Überraschenderweise hat gerade der Spätzünder Firefox, das auf den
ersten Blick sehr schlicht aussieht an die Spitze der alternativen
Browser geschafft.
Nun möchte ich darstellen, warum ich Firefox für einen relativ schlechten Browser halte.
Firefox ist aus dem Mozilla-Projekt entstanden. Dementsprechend hat Firefox auch viele Nachteile und Probleme dessen geerbt. Eventuelle Fehler, sehr langsame Geschwindigkeit (vor allem der GUI), recht untransparentes Aufbau. Auch wenn gerade bei der Geschwindigkeit Firefox den Mozilla um längen schlagen soll, so merkt man bis heute dem Firefox an, dass dieser doch nicht so recht flott vorgeht. Z.B. dann, wenn Firefox auf einem schon sehr schnellen PC läuft, und mehrere Links nacheinander angeklickt werden, so dass diese in je einem neuem Tab im Hintergrund geöffnet werden, merkt man die geerbten Schwächen.
Um Firefox möglichst schlank zu halten, wurde er auf lediglich einfachsten Browserfunktion beschränkt. Die Folge ist, dass vielen Menschen zusätzliche Komfortfunktionen fehlen und per Firefox-Erweiterungen nachgerüstet werden müssen. Dabei werden diese Erweiterungen in einem Mozilla/Firefox eigenem Format angeboten und können separat vom Firefox kaum runtergeladen werden. Das aufgezwungene Vorgehen ist dabei eher, diese Erweiterungen durch anklicken spezieller Links im Firefox direkt installieren zu lassen. Das genau dieses Vorgehen erhebliche Sicherheitsrisiken mit sich bringt, haben nun auch die Firefox Entwickler eingesehen und in der Standardkonfiguration lässt Firefox nun nur Installationen von einer fest definierten Domain zu. Besonders sicher ist dieses Verfahren jedoch immer noch nicht, den es kann mit einem etwas größeren Aufwand wirklich jeder Installationsdateien auf dieser Domain veröffentlichen. Der Benutzer wird nur insofern gewarnt, dass die Erweiterung in der Regel nicht von Firefox Entwicklungsteam signiert ist. Es wäre auch recht naiv zu glauben, dass diese Erweiterungen durch jemanden tatsächlich auf fehlen der Hintertüren in jedem Fall überprüft werden. Dabei werden sogar die Styles für Firefox auf die gleiche Weise und im gleichem Format verbreitet.
Zu oft gibt es Beschwerden darüber, dass Firefox bei zu vielen dieser Erweiterungen anfängt Probleme zu haben. Auch mit einem Update des Firefox haben die meisten Erweiterungen große Probleme. Firefoxteam empfielt sogar nach wie vor, Firefox vor Installation einer neuen Version komplett zu deinstallieren und auch alle Erweiterungen erstmal runter zu schmeißen - ein Vorgehen, dass die wenigsten bereit sind durchzugehen.
Vor kurzem wurde bekannt, dass Firefox Entwickler eine neue Funktion für nächsten Versionen geplant haben, welche sich an einem möchtegern-Standard orientiert, der eben nicht von W3C stammt, sondern von WhatWG.
Quelle: www.heise.de/newsticker/meldung/68508 Datum: 18.01.2006 19:34Laut dem Blog des Firefox-Entwicklers Darin Fisher wurde in die aktuellen Entwicklerversionen des Browsers eine neue Funktion zum Protokollieren von Benutzerklicks eingebaut. Das von der WhatWG spezifizierte ping-Attribut für Hyperlinks schickt beim Klick auf einen Link einen Ping an einen oder mehrere URLs. Tatsächlich setzen Vorabversionen von Firefox 1.6a1 (Codename "Deer Park 2") beim Klick auf<a href="#" ping="http://heise.de">Link</a>einen Ping an den Heise-Server ab. Der Ping-Mechanismus soll den Tracking-Prozess vereinfachen, mit dem Websites Benutzerverhalten beobachten. In ersten Reaktionen äußerte sich die Anwendergemeinde besorgt, die Rede war von Spyware. Derzeit setzen die Gestalter kommerzieller Seiten meist spezielle Weiterleitungen oder JavaScript ein, um den Klick auf einen Link zu protokollieren.Entgegen einer Empfehlung der WhatWG-Spezifikation lässt sich der Mechanismus nicht abschalten. Bislang ist nicht bekannt, ob auch andere Browser das ping-Attribut unterstützen oder eine Implementierung geplant ist. WhatWG ist ein loser Zusammenschluss von Browser-Herstellern wie Mozilla, Opera und Apple, welcher die Web-Standards des W3C ergänzen will. Das ping-Attribut entstammt dem Spezifikationsentwurf zu Web Applications 1.0, das auch als "HTML 5" gehandelt wird. Schon jetzt setzen Browser wie Firefox 1.5, Opera 8.5 oder Apple Safari Teile der Spezifikation um, beispielsweise Vektorgrafiken mit <canvas>.[Update]: Die Funktion lässt sich bislang nicht über das normale Konfigurationsmenü abschalten. Über about:config lässt sich aber die Variable browser.send_pings editieren, um Firefox das Verhalten abzugewöhnen. Standardmäßig ist die Funktion aber in aktuellen Entwicklerversionen eingeschaltet. (heb/c't)
Sinn ist es den Benutzer leichter "tracken" zu können. Bei Klick auf ein Link soll der Browser ein "Ping" an mehrere angegebene Ping-Links schicken, damit diese wissen, wo und wann ein Benutzer auf welchen Link geklickt hat. Sowas ist auch heute bei Werbebelasteten Webseiten üblich, doch ist die Implementierung seitens Webmaster aufwändiger. Nun soll Firefox halt die absolut sinnlose "Benutzertracking und Überwachung" unterstützen. Abschalten soll nicht möglich sein. Und natürlich bekommt ein otto-normal Benutzer nichts davon mit. Man fragt sich, wie die Entwickler auf so eine blödsinnige Idee kommen, doch kann man sich keine Antwort denken. Mit der neuerdings eingeführtem automatischem Update werden den meisten diese Funktionen einfach automatisch untergeschoben. Wie man das verhindern könnte? Praktisch gar nicht. Kurz nach der Meldung kam neues Firefox update raus:
Quelle: www.heise.de/newsticker/meldung/69139 Datum: 02.02.2006 11:23Die Mozilla Foundation gibt das erste Update des Webbrowsers Firefox 1.5 heraus. In der Version 1.5.0.1 haben die Entwickler einige Sicherheitslöcher gestopft, Speicherlecks abgedichtet sowie die allgemeine Stabilität verbessert. Der neue Webbrowser lässt sich wahlweise als Komplettpaket oder als Update über den Einstellungsdialog herunterladen. Bislang führten beispielsweise überlange Seitennamen zu einem Absturz beim erneuten Start.
Doch wer sich die Changelogs anguckte, sah nur sehr undefinierte Beschreibungen dessen, was sich geändert hatte. Ob die Funktion schon implementiert sein könnte, kann man nicht erfahren (es sei den, man würde kompletten Code durchsuchen und wüsste, wonach man suchen muss).
Quelle: ff1.5.0.1.zip (von mir archiviert) Datum: 02.02.2006 00:40Here's what's new in Firefox 1.5.0.1:
- Improved stability.
- Improved support for Mac OS X.
- International Domain Name support for Iceland (.is) is now enabled.
- Fixes for several memory leaks.
- Several security enhancements.
Noch schlimmer ist es, dass der Update selbst noch nicht alle lücken schließt. Es wurden blöderweise von Mozilla/Firefox spezielle, proprietäre Funktionen implementiert, welche Sicherheitslöcher reißen.
Quelle: www.heise.de/newsticker/meldung/69159 Datum: 02.02.2006 15:35Mozilla und Firefox geben sensible Informationen preis. Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen. Betroffen von dem Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox. Auch das gerade erst freigegebene Update auf Firefox 1.5.0.1 behebt das Problem noch nicht. Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke des Internet Explorers und der Chrome-Problematik von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.
Gestern (13.03.2006) ist Firefox 1.5.0.2 erschienen, aber immer noch nicht die Lücke geschloßen.
Die meisten bekannt gewordenen Angriffe auf Browser beschränkten sich bisher meistens mit MS-InternetExplorer, weil er am meisten verbreitet war. Da Firefox als größte Alternative zu MS-InternetExplorer oft angesprochen wird, wird die Zahl der Firefoxnutzer stetig steigen. Deshalb wird es in Zukunft interessanter die Firefox-Browser anzugreifen und die Lücken werden rücksichtsloser ausgenutzt. Und auch wenn Firefox um Längen sicherer als MS-InternetExplorer ist, doch wohl heutzutage nicht sicher genug für eine Massenanwendung.
Viele stolze Firefox Nutzer nennen als ein großer Vorteil von Firefox, dass dieser offene Quellen hat und frei ist. So ganz frei ist er aber nicht. Sein Quelltext darf in mehrere Länder nicht exportiert werden und damit darf Firefox dort nicht wirklich frei benutzt werden.
Quelle: developer.mozilla.org/en/docs/Download_Mozilla_Source_Code Datum: 08.03.2006 02:02This source code is subject to the U.S. Export Administration Regulations and other U.S. law, and may not be exported or re-exported to certain countries (currently Afghanistan (Taliban controlled areas), Cuba, Iran, Iraq, Libya, North Korea, Sudan and Syria) or to persons or entities prohibited from receiving U.S. exports (including Denied Parties, entities on the Bureau of Export Administration Entity List, and Specially Designated Nationals).
Das Pluginsystem von Firefox ist gerade das größte Sicherheitsproblem dessen: heise: Browser-Add-ons spionieren Anwender aus
Nun wird man sich fragen, welche Alternativen es gäbe. Gleich vorweg: MS-InternetExplorer sollte man nicht mit dem Wort Browser bezeichnen. Und für browsen im Internet eignet er sich absolut nicht. Aber was dann, wenn nicht Firefox? Meine Favoriten wären Opera und Dillo. Konqueror könnte man auch noch benutzen. Zur guten und ziemlich sicheren Browser zählen auch noch beide Text-Browser Links und Lynx. Möglicherweise ist auch Gnuzilla and IceWeasel interessant, sollte es sich irgendwann zu einem Fork entwickeln.
Site by Blacker47 - Imprint
