Phishing-Schutz für Opera
Der Phishing-Schutz im kommenden Firefox 2.0 greift in der Standardeinstellung auf eine lokal gespeicherte Blacklist zu, die von Google geliefert wird. In dieser Blacklist werden bekannte Webseiten verzeichnet, die für Phishing-Angriffe benutzt werden. Versucht ein Nutzer von Firefox 2.0 eine in der Blacklist vermerkte Phishing-Seite zu öffnen, blockiert der Browser den Zugriff. Dieses Konzept hilft aber nicht bei ganz neu im Internet aufgetauchten Phishing-Seiten, die noch nicht in der Datenbank vermerkt sind. Alternativ dazu kann die Blacklist bei jedem verdächtigen Seitenaufruf aktualisiert werden. In jedem Fall versprechen die Firefox-Macher, keine Daten der Nutzer zu sammeln, da die Prüfung in jedem Fall lokal erfolgt.
Einen gegenteiligen Ansatz gegen Phishing-Angriffe verfolgt Microsoft im geplanten Internet Explorer 7. Anstatt auf eine Blacklist setzt Microsoft auf eine Whitelist, also eine Datenbank mit geprüften und für unbedenklich befundenen Webseiten. Im Unterschied zu Firefox 2 fragt der Internet Explorer 7 immer bei einer Datenbank an, um Webseiten auf Phishing-Angriffe zu prüfen. Bevor die URLs an Microsoft übermittelt werden, sollen alle vertraulichen Informationen in einer URL herausgefiltert werden.
Der derzeitige, sehr rudimentäre Phishing-Schutz in Opera bezieht sich auf die Anzeige des Verschlüsselungsstatus einer Webseite. Dazu wird der Zertifikatinhaber genannt, so dass versierte Nutzer bereits seit längerem Phishing-Angriffe erkennen können. Für den Durchschnittsanwender stellt dies aber keinen sonderlich wirksamen Schutz dar. Daher soll bald eine Datenbankabfrage vor Phishing-Angriffen schützen.
Opera 9.1 wird hierbei auf die Phishing-Datenbank von GeoTrust zurückgreifen und diese beim Aufruf von Webseiten befragen. Beim Besuch einer bisher nicht bekannten Webseite überträgt Opera den Domain-Namen und einen Hash-Wert der URL. Die gesamte URL wird aus Datenschutzgründen nicht übermittelt. Die Norweger betonen, dass die Daten nicht an Dritte weitergegeben und nur auf Opera-eigenen Servern verarbeitet werden. Zudem werden hierbei keine personenbezogenen Daten wie Cookies oder IP-Adressen übertragen. Opera betont, die übermittelten Daten in einer von jedem einsehbaren Textdatei abzulegen, so dass sich misstrauische Gemüter ohne großen Aufwand informieren können, was für Daten an Opera übertragen wurden.
Nach der Prüfung sendet Opera an den Browser ein XML-Dokument, in dem vermerkt ist, ob eine Webseite als sicher oder unsicher eingestuft wurde. Die Daten sicherer Webseiten werden dazu lokal gespeichert, so dass diese nicht immer wieder von Neuem geladen werden müssen. Dies gilt auch für bislang unbekannte Webseiten, allerdings behält der Browser diese Daten nicht so lange, um Fehlinformationen zu vermeiden.
Im Browser macht sich der Phishing-Schutz so bemerkbar, dass vertrauenswürdige Webseiten mit einem "i"-Symbol in der Adressleiste erscheinen, während nicht bekannte Webseiten ein "?" erhalten. Wurden Seiten als Phishing-Seiten erkannt, wird der Zugriff auf die Webseite blockiert.
Mit diesem Verfahren will Opera einen guten Kompromiss zwischen einem wirksamen Phishing-Schutz und der Wahrung der Privatsphäre des Nutzers gefunden haben. Wann Opera 9.1 mit diesem Schutzmechanismus erscheinen wird, ist nicht bekannt. Der Phishing-Schutz wird sich auf Wunsch auch ausschalten lassen. Die Datenbankabfrage soll sich nicht negativ bei der Geschwindigkeit bemerkbar machen.