Firefox 57: Warum ich den Browser aktuell nicht nutze
Schneller, höher, weiter: Der neue Firefox Quantum wird als »Wiedergeburt von Firefox« gefeiert.
Aktuell solltet ihr euch ein Update auf den Firefox 57 gut überlegen. Mozilla hat 75 Prozent der Codebasis von Firefox angefasst – das sind knapp 7 Millionen Zeilen an Code. Grob geschätzt produziert ein Entwickler auf 1000 Codezeilen zwischen 1 bis 25 Programmierfehler*. Nach dem Qualitätsmanagement (sofern vorhanden) wird die Software dann mit ca. 0,5 bis 3 Programmierfehlern ausgeliefert. Viele der in den teilweise Millionen Zeilen Code enthaltenen Fehler werden jedoch nie entdeckt oder wirken sich nicht negativ auf die Sicherheit bzw. Funktion aus. Manche Fehler erzeugen jedoch schwerwiegende Sicherheitslücken, ohne jedoch direkt die Funktion der Software zu beeinträchtigen.
Annahme / Prognose: In Firefox 57 »lauern« demnach zwischen 3500 bis 21000 Bugs, wovon ein Teil vermutlich (schwerwiegende) Sicherheitslücken hervorrufen wird. Nehmen wir mal an Mozilla hat ein wirklich gutes Qualitätsmanagement / Softwareentwicklungsprozess und in den Betas wurden viele Bugs bereits gefixt – noch dazu verwendet Mozilla als Programmiersprache Rust. Dann können wir die aktuell vorherrschenden Bugs in FF57 womöglich auf 500 – 1500 reduzieren. Wohlgemerkt Bugs, nicht zwangsläufig Sicherheitslücken.
An dieser Stelle werden einige von euch vermutlich den Wunschgedanken hegen, dass die heutige Softwareentwicklung viel moderner sei und bspw. aufgrund automatisierter Tests weit weniger Bugs produziert. Aus der Praxis als Pentester kann ich euch berichten: It’s not true! Die Fehler sind heute nur andere, aber nicht zwangsläufig weniger kritisch für die Sicherheit.
Beim Wechsel auf neue Software oder auch bei großen (Software-)Updates verhalte ich mich daher eher konservativ. Wenn die »alte« Software es noch tut bzw. gepflegt wird, sollte man nach meiner Auffassung und gerade mit Blick auf die Sicherheit, einfach mal abwarten und nicht »jeden heißen Scheiß« installieren. Und verwechselt »einfach mal abwarten« an dieser Stelle bitte nicht mit, »ab jetzt verweigere ich jedes (Software-)Update«.
Persönlich nutze ich immer die Firefox ESR-Version (Extended Support Release) – dort laufen aktuell auch noch alle Browser-Addons. Die alte Code-Basis ist über die letzten Jahre gut analysiert worden und daher wohl sicherer als jedes Rewrite. Spätestens mit Firefox 59 wird es dann eine neue ESR-Version geben. Mein Bauchgefühl sagt mir, dass Mozilla auch mindestens bis März 2018 / Firefox 59 brauchen wird, um einen Großteil der neu eingebauten Bugs zu fixen.
*: Steve McConnell (Code Complete: A Practical Handbook of Software Construction, Second Edition, 2004, ISBN: 0735619670)
(a) Industry average experience is about 1 – 25 errors per 1000 lines of code for delivered software. […]
(b) The Applications Division at Microsoft experiences about 10 – 20 defects per 1000 lines of code during in-house testing and 0.5 defects per 1000 lines of code in released product (Moore 1992). […]
(c) Harlan Mills pioneered “cleanroom development,” a technique that has been able to achieve rates as low as 3 defects per 1000 lines of code during in-house testing and 0.1 defects per 1000 lines of code in released product (Cobb and Mills 1990). […]
(d) Watts Humphrey reports that teams using the Team Software Process (TSP) have achieved defect levels of about 0.06 defects per 1000 lines of code. […]
Wer aktuellere Zahlen bzw. Statistiken hat, der kann mir gerne einen Hinweis zukommen lassen. Wenn nicht, ist das der Maßstab – wir haben schlichtweg keinen anderen.
Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
Firefox: about:config | user.js – Firefox-Kompendium Teil10
Firefox: Ein Browser für Datenschutzbewusste – Firefox-Kompendium Teil1
Antiviren-Scanner: Nur ein Sicherheitsgefühl? – Snakeoil Teil2
