Microsoft hat in einem Blogbeitrag auf TechNet kommende Einschränkungen für Browser-Erweiterungen vorgestellt und den Zeitpunkt ihrer Einführung genannt: fallweise entweder sofort oder zum 1. Januar 2015. Damit setzt es ein Versprechen vom Oktober um. Die neuen Spielregeln decken alle Browser ab, nicht nur den Internet Explorer.
Die meisten Browser blockieren neu installierte Erweiterungen erst einmal. Der Anwender muss selbst aktiv werden, um ihren Einsatz freizugeben. Einige Programme umgehen diese Vorkehrungen unter Windows jedoch. Microsoft nennt konkret zwei Verhaltensweisen inakzeptabel: erstens Umgehen von Anwendernachfragen, ob eine Installation einer Toolbar oder Erweiterung wirklich gewünscht ist, und zweitens, wenn der Anwender davon abgehalten wird, bestimmte Browserfunktionen oder Einstellungen zu ändern.
So nutzen einige Programme Gruppenrichtlinienobjekte oder lokale Richtlinien, Registry-Änderungen und Modifikationen von Preferences-Dateien mit den Vorlieben des Anwenders, um standardmäßig deaktivierte Software-Installationen durchzuführen. Microsoft berichtet auch von Anwendungen und Erweiterungen, die Browsereinstellungen vor dem Nutzer verbergen oder Änderungen heimlich rückgängig machen. Auch das Löschen des Programms selbst wird bisweilen verhindert.
Die genannten Regelverstöße unterbinden Microsofts Anti-Malware-Produkte ab sofort. Das Umgehen von Anwendernachfragen durch Browser oder Betriebssystem hingegen bekämpft Microsoft erst ab Januar. Gleiche Bedingungen gelten für Änderungen der Standard-Suchmaschine.
Auf Nachfrage, warum die Einhaltung dieser Regeln durch Malware-Abwehrprogramme erzwungen wird und nicht durch das Betriebssystem selbst, erklärte Microsoft gegenüber ZDNet.com: „Die Dialoge für Nutzernachfragen sind in den Browser selbst integriert. Der Schutz gegen Anwendungen, die dies umgehen, wird daher über unsere Microsoft-Sicherheitsprodukte realisiert, die in unserem aktuellen Betriebssystem standardmäßig integriert sind.“
Microsofts Maßnahmen erinnern an bisweilen Host Intrusion Prevention Service (HIPS) genannte Funktionen von modernen Sicherheitssuiten. Kaspersky etwa sagt dazu Application Privilege Control; seine Dienste sind flexibler und auch umfassender als die von Microsoft. Immerhin schafft Microsoft aber eine Grundversorgung für alle Anwender.
Aggressive Browser-Erweiterungen bekämpfen auch Google und Mozilla. Googles Browser Chrome wird ab Januar 2015 standardmäßig alle auf NPAPI basierende Erweiterungen ab Werk blockieren. Damit entfallen auch die derzeit noch geltenden Ausnahmen für Silverlight, Java und Google Earth. Nutzer können aber weiterhin einzelne Plug-ins, die sie benötigen, aktivieren.
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
