Als Netscape in den Neunziger Jahren des letzten Jahrhunderts ein Plugin-System für Browser entwickelte, schien dies eine uneingeschränkt gute Idee. Immerhin können darüber die Möglichkeiten der Software deutlich erweitert werden. Womit man hingegen nicht gerechnet hat: Jahre später sollten sich Plugins zu einem einzigen, großen Sicherheitsproblem entwickeln.
Auswege
Die Mischung aus den umfassenden Möglichkeiten eines solchen Plugins in Kombination mit der plattformübergreifenden Verbreitung, machten gerade die Adobe-Produkte Flash und Reader zu beliebten Zielen für Angreifer. Also reagierten einige Hersteller und begannen damit eigene, besser abgesicherte Varianten von Flash mit ihrem Browser auszuliefern. An der grundlegenden Problematik änderte dies aber wenig. Entsprechend wurde denn auch vor allem das Java-Plugin zu einem neuen, beliebten Angriffsziel.
Aus
All dies soll nun aber ein Ende haben: Wie Google in einem Blog-Eintrag verkündet, werden ab Jänner 2015 alle Plugins mit der klassischen NPAPI-Schnittstelle von Haus aus blockiert. Ab April wird dann der NPAPI-Support zur Gänze deaktiviert, alle Erweiterungen, die ein entsprechendes Plugin benötigen, werden zudem aus dem Chrome Web Store gelöscht. Zu diesem Zeitpunkt soll sich der Support noch manuell aktivieren lassen, mit September folgt dann die vollständige Entfernung aus dem Browser.
Auswahl
Die Pläne für das Plugin-Aus hatte Google bereits im September 2013 erstmals kommuniziert. Seitdem wurden nach und nach erste Schritte in diese Richtung gesetzt. So werden schon jetzt die meisten Plugins blockiert, eine Ausnahme macht man nur für einige wenige, besonders viel genutzt Plugins wie Silverlight, Google Earth und Java. Laut den Google-Daten ist deren Verwendung in den letzten Monaten aber deutlich zurückgegangen.
Silverlight
An der Spitze der Liste steht dabei Microsofts Silverlight mit 11 Prozent, das aufgrund der - zum Teil früheren - Nutzung bei einigen Streaming-Anbietern auf den Rechnern gelandet ist. Ebenfalls noch stark verbreitet - aber nicht mehr notwendig - ist das Google-Talk-Plugin. Stark zurückgegangen ist hingegen der Einsatz des Java-Plugins, das aktuell noch in 3,7 Prozent der Chrome-Installationen genutzt wird. Im September 2013 waren es noch 8,9 Prozent.
Ausnahmen
Interne Chrome-Plugins - wie etwa für Flash - sind von dieser Maßnahme nicht betroffen, sind sie doch über eine andere Technologie integriert, die eine sichere Isolation vom Rest des Browsers ermöglicht. Auch Firefox-Hersteller Mozilla hegt ähnliche Pläne zur Blockade von NPAPI-Plugins. (apo, derStandard.at, 25.11.2014)