Abo
  • Services:
Anzeige
Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Chrome: Google will Browsererweiterungen sicherer machen

Schrittweise Migration auf neue Richtlinien für Erweiterungen
Schrittweise Migration auf neue Richtlinien für Erweiterungen (Bild: Google)

Google schränkt die Möglichkeiten für Entwickler von Chrome-Erweiterungen ein, um Nutzern mehr Sicherheit zu verschaffen. CSP wird standardmäßig aktiviert.

Mit der Aktivierung von Content-Security-Policy (CSP) schränkt Google die Möglichkeiten für Webentwickler ein. Bislang war die Nutzung von CSP optional. Durch die Umstellung sind Erweiterungen mit dem bisherigen Erweiterungssystem nicht mehr kompatibel.

Anzeige

Für Chrome-Erweiterungen gilt die CSP-Regel "script-src 'self'; object-src 'self'". Das bedeutet, Erweiterungen dürfen keine Inline-Scripts mehr verwenden, sie müssen diese aus einer Javascript-Datei laden, die mit der Erweiterung geliefert wird. Ähnliches gilt für SWF-Dateien und Daten anderer Plugins, hier können aber auch Dateien von HTTPS-Servern geladen werden, die auf einer Whitelist stehen. Zudem kann die Funktion eval() nicht länger verwendet werden. Wer JSON parsen will, soll dazu JSON.parse verwenden, rät Google.

Google geht davon aus, dass durch diese Änderungen rund 96 Prozent der bekannten Sicherheitslücken in Erweiterungen geschlossen werden. Die am häufigsten von Entwicklern gemachten, sicherheitsrelevanten Fehler werden also ausgeschlossen.

Google will die neuen, zum bestehenden Erweiterungssystem inkompatiblen Erweiterungen schrittweise einführen. Nutzer können weiterhin alle Erweiterungen installieren, so dass Nutzer keine Funktionen verlieren.

Entwickler können selbst entscheiden, wann sie auf das neue, mit Chrome 18 eingeführte Manifest umsteigen wollen. Denn ab diesem Zeitpunkt wendet Chrome CSP an. Es muss also niemand sofort umsteigen. Google macht aber deutlich, dass es nur eine Frage der Zeit ist, bis die alten Erweiterungen abgeschaltet werden. So werden ab einem nicht genannten Zeitpunkt neue Erweiterungen nur noch auf Basis des neuen Manifests akzeptiert.


eye home zur Startseite
AsgarSerran 01. Mär 2012

Immerhin basiert Chrome auf Chromium. Wenn du Chrome nicht traust, kannst du ja andere...

win.ini 01. Mär 2012

eval() .... führt das nicht zum autoban? :)



Anzeige

Stellenmarkt
  1. Dataport, Hamburg
  2. Daimler AG, Sindelfingen
  3. Ratbacher GmbH, Wolfsburg
  4. TKI Automotive GmbH, Ingolstadt, Gaimersheim


Anzeige
Hardware-Angebote
  1. 1.039,00€ + 3,99€ Versand
  2. 811,90€ + 3,99€ Versand

Folgen Sie uns
       


  1. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  2. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  3. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores

  4. Starcraft Remastered im Test

    Klick, klick, klick, klick, klick als wär es 1998

  5. KB4034658

    Anniversary-Update-Update macht Probleme mit WSUS

  6. Container

    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

  7. Radeon RX Vega

    Mining-Treiber steigert MH/s deutlich

  8. Voyager 8200 UC

    Plantronics stellt Business-Headset mit Noise Cancelling vor

  9. Nokia 3 im Test

    Smartphone mit Saft, aber ohne Kraft

  10. Elektroauto

    Das UTV Nikola Zero hat viel Power fürs Gelände



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Woher weiss ich denn nun wenn der Postbote da...

    nille02 | 15:20

  2. Re: "weniger GPU-Spannung der Chiptakt und die...

    qbl | 15:20

  3. Re: streaming ist alles andere als live...

    genussge | 15:18

  4. Re: Na, geht doch

    chewbacca0815 | 15:18

  5. Re: MEDIATEK...

    M.P. | 15:17


  1. 15:16

  2. 14:57

  3. 14:40

  4. 14:26

  5. 13:31

  6. 13:14

  7. 12:45

  8. 12:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel