Wohl kaum ein Browser läuft auf so vielen Plattformen wie Opera. Neben Windows, Mac OS, Linux und Free BSD gibt es Versionen für Solaris, Mobiltelefone, Nintendo-Spielkonsolen und sogar für OS/2. Auch in Sachen Funktionsumfang setzen die Norweger Maßstäbe. Dazu zählen neben Standardfunktionen wie Tabbed Browsing sowie Java- und Javascript-Unterstützung ein integrierter E-Mail- und Instant-Messaging-Client und Sprachsteuerung. Opera verfügt über einzigartige Sicherheitsmechanismen und erlaubt es, diese feiner abzustimmen als andere Browser, sieht man vom neuen Internet Explorer ab.
Gefahr von Buffer Overflows
Unter Windows Vista läuft der Browser als einzelner Prozess. Im Modus "Medium" von "Windows Integrity Control" sind Dateisystem und Registry-Virtualisierung eingeschaltet. Dieses Feature von Windows User Account Control gestattet es Vista-Nutzern, ohne Administratorrechte zu arbeiten. Unglücklicherweise sind anders als bei allen anderen Browsern in diesem Test "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR) nicht aktiviert, womit das Risiko eines Buffer Overflow steigt. Malware macht sich solche Speicherüberläufe zunutze. Von den 45 Schwachstellen von Opera 9.x, die innerhalb der letzten zwei Jahre bekannt wurden, kann etwa ein Drittel Angreifern helfen, Kontrolle über den Rechner zu erlangen. Opera Software sollte den ansonsten guten Browser schnell umprogrammieren, so dass er DEP und ASLR unterstützt.
So wurde getestet
Neben einem Labortests wurde der Browser einigen Sicherheitstests unterzogen, darunter Scanit und Jason´s Toolbox.
Zudem untersuchte Infoworld-Autor Roger Grimes, wie der Browser auf rund 100 Malware-verseuchte Websites reagierte.
Die Passwort-Verwaltung der Browser testete "Infoworld"-Autor Roger Grimes mit Hilfe des Password Manager Evaluator.
Schädlichen Content abwehren.
Opera gestattet es, jede Website, einzelne Objekttypen oder Objektklassen global oder bezogen auf einzelne Web-Adressen zu sperren. Obwohl es nett wäre, hätte man die Security Zones des Internet Explorer, so vermag doch kein anderer Browser spezifische Inhalte zu blocken. Dazu zählt, nicht nur Java und Javascript zurückzuweisen, sondern auch Tondateien, animierte Grafiken, Dateierweiterungen und Protokolle wie etwa FTP. Entsprechende Einstellungen nimmt der Nutzer über das Menü "Extras" und den Menüpunkt "Schnelleinstellungen" der F12 vor. Dies geht aber auch direkt auf einer Web-Seite, nämlich über das Kontextmenü (rechte Maustaste) und "Inhalte blockieren".
Der Browser lässt sich so abschotten, dass keine Datei heruntergeladen, gesichert oder gestartet werden kann. Eine andere Einstellung kann festlegen, dass es für Downloads nur einen Lesezugriff gibt.
Unter den Standardmenüs verbergen sich zwar einige Sicherheitseinstellungen. Wesentlich mehr ist aber möglich, wenn der Anwender die entsprechende Datei Opera.ini direkt verändert. Die bevorzugte Methode dafür ist jedoch, über die Adressleiste Opera:config aufzurufen und Anpassungen in dem dann erscheinenden Listenformular vorzunehmen. Fortgeschrittene Opera-Nutzer verwalten gleich mehrere Opera.ini-Dateien, je nachdem, wozu sie den Browser gerade verwenden möchten.
Cache- und Cookie-Kontrolle
Auch die Cache-Kontrolle bietet so viele Details wie sonst keiner der getesteten Browser. Der Anwender bestimmt, was (Dokumente und Bilder, etc.) wie lange im Cache verbleiben soll und wie groß dieser ist. Reichhaltig ist auch die Cookie-Verwaltung.
Abwehr von Betrüger
Mit dem Anti-Phishing-Filter "Fraud Protection", der standardmäßig aktiviert ist, sollen Surfer vor Betrügern im Web geschützt werden. Berüchtigte Phishing-Sites sind bereits in der Blacklist des Filters voreingestellt.
Im Gegensatz zu anderen Browsern überstand Opera dank seines Pop-up-Blockers eine Denial-of-Service-Attacke einer berüchtigten Website ganz gut, ohne abzustürzen. Allerdings leitete der unterliegende Windows-Host aufgrund der Attacke einen Neustart ein, so dass es für den Norweger ein Erfolg mit kleinen Schönheitsfehlern war. Der Web-Client begrenzt die maximale Anzahl an aktiven Verbindungen zu einer Website auf acht, wobei der Nutzer dies anpassen kann.
Digitale Zertifikate
In Sachen Verwaltung digitaler Zertifikate schnitt Opera als Zweitbester hinter Firefox ab. Softwareverschlüsselung ist nach AES mit 256 Bit möglich, nicht jedoch mit Elliptical Curve Cryptography (ECC). Online Certificate Status Protocol (kurz OCSP, dient dazu, die Gültigkeit von Zertifikaten zu bestätigen) ist standardmäßig aktiviert. Die minimale SSL-Version kann der Nutzer selbst bestimmen. Zudem verfügt Opera über ein besonderes Feature für Extended Validation Certificates. Die Funktion "Strict EV" (nicht standardmäßig aktiviert) stellt sicher, das alle Website-Elemente von einer mit einem EV-Zertifikat gestützten Adresse stammen. Erst wenn das der Fall ist, färbt sich die Web-Adresse in der Adress Bar grün. Dies ist sinnvoll, denn dadurch können Malware-Attacken durch schädliche Javascript Redirects verhindert werden.
Plug-in-Verwaltung
Anwender können sich zwar die installierten Erweiterungen (Plug-ins) anschauen, sie jedoch nicht verwalten, wie es etwa Firefox gestattet. Opera erlaubt es aber, Plug-ins Site-spezifisch zu sperren. Standardmäßig ist die "Bittorrent" aktiviert, ein Tool, dass nicht alle Administratoren mögen.
CSS, XSS und Javascript
Surfer können im Opera-Browser Site-spezifische Cascading Style Sheets festlegen. Im "User Mode" können die vom Website-Betreiber vorgesehenen Style Sheets (sie werden im "Author Mode" verwendet) durch eigene CSS ersetzt werden. Beide Modi kann der Nutzer nach eigenem Gusto konfigurieren. Eine ähnliche Option bietet nun auch der Internet Explorer 8. Ferner ist diese Funktion Teil der Spezifikation CSS 2.1. Diese Einrichtung ist nicht nur nett, sondern kann auch helfen, Anwender vor Risiken durch Attacken über CSS (nicht zu verwechseln mit Cross Site Scripting oder XSS) zu schützen.
Ähnliche Wahlfreiheit wie bei CSS hat der Opera-Anwender bei Javascript. Über "Custom Javascript" kann er Dateien ausführen lassen, wenn bestimmte Websites aufgerufen werden, das könnten beispielsweise Sicherheitschecks sein.
Passwortschutz
Opera schützt lokal gespeicherte Passwörter über die Funktion Wand ("Zauberstab"). Sie dient auch dazu, gespeicherte Login-Daten sowie Einträge für Online-Formulare an eine Site zu übermitteln. Passwörter und digitale Zertifikate lassen sich über ein Master-Passwort vor unberechtigtem Zugriff sichern.
Beim "Passwort Handling Test" landete Opera gemeinsam mit Firefox auf Platz eins, da beide sieben von 21 Testszenarien bestanden. Ebenso absolvierte der Web-Client aus Norwegen die anderen Sicherheitstests. Dazu wurden bestimmte, mit Malware verseuchte Websites angesteuert und zahlreiche vordefinierte Testroutinen durchlaufen.
Fazit
Ähnlich wie Firefox verfügt auch Opera standardmäßig über keine Funktionen für den Betrieb in Firmennetzen. Die Software enthält jedoch fein einstellbare Sicherheitsmerkmale, die der Systemverwalter einstellen und firmenweit ausrollen können sollte. Wegen seiner geringen Verbreitung ist der Opera-Browser noch kein bevorzugtes Angriffsziel für Hacker, anders als Firefox und Internet Explorer. Grundsätzlich hätte das Programm mehr Aufmerksamkeit verdient. Empfehlenswert ist der Browser aber erst, wenn er die Windows-Vista-Features DEP und ASLR sowie die Verschlüsselungstechnik ECC unterstützt. Derzeit arbeitet Opera Software an der Version 10 des Browsers. Wie Opera Software auf Anfrage der COMPUTERWOCHE mitteilte, soll das kommende Release DEP und ASLR unterstützen. (fn)
Plus und Minus: Opera
+ Fein einstellbare Sicherheitsmerkmale;
+ Gute Zertifikatsverwaltung;
+ Gute Cookie-Verwaltung;
+ guter Schutz der Privatsphäre;
+ gute Abwehr von Denial-of-Service-Attacken;
+ noch kein bevorzugtes Angriffsziel für Hacker;
+ kein Active-X.
- Besonders gravierend: Nutzt Vista-Features DEP und ASLR nicht (wird in Opera 10 der Fall sein);
- Unterstützt die Verschlüsselungstechnik ECC nicht;
- Keine vom Nutzer definierbaren Sicherheitszonen.