Netscape Browser 8.0 fertig und in Gefahr
Der im Gegensatz zu Netscape 6 und Netscape 7 auf Firefox anstatt der Mozilla Suite basierende Browser des ehemaligen Marktführers steht nun in Version 8 zum Download bereit. Im Vergleich zu Firefox kommt er mit ein paar zusätzlichen Funktionen daher, was man sich jedoch mit einer etwas überladenen Oberfläche erkauft.
Während das Setup die benötigten Dateien aus dem Internet lädt, kann der Benutzer eine Postleitzahl eingeben, die später zum Beispiel für lokalisierte Wetter-Informationen verwendet wird. Des Weiteren möchte Netscape dem Anwender noch Zusatzsoftware aufdrängen, unter anderem einen kostenlosen Wetter-Service, der sich in der Taskleiste einnistet, und „Real Arcade“, einen kostenpflichtigen Spiele-Service. Nach erfolgter Installation wird das Importieren von Benutzerdaten aus Firefox, Mozilla, Netscape, Opera und dem Internet Explorer angeboten. Danach startet der Netscape Browser mit seiner gewöhnungsbedürftigen Oberfläche.
Ein interessantes Feature sind die „Site Controls“. Dort kann der Anwender für jede Website in drei Stufen festlegen, inwiefern er dieser Vertrauen entgegenbringt. Auf Basis dieser Einstellung soll Netscape dann automatisch die Sicherheitseinstellungen anpassen. Standardmäßig wird die Darstellungskomponente von Firefox namens Gecko zum Rendern einer Website verwendet, wenn der Benutzer jedoch festlegt, dass er einer Seite vertraut, wird die Darstellungskomponente des Internet Explorer bemüht. Wählt der Anwender den Internet Explorer aus, ohne vorher angegeben zu haben der Seite zu vertrauen, wird er auf die Sicherheitsdefizite aufmerksam gemacht. Für diverse Seiten ist direkt nach der Installation festgelegt, dass die Darstellungskomponente des Internet Explorer Verwendung finden soll, zudem soll der Browser in regelmäßigen Intervallen eine aktualisierte Liste vertrauenswürdiger Seiten aus dem Internet beziehen.
Verwunderlich ist diese Fokussierung auf Sicherheit insofern, als dass der Hersteller in der Vergangenheit in Sachen Sicherheits-Updates Nachlässigkeiten gezeigt hat. Für die bis zum Erscheinen von Netscape 8 aktuelle Version 7.2 sind seit August 2004 keine Sicherheits-Updates mehr bereitgestellt worden. Dabei basiert Netscape 7.2 auf der Mozilla Suite, die im genannten Zeitraum von mehreren kritischen Problemen betroffen war, für die zumindest teilweise erwiesenermaßen auch Netscape 7.2 anfällig ist. Und auch mit dem Netscape Browser 8 hat man einen denkbar schlechten Start hingelegt, so ist er zum Beispiel für die vor gut einer Woche mit Firefox 1.0.4 und Mozilla 1.7.8 behobene Firelinking-Sicherheitslücke anfällig (da Netscape auf Heise Online standardmäßig den Internet Explorer zur Darstellung verwendet muss in den „Site Controls“ zunächst Firefox ausgewählt werden!). Zu unserer Überraschung funktionierte in unserem Test sogar eine bereits in Firefox 1.0.1 geschlossene Lücke, für die Secunia eine Demo bereitstellt: Window Injection Vulnerability.
Mit Hilfe des „MultiBar“ getauften Konzepts sollen sich mehrere Werkzeugleisten platzsparend im Browser-Fenster unterbringen lassen. Dabei kann man zwischen den vorhandenen Werkzeugleisten hin und her schalten, zu einem bestimmten Zeitpunkt ist stets lediglich eine einzige sichtbar. Als „Live Content“ bezeichnet Netscape die Möglichkeit, sich den Wetterbericht und RSS-Feeds in kleinen Extrafenstern innerhalb des Browsers anzeigen zu lassen. Der Wetterbericht funktioniert jedoch anscheinend ausschließlich innerhalb der USA, zumindest werden deutsche Postleitzahlen Städten in den USA zugeordnet.
Wie alle Browser mit Ausnahme des Internet Explorers unterstützt auch Netscape 8 selbstverständlich Tabbed Browsing, wobei ähnlich wie in Opera jeder Tab eine eigene Schaltfläche zum Schließen desselben besitzt. Ein Passwort-Manager, von Netscape in der englischen Version als „Form Fill/Passcard“ bezeichnet, vereinfacht wie von anderen Browser bekannt die Verwaltung sensibler Daten.
Netscape Browser 8.0 steht vorerst lediglich in englischer Sprache für Windows-Betriebssysteme zum Download bereit. Wann Versionen in deutscher Sprache und für andere Betriebssysteme nachgelegt werden ist derzeit noch nicht klar. Angesichts der kaum noch an Fahrlässigkeit zu übertreffenden Sicherheitspolitik des Herstellers können wir diesen Browser jedoch ohnehin nicht empfehlen.
Derweil konfrontiert Netscape beim Besuch des Netscape-Portals alle mit einem anderen Browser als Netscape 8 surfenden Windows-Benutzer damit, dass ihr Browser veraltet sei. Dass Netscape 8 mitnichten sicherer ist als aktuelle Versionen anderer Browser, sondern im Gegenteil für in diesen längst geschlossene Sicherheitslücken anfällig ist, scheint dabei nicht zu interessieren.
Mittlerweile hat Netscape Version 8.0.1 des Browsers veröffentlicht, in der die Firelinking-Sicherheitslücke behoben ist.
Die von uns bemängelte Window Injection Vulnerability erweckt lediglich den Anschein, dass sie sich ausnutzen lässt, es ist in dem Beispiel der Website von Secunia jedoch nicht möglich, Code in das Beispiel-Popup zu injizieren!