Artikel top billede

Stor test: Hvor sikker er Firefox?

Mozillas webbrowser har mange brugervenlige features og tredjeparts-extensions. Men sikkerheds-kontrollen er ikke i top.

Mozillas open source Firefox-browser har taget en pæn bid af Internet Explorers dominerende markedsandel.

En del af populariteten skyldes, at det er let for tredjepart at få fat på add-ons, som øger Firefox' funktionalitet ganske betragteligt. Det betyder, at Firefox for eksempel kan afkoble Java eller JavaScript dynamisk, udføre JavaScript- hvidlistning eller endda hoste ActiveX-kontroller.

Firefox har altid skubbet grænserne for features og funktionalitet og kan prale med både voksende udbredelse i virksomhederne og mulighed for at køre på Windows, Mac og Linux. Derimod er sikkerhedskontrollen i Firefox lidt grov i maskerne.

Firefox spørger ikke automatisk om sikkerhedsniveau, når man installerer, så derfor skal man søge for på forhånd at køre som administrator, hvis man f.eks. vil installere browseren i den normale Program Files-mappe i Windows Vista.

Hvis Firefox installeres på Vista, kører det som single process (Firefox.exe) med middel sikkerhed, DEP (data execution prevention) og ASLR (address space layout randomization) slået til og filsystem og registrerings-virtualisering slået fra. Det sidste er en feature i Vista, der giver brugerne mulighed for at køre applikationer uden at have administrative privilegier.

Firefox har, som Google Chrome, en JavaScript-engine, der konverterer JavaScript kildekode til maskinkode. Firefox bruger en open source-engine kaldet TraceMonkey. I modsætning til Chrome, hvor V8 JavaScript-motoren altid er slået til, så kan Firefox' JavaScript-support kobles til eller fra. Ved at anvende NoScript-tilføjelsen kan man aktivere JavaScript (og Java og Flash) på de sider, man vil.

De forskellige add-ons som NoScript og plug-ins som Adobe Flash giver Firefox mange anvendelige funktioner, men de medfører også en del sikkerhedsproblemer. Firefox har en indbygget add-on-manager, der gør, at man kan browse efter tilgængelige extensions, installere og afinstallere dem, koble dem til og fra, men det kan ikke gøres fra site til site.

Sikkerhedsindstillinger

Sikkerhed kan defineres via den normale Tools > Options-menu eller ved at skrive "about:config" i adresse-linjen. Den sidste mulighed giver hundredvis af opsætningsmuligheder bag scenen så at sige, i stil med hvad man kun kan finde i opsætning af registry i andre browsere.

Seriøse brugere vil altid konfigurere sikkerhed ved at bruge about:config-metoden, om end det kan være en anelse besværligt at finde detaljerede beskrivelser for hver mulighed.

Firefox har gjort tabbed browsing hot. Den seneste version, 3.0, gør det muligt at flytte tabs eller faner fra et vindue til et andet. Firefox 3.0 har også en privat browsing-mode, der ikke gemmer nogen data, efter handlingen er stoppet.

Som default tillades første- og tredjeparts cookies, men det er muligt at ændre ved den overordnede cookie-politik på den enkelte maskine Tredjeparts-cookies kan ikke læses af uvedkommende, som de kan i Safari og Chrome, men privatlivs-sikringen er ikke så finmasket som i Internet Explorer.

Firefox har en anti-phishingfeature og vil forsøge at blokere forbindelser til sider, der tidligere er blevet rapporteret som ondsindede. Den minder om Internet Explorers Smart­Sceen Filter. Disse funktioner kan let kobles til eller fra. Firefox har den bedste pop-up-blokering i alle de browsere, jeg har testet.

I de andre browsere har der i perioder været problemer eller forsinkelser eller problemer med grænsefladen, men Firefox blokerede bare pop-up-vinduerne og advarede på en ikke-irriterende måde.

Men da jeg med Firefox gik ind på en side, der er kendt for at starte flere håndfulde af browser-vinduer, pop-up-reklamer og programmer, lukkede Firefox som de fleste andre browsere, jeg har testet (med Opera som eneste undtagelse).

Jeg var nødt til at reboote systemet for igen at få kontrol over det. Og da jeg genstartede Firefox, forsøgte den at åbne de websider, jeg senest havde besøgt (lige som de fleste andre browsere), hvilket i dette tilfælde var den dødbringende side.

Efter en lille Task Manager-kamp var jeg i stand til at slutte den nye Firefox-session, før vi skulle møllen igennem en gang til. Heldigvis har Firefox, som Internet Explorer, en "safe mode", der kan initieres, så man kan komme sig efter sådanne katastrofer.

Internet Explorer holder sig til at deaktivere alle add-ons som default, men Firefox Safe Mode giver en mulighed for at slette de historiske filer, genvælge default-opsætningen for browseren, foretage andre nødvendige ændringer og så automatisk genstarte i normalt mode. Det er en rigtig fin feature.

God kodeordskontrol

Firefox highlighter ikke ægte domænenavne, sådan som nogle af konkurrenterne gør, men den håndterer certifikater på bedste vis. Den understøtter Extended Validation-certifikater (EV), OCSP (online certificate status protocol) og ECC-kryptering (elliptical curve cryptography), og den er går direkte til værks over for certifikatfejl.

Brugere skal klikke og bekræfte flere gange for at komme til en webside med et dårligt eller utroværdigt certifikat, og de får mange muligheder for at gennemse og installere det pågældende certifikat.

Samtidig har Firefox den strengeste SSL/TLS-krypteringsorden (secure sockets layer/transport layer security) blandt de større browsere og foretrækker TLS med ECC med AES 256-bit symmetrisk nøglestørrelse. (Internet Explorer tilbyderRSA med 128-bit AES først). De fleste websider understøtter endnu ikke 256-bit AES-nøgler, så der kan man sige, at Firefox er på forkant med hensyn til kryptering.

Når den får forbindelse til et website, der indeholder et EV-certifikat, tilføjer Firefox URL'en på adresselinjen med firmaets navn i grønt.

Firefox tjekker altid for opdateringer af browser, add-on og søgemaskine. Men lige som Chrome glemmer den at bede om tilladelse til at tjekke eller installere, men i modsætning til Chrome kan man i Firefox let ændre den opsætning.

Firefox har også nogle begrænsede MIME indholds-opsnusnings-funktioner, og da Firefox ikke understøtter ActiveX-kontroller (det er kun Internet Explorer), får dens brugere en hel del implicit beskyttelse, som brugere af Internet Explorer ikke får.

At der ikke er nogen indbyggede, brugerdefinerede sikkerhedszoner i Firefox tæller på negativsiden for mange brugere. I dag skal en browser, der vil gøre sig gældende på virksomhedsniveau, bruge konceptet med mange sikkerhedsdomæner, hvor brugerne selv kan definere opsætningen. Her står Firefox ikke distancen.

Men som en af de mest besynderlige mellemløsninger tilbyder Firefox begrænset understøttelse af Internet Explorers sikkerhedszoner.

Firefox har tilføjet muligheden for, at downloadede filer kan markeres med Internet Explorers sikkerhedszone-identifikator. Zone-identifikatoren er vedhæftet filen som en "skjult", alternativ datastrøm. Herefter behandler Firefox fil-download, som var det konfigureret i Internet Explorer.

Ofte skal filen "frigøres", for at kunne køre på brugerens maskine. Selv om denne feature er et absolut plus for Mozilla-brugere, så får Firefox-fans et besynderligt udtryk i ansigtet, når man fortæller dem, at deres ønske-browser er afhængig af Internet Explorers sikkerhedsopsætning.

Ikke det mest fintmaskede net

Firefox klarede 9 af de 21 password-håndteringstest i Password Manager Evaluator. Det placerer den på en klar førsteplads blandt de browsere, jeg har testet (som er Internet Explorer, Google Chrome, Opera og Safari).

Firefox tillader, at lokalt gemte passwords kan blive beskyttet af et separat master-kodeord, og den fortæller dig også, hvor stærkt dit master-kodeord er.

Firefox bestod også mine browser-sikkerheds- og JavaScript-sikkerhedstest, håndterede masser af prædefinerede test i mit laboratorium og flere browser-sikkerhedstest-sites uden at give tilladelse til installation af malware.

Godt valg

Firefox' popularitet har selvfølgelig fået angriberne ud af busken. Mange af de angreb, der bliver sendt af sted med spredehagl, rammer specielt Firefox og gør den dermed til den næstmest angrebne browser kun overgået af Internet Explorer.

Firefox 3.0 har haft mindst 39 forskellige sårbarheder på under seks måneder. (Til sammenligning havde Firefox 2.0 154 sårbarheder i sin levetid.) 75 procent af dem blev rangeret som "meget kritiske", og en tredjedel gav plads til omfattende kompromittering af systemet.

En af de almindelige anker over Firefox er manglende support i virksomheder. Selv om Mozilla ikke direkte tilbyder værktøjer til at gøre store installationer lettere eller til centralt at styre Firefox via Group Policy, så findes de hos uafhængige leverandører, blandt andre FirefoxADM og FrontMotion.

Alt i alt er Firefox en avanceret open source-browser, der har fortjent pladsen som markedsførende. Firefox er, som Internet Explorer, populær i brede kredse og har support fra tredjepart.

Og som Internet Explorer kæmper den med hyppigt fundne sårbarheder, måske delvis forårsaget af leverandørens engagement i SDL-processerne (security development lifecycle), der i første omgang førte til afdækning af flere sårbarheder under test.

Firefox er et godt browservalg for alle, men især for brugere, der bevidst vil undgå Internet Explorer (og ActiveX), eller som ikke har behov for det mest finmaskede net (for eksempel mange sikkerhedszoner) i deres browsers sikkerhed.

Oversat af Birte Matsen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere