Nach NSA-Affäre: Mozilla plant Echtheitsprüfung für Firefox

Mozilla will den Nutzern seines Browsers Firefox künftig die Möglichkeit bieten, zu überprüfen, ob die auf ihrem Rechner installierte Version nur den Code enthält, der sich in den Quellcode-Repositorien des Unternehmens findet. Das haben Mozilla-CTO Brendan Eich und Andreas Gal, Vice President bei Mozilla für Mobile und Forschung und Entwicklung, in einem Blogeintrag angekündigt. Sie reagieren damit auf die Enthüllungen über den US-Auslandsgeheimdienst NSA sowie Vorwürfe, Hersteller hätten in dessen Auftrag Hintertüren oder Sicherheitslücken in ihre Produkte eingebaut.

Das System soll weltweit zur Verfügung stehen. Ziel ist der Aufbau eines automatischen Verfahrens, das regelmäßige Kontrollen des Mozilla-Quellcodes und der geprüften Builds umfasst. Sollte dabei ein Unterschied festgestellt werden, will Mozilla eine Warnmeldung herausgeben.

„Durch internationale Zusammenarbeit und unabhängige Stellen können wir Nutzern das Vertrauen geben, dass Firefox nicht unbemerkt verändert werden kann. Wir können so einen Browser anbieten, der überprüfbar die Datenschutzanforderungen der Nutzer erfüllt“, heißt es in dem Blogeintrag.

Mozilla hofft auf einen Vertrauensvorsprung aufgrund der Quelloffenheit seines Produkts. Das Vertrauen sieht es zudem durch die Verwendung von Open-Source-Compilern gestärkt, um Angriffe auf Compiler-Ebene zu verhindern.

„Mozilla hat einen wichtigen Vorteil gegenüber allen anderen Browseranbietern. Unsere Produkte sind wirklich Open Source“, ergänzten Eich und Gal. „Internet Explorer ist vollständig Closed Source und selbst wenn die Rendering-Engines WebKit und Blink Open Source sind, gilt das nicht für die Browser Safari und Chrome, die sie benutzen. Beide enthalten erhebliche Mengen Closed-Quellcode.“

Angesichts der Enthüllungen über die Spähprogramme der NSA sowie die Befugnisse des Geheimgerichts Foreign Intelligence Surveillance Court fallen laut Eich und Gal alle großen Browseranbieter unter die Abhörgesetze. Damit bestehe die Gefahr, dass die Behörden die Anbieter zum Einbau von „Überwachungscode“ in ihre Software zwingen könnten. Sie räumen in ihrem Blogeintrag allerdings ein, dass es bisher keine Beweise dafür gibt, dass solche Anfragen gestellt wurden.

„Sollte das allerdings passieren, dann würde die Öffentlichkeit durch den Maulkorb-Erlass wahrscheinlich nichts davon erfahren“, so Eich und Gal weiter. „Bedauerlicherweise folgt daraus, dass man Softwareanbietern – inklusive Browseranbietern – nicht blind vertrauen sollte.“ Möglicherweise müssten sie gegen ihren Willen ihre eigenen Regeln verletzen und seien damit nicht in der Lage, die Privatsphäre ihrer Nutzer zu schützen.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.