Sicherheit von addons.mozilla.org, speziell noscript

  • Servus und guten Abend,

    habe mich eben mal registriert, um ein paar Meinungen hören zu können. Ich nutze schon seit einigen Jahren Firefox und betrachte FF auch gern im Vergleich zu Opera immer wieder kritisch.

    Einer der entscheidensten Unterschiede zu Opera sind definitiv die Erweiterungen. Sie bieten ungeahnte Erweiterungs- und Anpassungsmöglichkeiten, die Opera nicht hat. Und doch habe ich schon immer gedacht, dass dieser Vorteil auch die Achillesferse von FF ist. Denn dadurch ist ein sicherheitskritisches Produkt nicht mehr geschlossen überschaubar. Denn die Masse an Erweiterungen kann niemand komplett überblicken. Manchmal gibt es kleine Schwierigkeiten, wenn eine Erweiterung mit einer neueren FF-Version nicht mehr zusammen funktioniert. Das ist schon blöd genug, aber noch nicht kritisch.

    Aber wie sieht es mit der Sicherheit aus? Was, wenn Erweiterungen die Sicherheit beeinflussen, weil sie entweder einfach schlechten Code enthalten oder direkt Sicherheits-kritische Funktionen des Browsers beeinflussen? Grade bei einem Browser hätte ich da gerne ein möglichst gutes Gefühl, oder noch besser eine maximale Gewissheit. Das einzige Produkt, über das Aussagen über seine Sicherheit bekannt gemacht werden, ist Firefox OHNE Erweiterungen.
    Was aber nun, wenn ich z.B. eine Erweiterung wie noscript installiert habe? Ich finde die Idee dieser Erweiterung fantastisch, habe aber lange gezögert, sie zu installieren, weil ich Bedenken hatte, das diese Erweiterung nicht das tut, was sie soll. Wer garantiert mir das? Wer überprüft das? Ich lade daher schon mal grundsätzlich nur Erweiterungen runter, die auf der offiziellen Seite addons.mozilla.org angeboten werden. Die Seite gehört schließlich den Entwicklern und ist immerhin über SSL authentisch (Zertifikat). Insofern ist die Chance, halbwegs sicher vor Fälschungen an eine Erweiterung zu kommen, etwas größer.
    Aber wie schon der Installationsdialog sagt: die Erweiterungen sind nicht signiert. Es gibt also zumindest keine offiziell bestätigte Prüfung, dass die Erweiterungen in Bezug auf ihre Funktion glaubwürdig sind.

    Wenn ich das bedenke, ist die Installation eigentlich in Hinblick auf IT-Sicherheit fahrlässig. Dabei soll/kann sie ja sogar die Sicherheit erhöhen (wie bei noscript). Aber wie kann ich mich darauf verlassen?

    Wißt ihr, ob und welche Prüfungen da durchgeführt werden seitens mozilla.org? Und wißt ihr vielleicht auch, welche Möglichkeiten eigentlich der Code einer Erweiterung hat? Kann er überhaupt so tief in die Browser-Sicherheit eingreifen? Könnte er z.B. Sicherheitsprotokolle wie SSL außer Kraft setzen? Oder die Verwaltung von Passwörtern ändern?

    Puh, langer erster Thread. Sorry! Falls jemand so tapfer war, alles zu lesen, toll. Ich bin für jeden Kommentar dankbar.

    Grüße

    Firefox 3.6.x, Win 7

  • Eine Erweiterung kann so viel wie die Gecko Engine kann und das ist eine Menge. Ich stimme dir zu das Erweiterungen auch ein Problem darstellen können. Bei Greasemonkey gab es mal ein Problem mit dem Code der in einem Sicherheitsproblem resultierte.

    Erweiterungen sind aber wie der Firefox Open Source, wenn du was vom programmieren verstehst kannst du dir den Source Code laden oder einfach eine XPI entpacken (XPI ist nix anderes als eine ZIP).

    Es gibt mittlerweile auch signierte Erweiterungen, wenn auch noch nicht viele. Mozilla sollte die Signierung etwas vorantreiben, zum Beispiel irgendwann zur Pflicht machen.

    Es gibt aber durchaus seriöse Quellen außer Mozilla, zum Beispiel extensionsmirror.nl oder erweiterungen.de. Auch mozdev.org ist eine gute Anlaufstelle für Erweiterungen, da haben die meisten Autoren auch ihre Seite.

    Perfekte Sicherheit gibt es nicht, weder im Opera, noch Firefox, noch IE. Aber aufgrund des Open Sources sehe ich eher die Vorteile Richtung Sicherheit. Auch das sich so viele Leute in Bezug auf den Firefox engagieren ist nur von Vorteil.

    edit:
    Off Topic: Na, wer weiß wofür das T. steht? :wink: Ich weiß es.

  • Danke für eure Kommentare. Stimmt schon, die Tatsache, das der Code OpenSource und die (Entwickler-) Gemeinde sehr groß ist, sollte das Vorkommen von schlechtem oder "bösen" Code doch verkleinern. Ist ja eigentlich einer DER OpenSource-Vorteile. Kann man nur hoffen, dass es genug Leute gibt, die auch Erweiterungen-Code kritisch und professionell begutachten.
    Trotzdem werde ich das etwas mulmige Gefühl noch nicht ganz los, wenn ich im Moment zB Onlinebanking mit installiertem noscript mache. Aber dank der großen Gemeinde sollten Probleme wirklich schnell bekannt werden.

    Trotzdem frage ich mich grade in Hinblick darauf, dass FF im Moment auf dem besten Weg ist, der meistverbreitete Browser neben oder vielleicht eines Tages vor IE zu werden, ob diese Problematik nicht noch für Schlagzeilen sorgen könnte. Hoffen wir's nicht. Schließlich steckt immenses Potential in den Erweiterungen.
    Ideal wäre wohl, wenn deren Vebreitungsmethode verbessert würde. Von mozilla signierte Erweiterungen wären ein toller Schritt. Oder die Gecko-Engine müsste ihre Code-Teile in sicherheitskritische und nicht-sicherheitskritische unterteilen (falls dem nicht so ist), so dass FF selbst eine Erweiterung in ihrem Bedrohungspotenzial einschätzen und dies melden könnte. Dann müsste ein Qualitätssicherungsteam von mozilla nicht alle, sondern nur die potenziell bedrohlichen Erweiterungen checken und signieren...

    Dat wär's doch...

    Guten Gruß, euer Tiberius ;)

    Firefox 3.6.x, Win 7

  • Was addons.mozilla.org betrifft: der Code der Erweiterungen wird zwar nicht Zeile für Zeile geprüft, aber zumindest wird getestet, ob die Erweiterungen funktionieren und das tun, was sie versprechen. Einige Erweiterungen sind auch wieder runtergeflogen wei sie zu viele Fehler hatten oder nach Hause telefonierten.

  • Zitat von Dr. Evil

    Was addons.mozilla.org betrifft: der Code der Erweiterungen wird zwar nicht Zeile für Zeile geprüft, aber zumindest wird getestet, ob die Erweiterungen funktionieren und das tun, was sie versprechen. Einige Erweiterungen sind auch wieder runtergeflogen wei sie zu viele Fehler hatten oder nach Hause telefonierten.

    Hm, klingt gut. Woher weißt du das?

    Firefox 3.6.x, Win 7