Firefox 17 soll Add-ons sicherer machen

Eine jetzt für Firefox 17 angekündigte Änderung soll von Add-ons erzeugte Objekte besser vor dem Rest des Browsers abschirmen. Seit der aktuellen Beta-Version 15 weisen Warnungen auf nötige Änderungen am Code von Erweiterungen hin.

In Pocket speichern vorlesen Druckansicht 111 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christian Kirsch

Schon 2010 hatten Entwickler angeregt, Add-on-Daten besser vom übrigen Firefox zu trennen. Mit Version 17 wird der freie Browser diese Trennung nun erzwingen: Scripts auf Webseiten haben nur noch Zugriff auf die internen Datenstrukturen von Add-ons, wenn diese ihn ausdrücklich erlauben. Seit der Betaversion 15 gibt Firefox in der Fehlerkonsole eine Warnung aus, wenn Add-ons die bisherige Technik benutzen.

Die bislang eingesetzte Technik erlaubte es, komplette Objekte für den Zugriff von außen freizugeben, indem man sie in contentWindow.wrappedJSObject ablegte. Scripts in Webseiten konnten dann alle Teile dieses Objekts lesen und ändern, indem sie window.sharedObject benutzten.

Diese Freizügigkeit wird nun abgestellt: Add-on-Entwickler müssen ausdrücklich jedes Objekt-Attribut mit __exposedProps__ markieren und angeben, ob Lese- und/oder Schreibzugriffe darauf erlaubt sind. Code außerhalb der Add-ons muss nicht geändert werden, er benutzt weiterhin window.sharedObject. (ck)