Browsen unter Linux per Definition unsicher?

Mai 30, 2010 um 10:33 am | Veröffentlicht in Computer, GNU/Linux, Microsoft, Ubuntuusers | 25 Kommentare

Es ist mal wieder soweit. Vor einem Jahr veröffentlichte Microsoft den IE8, der IE9 steht in den Startlöchern und der IE6 soll (mal wieder) sterben. Über Letzteres sind sich alle einig die einen PC für mehr als nur das Schreiben von Einkaufszetteln verwenden. Interessant in diesem Zusammenhang ist jedoch eine Studie der NSS Labs (vom Januar 2010) und eine Kampagne Microsofts welche sich darauf beruft.

You wouldn’t drink 9 year old Milk

Mit der Kampagne "You wouldn’t drink 9 year old Milk" will Microsoft die australische Bevölkerung dazu bewegen sich des IE6 endgültig zu entledigen. Scheinbar hat selbst MS Probleme damit die Geister die es selbst erschaffen hat wieder abzumurksen. Dass selbst MS dabei mithilft den IE6 endgültig zu beseitigen, der sich offenbar immer noch bei etwa 20% des IE-Marktanteils hält (das wären etwa 12% des gesamten Browsermarktes) ist durchaus löblich und in einfachen Worten ausgedrückt: notwendig. Denn da der IE6 nicht quelloffen ist kann außer MS, die daran offenbar kein Interesse haben, niemand den IE6 weiterentwickeln und Sicherheitslücken stopfen.

Selbstverständlich will Microsoft seine Kunden behalten und versucht dem IE8 das Image des sichersten Browsers zu geben. Dabei ist es jedoch leicht den eigentlichen Zweck der Studie aus den Augen zu verlieren:

For clarity, the following definition is used for a socially-engineered malware URL: a web page link that directly leads to a download that delivers a malicious payload whose content type would lead to execution.

Übersetzung:

Um Klarheit zu schaffen wird die folgende Definition verwendet für "socially-engineered malware URL": Ein Webseitenlink, der direkt zu einem Download führt, der bösartige Dateien enthält deren Inhalt zur Ausführung (derselben) führt.

Es geht in der Studie also nicht um Browsersicherheit im Generellen (wie Cross-Scripting-Lücken, iFrames, Buffer-Overflow mit Code-Execution, …) sondern ausschließlich um herunterzuladende Dateien welche aus einer "social-engineered" Quelle kommen (sprich: Blogs, Twitter, Facebook, usw…). Damit ist also nicht der todkranke Onkel aus Nigeria gemeint den Microsoft in seiner Kampagne beschwört (und der sich sowieso nahezu ausschließlich über eMail meldet).

Da MS des Weiteren unter Fraud-Facts den Eindruck zu erwecken versucht es handele sich um eine Studie zur allgemeinen Sicherheit von Webbrowsern (kleingedruckt finden Interessierte den kompletten und eher schwer verständlichen Namen der jeweiligen Studien zum jeweiligen Beispiel) würfeln sie noch ein paar Beispiele darunter die nichts mit der Sicherheit von Browsern zu tun haben aber trotzdem den Leser mit einem unguten Gefühl zurücklassen sollen. Die Botschaft lautet: das kann auch dir passieren wenn du den IE8 nicht verwendest. Die entsprechende Meldung bevor man den Inhalt der Kampagne zu Gesicht bekommt soll einen schon mal mental auf die Schrecken vorbereiten die einen sonst erwarten:

WARNING: After reading these figures, you may feel a little exposed – unless you’re using Internet Explorer 8!

Übersetzung:

WARNUNG: Nachdem Sie diese Zahlen gelesen haben könnten Sie sich etwas ungeschützt vorkommen – es sei denn Sie verwenden Internet Explorer 8!

Es stimmt schon. Die Studie der NSS Labs kommt zu dem Schluss, dass der IE8 sich bei dieser Studie am besten geschlagen hat. Der Integrität der Studie vertrauend und Microsoft dafür lobend, dass sie die Sicherheit und Standardkonformität ihrer Browser weiter erhöhen musste ich trotzdem darauf hinweisen, dass MS versucht den Sinn derselben zu verfälschen.

Und unter Linux?

Um auf den Titel des Artikels zurückzukommen: Die Studie wurde in virtuellen Maschinen mit Windows 7, 1 GB RAM und 20 GB HDD 18 Tage lang kontinuierlich 24 Stunden am Tag durchgeführt. Warum auf Windows 7? Weil dies das einzige System ist auf dem alle genannten Browser laufen (Vista existiert nicht🙂 ). Der IE ist nicht in einer nativen UNIX/Linux-Version verfügbar und Safari lässt sich in seiner UNIX-Version nur auf einem Mac OS ausführen. Die Windows-Versionen beider lassen sich, wenn überhaupt, nur nach sehr viel Gerfrickel mit Wine (IE, Safari) ausführen. Ich möchte mich jetzt gar nicht dazu versteigen MS und Apple aufzufordern den Quellcode ihrer Browser offenzulegen. Auch wenn das sicherlich ein guter Schritt für den Benutzer wäre, so ist es eher unrealistisch.

Nein. Wenn beide es damit ernst meinen würden den Nutzer in altruistischer Manier vor Gefahren in Internet schützen zu wollen, dann würden sie native Versionen ihrer Software für alle verbreiteten Systeme bereitstellen so wie es Opera, Firefox und inzwischen auch Google Chrome machen. Ich persönlich würde den IE selbst dann nicht verwenden, aber dann ist es meine persönliche Entscheidung und mein persönliches "Risiko". Bis es soweit ist und angesichts der (mal wieder) missinformierenden Kampagne Microsofts kann ich nur sagen:

vorsicht FUD!

Umfrage

Wo wir gerade beim Thema sind: Welchen Webbrowser verwendest du und wie sicher fühlst du dich damit? Ich meine damit nicht nur die angesprochene Sicherheit vor "social-engineered malware" sondern ganz allgemein.

Ich verwende z.B. Firefox 3.6.3 und ab und zu Konqueror 4.4.3.

Bei Firefox fühle ich mich dank Pop-Up-Unterdrückung und den Add-Ons NoScript, CookieCuller, GoogleSharing, Pwdhash und RefControl so sicher, dass ich mir normalerweise beim Surfen neben gesundem Misstrauen keine weiteren Gedanken mehr mache.

Bei Konqueror kann ich über ein Plug-In Firefox-Add-Ons benutzen und habe noch ich einen eingebauten Adblocker. (Dank an metaxy für die Aufklärung des Irrtums.)

Weiters installiert sind noch Arora, Chromium, Midori, Links2, w3m und lynx. Bis auf lynx verwende ich diese Browser jedoch im allgemeinen nicht. Und da bei lynx bis auf reines HTML nichts funktioniert (keine Frames, kein JavaScript/Flash/Silverlight, …) fühle ich mich damit sehr sicher🙂.

Creative Commons License
This work by Stefan Ohri is licensed under a Creative Commons Attribution-ShareAlike 3.0 Austria License

=-=-=-=-=
Powered by Blogilo

25 Kommentare »

RSS feed for comments on this post. TrackBack URI

  1. Also normalerweiße verwende ich den Konqueror. Jedenfalls ist er noch mein Standard-Browser. Aber vor kurzem habe ich rekonq getestet. Der wird ja eh in der nächsten Kubuntu-Version der voreingestellte Standard-Browser.

    Rekonq ist wirklich extrem gut. Er ist schnell gestartet, reagiert sehr flink und stellt die Websites dank Webkit auch deutlich flüssiger dar als Konqueror. Seine Oberfläche hält sich zurück um der Website mehr Raum einzuräumen. Die Statusleiste wird nur dann angezeigt, wenn es was zum Anzeigen gibt und ne Menüleiste gibt es gar nicht.
    Konqueror-User müssen sich nicht so arg umgewöhnen. Die Einstellung zu Cookies, Java-Script, Webfilter und die Lesezeichen werden einfach übernommen. Webkürzel und die Suchleiste unter Strg+F funktioniert auch genauso.

    Das einzige Problem: Rekonq hält sich noch nicht an die virtuellen Arbeitsflächen so wie der Konqueror es tut. Also URLs von externen Programmen werden immer arbeitsflächenübergreifend im zuletzt aktivem rekonq-Fenster geöffnet, auch wenn das auf ner anderen Arbeitsfläche ist. Besser wäre es, wenn eine URL immer in der entsprechenden Arbeitsfläche geöffnet wird.
    Einen Feature-Request gibt es aber schon: https://bugs.kde.org/show_bug.cgi?id=237732

    • Ja, von rekonq habe ich auch schon gehört. Wird gerade installiert🙂

      • Ich benutze schon eine weile den Rekonq und bin sehr zu frieden !!!! Er ist wirglich sehr schnell und auch zu verlässig.Besonders gefällt mir die Schnellstartseite.Sie ist so wie bei Opera und Google-Chrom)
        Ich finde der Rekonq ist den Entwiklern sehr gelungen.

      • Ja, Rekonq ist ein guter Browser. Positiv ist, dass er auf WebKit aufsetzt statt auf KHTML. Mir persönlich ist er aber als Standardbrowser zu minimalistisch. Für schnelle Recherchen eignet er sich bei mir aber neben Chromium und Midori recht gut.

  2. „Bei Konqueror kann ich über ein Plug-In Firefox-Add-Ons benutzen“. Wie denn? Denn davon habe ich noch nie gehört.

    • Über das Paket konqueror-nsplugins. Ich bin mir nicht sicher ob das dann wirklich mit JEDEM Firefox-Add-On funktioniert, aber zumindest Flash, NoScript usw… sollten damit auch im Konqueror verfügbar sein.

      • Soweit ich weiß ist nsplugins da um plugins anzuzeigen, siehe NPAPI. Also solche Sachen wie Flash oder Java, aber keineswegs für Add-Ons. Add-Ons von Firefox basieren auf XUL, und das bietet Konqueror nicht an. Das heißt Add-Ons wie NoScript funktionieren nicht mit Konqueror.

        Interessant ist aber die Richtung von Rekonq. Dort wird man bald Add-Ons von Chrome installieren können, soweit ich mich erinnere ist es schon teilweise fertig. Dort wird auch über eine Unterstützung von Add-Ons von Firefox 4 nachgedacht, da diese nicht mehr XUL benötigen wird.

      • Ich glaube, jetzt hast du mich. Irgendwann habe ich es mal geschafft NoScript im Konqueror zu nutzen und mir immer eingebildet es hinge mit dem nsplugin zusammen …
        Habe es jetzt wieder probiert, funktioniert aber irgendwie nicht. Scheinbar habe ich mich vertan. Sorry.

  3. Ich surfe unter Linux mit Opera, meist die aktuelle stable Version, momentan mit der ersten Beta von 10.53.

    Ich fühle mich damit sehr sicher, da Opera auch meist sehr zügig auf Sicherheitslecks reagiert. Zudem nutze ich keine Plugins im Browser und habe eine Blockliste, die mir sowas wie Adblock liefert.
    Ein kleiner Vorteil an der geringen Opera-Verbreitung ist ja, dass er damit nicht so attraktiv für Angreifer ist😉

    Falls ich doch mal Flash brauche, so kommt bei mir Firefox 3.6.3 zum Einsatz. Dort ist als einziges weiteres Plugin Adblock installiert🙂

  4. Opera 10.5 unter Windows und (noch) Opera 10.1 unter Linux. Hoffentlich bewegt sich da bald was, der Versionsprung war wirklich merklich spürbar in Sachen Bedienung/Geschwindigkeit. Und nachinstallieren brauche ich da bis auf nen urlfilter.ini auch nix.

  5. HI!
    Verwende eigentlich nur Opera, auch für eMail, IRC-Chat. Hab vor 2 Tagen mal Chromium getestet. Gut er ist schnell, nur die ganzen nachinstallierbaren Mousegesten kommen einfach nicht an die des Opera ran. Und eben, urlfilter.ini reinkopiert, fertig.😉

    • Hmm. Entgegen dem Marktanteil von 1% merkt man hier durchaus eine verstärkte Opera-Affinität.

  6. Im Moment benutze ich Chromium. Ist super schnell, apturl funktioniert auch, Flash wird via Flashblock gesperrt. Google Analytics habe ich ebenfalls über Addons deaktiviert. Weiterhin habe ich ein Theme installiert, dass sich an das Ambiance-Theme anpasst. Kurz: Ich bin rundum zufrieden mit dem Ding. Aber Midori ist auch ganz nett, leider etwas buggy und es fehlen wichtige Features.

    • Ja, Midori hat leider noch ziemlichen Aufholbedarf. Wenn es aber nur um das einfache Anzeigen von Webseiten ohne große Besonderheiten geht ist Midori ein schneller und schlanker Browser.

      Apturl funktioniert bei mir im FF noch nicht wirklich, da ich aber lieber über das Terminal mit APT arbeite stört mich das nicht besonders.

  7. Das ist ja mal wieder ein starkes Stück. weil die Jungs bei Micosoft es seit über 10 Jahren nicht schaffen ein simples Ausführungs-Bit einzuführen, bauen sie jetzt ne Blacklist in ihren Browser ein, um das fehlende Bit hintenherum zu kompensieren.

    Aber schön dass es immer noch „unabhängige“ Unternehmen gibt, die passende Test zur Verfügung stellen.

    Naja, wenigstens fühlen sich die Windowsnutzer damit sicherer, hat also schon was gutes für sich.

    • Natürlich, subjektive Sicherheit ist ebenfalls sehr wichtig. Wenn du dem Hersteller deiner Software nicht vertrauen könntest, müsstest du deinen Computer beim Window hinauswerfen🙂

  8. Ich nutze auch den 10.10 Opera. Ich habe zwar keinen flash, … blocker mehr geabut, seit dem der umstieg auf 10.04 war, aber generell fühle ich mich auch sicherer. irgendwie auch in Win Systemen, aber das ist ja irgendwo ein anderes Thema. ich find halt noch die online dienste nett, wie das backupen der bookmarks, speed dial, …
    davon abgesehen ist meiner recht, sagen wir mal gestrippt, da ich ja mein 9″ Display ausnutzen muss. mag ihn halt irgendwei am liebsten, vlt auch weil FF irgendwann zu viel gefressen hat.

    • Ja, im Gegensatz zu seinen Anfangsjahren ist der Firefox inzwischen recht beleibt.

      Man könnte jetzt argumentieren, dass es keine andere Möglichkeit gibt, da viele Nutzer ein Grundset an Funktionalität erwarten welches zu den Anfangszeiten des FF noch nicht mal erträumt wurde. Die Verlagerung ins Internet und der Browser als quasi-Virtuelle Maschine die HTML*, XML, CSS, und JavaScript verarbeiten, eine einfache aber mächtige Schnittstelle zur Benutzung und Entwicklung von Add-Ons bereitstellen und dabei noch verdammt schnell sein muss fordern ihren Tribut.

      Aber unbestritten geht der FF ziemlich auf die Ressourcen.

      • Aber -ohne jetzt jemanden über den grünen Klee loben zu Wollen- schafft Opera es, eine noch größere Menge Features (BiTorrent, Mail, IRC, Synchronisation…) in einem (gefühlt)schnelleren und leichteren Client zu vereinigen.

      • Das stimmt auffallend. Genauso wie früher Netscape Navigator und heute die Mozilla Suite/Seamonkey hat Opera neben dem Webbrowser noch ein paar andere Funktionen, die man sonst aus Performance-Gründen in eigene Programme auslagern würde.
        Hier bleibt schlussendlich die Frage ob man all diese Funktionalität in einem Programm vereinigt haben möchte oder ob man getrennte Programme bevorzugt. Dies ist dann aber hauptsächlich vom Geschmack des einzelnen Nutzers abhängig.
        So benutze ich neben Firefox als Webbrowser Thunderbird für eMails/Kalender, XChat für IRC, KTorrent für Torrents, Apache als WebServer, Akregator für RSS-Feeds, Kopete zum chatten, usw…
        Selbstverständlich könnte ich jede dieser Funktionen per Add-On im Firefox nachrüsten und damit Frankensteins zweites Monstrum klonen. Aber in diesem Fall wäre Opera doch die bessere Wahl.

  9. Ich verwende Opera. Ich bin vor allem von den Seitenspezifischen Einstellungen zu Jvascript etc. beeindruckt.

  10. Swiftfo 3.6.3 i386 auf meinem Netbook, Mozilla Firefox 3.6.3 amd64 auf meinem Notebook (bei Swiftfox64 will flash nicht).

    Bei beiden Systemen mit NoScript und BugMeNot als Sicherheits-Plugins.

    Mit Opera komm ich partout nicht klar und Konqueror ist mir zu KDE (sprich zu aufgeblasen, wegen der ganzen libs, die der mitschleppt).

    • Was Konqueror angeht so ist die Frage welchen Desktop man einsetzt. Wenn das nicht KDE ist gibt es sicherlich einigen Ballast der mit zu installieren ist.
      Ist diesbezüglich aber dasselbe wie z.B. Nautilus oder Synaptic unter KDE zu installieren.
      Wenn du versuchen solltest z.B. IE, Outlook und MediaPlayer mitsamt aller Funktionalität nativ unter Linux zu installieren müsstest du auch den halben Windows-Kernel dazu rechnen.
      BugMeNot habe ich gerade installiert🙂

  11. Firefox 3.6.3 mit perspectives, NoScript, RefControl, AdBlock Plus, Download Statusbar…😉

  12. Opera habe ich unter Win (was ich seit jahren Privat nicht mehr nutze) lieben gelernt und verwende ihn seit Jahren unter Ubuntu. Ich benutze regelmäßig (mehrmals im Monat) auch andere Browser. Doch selbst mit nachinstallierten Plugins in anderen Browsern surfe ich mit Opera (Zeit-)effizienter und komfortabler.
    Um nur EIN (nicht Plugin) Beispiel zu nennen: Ich brauche nicht zwei Programme zu starten wenn ich E-Mails mit meinem Browser ebenso (so wie „bessere“ E-Mail Clients) verwalten kann. – Beides habe ich gerne immer zur verfügung.


Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Erstelle eine kostenlose Website oder Blog – auf WordPress.com.
Entries und Kommentare feeds.

%d Bloggern gefällt das: