Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome Google will Browsererweiterungen sicherer machen

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Anzeige

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)

Kommentieren



Anzeige

  1. Consultant SAP ABAP und HCM (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  2. Web-Entwickler / Web-Designer (m/w)
    Mensching Management GmbH, Isernhagen bei Hannover
  3. Berater (m/w) "SAP HR"
    Detecon International GmbH, Köln, Eschborn, München
  4. Senior Berater (m/w)
    Lufthansa Industry Solutions AS GmbH, Wolfsburg

 

Detailsuche


Blu-ray-Angebote
  1. Blu-rays für je 5 EUR
    (u. a. Halloween 4, Frozen River, Memory Effect)
  2. VORBESTELLBAR: Fast & Furious 1-7 - Box [Blu-ray]
    49,99€ (Vorbesteller-Preisgarantie) - Release 13.08.
  3. Blu-rays zum Sonderpreis
    (u. a. Dallas Buyers Club 7,90€, Wolverine 7,90€, 96 Hours 7,90€, Lord of War 7,97€, A-Team...

 

Weitere Angebote


Folgen Sie uns
       


  1. Überwachung

    Reporter ohne Grenzen verklagen BND

  2. Vor dem Start von Windows 10

    Steigender Marktanteil für Windows 7

  3. Garmin Varia

    Radar für Radfahrer

  4. Hanson Robotics

    Technik, die dir zuzwinkert

  5. Musik

    Apple entfernt Privatfreigabe in iOS 8.4

  6. Cruise Automation

    Umrüstsatz lässt Autos autonom fahren

  7. BND-Sonderermittler Graulich

    Zen-Buddhist mit Billig-Smartphone und Virenscanner

  8. 5G-Norma-Projekt

    Nokia, Telekom und Telefónica wollen 5G festlegen

  9. Oberlandesgericht

    Youtube kann durch Gema in Störerhaftung genommen werden

  10. Timesyncd

    Systemd soll Googles Zeitserver nicht mehr verwenden



Haben wir etwas übersehen?

E-Mail an news@golem.de



Radeon R9 Fury X im Test: AMDs Wasserzwerg schlägt Nvidias Titan in 4K
Radeon R9 Fury X im Test
AMDs Wasserzwerg schlägt Nvidias Titan in 4K
  1. Radeon R9 390 im Test AMDs neue alte Grafikkarten bekommen einen Nitro-Boost
  2. Grafikkarte AMDs neue R7- und R9-Modelle sind beschleunigte Vorgänger
  3. Grafikkarte AMD kündigt Radeon R9 Fury X und R9 Nano an

PGP: Hochsicher, kaum genutzt, völlig veraltet
PGP
Hochsicher, kaum genutzt, völlig veraltet
  1. OpenPGP Facebook verschlüsselt E-Mails
  2. Geheimhaltung IT-Experten wollen die NSA austricksen
  3. Security Wie Google Android sicher macht

Urheberrecht: Die Panoramafreiheit ist bedroht
Urheberrecht
Die Panoramafreiheit ist bedroht
  1. EU-Urheberrecht Wikipedia fürchtet Abschaffung der Panoramafreiheit
  2. Experten Filesharing-Urteil des Bundesgerichtshofs für Musikindustrie
  3. Privatkopie Österreich will Downloads von illegalen Quellen verbieten

  1. Leuchtweitenregulierung

    ma~ | 10:04

  2. Re: Wer arbeitet für sowenig? Gute Jobts gibts...

    der_wahre_hannes | 10:03

  3. Re: Glasfaser bis ins Haus macht kaum mehr Sinn...

    dl01 | 10:02

  4. Re: Zum Glück... die Freude ist groß in den USA...

    mikehak | 10:02

  5. Re: Spotify to AppleMusic mover?

    Lemo | 10:01


  1. 10:00

  2. 09:34

  3. 09:24

  4. 09:05

  5. 08:18

  6. 08:12

  7. 20:54

  8. 18:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel