Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome Google will Browsererweiterungen sicherer machen

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Anzeige

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)

Kommentieren



Anzeige

  1. Software-Entwickler Backend (m/w)
    AGNITAS AG, München
  2. Senior-Softwareentwickler (m/w)
    KfW Bankengruppe, Berlin
  3. Funktions-/SW-Entwickler (m/w) konventionelle / alternative Antriebe
    Robert Bosch GmbH, Schwieberdingen
  4. Leiter/in IT und Organisation
    Brunner GmbH, Rheinau

 

Detailsuche


Spiele-Angebote
  1. Dead Island 2 [AT PEGI] - [PC]
    49,99€ USK 18
  2. NEU: Assassins Creed Unity PC Download
    29,97€
  3. Little Big Planet 3 - Extras Edition (PS4)
    49,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Biofabrikation

    Forscher wollen Gewebe aus Spinnenseide drucken

  2. Ultrabook-Prozessor

    Intels Skylake ersetzt Broadwell bereits im Frühsommer

  3. GTX-970-Affäre

    AMD veralbert Nvidia per Twitter und verlost Grafikkarten

  4. Spielebranche

    Sega streicht 300 Stellen

  5. Gegen Pegida

    Informatiker und Bitkom für Flüchtlinge und Vielfalt

  6. Smartphones

    Huawei empfindet Windows Phone als Einheitsbrei

  7. FCC

    Erst 25 MBit/s sind in den USA jetzt ein Breitbandanschluss

  8. DVB-T2/HEVC

    Nur ein Betreiber will Antennen-TV in HD aufbauen

  9. Place Tips

    Facebook wird zum Stadtführer

  10. Massenüberwachung

    BND speichert 220 Millionen Telefondaten - jeden Tag



Haben wir etwas übersehen?

E-Mail an news@golem.de



Testplattform für Grafikkarten: Des Golems Zauberwürfel
Testplattform für Grafikkarten
Des Golems Zauberwürfel
  1. Maxwell-Grafikkarte Nvidia korrigiert die Spezifikationen der Geforce GTX 970
  2. Geforce GTX 960 Nvidias neue Grafikkarte ist eine halbe GTX 980
  3. Bis 4 GHz Takt Samsung verdoppelt Grafikspeicher-Kapazität

Grim Fandango im Test: Neues Leben für untotes Abenteuer
Grim Fandango im Test
Neues Leben für untotes Abenteuer
  1. Vorschau 2015 Von Hexern, Fledermausmännern und VR-Brillen
  2. Spielejahr 2014 Gronkh, GTA 5 und #Gamergate
  3. Day of the Tentacle (1993) Zurück in die Zukunft, Vergangenheit und Gegenwart

Fehlender Cache verursacht Ruckler: Nvidias beschnittene Geforce GTX 970 stottert messbar
Fehlender Cache verursacht Ruckler
Nvidias beschnittene Geforce GTX 970 stottert messbar
  1. King Of The Hill AMDs 300-Watt-Grafikkarte nutzt High Bandwidth Memory
  2. Partikelsimulation Nvidias Flex rührt das Müsli an
  3. Grafiktreiber im Test AMD wagt mit Catalyst Omega Neuanfang samt Downsampling

    •  / 
    Zum Artikel