Abo
  • Services:
Anzeige
Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome: Google will Browsererweiterungen sicherer machen

Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Anzeige

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


eye home zur Startseite
AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. Sonntag & Partner Partnerschaftsgesellschaft mbB, Augsburg
  3. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  4. BG-Phoenics GmbH, München


Anzeige
Spiele-Angebote
  1. (-78%) 7,99€
  2. 35,00€ (nur für Prime-Mitglieder)
  3. 59,99€/69,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  2. GVFS

    Windows-Team nutzt fast vollständig Git

  3. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  4. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  5. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  6. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf

  7. Microsoft

    Mixer soll schneller streamen als Youtube Gaming und Twitch

  8. Linux

    Kritische Sicherheitslücke in Samba gefunden

  9. Auftragsfertiger

    Samsung erweitert Roadmap bis 4 nm plus EUV

  10. Fake News

    Ägypten blockiert 21 Internetmedien



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

  1. Re: Die hohen Anschaffungskosten eines E-Autos...

    Sea | 15:32

  2. Re: Volumenbegrenzungen abschaffen

    mannzi | 15:32

  3. Re: Monetarisierung

    John McClain | 15:31

  4. Re: Gesundheitsrisiken?

    DAUVersteher | 15:29

  5. Wieso bitte alles in ein Mega-Repo?

    Tuxgamer12 | 15:23


  1. 15:15

  2. 13:35

  3. 13:17

  4. 13:05

  5. 12:30

  6. 12:01

  7. 12:00

  8. 11:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel