Software::Desktop
Brendan Eich: Browser nicht vertrauenswürdig
Brendan Eich und Andreas Gal von Mozilla warnen vor Hintertüren, die vom US-Geheimdienst in Browser eingebaut werden könnten. Mozilla Firefox sei als einziger freier Browser, dessen Quellcode vollständig verfügbar ist, zwar prinzipiell schwieriger zu unterwandern, aber es sei nötig, die Binärpakete verifizierbar zu machen.
Mozilla
Wie Brendan Eich, Technikchef von Mozilla, und Andreas Gal, Chef der Entwicklungs- und Mobilabteilung,
schreiben, muss man davon ausgehen, dass es in den USA vom Gesetz gedeckt ist, dass Geheimdienste die Privatsphäre aller Computernutzer verletzen. Demzufolge spielt es keine Rolle mehr, wie die Softwarehersteller zu der Sache stehen - wenn die NSA von ihnen den Einbau einer Hintertür verlangt, müssen sie es tun und dürfen nichts darüber sagen.
Folglich darf man auch Browsern nicht mehr trauen, insbesondere nicht proprietären Produkten wie dem Internet Explorer, Safari oder Chrome. Zwar verwenden Safari und Chrome das freie WebKit, doch welche Modifikationen daran vorgenommen wurden, ist in den proprietären Produkten nicht nachvollziehbar. Im Unterschied dazu ist der Quellcode von Mozilla einsehbar einschließlich der Änderungen. Im Prinzip braucht man daher nur den Browser selbst zu compilieren und das Resultat mit den Binärpaketen von Mozilla.org zu vergleichen.
Ganz so einfach ist es freilich nicht, da man genau die gleiche Compiler-Umgebung wie Mozilla verwenden muss, sonst wird sich das Ergebnis fast sicher vom offiziellen Paket unterscheiden. Außerdem kann damit noch nicht ausgeschlossen werden, dass die Compiler erst den Schadcode einbauen, wie es schon 1984 von Ken Thompson demonstriert wurde. Benutzer vollständig freier Betriebssysteme wie Linux und freier Compiler wie GCC und Clang sind damit im Vorteil, da sie ihrem System eher vertrauen können.
Das alles bringt noch keine Sicherheit für die Anwender, da auch der Quellcode kontrolliert werden muss. Daher rufen Eich und Gal die Gemeinschaft dazu auf, regelmäßig den Code zu prüfen, Binärpakete zu erstellen, diese mit den offiziellen Mozilla-Paketen zu vergleichen und Alarm zu schlagen, wenn es Abweichungen gibt. Sie haben dazu einen Eintrag im Bugtracking-System angelegt, um den Fortschritt bei der Erzeugung »verifizierbarer Binärpakete« zu verfolgen.
Damit geht Mozilla ein Problem an, das schon das Tor-Projekt beschäftigte, da Tor eine Version von Firefox in seine Download-Pakete integriert. Doch die Initiative könnte noch darüber hinausgehen, wenn es gelänge, offene Internet-Dienste wie Mozilla Services verifizierbar zu machen.
){kind=small}
