Test

Wie sicher ist der Opera-Browser?

09.02.2009
Von 
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.
Der norwegische Hersteller Opera Software entwickelt gute, aber wenig verbreitete Browser-Programme mit detaillierten Sicherheitseinstellungen, nutzt jedoch wichtige Windows-Sicherheitsmechanismen nicht aus.

Wohl kaum ein Browser läuft auf so vielen Plattformen wie Opera. Neben Windows, Mac OS, Linux und Free BSD gibt es Versionen für Solaris, Mobiltelefone, Nintendo-Spielkonsolen und sogar für OS/2. Auch in Sachen Funktionsumfang setzen die Norweger Maßstäbe. Dazu zählen neben Standardfunktionen wie Tabbed Browsing sowie Java- und Javascript-Unterstützung ein integrierter E-Mail- und Instant-Messaging-Client und Sprachsteuerung. Opera verfügt über einzigartige Sicherheitsmechanismen und erlaubt es, diese feiner abzustimmen als andere Browser, sieht man vom neuen Internet Explorer ab.

Gefahr von Buffer Overflows

Unter Windows Vista läuft der Browser als einzelner Prozess. Im Modus "Medium" von "Windows Integrity Control" sind Dateisystem und Registry-Virtualisierung eingeschaltet. Dieses Feature von Windows User Account Control gestattet es Vista-Nutzern, ohne Administratorrechte zu arbeiten. Unglücklicherweise sind anders als bei allen anderen Browsern in diesem Test "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR) nicht aktiviert, womit das Risiko eines Buffer Overflow steigt. Malware macht sich solche Speicherüberläufe zunutze. Von den 45 Schwachstellen von Opera 9.x, die innerhalb der letzten zwei Jahre bekannt wurden, kann etwa ein Drittel Angreifern helfen, Kontrolle über den Rechner zu erlangen. Opera Software sollte den ansonsten guten Browser schnell umprogrammieren, so dass er DEP und ASLR unterstützt.

So wurde getestet

  • Neben einem Labortests wurde der Browser einigen Sicherheitstests unterzogen, darunter Scanit und Jason´s Toolbox.

  • Zudem untersuchte Infoworld-Autor Roger Grimes, wie der Browser auf rund 100 Malware-verseuchte Websites reagierte.

  • Die Passwort-Verwaltung der Browser testete "Infoworld"-Autor Roger Grimes mit Hilfe des Password Manager Evaluator.

Schädlichen Content abwehren.

Opera gestattet es, jede Website, einzelne Objekttypen oder Objektklassen global oder bezogen auf einzelne Web-Adressen zu sperren. Obwohl es nett wäre, hätte man die Security Zones des Internet Explorer, so vermag doch kein anderer Browser spezifische Inhalte zu blocken. Dazu zählt, nicht nur Java und Javascript zurückzuweisen, sondern auch Tondateien, animierte Grafiken, Dateierweiterungen und Protokolle wie etwa FTP. Entsprechende Einstellungen nimmt der Nutzer über das Menü "Extras" und den Menüpunkt "Schnelleinstellungen" der F12 vor. Dies geht aber auch direkt auf einer Web-Seite, nämlich über das Kontextmenü (rechte Maustaste) und "Inhalte blockieren".

Der Browser lässt sich so abschotten, dass keine Datei heruntergeladen, gesichert oder gestartet werden kann. Eine andere Einstellung kann festlegen, dass es für Downloads nur einen Lesezugriff gibt.

Unter den Standardmenüs verbergen sich zwar einige Sicherheitseinstellungen. Wesentlich mehr ist aber möglich, wenn der Anwender die entsprechende Datei Opera.ini direkt verändert. Die bevorzugte Methode dafür ist jedoch, über die Adressleiste Opera:config aufzurufen und Anpassungen in dem dann erscheinenden Listenformular vorzunehmen. Fortgeschrittene Opera-Nutzer verwalten gleich mehrere Opera.ini-Dateien, je nachdem, wozu sie den Browser gerade verwenden möchten.

Cache- und Cookie-Kontrolle

Auch die Cache-Kontrolle bietet so viele Details wie sonst keiner der getesteten Browser. Der Anwender bestimmt, was (Dokumente und Bilder, etc.) wie lange im Cache verbleiben soll und wie groß dieser ist. Reichhaltig ist auch die Cookie-Verwaltung.