バージョン別で見るFirefoxの市場シェア (2008年1月[5])Firefox 1.00.34 %
Firefox 1.50.53 %
Firefox 216.02 %
Firefox 3 (Pre-release)0.10 %
全てのバージョン16.98 %
Mozilla Firefoxは、HTML、XML、XHTML、SVG 1.1(partial)[6]、CSS、 ECMAScript (JavaScript)、DOM、MathML、DTD、XSLT、XPath、アルファチャンネルを含むPNG画像など、多くのウェブ標準をサポートしている。
[7] またFirefoxは、例えばクライアント側のストレージ[8],[9]やcanvas (HTML要素)[10]などのように、WHATWGによって作成された標準企画案の内容もサポートしている。
バージョン3ではレンダリングのテストケースであるAcid2に合格している。
Firefoxはサンドボックスによるセキュリティモデルを使用しており、また、他のウェブサイトから読み込まれたデータやスクリプトについて同一生成元ポリシー[11]に基づく制限を設けている。
ウェブサーバとの通信を強度の暗号化によって守るために、HTTPSプロトコル使用時にはSSL/TLSが使われる[12]。これはウェブアプリケーションが認証目的のスマートカードを使用する場合にもサポートされる[13]。
Mozilla FoundationはFirefoxの中から深刻なセキュリティホールを発見した報告者に対して報奨金制度を設けている[14]。また脆弱性実証コードの作成が潜在的な攻撃者に短期的な有利性を与えないようにするために、セキュリティバグの取り扱いに関する公式ガイドラインでは早期の情報開示を思いとどまるよう求めている[15]。
Firefoxは公に知られている未修正の深刻な脆弱性数がInternet Explorerより少ないことが理由で( ⇒en:Comparison of web browsersを参照)、Internet ExplorerからFirefoxに乗り換える動機としてセキュリティ向上がよく引き合いに出される[16][17][18][19] 。
ワシントン・ポストは、未修正の深刻な脆弱性に関する実証コードがInternet Explorerで利用可能だった期間は2006年は計284日だったとレポートしている。これに対して、未修正の深刻な脆弱性に関する実証コードがFirefoxで利用可能だったのはMozillaがこの問題を修正するまでの9日間であった[20][21]。
2006年のシマンテックの調査によると、同年9月に他のブラウザと比較して、Firefoxはベンダーに認知された脆弱性の数を上回ったが、これらの脆弱性は他のブラウザよりも遥かに素早く処理されていた [22]。また、後にシマンテックは、セキュリティ研究者によって脆弱性の数を Internet Explorer と比較したところ、Firefoxの方がより少ないセキュリティに関する脆弱性を有していたことが明らかとなった、と発表した [23]。
脆弱性が発見され、それによって著しい社会的影響を与えたケースもある[24]が、発見から僅かの間に修正されている[25]。 2008年3月26日の時点ではFirefox 2には4つの未パッチの脆弱性があり、デンマークのセキュリティ調査会社であるSecuniaの評価によると、そのうちの危険度は「低 (less critical)」が最高である [26] [27]。
FirefoxはOSと統合されておらず、しばしばセキュリティホールの原因となるVBScriptやActiveXを標準でサポートしていない。そのため、それらを悪用するコンピュータウイルスやスパイウェアが侵入できないことから、FirefoxはWindows版のInternet Explorerよりも安全だと言われている[28],[29]。実際に、OSとの統合やActiveXの危険性についてはInternet Explorerの開発者も認識している[30]。 一方で単にシェアが低いために、ウイルスなどの製作者に標的にされることが少ないからだという主張もある[31]。Firefoxのシェアの上昇に伴い、脆弱性の報告数は増えており、注意が必要である。
また、最新版のウェブブラウザを利用していても、OSやコンポーネント側のセキュリティホールを放置していると、OS等のセキュリティホールを突かれる可能性がある。例えば、Windowsではアニメーションカーソルの脆弱性[32]により、クラッカーの手によってリモートで制御される危険性があるとの発表がなされている。とくに、ブラウザ等を管理者権限で実行していれば、クラッカーに管理者権限を奪取される危険性がある。この脆弱性はWindowsのアニメーションカーソルおよびアイコンのデータ検証方法に起因している為、Firefoxを利用していても攻撃を防ぐことはできなかった[33]。Mozilla FoundationのSchroepfer氏は、2.0.0.3の次のリリースでの脆弱性の回避策を検討しているとしつつも、全てのWindows利用者に対してOSのセキュリティアップデート[34]を直ちに行うことを推奨するとの声明を発表した[35]。
このように、ウェブブラウザの種類に関わらず、OSに最新のセキュリティアップデート(例:Windows Update等)を常に適用しておくことは重要である。なお、最新のブラウザ・OS等には、実行権限を低く設定しなおすもの(例:Windows VistaにおけるIE7の保護モード)や、ブラウザ類の権限を抑制するもの(例:LinuxにおけるSELinux)等があり、安全性は増してきているが、いかなるウェブブラウザを利用している場合も過信は禁物である。
またプラグインのセキュリティはMozillaの管轄では無い。