Original-URL des Artikels: https://www.golem.de/news/firefox-mozilla-beginnt-addons-zu-signieren-1505-114316.html    Veröffentlicht: 28.05.2015 14:32    Kurz-URL: https://glm.io/114316

Firefox

Mozilla beginnt, Addons zu signieren

Die über Mozilla-Server erhältlichen Firefox-Addons werden nun automatisch signiert. Künftig soll der Browser nur noch die Installation von Erweiterungen mit einer Signatur erlauben.

Etwas später als ursprünglich geplant, startet Mozilla mit seiner Initiative, die Installation von Addons für den Firefox nur noch dann zu erlauben, wenn diese eine Signatur der Browser-Macher aufweisen. Dazu werden sämtliche Erweiterungen, die über die Server von Mozilla verteilt werden, nun zunächst automatisch signiert. Dies werde etwa eine Woche in Anspruch nehmen. Die Addon-Entwickler sollen über diesen Vorgang informiert werden.

Ab nächster Woche soll dann die Möglichkeit bestehen, neue Versionen von Addons nach einer Überprüfung durch Mozilla signieren zu lassen. Ebenso sollen Entwickler, die ihre Software selbstständig verteilen wollen, den Code für eine Signatur einreichen können. Details dazu will Mozilla noch bekanntgeben.

Schutz vor Malware

Durch die Prüfung der Addons und der Signatur sollen Anwender vor schädlicher Software geschützt werden. So habe es eine Zunahme von Erweiterungen gegeben, die die Einstellungen der Nutzer manipulierten, etwa indem sie die Homepage oder die bevorzugte Suchmaschine ungefragt änderten.

Es gebe auch Erweiterungen, die unerlaubt Werbung in aufgerufenen Webseiten platzierten oder sogar schädliche Skripte in Social-Media-Webseiten injizierten. Zwar gebe es strikte Richtlinien, die solche Manipulationen verhindern sollen, und Mozilla pflegt eine Blockliste für solche Addons. Deren Anzahl werde aber immer unübersichtlicher und es gelinge immer wieder, die Sperrlisten zu umgehen.

Signierte Addons werden Pflicht

Bei Firefox 40, das Mitte August dieses Jahres erscheinen soll, könne die Überprüfung der Signatur noch durch eine Option abgeschaltet werden. Mit der darauffolgenden Version 41 soll das aber nicht mehr möglich sein. Anwender haben dann keine Möglichkeit mehr, einfach unsignierte Addons zu installieren. Für die Firefox-Variante mit Langzeitsupport (ESR) wird das mit Version 45 umgesetzt.

Die Nightly-Version und die als Developer-Edition bezeichneten Alphas sollen aber auch weiterhin die Option bieten, die Überprüfung abzuschalten. Das soll Addon-Entwicklern das Testen ihrer Software erleichtern. Um dies auch für die Betas und die stabilen Versionen zu ermöglichen, sollen aber auch Browser-Varianten ohne Firefox-Name und -Logo bereitgestellt werden, die die Signaturpflicht nicht erzwingen.

Details zu dem Plan sammeln die Beteiligten in ihrem Wiki.  (sg)


Verwandte Artikel:
Firefox 57: Firebug wird nicht mehr weiterentwickelt   
(25.10.2017, https://glm.io/130806 )
Mozilla Addons: Kritik an geplanten digitalen Signaturen   
(18.02.2015, https://glm.io/112431 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )
Mozilla: Firefox 54 bringt "komplette Multi-Prozess-Architektur"   
(14.06.2017, https://glm.io/128369 )
Kollisionsangriff: Hashfunktion SHA-1 gebrochen   
(23.02.2017, https://glm.io/126355 )

© 1997–2020 Golem.de, https://www.golem.de/