Mozilla gibt Nutzern Kontrolle über Plugins
Wie Michael Coates, Mozillas Sicherheits-Direktor, gestern im Mozilla Blog erläuterte, will man dem Anwender die Kontrolle über seine Plugins zurückgeben. Es ist geplant, alle Plugins nur noch per Click to Play nach Bestätigung des Anwender zu starten. Ausgenommen davon ist lediglich die jeweils aktuelle Version von Flash.
Das jetzige Verhalten, bei dem jedes Plugin, sofern installiert, automatisch bei Anforderung durch eine Webseite gestartet wird, soll durch das im Jahr 2012 eingeführte Click to Play ersetzt werden. Hierbei wird beim Anwender explizit nachgefragt, ob er das entsprechende Plugin wirklich ausführen möchte. Darüber hinaus wird der Anwender auf eventuell veraltete Plugins und bestehende Sicherheitsprobleme aufmerksam gemacht. Außerdem soll der Nutzer für jede Webseite dauerhaft festlegen können, ob sie Plugins automatisch, nur nach Bestätigung oder nie ausführen darf.
Die geplanten Änderungen dienen in erster Linie der Sicherheit, sollen aber auch der Stabilität und Geschwindigkeit des Browsers zugute kommen. Laut Coates sind fehlerhafte Plugins der häufigste Grund für Abstürze und Hänger in Firefox. Sie verlangsamen zudem das Surferlebnis, da das Laden und Entladen Zeit kostet und unnötig Speicher belegt. Wenn Plugins nur noch bei Bedarf und in der jeweils aktuellen Version geladen werden, erwartet Coates ein verbessertes Erlebnis für den Nutzer im Internet.
Unter Sicherheitsaspekten betrachtet sind Drive-By-Attacken unter Ausnutzung fehlerhafter Plugins heute einer der am häufigsten genutzten Angriffsvektoren. Besucht ein Anwender, der veraltete oder unsichere Plugins installiert hat, eine präparierte Webseite, kann Schadcode ohne weiteres Zutun auf seinem Rechner landen. Das können durchaus ganz normale Webseiten sein, denen unbemerkt ein Exploit-Kit untergeschoben wurde. Dadurch, dass Plugins nicht mehr automatisch von Webseiten geladen werden können, verbessert sich die Sicherheit in diesem Bereich.
Die neue Handhabung von Plugins durch Click to Play wird in mehreren Schritten eingeführt, wobei gleichzeitig die UI angepasst und erweitert wird. Im Endeffekt sollen alle Plugins inklusive Silverlight, Java und Acrobat Reader nur per Nachfrage gestartet werden. Ausgenommen ist lediglich die jeweils aktuelle Version von Flash.