"Wir sind für unser Add-on-Ökosystem verantwortlich und können nicht tatenlos herumsitzen, während unsere Nutzer unter heimtückischen Add-ons leiden." Jorge Villalobos, Leiter Kommunikation Add-on-Entwickler bei Mozilla, spricht damit aus, was vielen Anwendern auf der Seele brennt. Im zweiten Quartal diesen Jahres will Mozilla, um die Sicherheit des Browsers zu steigern, dementsprechend nur noch signierte Erweiterungen zulassen.

Firefox lässt die Installation von Add-ons aus sämtlichen Quellen aktuell ohne mit der Wimper zu zucken zu. Allzu oft schleichen sich dabei vom Nutzer unbemerkt Mal- und Adware-Erweiterungen in den Webbrowser ein. Entwickler müssen künftig, damit Mozilla Add-ons zulässt, verschiedene Richtlinien befolgen. Der Installationsvorgang soll dabei unter anderem eindeutig als solcher erkennbar sein und den Funktionsumfang müssen Entwickler auch transparent darlegen.

Da eine Signatur keine Schadfunktion verhindert, schützt sie de facto nicht direkt. Im Idealfall sorgt sie dafür, dass sich ein unangenehm aufgefallenes Add-on zu einer Person oder Firma, die für deren Verhalten verantwortlich ist, zurückverfolgen lässt.

Mozilla spricht von einer Übergangszeit von drei Monaten, in denen Firefox Nutzer nur mit einem Pop-up warnt, nach dem Start des Verfahrens. Die Installation von unsignierten Erweiterungen soll danach nicht mehr möglich sein. Im übrigen sind davon alle Add-ons, egal, ob diese aus dem offiziellen Angebot von Mozilla oder anderer Quellen stammen, betroffen. Ab Firefox 39 bei den Release- und Beta-Versionen soll der Signatur-Check Einzug halten. Bei den Entwickler- und Nightly-Versionen wiederum will Mozilla auch in Zukunft auf einen Signatur-Check verzichten.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE