23.08.2012
Sicherheit
Firefox 17 soll Add-ons besser absichern
Autor: Thorsten Eggeling
Mozilla will Firefox mit der Version 17 deutlich sicherer machen. Scripte in Webseiten sollen nicht mehr ohne weiteres auf Add-on-Daten zugreifen dürfen. Entwickler müssen die Berechtigungen in Zukunft gezielt festlegen.
Jorge Villalobos, Chef von Mozillas Add-on Developer Relations Lead, kündigt im Unternehmens-Blog erweiterte Sicherheitsfunktionen für Firefox 17 an. Firefox 17 soll am 17. November 2012 erscheinen. Demnach sollen künftig standardmäßig sämtliche Add-on-Daten vor Zugriffen durch Webseiten abgeschirmt werden.
Das bisherige Problem: Add-ons haben privilegierten Zugriff beispielsweise auf das Dateisystem. Javascript in Webseiten ist dieser Zugang dagegen verwehrt. Sie dürfen nur auf den Inhalt der gerade angezeigten Webseite zugreifen und einige spezielle Browser-Funktionen nutzen. Add-ons können aber bestimmte Objekte auch für den Webseiteninhalt bereitstellen. Dabei ist bisher aber nicht geregelt, ob der Zugriff darauf etwa nur lesend oder auch schreibend erfolgen darf. Das stellt ein Sicherheitsrisiko dar, weil privilegierte und nicht privilegierte Inhalte ohne Kontrolle gemischt werden.
In Zukunft müssen Add-on-Entwickler daher sämtliche interagierenden Seiteninhalte zuerst ausdrücklich in eine Whitelist eintragen. Dazu wird jedes einzelne Objekt-Attribut mit „__exposedProps__“ markiert und die Berechtigung mit „nur lesen“, „nur schreiben“ oder „lesen und schreiben“ explizit festgelegt.
Damit die Entwickler ihre Add-ons testen können, hat Mozilla die neue Sicherheitsfunktion bereits in Firefox 15 eingebaut. Diese Version soll am 28. August 2012 veröffentlicht werden. Die bisherigen Add-ons laufen darin vorerst auch ohne Änderungen. Es wird aber eine Meldung auf die Fehlerkonsole ausgegeben, sobald ein Script ohne ausdrückliche Genehmigung auf Inhalte zugreift.
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>