Software::Browser
Firefox setzt auf signierte Addons
Um Mozilla-Addons sicherer zu gestalten, ohne den jetzigen Freiraum für Entwickler zu schmälern, führt Mozilla eine Signaturpflicht für die beliebten Erweiterungen ein.
blog.mozilla.com
Dies soll nur die erste einer Reihe von Anpassungen sein, die Mozilla in diesem Jahr bei den Erweiterungen von Firefox plant, wie Jorge Villalobos im
Mozilla-Blog erklärt. Traditionell haben Entwickler von Addons bei Mozilla einen großen Freiraum nicht nur bei der Funktionalität der Addons, die Firefox erweitern, sondern können auch entscheiden, ob sie ihre Erweiterungen auf
Mozillas Addon-Seite AMO oder lieber auf einer eigenen Webseite anbieten wollen.
Wie Villalobos auführt, nutzen allerdings immer wieder Entwickler diese Freiheit, um Funktionen zu implementieren, die den Nutzer bevormunden, indem sie etwa dessen Einstellung der Homepage oder die Sucheinstellungen ändern, Werbung schalten oder im schlimmsten Fall schädlichen Code in Webseiten injizieren. Um solchen Auswüchsen zu begegnen, wurden bereits die Addons-Richtlinien in Stellung gebracht. Erweiterungen, die gegen die Richtlinien verstoßen, werden im schlimmsten Fall gesperrt.
Allerdings werden Addons, die regelwidrig agieren, fast ausschließlich außerhalb der AMO angeboten und der Aufwand, solche Addons zu verfolgen und zu blockieren, sei unvertretbar hoch, so Villalobos. Deshalb wird in Kürze die Pflicht zur Signierung für Addons eingeführt. Addons, die über die AMO-Seite verteilt werden, werden dabei automatisch signiert. Erweiterungen, die extern angeboten werden sollen, müssen über die AMO-Seite zur Signierung eingereicht werden, wozu der Entwickler sich dort registrieren muss. Daraufhin durchläuft das Addon einen automatisierten Test, an den sich bei Bedarf auch eine manuelle Durchsicht anschließt. Im Fall der Freigabe erhält der Entwickler die signierte Erweiterung zurück.
Bei der Einführung wird es eine Übergangsfrist von zwölf Wochen geben, in denen Firefox bei unsignierten Addons lediglich eine Warnung ausgibt, die Erweiterung aber weiterhin funktioniert. Danach können unsignierte Addons nicht mehr installiert werden. Es wird keine Möglichkeit geben, diese Sperre in den Einstellungen oder per Kommandozeile zu übergehen. Solche Erweiterungen sind danach lediglich in Nightly Builds und der Developer Edition nutzbar. Die Maßnahme bleibt auf Firefox beschränkt, es gibt derzeit keine derartigen Pläne für Thunderbird oder SeaMonkey. Firefox soll ab Version 39 in die Übergangsphase eintreten.
){kind=small}
