Software::Security
Mozilla: Plug-n-Hack bindet Sicherheitswerkzeuge ein
Plug-n-Hack ist ein vom Mozilla-Sicherheits-Team vorgeschlagener Standard, um zu definieren, wie Sicherheitswerkzeuge mit Browsern besser interagieren können.
Mozilla
Werzeuge zur Prüfung der Sicherheit von Anwendungen gibt es viele, und besonders häufig werden sie im Zusammenhang mit Browsern eingesetzt. Nach Beobachtungen des Mozilla-Sicherheits-Teams ist das aber bisher ein recht schwieriger Vorgang, bei dem man leicht Fehler machen kann, die unnötig Zeit kosten. Ferner war es oft nötig, Plattform- und Browser-spezifische Erweiterungen zu schreiben. Doch gerade Leute, die weniger Erfahrung mit der Benutzung dieser Werkzeuge haben, darunter Anwendungsentwickler und Tester, sollten diese Werkzeuge ohne größere Umstände benutzen können.
Das soll mit Plug-n-Hack (PnH) erreicht werden. Die Spezifikation von PnH sieht vor, dass Werkzeuge in einem Manifest deklarieren, welche Funktionalität sie unterstützen. Der Browser kann es damit dem Benutzer ermöglichen, diese Funktionalität direkt aufzurufen, ohne zu dem Werkzeug oder zurück wechseln zu müssen. Die meisten Funktionen sind laut dem Blog-Beitrag von Simon Bennetts vollständig allgemein gehalten, so dass sich jede erdenkliche Funktionalität realisieren lässt.
Eine erste Implementierung von PnH ist als Erweiterung für Testversionen von Firefox verfügbar und steht unter der MPL 2.0, so dass sie auch in proprietäre Software übernommen werden kann. Das Mozilla-Team sieht es als wünschenswert an, dass möglichst viele Browser und Werkzeuge die Spezifikation implementieren.
PnH Phase 1 ist der aktuell spezifizierte Teil. Das Protokoll regelt, wie Sicherheitswerkzeuge ihre Fähigkeiten dem Browser bekanntgeben. Das geschieht mit einer Manifest-Datei, die von einer URL heruntergeladen werden kann und im JSON-Format geschrieben sein muss. Die vom Benutzer aufrufbaren Funktionen, die in dem Manifest deklariert sind, werden vom Browser an passender Stelle angezeigt und ermöglichen es auch, Parameter einzugeben. Die Spezifikation legt bewusst keine Details fest, wie die Einträge anzuzeigen und die Parametereingaben zu gestalten sind. Sie ist vollständig Plattform- und Browser-neutral.
Eine kommende PnH Phase 2 soll es umgekehrt dem Browser ermöglichen, seine Fähigkeiten den Sicherheitswerkzeugen anzuzeigen, so dass die Werkzeuge Informationen aus dem Browser auslesen oder den Browser gar als Erweiterung nutzen können. Zur Zeit lässt sich PnH mit der Erweiterung »Ringleader« ab Firefox 24 nutzen, dessen Quellcode auf Github zu finden ist. Das erste Sicherheitswerkzeug, das das Protokoll unterstützt, ist OWASP ZAP 2.2.0. Für dieses Programm benötigt man die Erweiterung MITM-conf. Eine Implementation in der Burp Suite ist geplant.
){kind=small}
