Firefox unter Mediendruck

Es ist Sonntag morgen, der 27. März. Vor mir liegt die aktuelle Ausgabe der SonntagsZeitung. Mir sticht im Multimediateil ein Artikel in die Augen: «Die Entwicklung des Firefox stockt. Der Internet-Browser Firefox findet wenig neue Nutzer – und gerät durch den neuen Internet Explorer unter Druck». Verwundert frage ich mich, ob ich da etwas verpasst habe. Neuer Internet Explorer (IE)? Firefox findet wenig neue Nutzer? Beim Lesen stellt sich dann heraus, dass Microsoft erst eine Ankündigung des IE 7 gemacht hat, und dass das Firefox-Wachstum von monatlich 30 auf 15 Prozent gesunken ist. Bei fast 60 Millionen Downloads also immer noch keine schlechte Rate. Im Artikel ist zudem die Rede von den zwei Firefox-Hauptentwicklern, die zu Google wechseln. Zuletzt wird auch noch ein Symantec-Bericht zitiert, der 21 Firefox-Schwachstellen im zweiten Halbjahr 2004 auflistet. Im selben Zeitraum hat es der IE nur auf 13 gebracht. Deshalb soll der IE nun sicherer sein, wird suggeriert. Auffallend viel Negativwerbung für den erfolgreichen Open-Source-Client, denke ich mir. Schade, dass die Zeitung, die von einer breiten Masse gelesen wird, so einseitig und wenig differenziert berichtet. Man könnte fast meinen, der Autor sei ein Teil von Microsofts Marketingmaschine.

Denn eines ist klar: Microsoft ist erst durch Firefox aus dem langen Browserschlaf geweckt worden. Nachdem durch die Bündelung des IE mit dem Betriebsystem Netscape faktisch aus dem Markt geworfen wurde, wurde jahrelang keine neue IE-Version mehr entwickelt. Es wurden nur noch Patches bereitgestellt, und diese kamen zögerlich. Hier zeigt sich, wie enorm wichtig gesunde Konkurrenz in der Softwareindustrie ist. Nur sie treibt
Giganten wie Microsoft an, bessere Produkte zu entwickeln. Sie werden dabei ihrem Ruf gerecht, wenig innovativ zu sein und nur dann zu reagieren, wenn ein Marktdruck besteht und die Gewinne in Gefahr sind. Eine Non-Profit-Organisation kann demgegenüber viel freier agieren und ihrer Produktephilosophie kompromissloser nachgehen.

Natürlich hat mich vor allem der Symantec-Bericht interessiert, denn die permanenten, ungelösten Sicherheitsprobleme des IE sind für viele der Hauptgrund, zu Firefox wechseln. Bei näherer Betrachtung fiel mir gleich auf, dass der grösste Teil der fraglichen Firefox-Schwachstellen nicht kritisch waren und dass für alle Patches bereitstanden. Als kritische Browserschwachstellen erachte ich in erster Linie solche, die über normales Surfen auf einen präparierten Webserver ausgenutzt werden können. Solche, mit denen ohne mein Wissen Code auf meinem Client ausgeführt werden kann.
Die Anzahl neuer Schwachstellen innerhalb eines Zeitraums miteinander zu vergleichen, sagt wenig über den aktuellen Sicherheitsstand einer Software aus. Ein besserer Sicherheitsindikator ist die Anzahl bekannter Schwachstellen, für die es vom Hersteller keinen Patch gibt. Hier liegt die grösste Gefahr eines Angriffs. Bei diesem Vergleich zeigt sich denn auch ein ganz anderes Bild: Momentan hat der IE – laut der Schwachstellenstatistik von www.secunia.com – 19 Schwachstellen, für die es keinen Patch gibt – darunter auch kritische. Bei Firefox sind es nur gerade deren 4, die alle als «weniger kritisch» eingestuft sind.

Ich möchte allerdings davor warnen, nun zu meinen, dass Firefox per se der sicherere Browser sei. Keine Software ist zu 100 Prozent wasserdicht. Daran ändern auch ein Fokus auf Sicherheit und der Open-Source-Ansatz nichts. Auch für Firefox müssen immer wieder Patches eingespielt werden.