedliche Entwicklungsgeschichte hinter sich brachte. Das bedeutet, dass die Reife auf ähnlich hohem Niveau betrachtet werden kann wie der Internet-Explorer (siehe auch folgenden Abschnitt).

Zur Zeit entwickelt Microsoft die nächste Generation seines Browsers, Internet-Explorer 7.0, der laut Planung in der ersten Hälfte des Jahres 2006 vorgestellt werden soll. Das Unternehmen hat angegeben, den Browser sicherer zu machen und die Benutzer stärker gegen die vielen Probleme zu schützen, die über die Jahre verteilt bekannt wurden.

Wir, zusammen mit anderen Internet-Benutzern überall, erwarten die abschließenden Resultate mit Interesse. In der Zwischenzeit entschieden wir uns aber, unsere eigene Bewertung für den IE7 und seinem nächsten Rivalen, Firefox 1.5 abzugeben.

Historie und Überblick

Internet Explorer ist ein grafischer Web-Browser, der von Microsoft entwickelt wurde. 1995 lizensierte das Unternehmen die kommerzielle Version des Internet-Explorer 3.0 von Spyglass Mosaic und integrierte das Programm in die Windows 95 OSR1 Edition. Später wurde die nächste Version 4 des Internet-Explorer in Windows 98 als Standard-Browser implementiert. Eine Bewegung, die fortfährt, zahlreiche Sicherheitsfragen zu stellen.

Firefox ist ein Open-Source Browser, entwickelt von der Mozilla Foundation. Jedermann mit genug Wissen und Erfahrung kann sich an der Entwicklung des Programmcodes beteiligen und ihn verbessern helfen. Mozilla, bekannt für eine strikte Sicherheitspolitik, verspricht eine Prämie von einigen tausend Dollar für jede schwerwiegende Schwachstelle, die in dem Produkt gefunden wird.

Sicherheitsereignisse und ihr Antwortverhalten

Während kein Browser vollkommen ist, wurden die meisten schwerwiegenden Schwachstellen mehr für den IE gemeldet als für Firefox. Fairerweise muss aber auch dagegen gehalten werden, Firefox ist mit einem Marktanteil von 10& weniger frequentiert als der Marktführer Internet-Explorer. Vermutlich ist das auch der Grund, warum viele Sicherheitsforscher sich mehr mit Microsofts Browser beschäftigen als mit Firefox. Einige Leute haben argumentiert, dass, wenn die Marktanteile ähnlich wären, ähnlich viele Fehler auch in Firefox gefunden werden.

Die Open-Source Architektur von Firefox trägt zur gesamten Sicherheit des Browsers bei. Eine Gemeinschaft erfahrener Programmierer kann Probleme schneller korrigieren und sie beheben, bevor eine neue Version veröffentlicht wird. Es wird gesagt, die durchschnittliche Antwortzeit bei Firefox beträgt eine Woche, während Microsofts Entwickler Monate dafür brauchen. Das ist eine für Sicherheitsanalytiker nicht annehmbare Situation, da Anwender des Internet-Explorer in der Zeit zwischen der Entdeckung einer Schwachstelle und der Beseitigung durch die Schwachstelle erheblich gefährdet ist.

Von diesem Blickwinkel aus betrachtet, ist Firefox der klare Gewinner.

Sicherheitsfunktionen

Phishing safeguard

Im neuen Internet-Explorer 7 wurde ein neuer Schutz vor finanziellem Betrug und Diebstahl der Identität implementiert, der sich „Phishing Filter“ nennt. Der neue Schutz präsentiert sich im Konfigurationsdialog des Browsers, in dem auch die Schutzeinstellungen der privaten Informationen zu finden sind. Der neue Schutz verhindert den Zugriff auf persönliche Daten und arbeitet dabei wie folgt:

Besucht ein Anwender eine gefälschte (gespoofte) Webseite, die wie das Original aufgebaut ist und meist durch einen Klick auf einen Link in einer entsprechend präparierten Email zum Ziel des Anwenders wurde, vergleicht der Browser die Adresse dieser Webseite mit einer Liste, in der bereits bekannt gewordene Phishing-Seiten aufgeführt sind. Ist das Ergebnis positiv, blockiert der Browser den Zugriff auf diese Seite und informiert den Anwender über die Gefahr, hier seine persönlichen Daten wie beispielsweise Konto- oder Kreditkartendaten einzugeben. Die Datenbank mit Phishing-Seiten wird regelmäßig aktualisiert. Zusätzlich hat jeder Browser-Benutzer die Möglichkeit, verdächtige Webseiten zu melden, die in der Folge dann von Experten untersucht werden.

Es ist uns entsprechend eine Freude, Ihnen mitzuteilen, dass der Filter in der augenblicklichen Beta-Version bereits ziemlich gut arbeitet und die Hälfte der für den Test erstellten Webseiten korrekt erkannte.

Im Firefox Browser wird der Schutz vor Phishing Attacken mit Erweiterungen von Dritt-Herstellern realisiert, wie beispielsweise mit der Erweiterung Google Safe Browsing (derzeitig nur in einer Beta-Version für amerikanische Benutzer verfügbar: http://www.google.com/tools/firefox/safebrowsing/index.html)

Als zusätzlichen Schutz gegen versehentliches Phishing, so die Entwickler des IE, ist die grundsätzliche Anzeige aller Adressen von besuchten Webseiten geplant. Mit dem IE 6 war diese Fähigkeit noch nicht vorhanden. PopUp Fenster ploppen plötzlich auf, die keine Adressen anzeigen und auch keine Adresszeile zeigen. Leider konnten aber auch mit anderen Browsern nicht mehr als 50% der für den Test erstellten Webseiten erkannt werden. Wir vertrauen darauf, dass sich der Prozentsatz mit der Freigabe vom IE7 erhöht und Mozilla fortfährt, die Funktionalität in diesem Bereich zu verbessern.

Starten von ausführbarem Web-Inhalt

In der aktuellen Version des Internet-Explorer konnten suspekte Webseiten viel Software auf dem Rechner der Besucher frei installieren. Mit dem XP Service-Pack 2 wurde diese Möglichkeit zwar drastisch eingeschränkt, unerfahrene Anwender konnten aber immer noch viele nicht notwendige Zusätze und Toolbars installieren. Internet-Explorer soll mehr Schutz für unerfahrene Benutzer zur Verfügung stellen, da der Browser zunächst einen Start im geschützten Modus anbietet und so den Zugang beispielsweise zur System Host Datei blockiert und kritische Elemente wie Malware vom Computer fernhält.

In den Firefox 1.5 Einstellungen ist die Installation von Erweiterungen und Zusätzen deaktiviert. Anwender müssen diese Funktionen erst explizit freischalten, um Erweiterungen zu installieren.

Es gibt immer einen Kompromiss zwischen Sicherheit und Funktionalität, aber Sicherheitsexperten halten die uneingeschränkte Möglichkeit von Webseiten, ausführbaren Code zu übertragen und zu starten, für ein unbegrenztes Missbrauchspotential. Der kommende Internet-Explorer 7 bietet weit größere Flexibilität, externem Code die Erlaubnis zu erteilen, innerhalb des Browsers zu starten, der damit auch Auswirkungen auf das Betriebssystem haben kann.

ActiveX Einschränkungen

Abgesehen von einigen Verbesserungen an der grafischen Ausdruckskraft von Webseiten bietet ActiveX in den meisten Fällen mehr zerstörerisches als vorteilhaftes Potential. Viele Webseiten, die Spyware und PopUp Adware verteilen, benutzen die ActiveX Technologie. Active Scripting aber kann mit den Privilegien des Administrators ungehindert laufen gelassen werden. Firefox unterstützt generell Microsofts eigene ActiveX Technologie nicht und ist damit weit weniger bedroht von Spyware Infektionen.

Auch im durch das XP Service-Pack 2 verbesserten Internet-Explorer 6 kann ActiveX in den Standardeinstellungen immer noch ungehindert starten. IE Benutzer sind entsprechend wenig geschützt gegen Spyware. Für den kommenden Internet-Explorer 7 ist noch nicht klar, ob ActiveX dort immer noch frei starten kann. Laut einiger Aussagen Microsofts zum Beta-Produkt wird die ActiveX Technologie auch weiterhin so arbeiten können. Falls es tatsächlich geschieht, wäre es sehr bedauerlich, denn ActiveX ist ganz klar eine Sicherheitsverwundbarkeit.

Natürlich können IE Benutzer ActiveX manuell sperren für einzelne Webseiten, während die Nutzung für alle anderen Seiten weiter automatisch erlaubt bleibt. Umgekehrt können sie ActiveX für die meisten besuchten Webseiten sperren und die Erlaubnis nur für ausgewählte Webseiten erlauben. All das kann eingestellt werden im Sicherheits Tab des Optionsmenüs. Es ist jedoch kaum realistisch, diesen relativ komplizierten Web von Internet Anfängern zu erwarten.

Java, JavaScript and Visual Basic components

Java und JavaScript können in beiden Browsern aktiviert und deaktiviert warden. Firefox ermöglicht Anwendern die partielle Erlaubnis für ausgewählte Tätigkeiten einzustellen, wenn Webseiten diese Scripte benutzen. Der Internet-Explorer ermöglicht Anwendern die Erstellung von Gruppen für verlässliche Webseiten, die frei von globalen Beschränkungen Scripte nutzen können. Im künftigen Internet-Explorer 7 wird mehr Flexibilität hinzugefügt, bei der Benutzer eine an Webseiten gebundene Einstellung vornehmen können. Für Firefox scheinen ähnlich flexible Funktionen geplant zu sein.

Internal download manager

Der Download-Manager des künftigen Internet-Explorer 7 wird Funktionen anbieten, mit denen Downloads pausieren und wieder fortgeführt werden können. Eine Eigenschaft, die in der aktuellen Version noch nicht vorhanden ist. Spezielle Funktionen sind künftig in der Lage, vor dem Ende des Downloads bereits die Dateien mit einem Virenscanner zu überprüfen, bevor sie gestartet werden. Diese Funktion ist in Firefox bereits vorhanden, Microsoft scheint damit noch etwas zu spielen.

Encryption of data on protected sites

Wenn empfindliche Daten wie beispielsweise Transaktionsdaten für Kontoüberweisungen übermittelt werden, wird dieser Vorgang über eine besonders geschützte HTML Seite (SHTML) ausgeführt. Die Informationen werden durch entsprechende Routinen im Browser verschlüsselt und am anderen Ende wieder entschlüsselt. Die künftige Version 7 des Internet-Explorer verwendet hierfür stärkere Verschlüsselungalgorithmen, um die Daten ohne Gefahr zum Ziel zu führen. Ein neues Symbol (Padlock) zeigt an, wenn sich ein Benutzer auf einer sicheren Webseite befindet. Beigefügt sind Detailinformationen und Funktionen, um die Echtheit von Webseiten zu prüfen.

Firefox besitzt aktuell eine besser organisierte Anzeige von Sicherheitszertifikaten, Microsoft hat also Raum für eigene Überlegungen.

Updating

Beide Browser können automatisch aktualisiert werden, wenn neuer Programmcode vorliegt. Firefox hat diese Funktionalität bereits im Einsatz, für den kommenden Internet-Explorer 7 ist eine Aktualisierung über die Windows Update-Technologie geplant.

Verbesserungen der Privatsphäre

Zusammenfassung