Artikel top billede

Stor test: Hvor sikker er Firefox?

Mozillas webbrowser har mange brugervenlige features og tredjeparts-extensions. Men sikkerheds-kontrollen er ikke i top.

Mozillas open source Firefox-browser har taget en pæn bid af Internet Explorers dominerende markedsandel.

En del af populariteten skyldes, at det er let for tredjepart at få fat på add-ons, som øger Firefox' funktionalitet ganske betragteligt. Det betyder, at Firefox for eksempel kan afkoble Java eller JavaScript dynamisk, udføre JavaScript- hvidlistning eller endda hoste ActiveX-kontroller.

Firefox har altid skubbet grænserne for features og funktionalitet og kan prale med både voksende udbredelse i virksomhederne og mulighed for at køre på Windows, Mac og Linux. Derimod er sikkerhedskontrollen i Firefox lidt grov i maskerne.

Firefox spørger ikke automatisk om sikkerhedsniveau, når man installerer, så derfor skal man søge for på forhånd at køre som administrator, hvis man f.eks. vil installere browseren i den normale Program Files-mappe i Windows Vista.

Hvis Firefox installeres på Vista, kører det som single process (Firefox.exe) med middel sikkerhed, DEP (data execution prevention) og ASLR (address space layout randomization) slået til og filsystem og registrerings-virtualisering slået fra. Det sidste er en feature i Vista, der giver brugerne mulighed for at køre applikationer uden at have administrative privilegier.

Firefox har, som Google Chrome, en JavaScript-engine, der konverterer JavaScript kildekode til maskinkode. Firefox bruger en open source-engine kaldet TraceMonkey. I modsætning til Chrome, hvor V8 JavaScript-motoren altid er slået til, så kan Firefox' JavaScript-support kobles til eller fra. Ved at anvende NoScript-tilføjelsen kan man aktivere JavaScript (og Java og Flash) på de sider, man vil.

De forskellige add-ons som NoScript og plug-ins som Adobe Flash giver Firefox mange anvendelige funktioner, men de medfører også en del sikkerhedsproblemer. Firefox har en indbygget add-on-manager, der gør, at man kan browse efter tilgængelige extensions, installere og afinstallere dem, koble dem til og fra, men det kan ikke gøres fra site til site.

Sikkerhedsindstillinger

Sikkerhed kan defineres via den normale Tools > Options-menu eller ved at skrive "about:config" i adresse-linjen. Den sidste mulighed giver hundredvis af opsætningsmuligheder bag scenen så at sige, i stil med hvad man kun kan finde i opsætning af registry i andre browsere.

Seriøse brugere vil altid konfigurere sikkerhed ved at bruge about:config-metoden, om end det kan være en anelse besværligt at finde detaljerede beskrivelser for hver mulighed.

Firefox har gjort tabbed browsing hot. Den seneste version, 3.0, gør det muligt at flytte tabs eller faner fra et vindue til et andet. Firefox 3.0 har også en privat browsing-mode, der ikke gemmer nogen data, efter handlingen er stoppet.

Som default tillades første- og tredjeparts cookies, men det er muligt at ændre ved den overordnede cookie-politik på den enkelte maskine Tredjeparts-cookies kan ikke læses af uvedkommende, som de kan i Safari og Chrome, men privatlivs-sikringen er ikke så finmasket som i Internet Explorer.

Firefox har en anti-phishingfeature og vil forsøge at blokere forbindelser til sider, der tidligere er blevet rapporteret som ondsindede. Den minder om Internet Explorers Smart­Sceen Filter. Disse funktioner kan let kobles til eller fra. Firefox har den bedste pop-up-blokering i alle de browsere, jeg har testet.

I de andre browsere har der i perioder været problemer eller forsinkelser eller problemer med grænsefladen, men Firefox blokerede bare pop-up-vinduerne og advarede på en ikke-irriterende måde.

Men da jeg med Firefox gik ind på en side, der er kendt for at starte flere håndfulde af browser-vinduer, pop-up-reklamer og programmer, lukkede Firefox som de fleste andre browsere, jeg har testet (med Opera som eneste undtagelse).

Jeg var nødt til at reboote systemet for igen at få kontrol over det. Og da jeg genstartede Firefox, forsøgte den at åbne de websider, jeg senest havde besøgt (lige som de fleste andre browsere), hvilket i dette tilfælde var den dødbringende side.

Efter en lille Task Manager-kamp var jeg i stand til at slutte den nye Firefox-session, før vi skulle møllen igennem en gang til. Heldigvis har Firefox, som Internet Explorer, en "safe mode", der kan initieres, så man kan komme sig efter sådanne katastrofer.

Internet Explorer holder sig til at deaktivere alle add-ons som default, men Firefox Safe Mode giver en mulighed for at slette de historiske filer, genvælge default-opsætningen for browseren, foretage andre nødvendige ændringer og så automatisk genstarte i normalt mode. Det er en rigtig fin feature.

God kodeordskontrol

Firefox highlighter ikke ægte domænenavne, sådan som nogle af konkurrenterne gør, men den håndterer certifikater på bedste vis. Den understøtter Extended Validation-certifikater (EV), OCSP (online certificate status protocol) og ECC-kryptering (elliptical curve cryptography), og den er går direkte til værks over for certifikatfejl.

Brugere skal klikke og bekræfte flere gange for at komme til en webside med et dårligt eller utroværdigt certifikat, og de får mange muligheder for at gennemse og installere det pågældende certifikat.

Samtidig har Firefox den strengeste SSL/TLS-krypteringsorden (secure sockets layer/transport layer security) blandt de større browsere og foretrækker TLS med ECC med AES 256-bit symmetrisk nøglestørrelse. (Internet Explorer tilbyderRSA med 128-bit AES først). De fleste websider understøtter endnu ikke 256-bit AES-nøgler, så der kan man sige, at Firefox er på forkant med hensyn til kryptering.

Når den får forbindelse til et website, der indeholder et EV-certifikat, tilføjer Firefox URL'en på adresselinjen med firmaets navn i grønt.

Firefox tjekker altid for opdateringer af browser, add-on og søgemaskine. Men lige som Chrome glemmer den at bede om tilladelse til at tjekke eller installere, men i modsætning til Chrome kan man i Firefox let ændre den opsætning.

Firefox har også nogle begrænsede MIME indholds-opsnusnings-funktioner, og da Firefox ikke understøtter ActiveX-kontroller (det er kun Internet Explorer), får dens brugere en hel del implicit beskyttelse, som brugere af Internet Explorer ikke får.

At der ikke er nogen indbyggede, brugerdefinerede sikkerhedszoner i Firefox tæller på negativsiden for mange brugere. I dag skal en browser, der vil gøre sig gældende på virksomhedsniveau, bruge konceptet med mange sikkerhedsdomæner, hvor brugerne selv kan definere opsætningen. Her står Firefox ikke distancen.

Men som en af de mest besynderlige mellemløsninger tilbyder Firefox begrænset understøttelse af Internet Explorers sikkerhedszoner.

Firefox har tilføjet muligheden for, at downloadede filer kan markeres med Internet Explorers sikkerhedszone-identifikator. Zone-identifikatoren er vedhæftet filen som en "skjult", alternativ datastrøm. Herefter behandler Firefox fil-download, som var det konfigureret i Internet Explorer.

Ofte skal filen "frigøres", for at kunne køre på brugerens maskine. Selv om denne feature er et absolut plus for Mozilla-brugere, så får Firefox-fans et besynderligt udtryk i ansigtet, når man fortæller dem, at deres ønske-browser er afhængig af Internet Explorers sikkerhedsopsætning.

Ikke det mest fintmaskede net

Firefox klarede 9 af de 21 password-håndteringstest i Password Manager Evaluator. Det placerer den på en klar førsteplads blandt de browsere, jeg har testet (som er Internet Explorer, Google Chrome, Opera og Safari).

Firefox tillader, at lokalt gemte passwords kan blive beskyttet af et separat master-kodeord, og den fortæller dig også, hvor stærkt dit master-kodeord er.

Firefox bestod også mine browser-sikkerheds- og JavaScript-sikkerhedstest, håndterede masser af prædefinerede test i mit laboratorium og flere browser-sikkerhedstest-sites uden at give tilladelse til installation af malware.

Godt valg

Firefox' popularitet har selvfølgelig fået angriberne ud af busken. Mange af de angreb, der bliver sendt af sted med spredehagl, rammer specielt Firefox og gør den dermed til den næstmest angrebne browser kun overgået af Internet Explorer.

Firefox 3.0 har haft mindst 39 forskellige sårbarheder på under seks måneder. (Til sammenligning havde Firefox 2.0 154 sårbarheder i sin levetid.) 75 procent af dem blev rangeret som "meget kritiske", og en tredjedel gav plads til omfattende kompromittering af systemet.

En af de almindelige anker over Firefox er manglende support i virksomheder. Selv om Mozilla ikke direkte tilbyder værktøjer til at gøre store installationer lettere eller til centralt at styre Firefox via Group Policy, så findes de hos uafhængige leverandører, blandt andre FirefoxADM og FrontMotion.

Alt i alt er Firefox en avanceret open source-browser, der har fortjent pladsen som markedsførende. Firefox er, som Internet Explorer, populær i brede kredse og har support fra tredjepart.

Og som Internet Explorer kæmper den med hyppigt fundne sårbarheder, måske delvis forårsaget af leverandørens engagement i SDL-processerne (security development lifecycle), der i første omgang førte til afdækning af flere sårbarheder under test.

Firefox er et godt browservalg for alle, men især for brugere, der bevidst vil undgå Internet Explorer (og ActiveX), eller som ikke har behov for det mest finmaskede net (for eksempel mange sikkerhedszoner) i deres browsers sikkerhed.

Oversat af Birte Matsen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere