Die Rückeroberung des Web: Mozilla Firefox wird 1.0

ZDNet: Wie viel Firefox-Source-Code stammt aus den Netscape-Zeiten (oder sogar Mosaic)? Wie hoch ist der Anteil von völlig neuem Code?

Decrem: Die Firefox-Applikationsschicht ist eine wirklich kleine Schicht, die auf der darunter liegenden Code-Basis liegt. Die Code-Basis besteht aus unseren Kerntechnologien wie Gecko und einer ganzen Reihe anderer Technologien wie XUL – und denen, die wir aus Netscape-Zeiten geerbt haben. Unser Erfolg wäre ohne die hunderte Millionen Dollar, die von Netscape und AOL in den letzten 10 Jahren investiert wurden, nicht möglich. Darauf bauen wir auf.

ZDNet: Sicherheit ist offensichtlich eines der Hauptthemen, das Anwender beschäftigt, wenn sie auf Firefox umsteigen. Ist Firefox wirklich sicherer als der Internet Explorer oder ist es nur „Sicherheit durch Unbekanntheit“? In anderen Worten: Wenn die installierte Basis von Firefox die kritische Masse erreicht, wird der Browser dann mit derselben Anzahl und Art von Bedrohungen konfrontiert sein wie der Internet Explorer?

Decrem: Ich habe keine Kristallkugel, kann also die Zukunft nicht vorhersehen. Aber lassen sie mich einige Dinge sagen: Ersten haben wir eine sehr starke Sicherheitsarchitektur, wir unterstützen beispielsweise kein ActiveX, wir haben nicht das ganze Konzept der „Vertrauenswürdigen Zonen“, das sie im Internet Explorer haben, wodurch der Zugriff auf alle Funktionen des Computers auch für Programme oder Leute ermöglicht ist, die nicht vor dem Rechner sitzen. Wir haben nicht die Art von enger Integration mit dem Betriebssystem wie der Internet Explorer, der den Anwender auch den Sicherheitslücken aussetzt. Außerdem leisten wir seit Jahren gute Arbeit, wenn es darum geht, den Browser mit sicheren Voreinstellungen auszuliefern. Die Firefox-Voreinstellungen sind deutlich sicherer als die des Internet Explorer. Ich glaube außerdem, dass wir im Bereich Sicherheit eine bessere Nutzeroberfläche bieten.

» Die Open Source-Community ist sehr leidenschaftlich, wenn es um Sicherheit geht. Unsere Features werden auf Basis der technischen Vorzüge beurteilt, und nicht auf Basis kommerzieller Überlegungen. «

Im Windows XP Service Pack 2 hat Microsoft jetzt damit begonnen, unserer Führung zu folgen, indem sie den User vor der Durchführung riskanter Transaktionen warnen. Wir machen das schon seit Jahren. Eines meiner Lieblingsfeatures in Firefox ist eine Benachrichtigung, die einem den tatsächlichen Domainnamen anzeigt, wenn man auf einer sicheren Seite ist. Wenn Sie also eine E-Mail bekommen, in der steht „Bitte aktualisieren Sie ihr Paypal-Passwort“ (Anm.d.Red.: eine bekannte Phishing-Taktik) und sie auf den Link klicken, sehen sie in der rechten unteren Ecke des Firefox-Fensters den echten Namen der Domain, auf der Sie sich befinden. Firefox schaltet die ganzen Verschleierungs-Tricks aus.

Drittens, und das ist wahrscheinlich am wichtigsten, haben wir eine andere Kultur beim Thema Sicherheit. Die Open Source-Community ist sehr leidenschaftlich, wenn es um Sicherheit geht. Unsere Features werden auf Basis der technischen Vorzüge beurteilt, und nicht auf Basis kommerzieller Überlegungen. Beispielsweise zahlt Microsoft eine Belohnung, wenn ein Hacker ins Gefängnis geworfen wurde, nachdem er Kreditkartennummern gestohlen hat. Wir zahlen Belohnungen, wenn Leute Sicherheitslücken finden, bevor sie zum Problem werden. Das ist ein ganz anderer Ansatz. Wir behaupten auch nicht, dass wir keine Sicherheitsprobleme haben, aber als Folge unseres Ansatzes lösen wir Probleme wesentlich schneller. Im Fall vom Internet Explorer waren auf der Security-Site von Secunia – das letzte Mal als ich nachgesehen habe – 36 Prozent der aufgelisteten Lücken ungeschlossen, in unserem Fall waren es 18 Prozent. Außerdem sind unsere Probleme nicht so schwerwiegend. Wenn Sie sich die Daten über den Internet Explorer bei Secunia ansehen, werden sie bemerken, dass die Hälfte der IE-Probleme entweder als „sehr kritisch“ oder „extrem kritisch“ eingestuft sind. Im Fall von Mozilla/Firefox werden Sie sehen, dass 0 Prozent extrem kritisch sind und neun Prozent sehr kritisch sind. Die Probleme, die wir haben, sind also tendenziell eher weniger ernst und wir beheben sie schneller. Ich glaube, dass das ein Vorteil ist. Und als letztes, und wir hören diese Frage ständig, – ich denke es kommt vielleicht von der Microsoft PR-Abteilung: Werden wir dieselben Probleme bekommen, wenn wir einen höheren Marktanteil haben? Tatsache ist, dass es nicht unbedingt ein Naturgesetz ist, dass man als Marktführer andauernd Sicherheitspannen vermelden muss. Im Server-Bereich dominiert Apache seit Jahren, aber es gab mehr Sicherheitsprobleme mit Microsofts IIS. Ich glaube also nicht, dass es vorgegeben ist, dass ein Marktführer immer die meisten Sicherheitslücken haben muss.