Specific Criticism of CVSS4
Marc Ruef
Das norwegische Unternehmen Opera entwickelt und vertreibt den gleichnamigen freien Webbrowser. Dieser ist ebenfalls als Opera Mini für verschiedene Mobiltelefon-Plattformen verfügbar. Durch Apple wird auf dem iPhone standardmässig Safari als Webbrowser angeboten. Seit dem 13. April 2010 wird jedoch als Alternative ebenfalls Opera Mini im AppStore angeboten. Nur Tage nach dem Erscheinen der App beherrscht diese Platz 1 der jeweiligen Download-Charts. Das Erscheinen von Opera Mini fürs iPhone ist damit zu einem Ereignis in der Tagespresse geworden.
Die Betrachtungen des Produkts in der Presse fokussieren sich in erster Linie auf die Handhabung, Funktionsumfang und Geschwindigkeit. Dabei wird den Sicherheitsfunktionen bzw. der Sicherheitsarchitektur gar keine Beachtung geschenkt.
Die Zulassung des alternativen “Webbrowsers” durch Apple hat Opera schlussendlich nur erhalten, weil sie keinen nativen Webbrowser (mit eigener Render-Engine) anbieten. Stattdessen stellen sie mit der App lediglich ein Frontend zur Darstellung der Seiten zur Verfügung. Die Daten werden durch Opera selber geladen und für Opera Mini umgewandelt. Eine solche Lösung wird Proxy-Browser genannt. Dies bedeutet, dass sowohl die Anfragen des Browsers als auch die Rückantworten des Servers stets über die Systeme von Opera laufen. Dies wird deutlich, wenn man die Zugriffe in den Webserver-Logs untersucht:
t06-09.opera-mini.net - [14:45:28] "GET / HTTP/1.1" 200 2193 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:28] "GET /_thm/reset-fonts-grids.css HTTP/1.1" 200 1392 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:28] "GET /_thm/base-min.css HTTP/1.1" 200 396 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:28] "GET /favicon.ico HTTP/1.1" 200 3262 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_labs.jpg HTTP/1.1" 200 1951 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_news.jpg HTTP/1.1" 200 2123 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /_img/spacer.gif HTTP/1.1" 200 42 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_dienstleistungen.jpg HTTP/1.1" 200 1542 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /_thm/style.css HTTP/1.1" 200 1337 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /vuldb/3.gif HTTP/1.1" 200 976 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_vuldb.jpg HTTP/1.1" 200 1950 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /vuldb/2.gif HTTP/1.1" 200 950 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /vuldb/1.gif HTTP/1.1" 200 901 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15" t06-09.opera-mini.net - [14:45:29] "GET /_img/scip-titel.gif HTTP/1.1" 200 5356 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
Hierbei ist zu sehen, wie der effektive Download durch den Host t06-09.opera-mini.net
durchgeführt wird. Die Angabe des User-Agent (Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15
) entspricht damit auch nicht wirklich der Wahrheit, denn schliesslich wurde der Zugriff nicht durch das iPhone umgesetzt, sondern durch das Proxy-System abgewickelt.
Diese Anwendungs-Architektur führt das grundsätzliche Problem mit sich, dass Opera ein umfassendes Data Mining ihrer Benutzer betreiben kann. Einerseits lässt sich damit das Verhalten der Benutzer untersuchen und diese zum Beispiel für Werbezwecke zu missbrauchen. Andererseits könnten aber auch der sensitive Datenaustausch abgefangen und ausgewertet werden.
Wir raten Personen, die Wert auf ihre Privatsphäre legen, davon ab, von Opera Mini Gebrauch zu machen. Auf dem iPhone bleibt in diesem Fall vorerst nichts anderes übrig, als weiterhin mit Safari zu browsen. Denn nur bei diesem wird zur Zeit eine Direktverbindung gewährleistet, die eine Auswertung und das Auslesen des Datenverkehrs durch den Anbieter verhindert.
Our experts will get in contact with you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!