Firefox über 45% ?!?

Firefox ist Open Source, ist dann ja klar, dass dann mehr Lücken bekannt sind.

Die Frage ist ja eher die nach der Ausbesserungsquote

Solange die Lücken so schnell wie bisher geschlossen werden, habe ich keine Probleme mit der Tatsache, dass Firefox da eine Spitzenstellung einnimmt.

Vor allem ist jede gefundene Lücke auch eine die geschlossen werden kann. Schlechter sind Lücken, die (dem Hersteller und Sicherheitsdienstleistern) noch unbekannt sind, aber (von fiesen Möppes) ausgenutzt werden.

Zitat

Sicherheitsexperten: Firefox hat die meisten Lücken

*lol* Wenn die anderen Hersteller nur einen annähernd so transparenten Prozess bei der Abwicklung von Programmierfehlern hätten, sehe die Statistik wohl etwas anders aus. Darüber hinaus ist das nur ein Zahl aus dem Report. Diese medial so aufzublasen zeugt eben von den journalistischen Schwerpunkten. Das Bild wird vor allem dann deutlicher, wenn man die Statistik für die Plugins dazu nimmt. Welche Angriffsfläche durch die IE-only-Technologie ActiveX entsteht ist eigentlich beeindruckender.

Wobei ich ja fürchte das die ActiveX-Statistiken nicht nur eindrucksvoller sind, sondern auch aussagekräftiger als Hinweise auf Sicherheitslücken in Firefox-Erweiterungen, da das Thema zwar langsam ins Radar der Aufmerksamkeit rückt, aber wohl (auch auf Grund der vielen Erweiterungen) eher weniger genau beleuchtet ist. Da viele Erweiterungsbastler keine Profis sind, werden da wohl auch Unmengen hoch riskanter Lücken warten...

Zitat

sondern auch aussagekräftiger als Hinweise auf Sicherheitslücken in Firefox-Erweiterungen

Ergänzung: In der Statistik stand eine Schwachstelle in einer Fx-Erweiterung 366 Schwachstellen im ActiveX-Bereich gegenüber. Allerdings muss man dabei auch die Verantwortlichkeit beachten. Für viele der ActiveX-Komponenten ist Microsoft nicht verantwortlich.

Wie gesagt: ich befürchte das die Erweiterungen auch noch nicht wirklich auf Herz und Nieren geprüft wurden und damit die Statistiken evtl. hinken.

Das die ActiveX Controls nicht von MS programmiert wurden, ist bei der Schuldzuweisung sicherlich relevant. Aber für den Endkunden zählt hier im Grunde nur das Ergebnis unter dem Strich. Was hilft einem ein sicherer Browser, wenn Plugins oder Erweiterungen riesige Löscher haben? : )

Sowohl Firefox als auch der IE haben beide sehr mächtige Schnittstellen, die riesiges Bedrohungspotential haben. Oft werden nur die Browser im Urzustand geprüft, was aber kaum ein realistischer Alltagszustand ist, noch irgendeine belastbare Aussage zulässt.

Hier merkt man sehr eindeutig, dass die Medien mehr die Auflage im Blick haben, als die tatsächliche Sicherheit.

Zitat

ich befürchte das die Erweiterungen auch noch nicht wirklich auf Herz und Nieren geprüft wurden

Das mit Sicherheit. Allerdings spricht zumindest der Umstand für die Erweiterungen, dass deren Code in der Regel frei verfügbar ist und sich so eine größere Zahl von Leuten damit beschäftigen können. Es fehlt bei Mozilla und in der Community aber an Manpower, um den eingereichten Code entsprechend zu prüfen.

Eben. Das alles offen ist, ist natürlich wie bei Firefox selbst ein Vorteil. Aber auch nur dann wenn genügend Leute drauf schauen. Beim Firefox selbst ist das dank Popularität ja inzwischen der Fall, die Erweiterungen dürften aber kaum groß Beachtung finden. Auch ist das Medieninteresse an derartigen Sicherheitslücken gering. Zumindest im Vergleich zu ActiveX-Controls. Insofern dürften Vergleiche zu absoluter Sicherheit momentan wohl stark hinken. Relative gesehen steht Firefox natürlich nach wie vor gut da, da vor allem noch immer der IE im Fadenkreuz der Hacker und Co. befindet. Aber wenn Firefox weiterhin so stark an Marktanteilen zulegt, könnten sich Sicherheitslücken in Erweiterungen wie z.B. Adblock+ eher lohnen.

In jedem Fall wird das Thema noch kommen. Vermutlich früher als später.

Das Thema ist schon auf dem Tisch, auch schon seit längerem. Nur eben nicht in der breiten Öffentlichkeit.
Beispiele:
http://adblockplus.org/blog/displayin…security-issues
http://adblockplus.org/blog/amo-getti…add-on-security
http://www.net-security.org/secworld.php?id=8527

Das Konzept der Erweiterungen sehe ich da durchaus zwiespältig. Ein Kompromiss zwischen niedrigen Hürden und Sicherheit zu finden, ist nicht gerade trivial. Allerdings ist das Konzept der experimentellen Erweiterungen auf AMO gar nicht so schlecht. Man sollte nur für nicht-experimentelle Erweiterungen die Kriterien und Review-Prozesse verschärfen.

Wie wird der Review-Vorgang eigentlich momentan gehandhabt? Schaut da wirklich wer sich die Files an, bevor da irgendwas akzeptiert wird? Kann mir irgendwie nicht vorstellen, dass da irgendwer die 1000 Erweiterungen alle durchgeschaut hat. Ich fürchte eher das das so ein "wenn was nicht stimmt, kann man sich bei uns immer noch melden"-Prozess ist. Für echte Sicherheitsprüfungen dürfte da wohl noch weniger Zeit sein, wie für Stabilitätschecks.

https://preview.addons.mozilla.org/en-US/develope…olicies/reviews
http://blog.mozilla.com/addons/2009/11…-review-queues/
http://blog.mozilla.com/addons/2009/06…a-huge-success/

Zitat

Schaut da wirklich wer sich die Files an, bevor da irgendwas akzeptiert wird?

Die schauen dort schon rein und prüfen auch rudimentär den Code auf gewisse Muster. Wenn ein Problem aber nicht in ein gängiges Muster fällt, würde nur eine genau Prüfung helfen und dafür fehlen schlicht die Ressourcen.

Zitat

Kann mir irgendwie nicht vorstellen, dass da irgendwer die 1000 Erweiterungen alle durchgeschaut hat.

Anhand der Blog-Beiträge sieht man ja die Rückstände, die da auflaufen. Zwar haben sie es aktuell wieder gedrückt, aber ich habe so leichte Zweifel, dass es ein stabiler Zustand bei gleicher Qualität bleibt.

Zitat von boardraider

[...]Ich habe so leichte Zweifel, dass es ein stabiler Zustand bei gleicher Qualität bleibt.

Und ich erst. Brrr.

Im Grunde also wie folgt: die populären Erweiterungen sind recht gut geprüft, die vielen kleinen Nischenerweiterungen bleiben ein Risiko. Zumal gerade die oft von Bastlern zusammengebaut werden, die wenig Zeit und Wissen um die Erweiterungen investieren.

Ob man bei AMO vielleicht "Risiko"-Level einführen sollte? Von 5 (4234203 Leute haben über 40 Monate die Erweiterung ständig geprüft. Sicherheitslücken nahezu ausgeschlossen) bis 1 (Wurde ein mal rudimentär geprüft und freigegeben.)?

Ach, ich überleg besser gar nicht erst mehr groß weiter. Bringt ja ohnehin nix ; )

Zitat

Im Grunde also wie folgt: die populären Erweiterungen sind recht gut geprüft

Gerade davon kann man beim gegenwärtigen Modell nicht ausgehen. Sie wurden zwar geprüft, durch ihren Popularitätsstatus fallen aber die Prüfungen von Updates weniger genau aus. Eine Erweiterung, die große Popularität genießt, kann gerade deswegen gefährlich werden. Beispiel dafür war NoScript vs. AdBlock Plus. Da wurde der Code von NoScript auch einfach ohne genaue Prüfung durchgewunken.

Zitat

Ob man bei AMO vielleicht "Risiko"-Level einführen sollte? Von 5 (4234203 Leute haben über 40 Monate die Erweiterung ständig geprüft. Sicherheitslücken nahezu ausgeschlossen) bis 1 (Wurde ein mal rudimentär geprüft und freigegeben.)?

Wäre eine Erweiterung des bisherigen dreistufigen Models (experimentell, normal, empfohlen). Müsste man diskutieren. Allerdings dann wohl besser dort: https://forums.addons.mozilla.org/viewforum.php?f=5