Abo
  • Services:
Anzeige
Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome: Google will Browsererweiterungen sicherer machen

Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Anzeige

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


eye home zur Startseite
AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)



Anzeige

Stellenmarkt
  1. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  2. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  3. AMC Datensysteme GmbH, Karlsruhe
  4. Bernecker + Rainer Industrie-­Elektronik Ges.m.b.H., Essen


Anzeige
Hardware-Angebote
  1. 379,90€
  2. 117,73€
  3. 65,99€ (Bestpreis laut Preisvergleich)

Folgen Sie uns
       


  1. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen

  2. Piranha Games

    Mechwarrior 5 als Einzelspielertitel angekündigt

  3. BMW Connected Drive

    Dieb wird mit vernetztem Auto gefangen

  4. Helio X23 und Helio X27

    Mediatek taktet seine 10-Kern-SoCs für Smartphones höher

  5. Betrug

    Dating-Plattformen sollen eigene Fake-Profile anlegen

  6. Onlineshopping

    Amazon startet Zwei-Faktor-Authentifizierung in Deutschland

  7. Moto Z

    Lenovo plant mindestens zwölf neue Module pro Jahr

  8. Travelers Box

    Münzgeld am Flughafen tauschen

  9. Apple

    Produktionsfehler macht Akkutausch im iPhone 6S notwendig

  10. Apple

    Aktivierungssperre des iPads lässt sich umgehen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

  1. Re: Heute morgen in Deutschland

    quineloe | 13:26

  2. Re: An alle Selbsfahrenden-Auto-Fans

    mag | 13:25

  3. Re: Off Topic: Fire TV Stick 2. Generation aus...

    AlexanderSchäfer | 13:24

  4. Re: Zelda? Wohl eher Linkle

    TarikVaineTree | 13:24

  5. Re: Verschränkung von Polizei und Geheimdienst...

    Rulf | 13:24


  1. 12:01

  2. 11:41

  3. 10:49

  4. 10:33

  5. 10:28

  6. 10:20

  7. 10:05

  8. 09:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel