Google hat angekündigt, dass sein Browser Chrome ab Januar 2014 alle Erweiterungen ab Werk sperren wird, die auf dem Netscape Plug-in Application Programming Interface (NPAPI) basieren. Vorübergehend will das Unternehmen allerdings noch einige Ausnahmen erlauben, darunter Microsofts Silverlight und das eigene Google-Earth-Plug-in.
„Die Netscape Plug-in API wurde in einer frühen Phase der Web-Innovationen eingeführt und bot den ersten Standardmechanismus für die Erweiterung von Browsern“, schreibt Justin Schuh, Security Engineer bei Google, in einem Blogeintrag. Seitdem habe sich das Web aber weiterentwickelt und heutige Browser seien schneller, sicherer und leistungsfähiger als ihre Vorgänger. Die NPAPI-Architektur habe sich zum Hauptgrund für Abstürze und Sicherheitsvorfälle entwickelt. „Deswegen wird Chrome den NPAPI-Support im Lauf des kommenden Jahrs einstellen.“
Die Ausnahmen von der generellen Sperre wird Google über eine Whitelist regeln. Sie enthält derzeit sechs Plug-ins, von dem eins – nämlich Java – schon jetzt aus Sicherheitsgründen ab Werk blockiert wird. Erlaubt sind weiterhin Silverlight, Unity, Google Earth, Google Talk und Facebook Video. Silverlight ist dabei das am häufigsten von Chrome-Nutzern aufgerufene Plug-in. Dem Blogeintrag zufolge griffen im August 15 Prozent der Chrome-Nutzer auf Silverlight zu.
Darüber hinaus will Google die Möglichkeit schaffen, dass Nutzer und Administratoren eigene weiße Listen für spezielle Plug-ins anlegen können. „Trotzdem soll irgendwann der NPAPI-Support vollständig aus Chrome entfernt werden“, ergänzte Schuh. „Wir erwarten, dass das vor Ende 2014 geschehen wird.“ Der genaue Zeitplan sei von der tatsächlichen Nutzung und den Rückmeldungen der Anwender abhängig.
Ab sofort nimmt Google keine neuen Apps oder Erweiterungen in den Chrome Web Store mehr auf, die auf NPAPI basierende Plug-ins enthalten. Entwickler können noch bis Mai 2014 vorhandene Plug-ins und Erweiterungen aktualisieren. Danach sollen sie nicht mehr in den Suchergebnissen, den Kategorien oder auf der Homepage des Marktplatzes erscheinen. Im September 2014 sollen alle NPAPI-Plug-ins und -Erweiterungen aus dem Chrome Web Store entfernt werden. Vorhandene Installationen sollen aber noch solange funktionieren, bis Chrome den Support für NPAPI endgültig einstellt.
Schuh weist auch darauf hin, dass das in Chrome eingebaute Flash-Plug-in sowie Googles PDF-Viewer nicht betroffen sind, weil sie nicht auf NPAPI basieren. Für beides nutzt Google das Pepper Plug-in Application Programming Interface (PPAPI). Auch Googles Native-Client-Plug-ins verwenden PPAPI.
[mit Material von Stephen Shankland, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…