Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome Google will Browsererweiterungen sicherer machen

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Anzeige

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)

Kommentieren



Anzeige

  1. Softwareingenieur (m/w) Software- und Systemlösungen für die Technik
    GADV Gesellschaft für Automatisierung mit Datenverarbeitungsanlagen mbH, Böblingen (südlich von Stuttgart)
  2. SAP Consultant Internal Logistics (m/w)
    MAHLE International GmbH, Stuttgart
  3. Mitarbeiter Third-Level-Support & Software Development (m/w)
    epay, Martinsried bei München
  4. Mitarbeiter (m/w) IT Service Desk
    Freshfields Bruckhaus Deringer LLP, Düsseldorf

 

Detailsuche


Folgen Sie uns
       


  1. Internet und Energie

    EU will 315 Milliarden Euro für Netze mobilisieren

  2. Mobile Bürosuite

    Dropbox mit Microsoft-Office-Anschluss

  3. High Bandwith Memory

    SK Hynix liefert schnelleren Grafikkartenspeicher aus

  4. Streaming

    Wuaki lockt mit 4K-Filmen für Smart-TVs

  5. Banana Pi Router

    Ein erster Eindruck vom Bastelrouter

  6. Raumfahrt

    ISS-Besatzung nimmt 3D-Drucker in Betrieb

  7. Studium

    Mehr Erstsemester beim Informatikstudium

  8. Staatstrojaner

    Scanner-Software Detekt warnt vor sich selbst

  9. Assassin's Creed Unity

    Neuer Patch behebt über 300 Probleme

  10. Phased Array

    Ericsson und IBM entwickeln Antennen für 5G-Mobilfunk



Haben wir etwas übersehen?

E-Mail an news@golem.de



Next-Gen-Geburtstag: Xbox One und Playstation 4 sind eins
Next-Gen-Geburtstag
Xbox One und Playstation 4 sind eins
  1. Big Fish Games Bis zu 885 Millionen US-Dollar für Casualgames-Anbieter
  2. This War of Mine Das traurigste Spiel des Jahres
  3. Qbert & Co 901 Spielhallenklassiker im Onlinearchiv

NSA-Ausschuss: Meisterschule für Geheimniskrämer
NSA-Ausschuss
Meisterschule für Geheimniskrämer
  1. Kanzlerhandy Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen
  2. NSA und Co. US-Geheimdienste melden viele Zero-Day-Lücken vertraulich
  3. IT-Sicherheitsgesetz BSI soll Sicherheitslücken nicht geheim halten

Panasonic Lumix DMC-LX100 im Test: Kamera zum Begeistern und zum Verzweifeln
Panasonic Lumix DMC-LX100 im Test
Kamera zum Begeistern und zum Verzweifeln
  1. Systemkamera Sony Alpha 7 II mit 5-Achsen-Bildstabilisierung
  2. Canon PowerShot G7 X im Test Canons Konkurrenz zu Sonys 1-Zoll-Kamera
  3. Interne Dokumente Neuer Sony-Sensor könnte Kameras kraftvoller machen

    •  / 
    Zum Artikel