So langsam wird Firefox - viel geliebt, gelobt und propagiert - erwachsen. Mit mehreren hunderttausend Downloads jeden Tag nimmt die Verbreitung im Vergleich zur Anzahl der Surfer insgesamt zwar nicht sehr rasant zu, aber immerhin reichte es dennoch aus, um z.B. Microsoft aus der Deckung zu locken - der IE 7 wird wohl nun doch noch dieses Jahr kommen.
Was aber nun auch deutlich wird, und was bei den ganzen Beta-Versionen seit Mozilla Firebird einfach so hingenommen wurde ("ist ja noch beta"), ist, dass die Anzahl der Sicherheitslücken zumindest rein subjektiv aus Sicht des Anwenders nicht wesentlich geringer ist, als die bei Internet Explorer oder etwa Opera.
Tatsächlich kommen in letzter Zeit im Wochentakt neue Updates - hier die Liste aller Updates seit dem Final Release:
"Fixed in Firefox 1.0.3
MFSA 2005-33 Javascript "lambda" replace exposes memory contents
MFSA 2005-34 javascript: PLUGINSPAGE code execution
MFSA 2005-35 Showing blocked javascript: popup uses wrong privilege context
MFSA 2005-36 Cross-site scripting through global scope pollution
MFSA 2005-37 Code execution through javascript: favicons
MFSA 2005-38 Search plugin cross-site scripting
MFSA 2005-39 Arbitrary code execution from Firefox sidebar panel II
MFSA 2005-40 Missing Install object instance checks
MFSA 2005-41 Privilege escalation via DOM property overrides
Fixed in Firefox 1.0.2
MFSA 2005-32 Drag and drop loading of privileged XUL
MFSA 2005-31 Arbitrary code execution from Firefox sidebar panel
MFSA 2005-30 GIF heap overflow parsing Netscape extension 2
Fixed in Firefox 1.0.1
MFSA 2005-29 Internationalized Domain Name (IDN) homograph spoofing
MFSA 2005-28 Unsafe /tmp/plugtmp directory exploitable to erase user's files
MFSA 2005-27 Plugins can be used to load privileged content
MFSA 2005-26 Cross-site scripting by dropping javascript: link on tab
MFSA 2005-25 Image drag and drop executable spoofing
MFSA 2005-24 HTTP auth prompt tab spoofing
MFSA 2005-23 Download dialog source spoofing
MFSA 2005-22 Download dialog spoofing using Content-Disposition header
MFSA 2005-21 Overwrite arbitrary files downloading .lnk twice
MFSA 2005-20 XSLT can include stylesheets from arbitrary hosts
MFSA 2005-19 Autocomplete data leak
MFSA 2005-18 Memory overwrite in string library
MFSA 2005-17 Install source spoofing with user:pass@host
MFSA 2005-16 Spoofing download and security dialogs with overlapping windows
MFSA 2005-15 Heap overflow possible in UTF8 to Unicode conversion
MFSA 2005-14 SSL "secure site" indicator spoofing
MFSA 2005-13 Window Injection Spoofing"
Davon wurden 6 als kritisch, und ebenso viele als "hoch" eingestuft.
Was kann man daraus schließen? Eigentlich nur, dass Firefox nicht minder von Sicherheitslücken verseucht ist als der IE. Was ja auch in der Natur der Sache liegt - jeder, der programmiert weiß es, man kann keine 100%-fehlerfreie Software schreiben.
Dennoch registriert das keiner, herumgehackt wird auch weiterhin nur auf dem IE. Und das obwohl man z.B. für jedes Update im 0.0.1-er-Schritt die komplette Software erneut runterladen muss. Mich interessiert das hinter meiner 1-MBit-Leitung nicht, aber was ist mit den Modem-Usern? Ich war am Wochenende bei Freunden und wollte denen eigentlich Firefox empfehlen, aber bei ner 56-KBit-Verbindung macht es sich nicht so gut 5 Megabyte Browser herunterzuladen - und selbst wenn ich sie hätte überreden können bzw. wollen, ich weiß jetzt schon, dass die sich nie von allein die Updates ziehen würden ...
Es bleibt also noch einiges zu tun Mr. "Die Welt wäre besser dran, wenn Google mehr Einfluss hätte."
(Ach ja, damit kein falscher Eindruck ensteht - Firefox ist für mich nach wie vor der bessere Browser, schon allein wg. der RSS-Unterstützung und Tabbed-Browsing ;-))
