Die Mozilla-Foundation (Link 1) hat nun ihren Webbrowser Firefox (Link 2) in der Version 1.0.1 veröffentlicht. Mit dieser Version wird auch das kürzlich erst bekannt gewordene Phishing (Link 3) Problem gelöst. Hierbei konnten Angreifer Umlaut - Domains benutzen, die selbst bei scheinbar gesicherten SSL-Verbindungen (Link 4) nicht als Phishing-Sites zu erkennen waren. Der Grund hierfür ist, dass beispielsweise ein kyrillisches kleines "a" unglücklicherweise genauso aussieht, wie ein kleines lateinisches "a". Der einzige Unterschied besteht im Unicode. Wie dann Phishing-Aktionen aussehen konnten, wurde anhand einer Demonstration (Link 5) mit dem Domain-Namen "paypal.com" deutlich. (Man hatte in der Demo als erstes "a" ein kyrillisches "a" eingesetzt.)
Die Firefox Entwickler haben dieses Problem gelöst, indem sie es ...“umgangen“... haben. Zukünftig wird in der Adresszeile die DNS-Auflösung mit Punycode (Link 6) vorgenommen, wobei sich dann im Beispiel von paypal ein www. (Link 7) xn--pypal-4ve.com zeigt.
Die Mozilla-Foundation hatte im Vorfeld mehrfach betont, dass das Phishing-Problem eigentlich kein Fehler des Browsers sei, sondern ein Problem in der IDN-Implementierung. Die Schwäche ist seit langem bekannt und es gibt auch Richtlinien für Provider, Registries und Registrare, dieses Problem zu umgehen. Bereits Mitte 2002 hatten zwei israelische Studenten auf dieses Problem aufmerksam gemacht. Ebenso findet sich auch im Punycode-RFC 3492 eine entsprechende Erwähnung.
In der neuen Firefox Version 1.0.1 wurden noch weitere Verbesserungen zur Sicherheit und Stabilität umgesetzt. Hierzu gehört etwa die Möglichkeit, die eigentliche Quelle eines Downloads zu verschleiern oder die Beseitigung eines Bugs, durch den sich mittels Drag&Drop einer Grafik eine ausführbare Datei auf dem lokalen Rechner des Anwenders platzieren ließ.
Firefox ist erst seit November 2004 auf dem Markt und feiert einen grandiosen Siegeszug auf dem Browser-Markt. So konnte die Mozilla-Foundation vor kurzem bereits über 25 Millionen Downloads vom Browser Firefox vermelden. Selbst Microsoft fürchtet scheinbar um seinen Marktanteil von bisher (noch) 90 Prozent. Entgegen der ursprünglichen Ankündigung, die nächste Version des Internet-Explorers werde im geplanten Betriebssystem -Longhorn (Link 8)- integriert sein, wird nun doch (Link 9) noch eine selbständige Version des IE veröffentlicht.
|
