Schluss mit Offenheit: Firefox akzeptiert nur noch signierte Add-ons

Beim Open Source-Unternehmen Mozilla will man die Nutzer zukünftig besser davor schützen, dass Add-ons für den Firefox-Browser Risiken mit sich bringen. Dafür wird nun ein Extension Signing eingeführt. Plugins sollen also zukünftig nur noch funktionieren, wenn sie geprüft und mit einer Signatur ausgestattet wurden. "Die Add-on-Plattform von Mozilla war Entwicklern gegenüber traditionell sehr offen", erklärte Jorge Villalobos, der die Kontakte zwischen dem Firefox-Team und der Community von Erweiterungs-Entwicklern koordiniert. Man habe zugelassen, dass der Browser durch Plugins teils auf radikale, aber auch sehr innovative Weise deutlich verändert wurde. Und diese Erweiterungen mussten nicht einmal über die zentrale Plattform des Herstellers vertrieben werden - dies konnten die Entwickler auch über die eigene Webseite und andere Wege tun.


Doch dies habe nicht nur den Entwicklern, die den Anwendern tolle Tools an die Hand geben wollten, viel Raum und Flexibilität gegeben, sondern auch jenen, die diese Möglichkeiten missbrauchen. So würden aktuell beispielsweise immer häufiger Erweiterungen verbreitet, die ohne Rückfrage die Startseite des Nutzers verändern oder die Suchergebnisse manipulieren. Teilweise werden auch fremde Werbeanzeigen in Seiten eingeschoben oder sogar Malware-Skripte zum Ausspionieren von Daten eingesetzt.

Für die Mozilla-eigene Extension-Plattform hat man daher schon vor einiger Zeit Richtlinien eingeführt und blockiert Add-ons, die sich nicht an diese halten. Das hält aber niemanden davon ab, Anwendern entsprechende Plugins über externe Seiten unterzujubeln. Auch diese könnten durchaus gesucht und gesperrt werden, was aber wegen der Fülle kaum zu leisten ist - zumal ihre Entwickler inzwischen zunehmend auf Tarnungen zurückgreifen, führte Villalobos aus.

Daher entschloss man sich bei Mozilla nun, die Signierung geprüfter Add-ons einzuführen. Das soll Entwicklern weiterhin die Freiheit lassen, selbst für den Vertrieb zu sorgen und nicht nur auf die Mozilla-Plattform angewiesen zu sein. Zukünftig wird es im Firefox nicht mehr möglich sein, Extensions ohne Signatur zu installieren - das gilt zumindest für die Beta- und Final-Versionen. Lediglich in den Nightly- und Developer Edition-Ausgaben wird weiterhin keine Signatur-Prüfung durchgeführt.

Die Sperre soll sich durch den Nutzer auch nicht deaktivieren lassen können. Programmierer können sich aber an Mozilla wenden und erhalten bei Bedarf auch eine Beta- oder Release-Version ohne Signatur-Prüfung, damit Erweiterungen, die sich in Entwicklung befinden, getestet werden können.

Zum Thema: Studie untersucht Chrome-Erweiterungen und findet viel Malware