Gesperrte Firefox-Erweiterung
20.08.2018, 15:33 Uhr
Web Security gelobt Besserung
Nach dem Rauswurf aus dem Store: Die Entwickler von Web Security bemühen sich um Transparenz und erläutern, welche Daten die Firefox-Erweiterung zu welchem Zweck sammelt. Ausserdem kündigen sie ein bereinigtes Update des Add-ons an.
Nachdem die Firefox-Erweiterung Web Security vor wenigen Tagen von Mozilla zu Untersuchungszwecken aus dem Store entfernt wurde, melden sich jetzt die Entwickler zu Wort und erläutern das mitunter sonderbare Verhalten des Add-ons. Stein des Anstosses: Die Erweiterung sendet im Hintergrund Nutzerdaten unverschlüsselt an die Server des Anbieters.
In einer Mail an com! professional räumt die Software-Schmiede ein, dass ihr Fehler bei der Entwicklung des Add-ons unterlaufen seien. So wurde etwa die Datenübertragung zu den Servern des Anbieters nicht verschlüsselt, allerdings habe Web Security seinen Dienst mittlerweile auf HTTPS umgestellt.
Hierfür nutzt Web Security die Daten
Darüber hinaus listen die Betreiber in der Mail transparent auf, welche Daten das Add-on zu welchem Zweck überträgt. Die Liste umfasst die ID, alte URL / alter Host, neue URL / neuer Host, Hash, App, Agent und Sprache.
Dabei nutzt Web Security nach eigenen Angaben die ID, um eine Security-Chain aufzubauen zu können, die aus bis zu fünf aufeinanderfolgenden Requests bestehen kann. Sollte der Nutzer eine gefährliche Webseite ansurfen, kann durch die übertragenen URL-Angaben nachvollzogen werden, von welcher Webseite die Weiterleitung erfolgte. Entsprechend dieser Angaben könne dann die Sicherheit einer Webseite eingestuft werden.
Diese Daten werden demnach dazu genutzt, um die Heuristiken und Bedrohungsanalysen zu verbessern. Die Datensätze sichert Web Security zur Auswertung maximal für 15 Minuten auf seinen Servern mit Standort in Deutschland. Anschliessend werden die Daten unwiederbringlich gelöscht, verspricht der Anbieter.
Diese Daten werden demnach dazu genutzt, um die Heuristiken und Bedrohungsanalysen zu verbessern. Die Datensätze sichert Web Security zur Auswertung maximal für 15 Minuten auf seinen Servern mit Standort in Deutschland. Anschliessend werden die Daten unwiederbringlich gelöscht, verspricht der Anbieter.
Die übrigen Daten habe man bislang aus statistischen Gründen gesammelt, im Zuge eines anstehenden Updates werde diese Praxis aber eingestellt. Um weitere Unklarheiten zu vermeiden, wolle Web Security ausserdem künftig den Verwendungszweck offen kommunizieren.
Neue Version angekündigt
Sobald Mozilla die Erweiterung wieder für seinen Store freigegeben hat, wollen die Entwickler die neue Version von Web Security ausrollen. Diese sei dann auch von altem Programmcode bereinigt.
Besser spät als nie
Mit der Transparenz-Offensive informiert Web Security seine Nutzerschaft zwar über die Datennutzung des Add-ons. Da die Kommunikation der Entwickler allerdings als direkte Antwort auf die Kritik aus der Community und den Rauswurf aus dem Firefox-Store zu sehen ist, hinterlässt der Informationsaustausch einen faden Beigeschmack. Gerade von Anbietern einer Security-Lösung wünscht man sich mehr Offenheit - und das von Anfang an.