Mozilla sperrt das Add-On „Web Security“

Das Add-on Web Security soll eigentlich Firefox-Nutzer vor bösen Web-Seiten schützen und wurde unter anderem von Mozilla selbst empfohlen. Über 200.000 Nutzer hatten es installiert. Jetzt ist es wegen zweifelhafter Praktiken in die Kritik geraten, die Sicherheit und Privatsphäre gefährden. Mozilla hat daraufhin seine Empfehlung entfernt und will den Sachverhalt jetzt genauer untersuchen. Darüber hinaus hat der Browser-Hersteller eine vorläufige Sperre von „Web Security“ und den damit assoziierten Add-ons verhängt.

Konkret hatte zunächst Raymond Hill, Entwickler des Ad-Blockers ublock origin, moniert, dass das Add-on unverschlüsselte HTTP-Verbindungen nutzt, um Daten an seinen Server zu senden. Nachdem der Security-Spezialist Mike Kuketz in seinem Blog dokumentierte, dass Web Security dabei nicht nur die URLs der besuchten Seiten unverschlüsselt überträgt, sondern diese auch noch mit einer eindeutigen ID kennzeichnete, war das Maß voll: Mozilla reagierte mit einer vorläufigen Sperre.

Dass ein Add-on, das vor bösartigen Web-Seiten schützen soll, die URLs der besuchten Seiten an den eigenen Server schickt, um dessen Einschätzung zu bekommen, ist gängige Praxis. Es gibt zwar durchaus datenschutzfreundlichere Methoden, wie den Abgleich mit einer lokalen Datenbank. Doch das allein hätte Web Security noch nicht das Genick gebrochen. Auslöser der Sperre ist vielmehr, dass es nicht nur die nackte URL, sondern zusätzliche Informationen wie die Vorgänger-URL sendet und diese Daten weitgehend ungesichert überträgt.

Derzeit kann man Web Security bei Mozilla nicht mehr herunterladen. Wer es bereits installiert hat, sollte es besser de-installieren. Bereits vor einiger Zeit hatte Mozilla mit Web of Trust ein ähnliches Security-Add-on gesperrt, nachdem bekannt wurde, dass der Hersteller Daten der Nutzer sammelte und verkaufte. Es stellt sich die Frage, warum Mozilla so etwas nicht vor einer Empfehlung prüft. Immerhin handelt es sich ja um recht offensichtliche Aktivitäten; eine unverschlüsselte HTTP-Übertragung hätte schon ein recht einfacher Check ans Licht gebracht.

2018-08-17T18:02:25+00:00