"New Tab": Keine Hinweise mehr auf geschützte Sitzungen in Firefox
Ein Bug in Firefox 13, der Nutzern auf der neuen Übersichtsseite "New Tab" Bilder von Onlinebanking- oder Webmail-Sessions zeigte, ist nun laut Mozilla in Firefox 14 gefixt. Doch darin sind sich nicht alle Entwickler einig.
Die personalisierte Übersicht zuletzt besurfter Seiten sollte es Nutzern seit Firefox 13 auf einem neuen Tab leichter machen, ihre oft genutzten Seiten wiederzufinden. Doch die per Zufallsprinzip während der Benutzung aufgenommenen und lokal gespeicherten Bilder zeigten oft HTTPS-geschützte private Sitzungen, beispielsweise von Onlinebanking- oder Webmail-Sessions. Die Nutzer beschwerten sich: Nun soll dieser Fehler in Firefox 14 behoben sein.
Der Bug war zwar kein großer Skandal, aber dennoch für viele Nutzer problematisch. Denn Über-die-Schulter-Surfer oder Besucher, die kurz an den Rechner gelassen werden, konnten so an Informationen gelangen, die man sonst nicht teilt. Mozilla ist zwar gar nicht am Sammeln von Daten interessiert und verschlüsselt selbst bei Synchronisation die Daten mit einem nur dem Nutzer bekannten Passwort. Dennoch hätte der Bug für einige zum Problem werden können.
Mit Firefox 14 will Mozilla das Problem nun gelöst haben. Zumindest Bilder von Sitzungen, die den HTTP-Header "Cache-Control: no-store" senden, sollen nun nicht mehr aufgenommen werden. Die offizielle Stellungnahme von Mozilla-Pressesprecherin Valerie Ponell: "Das 'New Tab' Feature umgeht nun Websites wie Online-Banking oder Webmail, die für die Privatsphäre kritisch sind. Die Thumbnails basieren auf Ihrer Browser-Chronik und Sie können durch Verschieben oder Löschen leicht Ihr Surf-Erleben kontrollieren." Damit ist für viele Seiten das Problem gelöst.
Löschen kann man nun die Bilder, indem man im Programm-Menü "Extras/Neueste Chronik löschen" wählt, und dann "Alles" und "Besuchte Seiten & Download Chronik" wählt. In den Einstellungen zum Datenschutz kann man alternativ auch bei jedem Schließen des Programms die Chronik löschen lassen.
Falls man gar nicht möchte, dass die Thumbnails aufgenommen werden, kann man nun in "about:config" mit Rechtsklick eine neue Eigenschaft mit dem Namen "browser.pagethumbnails.capturing_disabled" mit booleschem Wert anlegen und den Wert auf "true" setzen.
In der Diskussion der Entwickler um das Ringen um eine gute Lösung jedoch zeigen sich nicht alle mit dem Bugfix einverstanden. Das Privacy Team hat sich das Feature angesehen und geprüft. Ein nicht gelöster Punkt: Die Menge von Thumbnails will das Privacy Team eingeschränkt sehen, da sonst nicht überblickbar sei, wie viel sensitive Information unter den gespeicherten Thumbnails sein können. Lediglich ein Punkt wird als gelöst angegeben: Seiten mit User-Login sollten von den Thumbnail-Bildern ausgeschlossen werden. Das sei durch das Ausschließen von SSL-geschützten Seiten abgedeckt.
Im Fehlerbericht von Mozillas Bugtracker Bugzilla widersprechen einige der Annahme, der Bug sei gefixt. Brian Smith meint etwa, das Anlegen von Thumbnails sei am sichersten, sofern es nur bei Seiten geschehe, bevor diese Cookies setzen. Bugzilla-Nutzer Petes wiederum meint, jede Thumbnail-Lösung, die auf der Chronik des Browsens basiere, sei problematisch. (rzl)
