Ein spannendes Paper von der ETH (in Zusammenarbeit mit IBM und Google) mit dem Namen: Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the «insecurity iceberg».
Auf Basis der Serverlogs von Google werden darin rund 75% der weltweiten genutzten Webbrowser auf deren Aktualität und auf installierte PlugIns ausgewertet. Nicht aktuelle Browser und/oder die Nutzung von PlugIns sind Sicherheitsprobleme. Die Frage nun: Wie viele Leute sind davon betroffen resp. wie viele Nutzer aktualisieren ihre Brower. Das Ergebnis ist, wie erwartet, ziemlich düster und öffnet Tür und Tor für so genannte «drive-by download»-Angriffen die in der Zwischenzeit sehr häufig kommerziell motiviert sind. Banken können ein Lied davon singen.
Hier eine Graphik die innerhalb einer Browserversion (OP9 = Opera 9, FF2 = Firefox 2, IE7 = Internet Explorer 7, SF3 = Safari 3) zeigt, welche Prozentzahl der User die aktuellste Major-Version nutzen (Minor wird im User Agent Header vom IE nicht angegeben).
Auch nicht schlecht sind viele weiterführende Links in dem Paper insb. auch zu aktuellen Browserstatistiken und Sicherheitsproblemen. Und hier zum ETH Zurich Tech Report Nr. 288.
Die Empfehlung am Schluss sagt, dass Browser eigentlich ein Ablaufdatum haben sollen, so wie Lebensmittel. Noch witzig, da ich das vor zwei Jahren mal vorgeschlagen hatte.
Sicherheit, Versionen und Ablaufdatum von Webbrowsern
S
naja ob ein haltbarkeitsdatum wirklich das richtige ist, bezweifle ich. die überlegung ist sicherlich nicht schlecht, aber das geht nicht. man müsste vielleicht ein ablaufdatum einbauen, wenn auch wirklich auch eine neue version bereit steht. das würde aber auch nur bei kostenloser software klappen. denn neben den browsern gibt es noch etliche software, die das selbe problem haben.
Jürg, dein Vorschlag des UN-Einheitsbrowsers damals war allerdings schon noch etwas härter gefasst. Das wäre zuviel des Guten, ausserdem belebt ja Konkurrenz bekanntlich das Geschäft. Generell finde ich den Vorschlag des Haltbarkeitsdatums gut. Es ist fraglich, wie man sowas umsetzen kann. Das ginge nur über eine freiwillige, konzertierte Aktion der großen Browser-Anbieter. Ein spannendes Projekt. Der Titel könnte ja z. B. «United Browsers against Phishing» heißen.