Google verbessert Sicherheit für Chrome-Erweiterungen erneut, Entwickler müssen umdenken

In der vergangenen Zeit hat sich das Team von Googles Chrome Browser ordentlich ins Zeug gelegt, um die Sicherheit im Umgang mit Chrome-Erweiterungen um ein gehöriges Maß zu erhöhen. Dazu gehörte unter anderem auch, dass man die Größe der Ingenieurteams, die sich mit dem Missbrauch von Erweiterungen beschäftigen um über 300 Prozent, die Anzahl der Prüfer sogar um über 400 Prozent erhöht habe.

Dadurch soll es gelungen sein, die Rate von Installationen von Erweiterungen mit bösartigem Inhalt seit Anfang 2018 um immerhin 89 Prozent zu senken, so Google. Monatlich würden demnach mittlerweile rund 1.800 bösartige Uploads blockiert, damit diese nicht an nichts-ahnende Nutzer verteilt werden. Mit dem neuen „Manifest V3“ soll es nun aber auch entsprechende Änderungen an der Plattform an sich geben, damit der Review-Prozess, der durch das Personal gestemmt wird nicht die einzige Maßnahme bleibt, um Erweiterungen mit bösartigem Inhalt von Chrome und seinen Nutzern fernzuhalten.

Die Nutzer sollen dadurch mehr Einsicht in- und Kontrolle über die Daten erhalten, die sie mit den Erweiterungen teilen. Dies soll durch eine Reihe angepasster APIs gewährleistet werden können, so Google.

Anstatt dass ein Benutzer jeder Erweiterung Zugriff auf alle seine sensiblen Daten gewährt, schaffen wir Möglichkeiten für Entwickler, nur Zugriff auf die Daten zu erhalten, die sie benötigen, um die gleiche Funktionalität zu erreichen.

Als Beispiel nennt Google hierfür die neue Declarative Net Request API, die Teile der bisherigen Web Request API ersetzen soll und den Umgang mit den Benutzerdaten dahingehend ändert, dass eine Erweiterung nicht auf alle sensiblen Daten eines Benutzers zugreifen muss, um Inhalte zu blockieren. Ihr erinnert euch sicher an die Adblocker.Diskussion in Chrome. Die Web Request API benötigt derzeit noch die Berechtigung für die Chrome-Erweiterung, auf sämtliche Informationen über eine Netzwerkanfrage zugreifen zu können, wo auch E-Mails, Fotos oder andere private Infos von betroffen sind.

Im Gegensatz dazu ermöglicht die Declarative Net Request API Erweiterungen, Inhalte zu blockieren, ohne dass der Benutzer Zugriff auf sensible Informationen gewähren muss. Dies soll außerdem für erhebliche Leistungsvorteile auf Systemebene gegenüber Web Request sorgen, behauptet zumindest Google.

Zahlreiche bestehende Chrome-Erweiterungen greifen nun aber derzeit auf die Web Request API zurück, auch Werbeblocker. Google betont hierbei aber bewusst, dass man solche Blocker nun keineswegs behindern will. Vielmehr wolle man die Entwickler entsprechender Erweiterungen dahingehend unterstützen, dass ihre Software beim besseren Schutz der Privatsphäre seiner Nutzer hilft. Jene müssen nun natürlich auf die neue Declarative Net Request API umdenken und damit die bisherige API ersetzen, was durchaus Aufwand bedeuten kann.

Wir halten es jedoch für die richtige Wahl, es den Nutzern zu ermöglichen, die sensiblen Daten, die sie mit Dritten teilen, zu begrenzen und ihnen gleichzeitig die Möglichkeit zu geben, ihr eigenes Browser-Erlebnis zu gestalten.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Benjamin Mamerow

Nordlicht, Ehemann und Vater, hauptberuflich mit der Marine verbündet. Außerdem zu finden auf Twitter. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten ein.

11 Kommentare

  1. Sehr einseitiger Artikel, der Googles Aussagen weitgehend ungeprüft übernimmt und z.B. nicht erwähnt, daß Google die Anzahl der Filter in der neuen API begrenzen will, und zwar auf einen Wert, der deutlich kleiner ist als die Anzahl der Filter in heute üblichen Filterlisten (von denen man auch oft mehr als 1 nutzt). Und da die neue API den Zugriff auf Elemente einschränkt, werden bestimmte Filter wohl gar nicht mehr möglich sein.

    • Rainer Winkler says:

      Sehr einseitiger Kommentar, der einen Tenor weitgehend ungeprüft übernimmt und z.B. nicht erwähnt, daß von den Filterlisten (EasyList 90k Einträge) nur ca. 1% zum tragen kommt. So können auch mehrere Listen kombiniert werden und man kommt trozdem nicht auf das 50k Eintragslimit von Google

      • Das ist wie ein Virenscanner, der schützt auch vor allen bekannten Viren und „In The Wild“ triffst du nur 2 Viren.

      • Das mag durchaus sein. Aber immerhin kennen wir jetzt die Argumente beider Seiten und können diskutieren. Der Artikel hat aber einseitig nur die Aussagen Googles verbreitet und den Eindruck erweckt, daß die Entwickler von Erweiterung sich nicht so haben sollen.
        Artikel, die einfach nur eine Pressemitteilung unreflektiert wiedergeben, bieten keinen Mehrwert.

        • Rainer Winkler says:

          DrSonne hat es nicht verstanden. Von den 90k EasyList Regeln müssten erstmal 50k gemacht werden bevor Chrome nicht weiter macht.

      • Google hat das schon verbessert. Kann man aktuell bei Heise nachlesen. Das Declarative Net Request API, welches das programmatische Modell ersetzen soll, konnte ursprünglich Blocklisten nur durch ein Update der Erweiterung aktualisieren und akzeptierte nur 30.000 Listeneinträge. Nachdem die Entwickler bereits beim ersten Punkt nachgebessert haben, kündigen sie nun eine Vergrößerung der Blocklisten auf bis zu 150.000 Einträge an. Das sollte locker reichen.

  2. Schlecht recherchiert oder durch Google verblendet? Hier geht es nur vordergründig um die „Sicherheit“. Tatsächlich ermöglichen die Änderung Google sehr genau zu steuern wer welche Werbung sieht. Entsprechende Blocker werden durch die Änderung praktisch nicht mehr umsetzbar sein. Wer sich über das Thema weiter informieren will, sucht mal „Ublock Origin Chrome“.
    Google hat eine Monopolstellung mit Chrome erreicht und nutzt diese nun schamlos aus.

    • Deshalb ist der Wechsel zu Firefox, oder anderen Browsern, die nicht auf Chromium basieren wichtig (das ist tatsächlich nur noch Firefox)
      AFAIK sagt Brave, dass dies keine Auswirkungen auf das eingebaute AdBlocking hat, ich finde aber, das man Brave auch nur mit uBO wirklich funktioniert.

  3. Der Declarative Net Request API fehlen wichtige Funktionalitäten. Zum Beispiel können Extensions damit keine HTTP-Anfragen mehr blockieren. D.h. das ganze Tracking, welches im Hintergrund stattfindet, kann nicht mehr blockiert werden. Nur noch die sichtbaren (Werbe-) Elemente können versteckt werden. Außerdem gibt es ein Limit was die Anzahl der Regeln die die Extensions haben können angeht. Blöd nur, dass das Limit deutlich kleiner ist als die üblichen Adblock-Listen groß sind. Wenn die API so eingeführt wird wie Google es plant wird es sehr bald keine ernstzunehmenden Tracking-/Adblocker mehr unter Chrome geben. Denn das geht mit der API einfach nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.