Firefox startet Plug-ins künftig nur auf Zuruf

Mozilla wird in Zukunft für alle Plug-ins die "Click to play"-Funktion standardmäßig aktivieren – außer für die jeweils aktuelle Version des Flash-Plug-ins. Wie die Stiftung in ihrem Sicherheitsblog schreibt, möchte sie den Nutzern damit mehr Kontrolle über Plug-ins geben und die Browsersicherheit und -stabilität verbessern. Bei Click- to-Play müssen Nutzer Plug ins händisch aktivieren. Erst dann werden beispielsweise Java-Applets geladen. Wieso Mozilla für das Flash-Plug-in eine Ausnahmeregel schafft, ist unklar.

Mozillas Ankündigung kommt kurz nachdem sich Sicherheitsforscher Adam Gowdiak aufgrund der gehäuft auftretenden Java-Sicherheitsprobleme für Click-to-play ausgesprochen hat. Diese Funktion sei gerade als Absicherung gegenüber Drive-by-Attacken wirksam.

Das Unternehmen hatte Click-to-Play erst im April 2012 für Firefox eingeführt um Nutzern die Möglichkeit zu geben, die Funktion von Plug-ins wie Flash, Adobe Reader, Silverlight und Java stärker zu kontrollieren. Nutzer konnten seitdem die Autorun-Funktion entweder für Plug-ins oder webseitenbezogen aktivieren. Seit Oktober 2012 hat Mozilla bereits eine Blockliste mit Click-to-Play für unsichere, teils ältere Versionen von Plug-ins eingeführt. (kbe)