Chrome will Erweiterungen sicherer machen

Code-Prüfungen, mehr Benutzerkontrolle und verbotene Obfuskation: Google kämpft gegen Missbrauch und Schlamperei in Browser-Erweiterungen.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Chrome will Erweiterungen sicherer machen

(Bild: Google)

Lesezeit: 2 Min.
Von
  • Herbert Braun

Browser-Erweiterungen machen das Web-Surfen komfortabler, erwiesen sich aber in letzter Zeit so oft als gefährliche Einfallstore von Datenschutz-Problemen, Sicherheitslücken, Krypto-Minern, Spionage-Software, Affiliate-Betrug, Backdoors und eingeschleuster Malware, dass diese gesamte Software-Kategorie ins Zwielicht geraten ist.

Deshalb steuert Google jetzt gegen und strafft die Regeln für Erweiterungs-Entwickler.

So verbietet Google ab sofort obfuszierten Code – auch, wenn dieser nicht Bestandteil der Erweiterung selbst ist, sondern von dieser nur nachgeladen wird. Wer eine Extension mit verschleiertem Code im Chrome Web Store anbietet, hat bis Ende des Jahres Zeit für die Umstellung. Übliche Praktiken zur Minifizierung sind von diesem Verdikt ausgenommen, also etwa das Weglassen von Whitespace oder kurze, nicht sinnhafte Variablennamen.

Schadcode in einer Erweiterung stammt nicht immer von deren Entwickler, sondern kann durch Dritte eingeschleust sein. Um diesen Gefahrenherd einzugrenzen, macht der Chrome Web Store nächstes Jahr Zwei-Faktor-Authentifizierung verpflichtend. Für 2019 hat Google auch einen neuen Standard für das Erweiterungs-Manifest anvisiert, der unter anderem kleinteiligere Rechtevergabe und bessere Einstellungsmöglichkeiten durch den Nutzer vorsieht.

Einen Schritt in diese Richtung geht bereits die kommende Chrome-Version 70: Hier können Nutzer selbst einstellen, auf welche Websites eine Erweiterung automatisch zugreifen darf; bisher legt dies ausschließlich die Erweiterung fest. Außerdem kündigt Google an, Erweiterungen, die "mächtige Rechte" anfordern, künftig einer "zusätzlichen Compliance-Review" zu unterziehen – was immer das im Detail bedeuten mag.

Schon im Juni hatte Google angekündigt, dass sich Erweiterungen künftig ausschließlich über den Chrome Web Store installieren lassen werden. Apple hatte kurz zuvor einen ähnlichen Schritt unternommen, geht dabei aber deutlich weiter: Nur handverlesene Apple-geprüfte Erweiterungen ("Safari App Extensions") werden künftig in Safari funktionieren. (olb)