Mozilla hat angekündigt, sein Browser Firefox werde ab August „Flash-Inhalte blockieren, die für die Nutzererfahrung nicht unbedingt erforderlich sind“. Es sollen aber „wichtige Inhalte natürlich weiterhin unterstützt werden“. Von diesen und weiteren geplanten Änderungen verspricht man sich „verbesserte Sicherheit, eine längere Akkulaufzeit, schnelleres Laden von Webseiten und eine insgesamt bessere Reaktionsfähigkeit des Browsers“.
Das Plug-in für Adobes Flash-Player sorgt nicht nur häufig für Browserabstürze, sondern ist wegen seiner weiten Verbreitung und hohen Anfälligkeit für Sicherheitslücken ebenfalls ein beliebtes Ziel von Hackern. Auch weil Adobe das Sicherheitsproblem nicht in den Griff bekommt, sind Alternativen stark auf dem Vormarsch. Vielbesuchte Websites wie Youtube und Facebook setzen etwa zum Abspielen von Videos schon lange auf HTML5. Aber auch die maßgeblichen Browser-Entwickler, darunter Mozilla, haben in der jüngeren Vergangenheit einiges unternommen, um Flash-Inhalte zu ersetzen.
Demnächst wird Firefox zunächst einige für Nutzer nicht sichtbare Flash-Inhalte blockieren. Dabei handelt es sich im Wesentlichen um Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts sowie ExternalInterface aufrufen, um eine Liste aller auf dem Rechner installierten Schriftarten zu erhalten. Da diese Liste sehr indiviudell ist und – notfalls zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting eingesetzt. Darunter versteht man die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun, also selbst wenn dieser keine Cookies zulässt.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Auch sogenannte „Supercookies“ werden künftig nicht mehr in Firefox abgespielt. Laut Mozillas Definition sind das Shockwave-Inhalte kleiner als 5 mal 5 Pixel, welche die Flash-API SharedObject aufrufen und den String „Cookie“ enthalten. Allein dadurch sollen Flash-Anwendungen um bis zu zehn Prozent seltener abstürzen oder sich aufhängen. Webseiten-Betreiber könnten diese Flash-Inhalte zudem durch HTML ersetzen. „Auf lange Sicht“ wolle man die Liste der geblockten Plug-ins erweitern, so Mozilla.
Noch im Lauf des Jahres soll Flash in Firefox nicht mehr genutzt werden können, um zu überprüfen, ob Inhalte vom Nutzer gesehen wurden. Aktuell wird so die Auslieferung von Werbung gemessen. Von der Maßnahme verspricht sich Mozilla mehr Leistung und eine längere Akkulaufzeit. Content-Produzenten, die Flash noch wie oben beschrieben nutzen, empfiehlt Mozilla, auf die HTML Intersection Observer API umzusteigen. Diese soll gleichzeitig zu dem Termin bereitgestellt werden, an dem die Funktion für Flash von Firefox unterdrückt wird.
Bereits jetzt können Anwender von Firefox und Chrome Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass sie Inhalte nicht automatisch, sondern erst nach Zustimmung abspielen. Diese Funktion wird als „Click to Play“ bezeichnet. Jetzt erklärte Mozilla, dass Firefox-Nutzer ab 2017 ihre Zustimmung per Klick „für jedwede Art von Inhalten“ geben müssen, bevor Webseiten das Flash-Plug-in aktivieren dürfen. Click to Play ist dann also nicht mehr optional einstellbar, sondern standardmäßig vorgesehen.
Betreibern von Seiten, die für Videos oder Spiele derzeit auf Flash oder Silverlight zurückgreifen, rät Mozilla, „möglichst bald“ zu HTML-Technologien zu wechseln. Für verschlüsselte Videowiedergabe unterstütze Firefox als Alternative zu Plug-ins momentan Adobe Primetime und Google Widevine. Andere NPAPI-Plug-ins als Flash wird Firefox ab März 2017 nicht mehr unterstützen. Sie bekommen damit noch einmal eine Gnadenfrist von drei Monaten. Ursprünglich hatte Mozilla den seit den Neunzigerjahren benutzten Standard (Netscape Plug-in Application Programming Interface) für Browser-Plug-ins für Ende 2016 abgekündigt. Sie lassen sich künftig nur noch mit dem ebenfalls für März 2017 geplanten, nächsten Firefox Extended Support Release nutzen, das Plug-ins wie Silverlight und Java noch bis Anfang 2018 unterstützen wird.
[mit Material von Peter Marwan, silicon.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…