Test

Wie sicher ist Firefox?

03.02.2009
Von 
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.
Der Mozilla-Browser Firefox hat in den letzten Jahren viele neue Nutzer hinzugewonnen. Grundsätzlich können sich die Sicherheitseinstellungen sehen lassen. Vom Nutzer definierbare Sicherheitszonen fehlen indes und trüben den guten Gesamteindruck.

Die CW-Schwesterpublikation "Infoworld" hat fünf Web-Browser (Firefox, Internet Explorer, Google Chrome, Safari und Opera) in puncto Sicherheit unter die Lupe genommen. Die einzelnen Berichte veröffentlichen wir nun im Bereich "Sicherheit" auf Computerwoche.de. Die Serie beginnt mit Firefox 3.

Der Open-Source-Browser Mozilla Firefox hat dem dominierenden Internet Explorer Marktanteile abgenommen, was nicht zuletzt an den zahlreichen Erweiterungen (Add-ons) liegt. Damit lassen sich Java oder Javascript an- und abschalten, Javascript-Whitelisting betreiben und sogar Active-X Controls ausführen, die ansonsten den Internet Explorer erforderlich machen. Whitelisting bedeutet, eine Liste von als nicht gefährlich eingestuften Javascript-Inhalten zu führen. Firefox läuft sowohl unter Windows als auch unter Mac OS X und Linux. Die Sicherheits-Einstellmöglichkeiten erlauben dagegen nicht sehr viele Details.

So wurde getestet

  • Neben einem Labortests wurde der Browser einigen Sicherheitstests unterzogen, darunter Scanit und Jason´s Toolbox.

  • Zudem untersuchte Infoworld-Autor Roger Grimes, wie der Browser auf rund 100 Malware-verseuchte Websites reagierte.

  • Die Passwort-Verwaltung der Browser testete "Infoworld"-Autor Roger Grimes mit Hilfe des Password Manager Evaluator.

Installation und Sicherheit

Die Firefox-Installationsroutine für Windows erfordert Administratorrechte. Anwender sollten sicherstellen, dass sie darüber verfügen, weil das Setup hier nicht explizit nachfragt.

Unter Windows Vista läuft der Browser als einzelner Prozess und im Modus "Medium" von "Windows Integrity Control" bei gleichzeitig aktivierter "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR) (siehe auch Computerwoche-Wiki-Eintrag zu Windows Vista). Zudem ist die Dateisystem- und Registry-Virtualisierung abgeschaltet. Bei Letzterem handelt es sich um ein Vista-Feature, das es Anwendern erlaubt, Programme auch ohne Admin-Rechte zu betreiben.

Ähnlich wie "Google Chrome" verfügt Firefox über eine Javascript-Engine ("Tracemonkey"), die Javascript-Code in nativen Maschinen-Code umwandelt. Im Gegensatz zum Google-Browser, bei dem die "V8 Javascript-Engine" immer läuft, lässt sich Javascript-Unterstützung im Mozilla-Web-Client an- und abschalten. Mit Hilfe des Add-ons "Noscript" kann der Nutzer für jede Website festlegen, ob er Java, Javascript und Flash zulassen möchte oder nicht.

Einerseits lässt sich Firefox mit einer Reihe von Add-ons erweitern, doch bergen diese Tools Probleme und können unter Umständen die Sicherheit beeinträchtigen. Über einen "Add-on Manager" lassen sich Erweiterungen installieren sowie an- und abschalten. Was fehlt, ist die Möglichkeit, sie für nur für bestimmte Websites zu aktivieren.