ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Netzpolitik

Mozillas CTO fordert Prüfsystem für Firefox

Ferdinand Thommes
12 Kommentare

Brendan Eich, Technikchef und Andreas Gal, Chef der Entwicklungsabteilung bei Mozilla werfen in einem Blogeintrag die Frage auf, wie vertrauenswürdig Browser im Angesicht der NSA-Enthüllungen heute noch sind. Als Beispiel greifen sie den Fall von Lavabit auf, in dem die NSA rechtmäßig die SSL-Masterkeys eingefordert hatte.

Das Szenario, dass die beiden in Eichs Blog entwerfen, sieht beispielsweise die Möglichkeit vor, dass eine Regierung von einem Browser-Hersteller verlangt, in sein Produkt eine Hintertür einzubauen. Das sei nach heutigem Kenntnisstand als durchaus realistisch anzusehen, vor allem würde es dem Unternehmen verboten sein, darüber zu sprechen. Bei Browsern, die ganz oder teilweise Closed-Source sind, könnte so eine Hintertür sehr lange unentdeckt bleiben. Selbst Open-Source sei kein Garant für Software ohne Hintertüren.

Eichs Fazit aus dieser Situation: Wir dürfen Software-Herstellern inklusive Mozilla nicht blind vertrauen – und das nicht, weil sie generell nicht vertrauenswürdig wären, sondern weil sie eventuell einer Regierung zuarbeiten müssen, ohne uns darüber informieren zu können. Nicht jeder findet den Mut wie Ladar Levison an die Öffentlichkeit zu gehen.

Proprietäre Browser wie Internet Explorer, Chrome oder Safari können nicht überprüft werden, bei Firefox und weiteren Browsern mit komplett offenem Source-Code sei das anders. Hier kann der Code kompiliert und mit dem Binärpaket von Mozilla verglichen werden. Dazu muss natürlich auch der gleiche Compiler mit den gleichen Optionen verwendet werden, um ein vergleichbares Ergebnis zu erzielen. Am besten sollten solche Kompilate unter einer vertrauenswürdigen Plattform wie etwa Linux entstehen, wo auch den Compilern vertraut werden kann. Aber selbst unter Linux kämen teilweise proprietäre Grafiktreiber zum Einsatz, deren Verhalten in Sachen Sicherheit nicht verifizierbar sei.

Volle Sicherheit für den Anwender gebe es allerdings erst, wenn auch der Quellcode regelmäßig kontrolliert wird. Dazu rufen die beiden Mozilla-Offiziellen die Community auf. Sie soll regelmäßig den Code prüfen, Binärpakete erstellen und diese mit den offiziellen Mozilla-Paketen vergleichen. Zur Unterstützung haben sie im Bugzilla einen Bugreport erstellt, der den Bau „verifizierbarer Binärpakete“ durch Offenlegung der Build-Umgebung fördern soll.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz