Sicherheit
So zeigt man sich davon überzeugt, dass bisher der IE7 der sicherste aller Browser sei. Dies würde auch ein aktueller Sicherheitsreport demonstrieren, der zeige, dass der IE in der jüngeren Vergangenheit mit wesentlich weniger Lücken zu kämpfen hatte, als seine größte Konkurrenz - der Mozilla Firefox.
Rohzahlen
So seien für den Firefox seit Herbst 2004 199 Sicherheitslücken gemeldet worden, immerhin 75 davon wurden als kritisch eingeschätzt. Der Internet Explorer komme zum Vergleich im selben Zeitraum auf "lediglich" 87 Lücken, 54 davon als kritisch klassifiziert.
Sinnlos
Eine Statistik, die wenig überraschend recht flott zu hitzigen Reaktionen aus dem Mozilla-Lager führte. So empörte man sich nicht nur über die Art wie hier verschleiert würde, dass der Autor der Studie, Jeff Jones, Chef der Sicherheitsstrategie im Bereich Trustworthy-Computing bei Microsoft sei - etwas, das im IEBlog-Eintrag unerwähnt bleibt. Auch der Inhalt sieht sich starker Kritik ausgesetzt: Diese Art der Erbsenzählerei sei einfach nur "sinnlos", wie es so manche Mozilla-EntwicklerInnen formulieren.
Keine Überraschungen
Die Anzahl der Security Advisories sei ein denkbar untaugliches Mittel, um etwas über die reale Gefährdung der BenutzerInnen auszusagen, wie Mozilla-Sicherheitsexpertin Window Snyder herausstreicht. Denn dass diese Zahl beim Firefox, der sich bewusst einem offenen und proaktiven Sicherheitsprozess verschrieben hat, größer sei, sei keine große Überraschung.
Einschränkung
Immerhin gehe man entsprechende Problem nicht nur aktiv an, sondern berichte offen über alle sicherheitsrelevanten Probleme - auch die, die intern aufgespürt werden. Die Zahlen von Microsoft beinhalten hingegen lediglich die Bugs, die extern entdeckt werden, alles andere werde erst in Service Packs "versteckt" ausgeliefert.
Kehrseite
Eine Herangehensweise, die für Microsoft durchaus so ihre Vorteile habe, immerhin könne man die Fixes länger testen. Auf der anderen Seite verginge so schnell mal ein Jahr, in dem AngreiferInnen Zeit hätten, die Lücke selbst aufzuspüren und auszunutzen.
Reaktion
Für die Qualität eines Sicherheitsprozess seien aber ohnehin andere Faktoren wichtiger als die Anzahl der Advisories möglichst niedrig zu halten, etwa ein schnelles Reagieren auf bekannte Probleme. Insofern würde sich Snyder wünschen, dass man sich einmal gemeinsam als Industrie darauf einigen könnte, dass das Zählen von Bugs kein taugliches Mittel zur Bestimmung der Sicherheit eines Produkts sei.
Studie
Wirklich relevant für die BenutzerInnen sei ohnehin eine andere Frage: Die der realen Gefährdung, und da sehe es für den Internet Explorer ungleich schlechter aus. So verweist Snyder auf eine Studie der Washington Post, die zeige, dass der Internet Explorer im Jahr 2006 stolze 284 Tage mit Sicherheitslücken konfrontiert war, die bereits aktiv ausgenutzt wurden, es aber noch keinen Fix gab. Beim Firefox seien dies hingegen gerade mal 9 Tage gewesen.
URI