Firefox Android-Version noch nicht sicher genug

  • Version
    120

    Das BSI hat einige Browser auf Mindeststandards überprüft. Während die Desktop-Version in allen Prüfungen im grünen Bereich ist, muss die Android-Version noch einiges verbessern um die gleiche Wertung zu erhalten, die jetzt auf Gelb steht:

    Abgleichstabelle:

    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Browser-Abgleich_Mindeststandard_Web-Browser_V3.pdf?__blob=publicationFile&v=5


    Die BSI-Webseite dazu:

    Mindeststandard des BSI für Webbrowser
    Mindeststandards Webbrowser
    www.bsi.bund.de
  • Mal abgesehen davon, dass ich das BSI nur eingeschränkt für eine sinnvolle Quelle für irgendetwas halte, gibt die Tabelle aus meiner Sicht nicht ansatzweise her, wie du dieses Thema benannt hast. Nicht alles, was in dieser Tabelle nicht grün ist, ist ein Problem oder hat gar überhaupt mit Sicherheit zu tun. Dass auch gar nicht näher darauf eingegangen wird, was kritisiert wird, macht das Ganze nicht seriöser. Vor allem vor dem Hintergrund, dass dort Dinge behauptet werden, welche nicht der Wahrheit entsprechen.

    Was soll beispielsweise „Teilweise kein Schutz gegen Stack-Smashing“ bedeuten? Firefox für Android hat nämlich einen Schutz gegen Stack-Smashing. JavaScript zu deaktivieren ist erstens keine Sicherheits-Funktion und ist zweitens sehr wohl via NoScript möglich. EME „zentral“ (was auch immer das bedeuten soll) deaktivieren zu können, hat mit Sicherheit nicht das Geringste zu tun. „Konfiguration erforderlich“ beim Thema „Zertifikate“. Okay, was genau ist jetzt das Problem und müsste überhaupt konfiguriert werden? Der Zertifikatsspeicher des Systems kann optional genutzt werden und das ist konfigurierbar. Ich habe auf Android noch nie von einem Bedarf darüber hinaus gehört. Zumal für Chrome für Android dort exakt das Gleiche steht. OCSP muss angeblich über eine Option aktiviert werden, die in finalen Versionen von Firefox für Android überhaupt nicht zugänglich ist. Also auch, wie es zu dieser Aussage kommt, ist zweifelhaft. Abgesehen davon ist OCSP heute auch gar nicht der beste Mechanismus für den Einsatzzweck. Firefox unterstützt den besseren Mechanismus OneCRL.

  • Bei Firefox für Android sehe ich aber erheblich weniger gelbe Felder als bei anderen. Ja, zu OCSP habe ich das auch gedacht, about:config ist in der Final gar nicht zu machen.

    BSI ist nicht schlecht, nur sollte man solche Ergebnisse, ähnlich wie die zu Kaspersky, nicht so heiss essen, wie gekocht wird. Persönlich traue ich den anderen Browsern nicht über den Weg, was meine Privatsphäre angeht. Und aus Sicht eines Desktop-Nutzers sind mir Erweiterungen auch erheblich näher als eine Werbung zu Chrome für einen dusseligen Passwort-Generator, was Firefox schon lange bietet. Ich kann diese Browser noch weniger anpassen als Firefox.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.