Mobile Browser versagen bei Sicherheitsstandards

Smartphone-Browser haben inkonsistent implementierte Standards

Smartphone-Browser seien so unsicher, dass nicht einmal Sicherheitsexperten merken, wenn sie auf potentiell gefährlichen Seiten landen. So proklamiert Georgia Tech das Ergebnis einer neuen Studie zu Sicherheitsaspekten bei mobilen Browsern. 

Sicherheitsrichtlinien

Wie auch bei den Desktop-Varianten gibt es bei Smartphone-Browsern eine Reihe an Sicherheits- und Verschlüsselungsmethoden, die sicheres Surfen ermöglichen. Die mobilen Browser würden jedoch die vom W3C empfohlenen Sicherheitsrichtlinien nicht beachten, sodass nicht einmal Sicherheitsexperten darüber aufgeklärt werden, ob es sich um eine potentiell gefährliche Seite handelt oder nicht. 

Fragestellung

In zehn mobilen Browsern, die getestet wurden und die insgesamt 90 Prozent Marktanteil in den USA haben, wurden unzureichende Standards entdeckt. Laut einem zuständigem Assistenten der Georgia Tech School of Computer Science war die hauptsächliche Fragestellung bei der Studie, ob genug Informationen im Browser vorhanden sind, um einen Sicherheitsexperten abwägen zu lassen, inwieweit eine Seite gefährlich ist. Die Antwort bei allen Browsern war "nein". 

Umsetzung notwendig, aber herausfordernd

Das in Desktop-Browsern übliche Schloss-Symbol für SSL-Verbindungen oder ein "https" würden nicht oder nur minimal transportiert werden. Das vom W3C empfohlene Darstellungs-Schema für Browser-Interfaces werde nicht konsistent genug oder gar nicht implementiert. Das sei besorgniserregend, wenn man bedenkt, dass User mobiler Browser drei Mal gefährdeter seien, Opfer von Phishing-Attacken zu werden. Dies würde zwar nicht unmittelbar mit dem Fehlen der SSL-Indikatoren zusammenhängen, aber eine Präsenz ebensolcher würde eine große Hilfe sein. Eine Umsetzung dieser Standards sei notwendig, man wisse aber auch Bescheid, dass eine Umsetzung dieser Indikatoren in Browsern für Designer eine große Herausforderung sei. (red, derStandard.at, 6.12.2012)

Share if you care
4 Postings

Etwas mehr Info wäre natürlich schon praktisch. Welche Browser haben denn die größten Mankos usw. ?

Soweit ich den Originalartikel und die Auszüge aus dem Paper verstanden habe, geht es hier um die Umsetzung der W3C-Richtlinien in Bezug auf das Sichtbarmachen von sicherheitsrelevanten Informationen (SSL, TLS, vulgo "das Schloss beim URL") in Browsern auf mobilen Geräten.

Aus dem Abstract: "We evaluate ten mobile and two tablet browsers, representing over 90% of the market share, using the recommended guidelines for web user interface to convey security set forth by the World Wide Web Consortium (W3C)"

Das vollständige Paper (d.h., die Seiten 86-103 aus den Lecture Notes in Computer Science Volume 7483, 2012) kostet "eh nur" €25. :p

Schloss wird aber zumindest bei iPhone und Windows Phone angezeigt. Was für eine nutzlose Meldung...

d.h. es geht nicht um sicherheit ...

sondern nur um das Anzeigen von Sicherheit.

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.