Google hat angekündigt, dass sein Browser Chrome ab Januar 2014 alle Erweiterungen ab Werk sperren wird, die auf dem Netscape Plug-in Application Programming Interface (NPAPI) basieren. Vorübergehend will das Unternehmen allerdings noch einige Ausnahmen erlauben, darunter Microsofts Silverlight und das eigene Google-Earth-Plug-in.
„Die Netscape Plug-in API wurde in einer frühen Phase der Web-Innovationen eingeführt und bot den ersten Standardmechanismus für die Erweiterung von Browsern“, schreibt Justin Schuh, Security Engineer bei Google, in einem Blogeintrag. Seitdem habe sich das Web aber weiterentwickelt und heutige Browser seien schneller, sicherer und leistungsfähiger als ihre Vorgänger. Die NPAPI-Architektur habe sich zum Hauptgrund für Abstürze und Sicherheitsvorfälle entwickelt. „Deswegen wird Chrome den NPAPI-Support im Lauf des kommenden Jahrs einstellen.“
Die Ausnahmen von der generellen Sperre wird Google über eine Whitelist regeln. Sie enthält derzeit sechs Plug-ins, von dem eins – nämlich Java – schon jetzt aus Sicherheitsgründen ab Werk blockiert wird. Erlaubt sind weiterhin Silverlight, Unity, Google Earth, Google Talk und Facebook Video. Silverlight ist dabei das am häufigsten von Chrome-Nutzern aufgerufene Plug-in. Dem Blogeintrag zufolge griffen im August 15 Prozent der Chrome-Nutzer auf Silverlight zu.
Darüber hinaus will Google die Möglichkeit schaffen, dass Nutzer und Administratoren eigene weiße Listen für spezielle Plug-ins anlegen können. „Trotzdem soll irgendwann der NPAPI-Support vollständig aus Chrome entfernt werden“, ergänzte Schuh. „Wir erwarten, dass das vor Ende 2014 geschehen wird.“ Der genaue Zeitplan sei von der tatsächlichen Nutzung und den Rückmeldungen der Anwender abhängig.
Ab sofort nimmt Google keine neuen Apps oder Erweiterungen in den Chrome Web Store mehr auf, die auf NPAPI basierende Plug-ins enthalten. Entwickler können noch bis Mai 2014 vorhandene Plug-ins und Erweiterungen aktualisieren. Danach sollen sie nicht mehr in den Suchergebnissen, den Kategorien oder auf der Homepage des Marktplatzes erscheinen. Im September 2014 sollen alle NPAPI-Plug-ins und -Erweiterungen aus dem Chrome Web Store entfernt werden. Vorhandene Installationen sollen aber noch solange funktionieren, bis Chrome den Support für NPAPI endgültig einstellt.
Schuh weist auch darauf hin, dass das in Chrome eingebaute Flash-Plug-in sowie Googles PDF-Viewer nicht betroffen sind, weil sie nicht auf NPAPI basieren. Für beides nutzt Google das Pepper Plug-in Application Programming Interface (PPAPI). Auch Googles Native-Client-Plug-ins verwenden PPAPI.
[mit Material von Stephen Shankland, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
