Geschichte der Webbrowser: Sicherheit ist Trumpf?

Gerade im Internet spielt die Sicherheit eine besonders große Rolle. Schließlich liegen auf dem PC, der an das Internet angeschlossen ist, zumeist sensible Daten wie Verträge, vertrauliche Briefe oder Finanzdaten. Und sobald eine Verbindung zum Internet besteht, ist der Computer – zumindest theoretisch – von jedem anderen Computer im Internet erreichbar. Da die World-Wide-Web-Browser das Tor zum Internet darstellen, haben sich die Programmierer einige Sicherheitsmechanismen ausgedacht, um das Tor nicht zum Schlupfloch für Unbefugte werden zu lassen. Allerdings mit mäßigem Erfolg. In regelmäßigen Abständen werden neue Sicherheitslücken entdeckt, die die Programmierer hastig wieder schließen müssen. Das zeigen vor allem die Versionsnummern der Internet-Browser, etwa Netscape Navigator 3.02 oder Internet Explorer 3.02.

Hinter den ungeraden Versionsnummer verstecken sich sogenannte Updates (Aktualisierungen, Ergänzungen), die bestehende Fehler und vor allem bestehende Sicherheitslücken bereinigen. Trotz aller Bemühungen, die World-Wide-Web-Browser so sicher wie möglich zu machen, wurden bislang stets neue Lücken entdeckt. Microsofts Internet Explorer hatte beispielsweise mit Sicherheitslücken zu kämpfen, die im schlimmsten Fall den direkten Zugriff auf die Dateien des lokalen Computers gewähren. Sobald ein Leck gefunden wird – zumeist nicht von Microsoft selbst, sondern von findigen Programmierern oder sogenannten „Hackern“ – erscheint kurze Zeit später das passende Update auf die Version 3.01 und 3.02.

Prämien für Bug-Jäger

Um die Sicherheit zu erhöhen, hat Netscape eine Prämie von 1.000 US-Dollar für jeden gefundenen Fehler – auch „Bug“ genannt – ausgesetzt. Einigen „Hackern“ scheint das nicht genug zu sein. Ein dänische Programmierer, der die eklatante Sicherheitslücke im Netscape Navigator 4.0 entdeckte, wollte sich sein Wissen mehr kosten lassen. Da Netscape nicht mehr als die zugesagten 1.000 Dollar zahlen wollte, ging der Däne an die Presse. Netscape entdeckte den Fehler schließlich in eigener Regie.

Auch Netscape ist nicht vor gefährlichen Lecks im Sicherheits-Mechanismus des Browsers gefeiht. Das wurde besonders im Juni 1997 kurz nach der Veröffentlichung der Version 4.0 des Netscape Communicators deutlich. Nur eine Woche nach dem Stapellauf des neuesten Browsers, mußte Netscape die Version 4.01 nachschieben. Der Grund: Ein dänischer Programmierer hatte eine nicht gerade kleine Sicherheitslücke entdeckt. Der Fehler erlaubte es jedem Angreifer, beliebige Dateien der lokalen Festplatte herunterzuladen.

Die Serie der entdeckten Fehler reißt nicht ab: Anfang Juli wurde bekannt, daß Web-Seiten mit eingebetteten JavaSkript-Elementen die Bewegungen der Anwender aufzeichnen können. Prompt legten Netscape und Microsoft eine weitere Versionsnummer zu. Da der Fehler jedoch keine großen Auswirkungen hat, zumindest handelt es sich nicht um eine gefährliche Sicherheitslücke, fällt der Versionssprung nicht ganz so groß aus. Die aktuelle Versionsnummer wird einfach um einen Buchstaben ergänzt. Der aktuelle Netscape Communicator (Stand: 17.07.1997) verfügt seither über die kryptische Versionsnummer 4.01a. Daß weitere Versionen folgen, ist nicht auszuschließen, gilt unter Fachleuten sogar als sicher.

Das Verheerende der entdeckten Fehler: Die Sicherheitslücken treten selbst dann auf, wenn im World-Wide-Web-Browser sämtliche Sicherheitsmechanismen aktiviert sind, der Anwender sich also in Sicherheit wiegt. Die Browser erlauben etwa das Abschalten der aktiven Inhalte, wie Java oder ActiveX, die gerade wegen ihrer aktiven Fähigkeiten ein potentielles Sicherheitsrisiko darstellen. Auch das Herunterladen von Animationen, Multimedia-Komponenten oder andere Erweiterungen kann auf Wunsch unterbunden werden. Und dennoch: Trotz aller Sicherheitsmechanismen und regelmäßiger Updates bleibt ein gewisses Restrisiko. Wer auf Nummer Sicher gehen möchte, sollte daher sensible und vertrauliche Daten nicht auf dem gleichen Computer speichern, mit dem er auch ins Internet geht.

Die mobile Version verlassen