Internet Explorer und die Sicherheit

12/17/2008 9:56:00 PM #

Grundsätzlich muss ich aber schon sagen, dass Microsoft mit dem Internet Explorer schlicht jede Sympathie vergeigt hat. Ich habe es quasi noch in den Ohren, wie Microsoft bei jeder neuen IE-Version diesen als nun den absolut sicheren Browser statuiert. Und leider ist es gar nicht so. Andauernd hier ein Loch, da wieder ein Sicherheitsproblem usw.

Gut, wir müssen abstrahieren, der IE geht tiefer in die Betriebssystemwelt, als die Konkurrenz und bietet dadurch diverse Features, die die anderen nicht können. Aber: Will man das? Ist das ein Killerargument? In meinen Augen nicht.

Ich bin Mozilla-Jünger seit den ersten Milestones und muss konstatieren, dass es Mozilla mit der Informations- und Patchpolitik in Sachen Browser immer noch besser macht, als Microsoft. Wobei man durchaus fairerweise zugeben muss, dass sich bei Microsoft da in den letzten Jahren gewaltig was bewegt hat. Es reicht aber imho immer noch nicht und ich weiß nach wie vor kein Argument, weshalb ich einem Kunden keinen Firefox empfehlen soll.

So, das zum "Browserkrieg", der eigentlich schon lange keiner mehr ist.

Besim Karadeniz | Reply

12/17/2008 9:56:00 PM #

Ich schätze, die Add-Ons von Firefox sind aber bestimmt auch die größte Sicherheitsgefährdung von Firefox. So viel wie da immer geupdated wird, kann das doch keiner alles kontrollieren.

Deshalb bin ich Opera-Jünger seit Version Opera 5, oder so ...

Und Opera 10 soll ne automatische Updatefunktion wie FF bekommen! *freu*
(brauch ich aber egentlich eh ned, weil zentrale Paketverwaltung, etc., ich will ned wieder damit anfangen ... )

Sukram71 | Reply

12/17/2008 9:56:00 PM #

Und fürs Unternehmen braucht man kein Flash und auch keine Plugins. Von daher ist FF das, was mich am besten schlafen lässt.

Suki11 | Reply

12/17/2008 9:56:00 PM #

So... zur Vollständigkeit, in der Verwundbarkeitsstatistik sind nur Programme enthalten, die nicht mit einer zentral verwaltbaren Softwareverteilung ala Windows Update bzw. WSUS augeliefert werden. (siehe Pkt. 5 Relies on the end user, rather than a
central administrator, to manually patch
or upgrade the software to eliminate the
vulnerability, if such a patch exists)
Daher ist auch in der Statistik nur der alte Windows Messenger 4.7 & 5.1 in der Liste enthalten, der neuere Messenger aufgrund der Updatefahigkeit über WSUS bzw. Windows Update nicht mehr.

Übrigens, ich verwende beide, IE8 und FF3 unter Vista Ultimate 64!

CF | Reply

12/17/2008 9:56:00 PM #

Das man für Firefox eine teure Softwareverteilung benötigt ist nur bedingt richtig. Ich verteile Firefox via MSI Datei.

Die MSI erstelle ich mir selber. Konfiguriert wird der Browser über GPO und einer Default Vorlage für das Profil.
Sicher auch ein gewisser Aufwand - auch wenn ich mir (generell für alle Programme) einen automatische Updateverteilung wünschen würde, aber aufgrund der späten Einsicht von Microsoft erforderlich.

Im Unternehmen verwenden wir seit dem Killfeature IE6 den alternativen Browser. Damals wurde nach Alternativen zu dem wenig weit entwickelten und sicherheitsanfälligen Browser gesucht.

Zwar ist dann IE7 (irgendwann) gekommen. Nur blieb auch Firefox nicht stehen. So hat dieser immer etwas weiter die Nase vorne.

Aktuell ist zwar der IE8 hoffentlich bald da - dieser HÄTTE aber schon als IE7 (als Features, etc.) fertig sein sollen.

Gedacht war öfter, die Firefox Verteilung einzustellen (Aufwand), jedoch gibt es immer noch gut Gründe dafür (= also für beide Browser).

Übrigens: kein Nutzer hat lokale oder gar domänweite Adminrechte und das schon seit Jahren.

Reisenhofer Andreas | Reply

12/17/2008 9:56:00 PM #

Noch etwas was gegen IE spricht.

http://support.microsoft.com/?scid=kb%3Ben-us%3B298618

Katja Ruf | Reply

12/17/2008 9:56:00 PM #

@Thomas
"Dazu kommt noch, dass die größte Sicherheitslücke kein Programm, sondern der Benutzer ist. Wenn eine Mail mit dem Attachment "Mahnung.exe", "Rechnung.exe" oder "YourNeighboursWifeNaked.exe" daherkommt, wird es unzählige geben die das aufmachen. Da brauch ich nichtmal eine Sicherheitslücke."

Alles schon richtig. Aber eine Anmerkung:
Das oben geht nur, weil Windows alles mit .exe hinten automatisch als Programm ausführt und oben drein die Dateiendungen standardmäßig ausblendet (!!). Da ist die "Sicherheitslücke" und böse Falle ja schon von vorneherein eingebaut.

Bei Linux ist es z. B. so, dass heruntergeladener Dateien und Scripte gar nicht ausfürbar sind, solange man die Dateieigenschaften nicht manuell geändert hat. Und es hängt auch nicht alles an der Dateiendung, wie bei Windows.

Von daher kann das in dieser Form nur bei Windows ein Problem sein.

Sukram71 | Reply

12/17/2008 9:56:00 PM #

Diesen Müll hat Microsoft auch verpatzt und da helfen nun mal keine Pillen. Aus irgendeinem Grund kann XP Home nicht wirlklich mit eingeschränkten Konten arbeiten wie die Pro. Es würde sicherlich vieles anders aussehen mit der Sicherheit, aber ... das liebe Geld. Naja so lange es geht, sollte man die Geldkuh melken ;)

roran | Reply

12/17/2008 9:56:00 PM #

Ich bin ja sehr dankbar dafür, dass sich FF auch bei eingeschränkten XP-Benutzern selber updaten kann.

Ich sag ja: Ein mal FF installieren und dann vergessen.

Suki11 | Reply

12/17/2008 9:56:00 PM #

Interessant, wie sich die jünger alle getroffen fühlen...

Es gibt vermutlich kaum ein wirklich fehlerfreies Programm. Ob das der IE ist, oder Firefox. Der große Unterschied ist der: Für viele der selbsternannten Expert oder Jünger ist Microsoft das ultimative böse. Deshalb wird auf eine Sicherheitslücke wesentlich mehr drauf hingepeckt als bei "den guten". Eine Firefox Sicherheitslücke wird innerhalb X Tagen geschlossen, und dann ist der Benutzer Schuld, weil er nicht updatet. Microsoft hängt jetzt noch nach, dass XP ohne Servicepack eine offene Tür war, und innerhalb von 30 Sekunden am Netz verseucht ist (Ohne irgendwas zu unternehmen).

Microsoft hat meiner Meinung nach extrem aus XP gelernt, und macht jetzt vermutlich um nichts schlechter Programme als irgendeine andere Software. Ganz im Gegenteil. Firefox ist ja da fast noch lobenswert, aber was bringt der beste Browser, wenn die PlugIns die Schwachstelle sind. Heutzutage nutzt man einfach irgendeine PDF oder Flash Sicherheitslücke aus, als die des Browsers.

Dazu kommt noch, dass die größte Sicherheitslücke kein Programm, sondern der Benutzer ist. Wenn eine Mail mit dem Attachment "Mahnung.exe", "Rechnung.exe" oder "YourNeighboursWifeNaked.exe" daherkommt, wird es unzählige geben die das aufmachen. Da brauch ich nichtmal eine Sicherheitslücke.

Also, bitte die Kirche im Dorf lassen. Diesmal ist eine schlimme IE Sicherheitslücke entdeckt, und innerhalb weniger Tage gepatcht worden, das nächste mal wirds wieder eine von Firefox sein, auch wenn die mediale Aufregung nicht so groß sein wird. Von den PDF oder Flash Sicherheitslücken erfährt der Durchschnittsbenutzer sowieso nie...

Thomas | Reply

12/17/2008 9:56:00 PM #

Nur ganz kurz: es ist die XP-Home-Version.
(Ich habs nicht gekauft oder geraten)

Suki11 | Reply

12/17/2008 9:56:00 PM #

Man sollte aber nicht vergessen, das Firefox eigentlich gar nicht "installiert" werden muss.
Es reicht, den Programm-Ordner zu kopieren.
Das kann man periodisch per Script erledigen, so ist sicher gestellt, das jeder Client immer den aktuellen Firefox hat!

Aber einige sehen vor lauter Softwareverteilung und GPOs den Wald vor lauter Bäumen nicht mehr

Arno Nym | Reply

12/17/2008 9:56:00 PM #

Nun ja ... Aber die Einschränkung bestimmt ja Windows XP. Nicht der Firefox

Außerdem kann man wohl zur Recht davon ausgehen, dass Firefox mit seiner fest eingebauten Updatefunktion wohl schadfreie Dateien runter läd. (Wenn man Plugins weg lässt.)

Suki11 | Reply

12/17/2008 9:56:00 PM #

Na ja bei der Bit9 Liste sollte man auch betrachten wie die Liste zustande kommt. Da ist die Anzahl der Lücken das Maß unabhängig ob und wie schnell sie gepatched wurden. Das es Lücken in jeder Software gibt wird niemand ernsthaft bestreiten, die Qualität zeigt sich dann doch eher wie schnell sie gepatched werden.

Das einzige was man Firefox vorwerfen kann ist das Fehlen von Funktionen zum zentralen Management. Aber solange gerade in größeren Unternehmen noch IE6 aus fadenscheinigen Gründen der Standard ist, ist die Diskussion sowieso sinnlos.

SvenS | Reply

12/17/2008 9:56:00 PM #

Öhm, zu der Bit9-Liste: Firefox und die anderen stehen doch nur soweit oben, weil sie sich nicht über ein zentrales Updatesystem updaten lassen. Und nur solche Programme kamen in die Liste. Ansich hat der FF weniger schwerwiegende Fehler als der IE und es wird schneller reagiert - nur eben lässt sich der IE per zentrales Updatesystem updaten, weshalb er erst gar nicht in der Liste auftaucht.

Da hast du wohl etwas an den Fakten gedreht, was?

Der S | Reply

12/17/2008 9:56:00 PM #

Ein wesentlicher Grund, warum ich mich vor Jahren für die Mozilla Suite entschieden habe, was ja dann später Firefox wurde, war die Oberfläche. Da konnte der IE glaube ich noch nicht einmal Passwörter speichern, und ist dann stets der Entwicklung von Mozilla hinterhergehinkt. Natürlich, gelegentlich habe ich mir auch so lustige "Hijacker" bzw. Spyware eingefangen, die aus dem Nichts in den IE gekommen ist, und die man dann mühsam entfernen konnte.

Heute habe ich ihn mit genau den Addons laufen, die ich haben will - und obwohl der IE 7 eine konkurrenzfähige Software ist, warum sollte ich mich erst umschauen, ob es vergleichbare Zusätze auch für diesen gibt, wenn ich mit Firefox zufrieden bin?

Es hat einmal eine Zeit gegeben, wo es zum Internet Explorer 6 kaum eine Alternative gegeben hat, da Netscape wirklich am Ende war, aber die ist lange vorbei. Die Frequenz der Updates scheint mir sowohl bei IE als auch bei FF ähnlich hoch zu sein - eine Software wird eben je öfter angegriffen, je verbreiteter sie ist.

Markus | Reply

12/17/2008 9:56:00 PM #

Ergänzung, hab grad gesehn:

www.heise.de/.../120638

Eine Flash Lücke in Flash für Linux...

Thomas | Reply

12/17/2008 9:56:00 PM #

Für die automatische Updatefunktion von Firefox braucht man keine Adminrechte. Das geht vollautomatisch auch auch XP-Kisten mit eingeschränkten Rechten.

FF einfach installieren und dann vergessen.

Suki11 | Reply

12/17/2008 9:56:00 PM #

Meine persönliche Erfahrung mit dem IE, war sehr prägnant und sehr lehrreich. Ich selber nutze den seit Win98 keine IE mehr, weil die Konkurrenz damals auch besser war. Ich habe aus Neugier dieses Buch www.microsoft-press.de/search.asp angefangen durch zu arbeiten. Immerhin war die erste Lektion die Erschaffung eines eigenen Webbrowsers. "Mit allen Sicherheiten des IE" so die großspurige Meldung es Autors. Vom sehr leichtem Ergebnis war ich sehr begeistert und habe den eigenen Browser natürlich gleich benutzt. Nicht mal 2 Stunden sind vergangen hatte ich einen Trojaner der im IE steckte. Ich nutze aber doch kein IE, dachte ich mir, bis mir langsam klar wurde das mein selbst geschriebener Browser "Mit allen Sicherheiten des IE" die Schuld trugen. Dabei habe ich mich an die heise erinnert, die meinte :

Die meisten Sicherheitsprobleme wird mal sofort los, wenn man keine Microsoft Produkte verwendet. Da gebe ich der heise wirklich Recht und seit Win98 nutze ich bis auf Windows selbst, die besseren Produkte der Konkurrenz.

Katja Ruf | Reply