Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome Google will Browsererweiterungen sicherer machen

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Anzeige

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)

Kommentieren



Anzeige

  1. Gruppenleitung (m/w) SCADA Wind Power
    Siemens AG, Hamburg
  2. Fachinformatiker/in Systemintegration
    Eschenbach Optik GmbH, Nürnberg
  3. NetCracker Senior Architekt OSS (m/w)
    T-Systems International GmbH, Hamburg, Berlin, München, Darmstadt, Münster
  4. Informatiker Operations / 3rd Level Support Manager (m/w)
    di support GmbH, Eschborn bei Frankfurt am Main

 

Detailsuche


Top-Angebote
  1. VORBESTELLAKTION: Star Wars Battlefront (PC/PS4/Xbox One)
    ab 59,99€ (Vorbesteller-Preisgarantie) - Release 19.11.
  2. NEU: Avatar - Extended Collector's Edition inkl. Artbook [Blu-ray]
    16,99€
  3. NEU: Wolfenstein: The New Order kaufen und Gutschrift für Wolfenstein: The Old Blood sichern

 

Weitere Angebote


Folgen Sie uns
       


  1. Vorratsdatenspeicherung

    Erster SPD-Abgeordneter lehnt Regierungspläne ab

  2. P2P

    Transferwise will günstige Überweisungen weltweit bieten

  3. Ex-Pirat

    Lauer wird Springers Chef für Innovationen

  4. Lifetab S10364

    Aldi bringt 10-Zoll-Tablet erneut für 200 Euro

  5. Regierungskommission

    Abbau von Netzneutralität soll Glasfaserausbau ankurbeln

  6. Lite

    Huaweis kleines P8 kostet 250 Euro

  7. Test Assassin's Creed Chronicles

    Meuchelmord und Denksport in China

  8. Jobcenter

    Hardware verursachte IT-Ausfall bei Agentur für Arbeit

  9. Piko H0 Smartcontrol

    Pufferküsser fahren Modellbahnen bald mit Android

  10. Maglev

    Magnetschwebebahn bricht mit 603 km/h erneut Rekord



Haben wir etwas übersehen?

E-Mail an news@golem.de



Hello Firefox OS: Einfacher Einstieg in die App-Entwicklung mit Firefox OS
Hello Firefox OS
Einfacher Einstieg in die App-Entwicklung mit Firefox OS
  1. Biicode Abhängigkeitsverwaltung für C/C++ ist Open Source
  2. Freie Bürosoftware Libreoffice liegt im Rennen gegen Openoffice weit vorne
  3. ARM-SoC Allwinner verschleiert Lizenzverletzungen noch weiter

Flex Shape Gripper: Zuschnappen wie ein Chamäleon
Flex Shape Gripper
Zuschnappen wie ein Chamäleon
  1. Windkraftwerke Kletterroboter überprüft Windräder
  2. Care-O-bot Der Gentleman-Roboter gibt sich die Ehre
  3. Roboter Festos Falter fliegen fleißig

Android 5.1 im Test: Viel nützlicher Kleinkram
Android 5.1 im Test
Viel nützlicher Kleinkram
  1. Google EU-Wettbewerbsverfahren auch zu Android
  2. Lollipop Trage-Erkennung setzt Passwortsperre aus
  3. Google Android 5.1 bringt mehr Bedienungskomfort und Sicherheit

  1. Re: Warum führt der Webserver denn sowas aus?

    xVipeR33 | 20:57

  2. Wen verrät diese Partei denn?

    Mingfu | 20:56

  3. Re: Geballte Kompetenz...

    HowlingMadMurdock | 20:52

  4. Re: Typisch Arbeitsamt...

    crummp | 20:51

  5. Re: Und da ist mal wieder der Beweis:

    0mega | 20:47


  1. 18:36

  2. 18:30

  3. 18:26

  4. 16:58

  5. 15:50

  6. 14:54

  7. 14:00

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel