03. Aug 2004 08:48
Mozilla hat ein ungewöhnliches Projekt gestartet, um die bereits gute Qualität seines Open-Source-Browsers zu erhöhen. Ab sofort gibt's Geld für entdeckte Sicherheitslücken.
Die Mozilla-Stiftung, die die Entwicklung des gleichnamigen freien Open-Source-Browsers vorantreibt, hat ein neues «Bounty»-Programm für Sicherheitslücken in der Software gestartet. Künftig soll jedes kritische Loch, das bei dem Internet-Explorer-Konkurrenten entdeckt wird, mit 500 Dollar «Kopfgeld» belohnt werden, teilte die Stiftung am Montag (Ortszeit) im kalifornischen Mountain View mit. Ziel sei es, Mozilla «noch sicherer» zu machen, hieß es. «Obwohl keine Software vor Sicherheitslücken gefeit ist, werden Bugs in Open-Source-Projekten zumeist schneller entdeckt und behoben», betonte Mitchell Baker, Präsidentin der Mozilla-Stiftung.
Das neue Projekt will die Sicherheit des Mozilla-Browsers im Vergleich zur Konkurrenz von Microsoft betonen, dessen Internet Explorer (IE) in den vergangenen Monaten durch zahlreiche kritische Lücken aufgefallen war. Zuletzt hatten diverse IT-Experten Usern gar offen geraten, auf Alternativbrowser wie Mozilla und Firefox (ebenfalls vom Mozilla-Projekt) umzusteigen, um ihren PC sicher zu halten.Das «Mozilla Security Bug Bounty Program» läuft vorerst auf unbegrenzte Zeit und wird von der Linux-Firma Linspire und dem Internet-Unternehmer Mark Shuttleworth gesponsert. Außerdem sammelt das Mozilla-Projekt Geld, um das Kopfgeld-Programm aufrecht zu erhalten - da Mozilla eine gemeinnützige Stiftung ist, sind die Spenden in den USA sogar absetzbar. Das Mozilla-Projekt will allerdings jeweils selbst bewerten, ob eine gemeldete Lücke «kritisch» ist.
Bislang waren auch in Mozilla Fehler entdeckt worden, allerdings war deren Ausmaß oft geringer, als ähnliche Lücken im IE - und sie traten insgesamt seltener auf. Das Kopfgeld-Programm gilt Beobachtern dennoch als sinnvoll, steigt die Gefahr der Ausnutzung von schwerwiegenden Lücken in einem Programm, die womöglich noch nicht öffentlich bekannt sind, mit dessen zunehmender Verbreitung.Das Mozilla-Projekt hofft, mit dem «Bounty Program» frühzeitig über schwerwiegende Sicherheitslücken, die oft nur im laufenden Betrieb entdeckt werden, Kenntnis zu erlangen. Michael Robertson, Chef von Linspire, meinte, sorgenfreie Sicherheit im Internet «sei lange überfällig». Er erwarte, dass die Open-Source-Gemeinschaft an dem Mozilla-Fehlerfang-Projekt teilnehme.
