Für eine rege Kontroverse sorgt derzeit ein Posting im IEBlog mit dem Microsoft eigentlich den einjährigen Geburtstag des Internet Explorer 7 feiern wollte: Streitpunkt sind dabei die Aussagen zur Sicherheit der diversen Browser.

Sicherheit

So zeigt man sich davon überzeugt, dass bisher der IE7 der sicherste aller Browser sei. Dies würde auch ein aktueller Sicherheitsreport demonstrieren, der zeige, dass der IE in der jüngeren Vergangenheit mit wesentlich weniger Lücken zu kämpfen hatte, als seine größte Konkurrenz - der Mozilla Firefox.

Rohzahlen

So seien für den Firefox seit Herbst 2004 199 Sicherheitslücken gemeldet worden, immerhin 75 davon wurden als kritisch eingeschätzt. Der Internet Explorer komme zum Vergleich im selben Zeitraum auf "lediglich" 87 Lücken, 54 davon als kritisch klassifiziert.

Sinnlos

Eine Statistik, die wenig überraschend recht flott zu hitzigen Reaktionen aus dem Mozilla-Lager führte. So empörte man sich nicht nur über die Art wie hier verschleiert würde, dass der Autor der Studie, Jeff Jones, Chef der Sicherheitsstrategie im Bereich Trustworthy-Computing bei Microsoft sei - etwas, das im IEBlog-Eintrag unerwähnt bleibt. Auch der Inhalt sieht sich starker Kritik ausgesetzt: Diese Art der Erbsenzählerei sei einfach nur "sinnlos", wie es so manche Mozilla-EntwicklerInnen formulieren.

Keine Überraschungen

Die Anzahl der Security Advisories sei ein denkbar untaugliches Mittel, um etwas über die reale Gefährdung der BenutzerInnen auszusagen, wie Mozilla-Sicherheitsexpertin Window Snyder herausstreicht. Denn dass diese Zahl beim Firefox, der sich bewusst einem offenen und proaktiven Sicherheitsprozess verschrieben hat, größer sei, sei keine große Überraschung.

Einschränkung

Immerhin gehe man entsprechende Problem nicht nur aktiv an, sondern berichte offen über alle sicherheitsrelevanten Probleme - auch die, die intern aufgespürt werden. Die Zahlen von Microsoft beinhalten hingegen lediglich die Bugs, die extern entdeckt werden, alles andere werde erst in Service Packs "versteckt" ausgeliefert.

Kehrseite

Eine Herangehensweise, die für Microsoft durchaus so ihre Vorteile habe, immerhin könne man die Fixes länger testen. Auf der anderen Seite verginge so schnell mal ein Jahr, in dem AngreiferInnen Zeit hätten, die Lücke selbst aufzuspüren und auszunutzen.

Reaktion

Für die Qualität eines Sicherheitsprozess seien aber ohnehin andere Faktoren wichtiger als die Anzahl der Advisories möglichst niedrig zu halten, etwa ein schnelles Reagieren auf bekannte Probleme. Insofern würde sich Snyder wünschen, dass man sich einmal gemeinsam als Industrie darauf einigen könnte, dass das Zählen von Bugs kein taugliches Mittel zur Bestimmung der Sicherheit eines Produkts sei.

Studie

Wirklich relevant für die BenutzerInnen sei ohnehin eine andere Frage: Die der realen Gefährdung, und da sehe es für den Internet Explorer ungleich schlechter aus. So verweist Snyder auf eine Studie der Washington Post, die zeige, dass der Internet Explorer im Jahr 2006 stolze 284 Tage mit Sicherheitslücken konfrontiert war, die bereits aktiv ausgenutzt wurden, es aber noch keinen Fix gab. Beim Firefox seien dies hingegen gerade mal 9 Tage gewesen.

URI

Zahlen, die Mozilla-Entwickler Mike Schroepfer noch mit einem aktuellen Beispiel untermalt. Als im Juli die bekannte URI-Lücke aufgetaucht ist, habe man ursprünglich gedacht, dass es sich dabei ausschließlich um einen Fehler in Windows oder dem Internet Explorer handle. Eine Fehleinschätzung, die man allerdings schnell korrigiert habe und innerhalb einer Woche einen Fix nachgeliefert hat. Microsoft habe hingegen drei Monate benötigt, um das Problem als eigenes einzugestehen und dann nochmals einen Monat, um einen Fix abzuliefern. (apo)