Mozilla verbannt Firefox-Erweiterungen mit verschleiertem Code

Mozilla hat angekündigt, künftig keine Erweiterungen für Firefox in seinen Add-ons-Marktplatz aufzunehmen, die ihren Code verschleiern. Das Verbot tritt am 10. Juni in Kraft. Es betrifft auch vorhandene Erweiterungen, die sich dieser Technik bedienen. Sie werden ab diesem Termin von Mozilla aus dem Marktplatz entfernt.

Der Firefox-Entwickler folgt damit dem Beispiel von Google, das eine ähnliche Richtlinie im Oktober 2018 einführte und zum 1. Januar 2019 umsetzte. Google begründete den Schritt damit, dass 70 Prozent aller als schädlich erkannten Chrome-Erweiterungen ihren Code verschleiern.

Codeverschleierung bedeutet, dass Entwickler ihren Code so schreiben, dass Menschen ihn nur schlecht oder gar nicht verstehen. Unter anderem wird versucht, Code als Kommentare auszugeben oder Kommentare als Code zu tarnen. Auch das Wiederholen von Code-Blöcken dient oftmals der Verschleierung. Entwickler verschleiern ihren Code, um zu verhindern, dass er kopiert wird – oder um zu verhindern, dass bestimmte Funktionen erkannt werden.

„Wir werden nicht länger Erweiterungen akzeptieren, die verschleierten Code enthalten“, sagte Caitlin Neiman, Add-ons Community Manager bei Mozilla. „Wir werden weiterhin minifizierten, verketteten oder anderweitig maschinell generierten Code erlauben, solange der Quellcode enthalten ist. Wenn Ihre Erweiterung verschleierten Code verwendet, ist es wichtig, bis zum 10. Juni eine neue Version einzureichen, die ihn entfernt, um zu vermeiden, dass sie abgelehnt oder blockiert wird.“

Zudem kündigte Neiman an, härter gegen Erweiterungen vorzugehen, die gegen Richtlinien von Mozilla verstoßen. „Wir werden weiterhin Erweiterungen blockieren, die absichtlich gegen unsere Richtlinien verstoßen, kritische Sicherheitslücken aufweisen und auch auf Erweiterungen reagieren, die die Privatsphäre der Benutzer gefährden oder die Zustimmung oder Kontrolle der Benutzer umgehen“, ergänzte Neiman.

„Wir werden ein größeres Netz auswerfen und uns auf die Seite der Benutzersicherheit stellen, wenn es darum geht, ob wir blockieren oder nicht“, so Neiman weiter. Mozilla ist nicht nur in der Lage, Erweiterungen aus seinem Marktplatz zu entfernen, es kann sie auch in den Browsers seiner Nutzer löschen.

Hinweis: Die neue Add-On-Policy hat nichts mit dem Problem zu tun, dass Erweiterungen komplett deaktiviert werden. Hierbei handelt es sich um einen Bug, der inzwischen behoben wurde.