Auch wenn Browser-Erweiterungen das Web-Surfen komfortabler machen, erwiesen sie sich in letzter Zeit so oft als gefährliche Einfallstore von Sicherheitslücken, Datenschutz-Problemen, Krypto-Minern, Affiliate-Betrug, Spionage-Software, Backdoors und eingeschleuster Malware. Dadurch ist diese gesamte Software-Kategorie ins Zwielicht geraten. Google steuert deshalb jetzt gegen und strafft für Erweiterungs-Entwickler die Regeln.

Ab sofort verbietet Google obfuszierten Code – auch, wenn dieser nur nachgeladen wird und nicht Bestandteil der Erweiterung selbst ist. Wer im Chrome Web Store eine Extension mit verschleiertem Code anbietet, hat für die Umstellung bis Ende des Jahres Zeit. Ausgenommen von diesem Verbot sind übliche Praktiken zur Minifizierung, also etwa kurze, nicht sinnhafte Variablennamen oder das Weglassen von Whitespace.

Schadcode in einer Erweiterung kann allerdings durch Dritte eingeschleust sein und stammt nicht immer von den Entwicklern selbst. Der Chrome Web Store macht, um diesen Gefahrenherd einzugrenzen, nächstes Jahr die Zwei-Faktor-Authentifizierung verpflichtend. Google hat außerdem für 2019 einen neuen Standard für das Erweiterungs-Manifest, der unter anderem kleinteiligere Rechtevergabe und bessere Einstellungsmöglichkeiten durch den Nutzer vorsieht, anvisiert.

Die kommende Chrome-Version 70 geht bereits einen Schritt in diese Richtung: Auf welche Websites eine Erweiterung automatisch zugreifen darf, können Nutzer hier selbst einstellen; bisher wurde dies ausschließlich durch die Erweiterung festgelegt.

Google hatte schon im Juni angekündigt, dass sich künftig Erweiterungen ausschließlich über den Chrome Web Store installieren lassen werden. Kurz zuvor hatte Apple einen ähnlichen, deutlich weiter gehenden, Schritt unternommen: In Safari werden künftig nur handverlesene Apple-geprüfte Erweiterungen ("Safari App Extensions") funktionieren.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE