Chrome will Erweiterungen sicherer machen

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Chrome will Erweiterungen sicherer machen

    Code-Prüfungen, mehr Benutzerkontrolle und verbotene Obfuskation: Google kämpft gegen Missbrauch und Schlamperei in Browser-Erweiterungen.

    Browser-Erweiterungen machen das Web-Surfen komfortabler, erwiesen sich aber in letzter Zeit so oft als gefährliche Einfallstore von Datenschutz-Problemen, Sicherheitslücken, Krypto-Minern, Spionage-Software, Affiliate-Betrug, Backdoors und eingeschleuster Malware, dass diese gesamte Software-Kategorie ins Zwielicht geraten ist.
    Deshalb steuert Google jetzt gegen und strafft die Regeln für Erweiterungs-Entwickler.
    So verbietet Google ab sofort obfuszierten Code – auch, wenn dieser nicht Bestandteil der Erweiterung selbst ist, sondern von dieser nur nachgeladen wird. Wer eine Extension mit verschleiertem Code im Chrome Web Store anbietet, hat bis Ende des Jahres Zeit für die Umstellung. Übliche Praktiken zur Minifizierung sind von diesem Verdikt ausgenommen, also etwa das Weglassen von Whitespace oder kurze, nicht sinnhafte Variablennamen.

    Zwei-Faktor-Authentifizierung und Rechtevergabe

    Schadcode in einer Erweiterung stammt nicht immer von deren Entwickler, sondern kann durch Dritte eingeschleust sein. Um diesen Gefahrenherd einzugrenzen, macht der Chrome Web Store nächstes Jahr Zwei-Faktor-Authentifizierung verpflichtend. Für 2019 hat Google auch einen neuen Standard für das Erweiterungs-Manifest anvisiert, der unter anderem kleinteiligere Rechtevergabe und bessere Einstellungsmöglichkeiten durch den Nutzer vorsieht.

    Einen Schritt in diese Richtung geht bereits die kommende Chrome-Version 70: Hier können Nutzer selbst einstellen, auf welche Websites eine Erweiterung automatisch zugreifen darf; bisher legt dies ausschließlich die Erweiterung fest. Außerdem kündigt Google an, Erweiterungen, die "mächtige Rechte" anfordern, künftig einer "zusätzlichen Compliance-Review" zu unterziehen – was immer das im Detail bedeuten mag.
    Schon im Juni hatte Google angekündigt, dass sich Erweiterungen künftig ausschließlich über den Chrome Web Store installieren lassen werden. Apple hatte kurz zuvor einen ähnlichen Schritt unternommen,
    geht dabei aber deutlich weiter: Nur handverlesene Apple-geprüfte Erweiterungen ("Safari App Extensions") werden künftig in Safari funktionieren.

    Quelle: Chrome will Erweiterungen sicherer machen |
    heise online