Menü
iX Magazin

Firefox 17 soll Add-ons sicherer machen

vorlesen Drucken Kommentare lesen 111 Beiträge

Schon 2010 hatten Entwickler angeregt, Add-on-Daten besser vom übrigen Firefox zu trennen. Mit Version 17 wird der freie Browser diese Trennung nun erzwingen: Scripts auf Webseiten haben nur noch Zugriff auf die internen Datenstrukturen von Add-ons, wenn diese ihn ausdrücklich erlauben. Seit der Betaversion 15 gibt Firefox in der Fehlerkonsole eine Warnung aus, wenn Add-ons die bisherige Technik benutzen.

Die bislang eingesetzte Technik erlaubte es, komplette Objekte für den Zugriff von außen freizugeben, indem man sie in contentWindow.wrappedJSObject ablegte. Scripts in Webseiten konnten dann alle Teile dieses Objekts lesen und ändern, indem sie window.sharedObject benutzten.

Diese Freizügigkeit wird nun abgestellt: Add-on-Entwickler müssen ausdrücklich jedes Objekt-Attribut mit __exposedProps__ markieren und angeben, ob Lese- und/oder Schreibzugriffe darauf erlaubt sind. Code außerhalb der Add-ons muss nicht geändert werden, er benutzt weiterhin window.sharedObject. (ck)