Google verschärft Regeln für Chrome-Erweiterungen

Google hat neue Regeln für Erweiterungen für seinen Browser Chrome angekündigt. Sie sollen die Nutzung von Erweiterungen, die sich inzwischen in fast der Hälfte der Chrome-Installationen auf dem Desktop finden, sicherer machen. Unter anderem können Nutzer Erweiterungen auf bestimmte Websites beschränken. Entwickler dürfen zudem ihren Code nicht mehr verschleiern.

Aktive Erweiterungen haben derzeit unter Umständen Zugriff auf jegliche Websitedaten, egal ob die Erweiterung für alle oder nur für bestimmte Websites benötigt wird. Nutzer können künftig jedoch die Funktion einer Erweiterung auf eine einzelne Seite oder eine Liste mit Seiten beschränken. Es lässt sich aber auch festlegen, dass eine Erweiterung erst dann aktiv wird, wenn ein Nutzer sie anklickt.

Druch die Verschleierung von Code (Code Obfuscation) wollen Entwickler eigentlich verhindern, dass ihr Code durch Reverse Engineering offengelegt und kopiert wird. Laut Google enthalten jedoch mehr als 70 Prozent der schädlichen oder gegen die Richtlinien verstoßenden Erweiterungen verschleierten Code, weswegen Google diese Praxis ab sofort verbietet. Entwicklern setzt das Unternehmen zudem eine Frist von 90 Tagen, verschleierten Code per Update aus vorhandenen Erweiterungen zu entfernen. Danach sollen Add-ons mit verschleiertem Code aus dem Chrome Web Store verbannt werden.

Des Weiteren wird Google das Prüfverfahren für Erweiterungen im Chrome Web Store überarbeiten. Erweiterungen, die besonders umfangreiche Berechtigungen benötigen, werden einer zusätzlichen Prüfung unterzogen. Das gilt auch für Erweiterungen, die extern gehosteten Code verwenden. Sie sollen zudem künftig fortlaufend überwacht werden.

Chrome 70 wird es Nutzern ermöglichen, Erweiterungen auf bestimmte Websites zu beschränken (Bild: Google).Als weitere Sicherheitsmaßnahme müssen Entwickler ab 2019 ihr Konto mit einer Anmeldung in zwei Schritten schützen. Damit soll verhindert werden, dass Hacker die Konten von Entwicklern von beliebten Erweiterungen knacken, um sie mit Schadcode zu versehen.

Ebenfalls im kommenden Jahr will Google eine neue Version des Manifests für Browser-Erweiterungen einführen. Das Manifest v3 soll unter anderem Programmierschnittstellen mit klarer definierten Funktionen bringen, um die Berechtigungen einer Erweiterung auf das Notwendige zu beschränken. Nutzer sollen zudem mehr Kontrolle über die Berechtigungen erhalten, die sie Erweiterungen einräumen. Zudem sollen neue Webtechniken wie Service Workers und neue Arten von Hintergrundprozessen unterstützt werden.

Die seitenspezifischen Berechtigungen für Erweiterungen führt Google mit Chrome 70 ein. Das neue Prüfverfahren und auch das Verbot von verschleiertem Code gelten ab sofort. Den Zeitplan für die Einführung des Manifests v3 will Google in Absprache mit seinen Entwicklern festlegen, um einen reibungslosen Übergang zu ermöglichen.