Es sei entscheidend, nicht nur vor dem Gebrauch älterer und unsicherer Browser zu warnen, sondern diese gar nicht erst zuzulassen, schreibt Michael Barrett, Chief Information Security Officer (CISO) bei PayPal, in einem kürzlich auf der RSA Conference veröffentlichten Dokument. "Nutzer die PayPal-Seite über einen dieser Browser ansehen zu lassen ist vergleichbar mit einem Automobilhersteller, der es ermöglicht, eines seiner Fahrzeuge ohne Sicherheitsgurt zu kaufen."
Die zwei Merkmale, die ein Browser laut Barrett aufweisen muss, um von PayPal als sicher erachtet zu werden, sind zum einen die Fähigkeit, bekannte Phishing-Sites beziehungsweise unter Phishing-Verdacht stehende Web-Seiten zu sperren, zum anderen die Unterstützung so genannter Extended-Validation-Zertifikate (EV). Letztere erfordern tiefer gehende Überprüfungen als die üblichen SSL-Zertifikate (Secure Socket Layer) und sollen Nutzer rückversichern, dass die von ihnen angesteuerte Seite legitim ist. Browser mit EV-Unterstützung signalisieren üblicherweise mit einer Grünfärbung der Adressleiste, dass die Site sicher ist.
Nach den PayPal-Plänen würde etwa Apples Browser Safari ganz geblockt werden, während die Konkurrenzprodukte, Microsofts Internet Explorer (IE) und Mozillas Firefox, nur in älteren Versionen gesperrt würden. Während die derzeitigen beziehungsweise kommenden IE- und Firefox-Versionen die beiden von PayPal vorgeschriebenen Features unterstützen, lässt Safari bislang beides vermissen. Bereits im Februar empfahl PayPal-CISO Barrett, sich von dem Apple-Browser fern zu halten - mehr als SSL-Unterstützung habe Safari in Sachen Sicherheit nicht zu bieten.
Nach der Idee des Online-Bezahldienstes würden in den genannten Punkten defizitäre Browser zunächst eine Warnung erhalten und in einem nächsten Schritt dann vom Zugriff auf die PayPal-Site ausgeschlossen.
"PayPal ist zu drastischen Maßnahmen gezwungen", meint Gartner-Analystin Avivah Litan. Ebay und dessen Tochtergesellschaft ldienst PayPal bemühten sich angesichts der negativen Auswirkungen der zunehmenden Online-Betrügereien auf die Einnahmen verzweifelt um Gegenwehr. In diesem Kontext erachtet Litan die PayPal-Entscheidung zwar als angebracht, wenn auch als zu wenig effektiv - und vor allem komme sie zu spät. "Es ist richtig, zu versuchen, die sichere Nutzung von PayPal auf Seiten des Verkäufers sowie des Käufers gewährleisten - allerdings hätte das schon vor einem Jahr geschehen sollen." Gemäß PayPals Plänen würden ältere Browser wie IE3 und IE4 zu den Ausgesperrten gehören. Auch der nicht mehr unterstützte Firefox 1.x dürfte demzufolge von der Site ferngehalten werden. Weder Firefox noch Safari werden allerdings namentlich aufgeführt.
Wann die Browser-Blockade aktiviert werden soll, gab PayPal nicht bekannt. (kf)