zurück zum Artikel

Firefox 3.6 soll undokumentiertes Installieren von Add-ons erschweren [Update]

Die kommende Version 3.6 des Browsers Firefox soll es Anbietern von Add-ons und Plug-ins erschweren [1], den Standardweg zur Einbindung ihrer Erweiterungen zu umgehen. Firefox soll damit sicherer und stabiler werden. Kern des Problems ist laut Johnathan Nightingale, dass einige Hersteller ihre Module einfach in das Komponenten-Verzeichnis installieren, von der aus Firefox seine Module lädt. Damit erscheinen diese Erweiterungen ("Raw Components") aber nicht im Add-on-Manager.

Der Anwender bemerkt so unter Umständen gar nicht, dass ein Modul installiert wurde. Bei anschließenden Abstürzen hat er somit auch keine Möglichkeit, die Ursache nachzuvollziehen und einzelne Erweiterungen zu deaktivieren. Auch Malware könnte sich auf diese Weise verstecken.

Ab Firefox 3.6 beta 3, die nun erschienen [2] ist, soll Firefox nur noch die eigenen, bekannten Komponenten aus dem Verzeichnis laden, alle anderen Komponenten wie Binaries und Skripte werden ignoriert [3]. Damit bleibt Anbietern von Add-ons nur noch der offizielle Weg über den Add-on-Manager, um ihre Produkte in den Browser einzubinden. Ein Leitfaden [4] soll Herstellern dabei helfen, ihre Raw Components auf reguläre Add-ons umzustellen. Die Entwickler überlegen [5], die Änderungen auch in der Version 3.5 des Firefox umzusetzen.

Die Software Firefox 3.6b3, in der gegenüber der vorigen Beta rund 80 Fehlerverbesserungen vorgenommen wurden, liegt in gut 60 Sprachen für Windows, Mac OS X und Linux vor.

Update: Firefox 3.6 beta 3 bringt im Unterverzeichnis compontents die Datei components.list mit, in der offenbar alle erlaubten DLLs und Skripte zusammengefasst sind. Zumindest mit Administratorrechten lässt sich die Liste ergänzen. Ob dies wirksam verhindern kann, dass Hersteller ihre Raw Components dort eintragen und somit den Add-on-Manager trotzdem umgehen können, müssen weitere Tests zeigen.

(dab [6])


URL dieses Artikels:
http://www.heise.de/-863666

Links in diesem Artikel:
[1] https://developer.mozilla.org/devnews/index.php/2009/11/16/component-directory-lockdown-new-in-firefox-3-6/
[2] http://www.mozilla.com/de/firefox/all-beta.html
[3] http://blog.vlad1.com/2009/10/23/firefox-application-directory-lockdown/
[4] https://developer.mozilla.org/en/Migrating_raw_components_to_add-ons
[5] http://blog.vlad1.com/2009/10/23/firefox-application-directory-lockdown/
[6] mailto:dab@ct.de