Servus und guten Abend,
habe mich eben mal registriert, um ein paar Meinungen hören zu können. Ich nutze schon seit einigen Jahren Firefox und betrachte FF auch gern im Vergleich zu Opera immer wieder kritisch.
Einer der entscheidensten Unterschiede zu Opera sind definitiv die Erweiterungen. Sie bieten ungeahnte Erweiterungs- und Anpassungsmöglichkeiten, die Opera nicht hat. Und doch habe ich schon immer gedacht, dass dieser Vorteil auch die Achillesferse von FF ist. Denn dadurch ist ein sicherheitskritisches Produkt nicht mehr geschlossen überschaubar. Denn die Masse an Erweiterungen kann niemand komplett überblicken. Manchmal gibt es kleine Schwierigkeiten, wenn eine Erweiterung mit einer neueren FF-Version nicht mehr zusammen funktioniert. Das ist schon blöd genug, aber noch nicht kritisch.
Aber wie sieht es mit der Sicherheit aus? Was, wenn Erweiterungen die Sicherheit beeinflussen, weil sie entweder einfach schlechten Code enthalten oder direkt Sicherheits-kritische Funktionen des Browsers beeinflussen? Grade bei einem Browser hätte ich da gerne ein möglichst gutes Gefühl, oder noch besser eine maximale Gewissheit. Das einzige Produkt, über das Aussagen über seine Sicherheit bekannt gemacht werden, ist Firefox OHNE Erweiterungen.
Was aber nun, wenn ich z.B. eine Erweiterung wie noscript installiert habe? Ich finde die Idee dieser Erweiterung fantastisch, habe aber lange gezögert, sie zu installieren, weil ich Bedenken hatte, das diese Erweiterung nicht das tut, was sie soll. Wer garantiert mir das? Wer überprüft das? Ich lade daher schon mal grundsätzlich nur Erweiterungen runter, die auf der offiziellen Seite addons.mozilla.org angeboten werden. Die Seite gehört schließlich den Entwicklern und ist immerhin über SSL authentisch (Zertifikat). Insofern ist die Chance, halbwegs sicher vor Fälschungen an eine Erweiterung zu kommen, etwas größer.
Aber wie schon der Installationsdialog sagt: die Erweiterungen sind nicht signiert. Es gibt also zumindest keine offiziell bestätigte Prüfung, dass die Erweiterungen in Bezug auf ihre Funktion glaubwürdig sind.
Wenn ich das bedenke, ist die Installation eigentlich in Hinblick auf IT-Sicherheit fahrlässig. Dabei soll/kann sie ja sogar die Sicherheit erhöhen (wie bei noscript). Aber wie kann ich mich darauf verlassen?
Wißt ihr, ob und welche Prüfungen da durchgeführt werden seitens mozilla.org? Und wißt ihr vielleicht auch, welche Möglichkeiten eigentlich der Code einer Erweiterung hat? Kann er überhaupt so tief in die Browser-Sicherheit eingreifen? Könnte er z.B. Sicherheitsprotokolle wie SSL außer Kraft setzen? Oder die Verwaltung von Passwörtern ändern?
Puh, langer erster Thread. Sorry! Falls jemand so tapfer war, alles zu lesen, toll. Ich bin für jeden Kommentar dankbar.
Grüße
