Die CW-Schwesterpublikation "Infoworld" hat fünf Web-Browser (Firefox, Internet Explorer, Google Chrome, Safari und Opera) in puncto Sicherheit unter die Lupe genommen. Die einzelnen Berichte veröffentlichen wir nun im Bereich "Sicherheit" auf Computerwoche.de. Die Serie beginnt mit Firefox 3.

Der Open-Source-Browser Mozilla Firefox hat dem dominierenden Internet Explorer Marktanteile abgenommen, was nicht zuletzt an den zahlreichen Erweiterungen (Add-ons) liegt. Damit lassen sich Java oder Javascript an- und abschalten, Javascript-Whitelisting betreiben und sogar Active-X Controls ausführen, die ansonsten den Internet Explorer erforderlich machen. Whitelisting bedeutet, eine Liste von als nicht gefährlich eingestuften Javascript-Inhalten zu führen. Firefox läuft sowohl unter Windows als auch unter Mac OS X und Linux. Die Sicherheits-Einstellmöglichkeiten erlauben dagegen nicht sehr viele Details.

Installation und Sicherheit

Die Firefox-Installationsroutine für Windows erfordert Administratorrechte. Anwender sollten sicherstellen, dass sie darüber verfügen, weil das Setup hier nicht explizit nachfragt.

Unter Windows Vista läuft der Browser als einzelner Prozess und im Modus "Medium" von "Windows Integrity Control" bei gleichzeitig aktivierter "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR) (siehe auch Computerwoche-Wiki-Eintrag zu Windows Vista). Zudem ist die Dateisystem- und Registry-Virtualisierung abgeschaltet. Bei Letzterem handelt es sich um ein Vista-Feature, das es Anwendern erlaubt, Programme auch ohne Admin-Rechte zu betreiben.

Ähnlich wie "Google Chrome" verfügt Firefox über eine Javascript-Engine ("Tracemonkey"), die Javascript-Code in nativen Maschinen-Code umwandelt. Im Gegensatz zum Google-Browser, bei dem die "V8 Javascript-Engine" immer läuft, lässt sich Javascript-Unterstützung im Mozilla-Web-Client an- und abschalten. Mit Hilfe des Add-ons "Noscript" kann der Nutzer für jede Website festlegen, ob er Java, Javascript und Flash zulassen möchte oder nicht.

Einerseits lässt sich Firefox mit einer Reihe von Add-ons erweitern, doch bergen diese Tools Probleme und können unter Umständen die Sicherheit beeinträchtigen. Über einen "Add-on Manager" lassen sich Erweiterungen installieren sowie an- und abschalten. Was fehlt, ist die Möglichkeit, sie für nur für bestimmte Websites zu aktivieren.

Firefox bietet viele Sicherheitseinstellungen

Über das Menü "Extras" und den Menüpunkt "Einstellungen" gelangt man an die Sicherheitskonfiguration. Alternativ kann der Nutzer "about:config" in die Adressleiste eingeben und erhält eine editierbare Liste aller Security-Einstellungen. Allerdings umfasst sie viele Einträge, die nicht eben gut dokumentiert sind. Man sollte sich auskennen.

Surfer können private Daten nach einer Browser-Sitzung löschen lassen. Entsprechende Einstellungen nimmt man im Bereich "Datenschutz" des Konfigurationsmenüs vor. Cookies auch von Drittanbietern sind standardmäßig erlaubt. Ausnahmen lassen sich für jede Website einzeln festlegen. Zwar können Drittanbieter-Cookies nicht von anderen gelesen werden wie bei Safari und Chrome, doch die Datenschutzeinstellungen sind nicht so detailliert wie beim Internet Explorer.

Anti-Phishing

Firefox verfügt über eine Anti-Phishing-Funktion, die versucht, Verbindungen zu gefährlichen Websites abzublocken. Der Mechanismus ähnelt dem des "Smartscreen"-Filters im Internet Explorer. Anwender können den Schutz auf einfache Weise an- und abschalten.

Der Pop-up-Blocker von Firefox ist denen der anderen in diesem Test begutachteten Browser überlegen. Während die anderen Browser beim Blocken von Pop-ups schon mal Probleme haben, Seiten nicht korrekt oder nur verzögert anzeigen, unterbindet der Firefox solche Inhalte zuverlässig und informiert den Anwender darüber.

Verhalten bei schädlichen Websites

Allerdings versagte auch Firefox den Dienst, als der Tester eine für schädlichen Content bekannte Web-Adresse ansteuerte, die Dutzende Browser-Fenster, Pop-ups und Programme startet. Wie die meisten anderen Web-Clients - mit Ausnahme des "Opera"-Browsers - stieg der Browser aus, und erst ein Rechnerneustart konnte das Problem beheben.

Beim erneuten Aufrufen des Browsers versuchte dieser, die abgebrochene Sitzung wiederherzustellen, was aber kaum sinnvoll ist, wenn die letztbesuchte Website Malware enthielt.

Nützlicher Safe Mode

Für solche Situationen macht sich der "Safe Mode" des Firefox bezahlt. Er gestattet es, den Browser nach einem Crash neu zu starten. Im Gegensatz zum Internet Explorer, der eine ähnliche Option bietet, kann man dabei nicht nur alle Add-ons deaktivieren, sondern auch den "Verlauf" löschen und die Browser-Konfiguration auf die Standardwerte zurücksetzen. Danach fährt Firefox im normalen Betriebsmodus wieder hoch.

Firefox informiert ausführlich über digitale Zertifikate

Firefox kommt bestens mit digitalen Zertifikaten zurecht. Er unterstützt Extended Validation Certificates (EV), Online Certificate Status Protocol (OCSP) und Elliptical Curve Cryptography (ECC). Steuert man eine Web-Adresse an, die ein EV-Zertifikat enthält, so erscheint in der Adressleiste der Name der Firma in grün hervorgehobener Schrift.

Darüber hinaus informiert die Software den Anwender ausführlich über Zertifikatsfehler. Tritt ein solcher Fehler auf, muss der Nutzer mehrere Dialoge bestätigen, um trotzdem die Site ansteuern zu können. Ferner bietet der Browser zahlreiche Möglichkeiten, mehr über das Zertifikat und dessen Aussteller zu erfahren und es zu installieren.

Auch in Sachen SSL/TLS-Verschlüsselung hängt Firefox konkurrierende Browser ab. Im TLS-Modus verwendet das Programm AES (Advanced Encryption Standard) mit 256 Bit langen symmetrischen Schlüsseln. Allerdings bieten die meisten Websites bisher keine so hohe Verschlüsselung an.

Automatisch sucht Firefox nach Updates für den Browser sowie für Add-ons. Ähnlich wie Google Chrome wird der Anwender nicht vorher gefragt, bevor er nach aktuellen Programmversionen sucht und diese installiert. Im Gegensatz zum Google-Angebot kann der Nutzer diese Voreinstellung aber leicht ändern.

Wenig Unterstützung für Sicherheitszonen

Ein gravierender Nachteil in puncto Sicherheit ist, dass Firefox keine Security Zones unterstützt. Das ist deshalb schlecht, weil insbesondere Firmen es schätzen, unterschiedliche Sicherheitsdomänen einrichten zu können.

Der quelloffene Web-Client bietet lediglich eingeschränkte Unterstützung für die Security Zones des Internet Explorer. Firefox ermöglicht es, heruntergeladene Dateien mit Security-Zone-Identifier-Informationen des Internet Explorer zu markieren. Der Zonen-Identifier wird sichtbar, wenn man sich unter Windows Vista mit dem neuen Befehl "DIR /R" eine Dateiliste anzeigen lässt. Um eine Datei ausführen zu können, muss sie erst entsperrt werden. Zwar ist diese Browser-Eigenschaft grundsätzlich gut, allerdings dürfte es Firefox-Fans sauer aufstoßen, hierbei auf Sicherheitseinstellungen des Internet Explorer angewiesen zu sein.

Firefox-Sicherheit im Test

Der Mozilla-Browser gestattet es, den Zugriff auf lokal gespeicherte Passwörter über ein separates Master-Passwort zu schützen. Dabei teilt der Web-Client mit, wie sicher das zentrale Codewort ist. Firefox bestand sieben der 21 Testszenarien des Password Manager Evaluator und liegt damit gemeinsam mit Opera an der Spitze aller Browser im Test. Darüber hinaus bestand das Mozilla-Werkzeug die Browser-Security- und Javascript-Security-Tests.

Wegen der mittlerweile großen Verbreitung des Firefox steigt auch die Gefahr von Angriffen. Nur noch der Internet Explorer wird öfter attackiert.

Geeignet für den Unternehmenseinsatz?

Mozilla selbst bietet keine Werkzeuge an, die es Firmen erleichtern, den Browser zentral zu verwalten. Jedoch helfen hier Drittanbieter wie etwa Frontmotion und Werkzeuge wie "Firefox ADM" (Firefox-Einstellungen über Active Directory verteilen) weiter.

Fazit

Der Open-Source-Browser ist nicht zu unrecht so populär. Allerdings treten auch häufig Schwachstellen auf. Der Web-Client eignet sich für jedermann, insbesondere aber für Nutzer, die gern auf den Internet Explorer und Active-X verzichten wollen und nicht auf reichhaltige Security-Zone-Einstellungen angewiesen sind. (fn)