Bestraft für Offenheit

Heise berichtet, dass Firefox der fehlerhafteste Browser sein soll und bezieht sich dabei auf diese Studie (oder Auszählung) von Secunia. Eigentlich würde man etwas mehr journalistische Sorgfalt von Heise erwarten, bei Secunia ist klar, dass man auf sich aufmerksam machen möchte, als Sicherheitsdienstleister. Was also stimmt an dieser Studie nicht? Hier werden Äpfel mit Birnen verglichen. Secunia vergleicht die Sicherheitslücken, die die Hersteller gemeldet haben, und bei so einem sinnlosen Vergleich ist Mozilla zwangsläufig im Nachteil. Denn im Gegensatz zu allen anderen Browser-Anbietern, veröffentlicht Mozilla alle gefundenen Sicherheitslücken, unabhängig davon, ob ein Mozilla-Mitarbeiter oder eine externe Person die Lücke gefunden hat. Alle anderen Hersteller, Google, Microsoft, Apple oder Opera veröffentlichen nur solche, die von externer Seite gemeldet wurden, weil ihnen gar nichts anderes übrig bleibt. Selbst gefundene Lücken werden still und heimlich mit einer neuen Version korrigiert.

Miz Firefox kann ich selbst entscheiden, ob ein Update wirklich nötig ist oder ob ich bei einer Vorversion bleibe, weil mich die gefundenen Sicherheitslücken nicht betreffen. Bei den anderen Anbietern bin ich deren Willkür ausgeliefert. Mozilla steht hier also am Pranger, weil es dem Anwender mit größter Offenheit gegenübertritt. Das ist so, als ob eine Stadt, die alle Verkehrsunfälle in ihre Statistik aufnimmt als unsicherer gilt, als eine Stadt, die nur das aufnimmt, was vorher in den Nachrichten war.

Ein Gutes kann man aus der Studie doch ziehen: Obwohl Mozilla wirklich alle gefundenen Sicherheitslücken publik macht, werden hier die Lücken schneller geschlossen als bei allen anderen Anbietern. Übrigens, Mozilla zahlt immer noch 500 Dollar für jede gemeldete Sicherheitslücke anstatt sie zu verschweigen oder auszusitzen, schade, dass sich daran kein anderer Hersteller ein Beispiel nimmt.

Ich weiß jedenfalls, wem ich in Sachen Sicherheit auch in Zukunft vertrauen werde.

Leave a Reply

Your email address will not be published. Required fields are marked *