18.06.2004, 13:32
|
#1
|
|
TP-Special Mod
Registriert seit: Jun 2001
Ort: 8°21' O 49°1' N
|
Mozilla & Firefox: unsicher durch Plugins?
Zitat:
|
Zitat von heise security
...
Moderne Browser lassen sich durch externe Module um zusätzliche Funktionen erweitern. Der Internet Explorer integriert Erweiterungen vor allem via ActiveX -- auf Wunsch lädt er sie auch gleich selbst aus dem Netz. Mozilla hat eigene Schnittstellen für Browser-Plugins; Erweiterungen für zusätzliche Browser-Funktionen lassen sich als sogenannte XPI-Dateien ebenfalls automatisch installieren. Doch während das für seine Sicherheitsprobleme berüchtigte ActiveX gewisse Schutzmechanismen aufweist, sind Mozilla-Erweiterungen offen wie ein Scheunentor.
Seriöse ActiveX-Controls tragen eine digitale Unterschrift ihres Herstellers, unsignierte Controls lädt der Internet Explorer per Default erst gar nicht. So kann der Anwender recht sicher sein, dass ein ihm angebotenes Flash-Plugin tatsächlich von Macromedia stammt. Vertraut er dieser Firma (und dem Aussteller des Zertifikats), weiss er, dass er sich damit zumindest keine bösartigen Trojaner einhandelt. Des weiteren ist bei einem signierten ActiveX-Control der Autor feststellbar, was zumindest auf Script-Kiddies einen gewissen Abschreckungseffekt hat.
Anders bei Mozilla-Plugins. Natürlich hinkt ein Vergleich zwischen ActiveX und Mozillas Plugin-Schnittstelle ein wenig, schon weil ActiveX weitaus mächtiger und tiefer in Windows verankert ist. Doch auch Mozillas Erweiterungen sind eigentlich kleine Programme, die auf dem Rechner alles tun können, was der Anwender darf: andere Programme nachinstallieren, Dateien löschen und so weiter. Trotzdem bietet Mozilla so gut wie keinen Schutz vor bösartigen Erweiterungen. Jeder kann einen Trojaner so in eine XPI-Datei verpacken, dass Mozilla ihn automatisch installiert und startet. Der Anwender erhält lediglich einen Hinweis, dass mit der Installation Gefahren verbunden sind -- doch der Default steht auf "Installieren". Und nachdem diese Warnung bei allen XPIs erscheint, sind viele Mozilla-Anwender bereits darauf trainiert, sie routinemäßig wegzuklicken. Und damit nimmt unter Umständen das Unheil schon seinen Lauf.
...
|
 Ganzer Bericht |
|
|
