Chrome: Google will Browsererweiterungen sicherer machen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome Google will Browsererweiterungen sicherer machen

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Anzeige

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)

Kommentieren



Anzeige

  1. SAP-Modulbetreuer (m/w) Rechnungswesen und Controlling
    HiPP-Werk Georg Hipp OHG, Pfaffenhofen (Raum Ingolstadt)
  2. Inhouse Spezialist SAP (m/w)
    ROTA YOKOGAWA GmbH & Co. KG, Wehr am Rhein
  3. IT-Prozess- und Anwendungsberater (m/w) Produktinformationsmanagement
    TRUMPF GmbH + Co. KG, Ditzingen (bei Stuttgart)
  4. Entwicklungsingenieur (m/w) Software
    EBE Elektro-Bau-Elemente GmbH, Leinfelden-Echterdingen bei Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Test Dreamfall Chapters Book One

    Neue Episode von The Longest Journey

  2. iPad Air 2 im Test

    Toll, aber kein Muss

  3. Nocomentator

    Filterkiste blendet Sportkommentare aus

  4. Gameworks

    Nvidia rollt den Rasen aus

  5. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  6. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  7. Wildstar

    NC Soft entlässt Mitarbeiter

  8. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  9. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  10. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de



Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

Merkel auf IT-Gipfel: Netzneutralität wird erst im Glasfasernetz wichtig
Merkel auf IT-Gipfel
Netzneutralität wird erst im Glasfasernetz wichtig
  1. Digitale Verwaltung 2020 E-Mail soll Briefe und Amtsbesuche ersetzen
  2. Digitale Agenda Ein Papier, das alle enttäuscht
  3. Webmail Web.de kritisiert langsame De-Mail-Einführung der Regierung

Hoverboard: Schweben wie Marty McFly
Hoverboard
Schweben wie Marty McFly
  1. Design-Fahrzeuge U-Bahnen in London sollen autonom fahren
  2. Fahrassistenzsystem Volvos virtueller Lkw-Beifahrer soll Unfälle verhindern
  3. Computergrafik US-Forscher modellieren Gesichter in Videos dreidimensional

    •  / 
    Zum Artikel