Firefox click-to-play: mehr Sicherheit durch Opt-in für Plugins • TomSec

TomSec

IT-Sicherheit, IT-News und mehr

Tomsec - Firefox nightly

Firefox click-to-play: mehr Sicherheit durch Opt-in für Plugins

| Keine Kommentare

Die Idee hinter dem geplanten Firefox-Feature click-to-play ist ebenso simple, wie alt:

Plugins wie Flash, Java und Co werden erst geladen, wenn der Benutzer auf den entsprechenden Inhalt klickt. Vorher wird lediglich ein grauer Kasten angezeigt, mit der Aufforderung das Plugin zu aktivieren.

Tomsec - firefox click to play

Android-Nutzern ist dieses Verfahren wohl bekannt. Seit langem müssen sie Flash-Inhalte per Klick aktivieren. Allerdings wurde dieses Feature hier primär eingeführt, um die mobile Datenleitung nicht unnötig zu belasten.

Tomsec - andorid click to play

Die Motivation für Firefox-Entwickler Jared Wein liegt anders:
Er möchte verhindern, dass automatisch geladene Plugins genutzt werden können, um Schwachstellen in der Plugin-Implementierung für Drive-by-Infections zu nutzen. Außerdem geht er davon aus, dass sich zusätzlich der Speicherverbrauch von Firefox senken lässt.

Die Idee finde ich goldrichtig und sie wird sich wahrscheinlich auch unter allen anderen Browsern durch setzen.
Zwar lässt sich so nicht verhindern, dass Benutzer durch Social Engineering dazu verleitet werden ein schadhaftes Plugin zu aktivieren, (denn wer will nicht den neuesten Geheimtrailer zum nächsten Blockbuster sehen …) aber all die Flash- und Java-Exploits die über Werbenetzwerke verbreitet werden, können erfolgreich abgewehrt werden.
Denn, dass Benutzer auf jedes Werbeplugin klicken, um es zu aktivieren, ist eher unwahrscheinlich. Auch “unsichtbare” Plugins hätten keine Chance ihr schadhaftes Werk zu verrichten.

Dieser Schritt scheint deshalb ebenso wegweisend zu sein, wie die Entscheidung Bilder in E-Mails nicht mehr automatisch zu laden. Damit wurde in der Vergangenheit die Effektivität einiger Mail-Angriffe bereits gen Null geschraubt.

In der Preview-Version von Firefox lässt sich das Feature bereits testen. Dazu muss in about:config das plugins.click_to_play Flag aktiviert werden.

Aktuell arbeitet Wein daran, dass Feature pro Webseite ein und ausschaltbar zu machen. Sein Ziel ist es seine Arbeiten für Firefox 14 abgeschlossen zu haben.



Quelle: http://msujaws.wordpress.com/2012/04/11/opting-in-to-plugins-in-firefox/

Author:

Thomas Propach ist Student an der Westfälischen Hochschule im Masterstudiengang Internet-Sicherheit. Auch neben dem Studium widmet er seine Zeit den Themen Penetrationstesting, Exploiting, Ethical Hacking und generell der IT-Security.

Keine Kommentare

    Verfasse einen Kommentar

    Pflichtfelder sind markiert *.
    Textile Hilfe

    *


Blogverzeichnis - Blog Verzeichnis bloggerei.deBlogverzeichnisBlog Top Liste - by TopBlogs.deBlogverzeichnis - Netzwelt