Abo
  • Services:
Anzeige
Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome: Google will Browsererweiterungen sicherer machen

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Anzeige

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


eye home zur Startseite
AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)



Anzeige

Stellenmarkt
  1. ATS Gesellschaft für angewandte technische Systeme mbH, Kassel
  2. Robert Bosch GmbH, Abstatt
  3. über JobLeads GmbH, München
  4. Pearson Deutschland GmbH, Hallbergmoos Raum München


Anzeige
Spiele-Angebote
  1. 23,99€
  2. 38,99€
  3. 69,99€ (Release 31.03.)

Folgen Sie uns
       


  1. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  2. Simplygon

    Microsoft reduziert 3D-Details

  3. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  4. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  5. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  6. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  7. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt

  8. Content-ID

    Illegale Porno-Hoster umgehen Youtube-Filter

  9. Wayland

    Google erstellt Gamepad-Support für Android in Chrome OS

  10. Gabe Newell

    Valve-Chef über neue Spiele und Filme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Völlig zu Recht bestraft!

    Belgarion2001 | 17:11

  2. Re: Milliarden für Elektroschrott?

    Sarkastius | 17:11

  3. Re: wie kann jemand Hoster sein, wenn der Content...

    Moe479 | 17:10

  4. Ekelhafte Firma

    AllDayPiano | 17:10

  5. Hat er das vergessen !! Noch wollen die Amis ihn...

    Mopsmelder500 | 17:06


  1. 17:07

  2. 16:53

  3. 16:39

  4. 16:27

  5. 16:13

  6. 16:00

  7. 15:47

  8. 15:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel