Stor test: Hvor sikker er Firefox?

Mozillas open source Firefox-browser har taget en pæn bid af Internet Explorers dominerende markedsandel.

En del af populariteten skyldes, at det er let for tredjepart at få fat på add-ons, som øger Firefox' funktionalitet ganske betragteligt. Det betyder, at Firefox for eksempel kan afkoble Java eller JavaScript dynamisk, udføre JavaScript- hvidlistning eller endda hoste ActiveX-kontroller.

Firefox har altid skubbet grænserne for features og funktionalitet og kan prale med både voksende udbredelse i virksomhederne og mulighed for at køre på Windows, Mac og Linux. Derimod er sikkerhedskontrollen i Firefox lidt grov i maskerne.

Firefox spørger ikke automatisk om sikkerhedsniveau, når man installerer, så derfor skal man søge for på forhånd at køre som administrator, hvis man f.eks. vil installere browseren i den normale Program Files-mappe i Windows Vista.

Hvis Firefox installeres på Vista, kører det som single process (Firefox.exe) med middel sikkerhed, DEP (data execution prevention) og ASLR (address space layout randomization) slået til og filsystem og registrerings-virtualisering slået fra. Det sidste er en feature i Vista, der giver brugerne mulighed for at køre applikationer uden at have administrative privilegier.

Firefox har, som Google Chrome, en JavaScript-engine, der konverterer JavaScript kildekode til maskinkode. Firefox bruger en open source-engine kaldet TraceMonkey. I modsætning til Chrome, hvor V8 JavaScript-motoren altid er slået til, så kan Firefox' JavaScript-support kobles til eller fra. Ved at anvende NoScript-tilføjelsen kan man aktivere JavaScript (og Java og Flash) på de sider, man vil.

De forskellige add-ons som NoScript og plug-ins som Adobe Flash giver Firefox mange anvendelige funktioner, men de medfører også en del sikkerhedsproblemer. Firefox har en indbygget add-on-manager, der gør, at man kan browse efter tilgængelige extensions, installere og afinstallere dem, koble dem til og fra, men det kan ikke gøres fra site til site.

Fortsættes ...