4 Reaktionen

Firefox 55 erlaubt Flash-Inhalte nur noch über HTTP/HTTPS

Geschätzte Lesedauer:

Mozilla schränkt die Unterstützung für den Adobe Flash Player in Firefox 55 ein. Ab dann können Flash-Inhalte nur noch via HTTP oder HTTPS geladen werden.

NPAPI-Plugins sind eine häufige Quelle für die Sicherheitsprobleme und Instabilitäten des Browsers. Mittlerweile kann beinahe alles, wofür früher NPAPI-Plugins notwendig waren, mittels HTML und JavaScript-APIs umgesetzt werden. Seit Firefox 52 unterstützt Firefox nur noch den Adobe Player als einziges NPAPI-Plugin, andere NPAPI-Plugins wie Java oder Silverlight werden nicht mehr unterstützt.

Mit Firefox 55 folgt eine Einschränkung der Flash-Unterstützung. Ab dann können Flash-Inhalte nur noch über die Protokolle HTTP und HTTPS geladen werden. Damit ist es beispielsweise nicht mehr möglich, eine lokale Flash-Datei über das file://-Protokoll in Firefox abzuspielen.

Das alte Verhalten kann vorerst wiederhergestellt werden, indem über about:config der Schalter plugins.http_https_only per Doppelklick auf false gesetzt wird.

Firefox 55 erscheint nach aktueller Planung am 8. August 2017.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

4 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. AC
    schrieb am :

    Welche Vorteile hat diese Änderung? Ist das sicherheitstechnisch ein Gewinn?

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Primär Sicherheit. fxsitecompat.com beschreibt das wie folgt:

    This change aims to improve security, because a different same-origin policy is applied to the file protocol, and loading Flash content from other minor protocols is usually not well-tested.

    https://www.fxsitecompat.com/en-CA/docs/2017/flash-can-now-be-loaded-only-from-http-https/

  3. foobar
    schrieb am :

    @AC
    So wie ich das sehe, können dann nur noch Inhalte geladen werden, die tatsächlich „von außen“ reinkamen.

    Es wäre nicht möglich, für eine Website den lokalen Rechner zu komprimittieren, in dem es via „file://“ eine Datei versucht zu öffnen (wie auch immer die da hinkäme – über eine andere Lücke z.B.).

    Auch kann der Benutzer, der ein Datei runtergeladen hat (womöglich unbeabsichtigt!), nicht einfach mehr swf-Dateien via Doppelklick vom Explorer in den Browser öffnen.

  4. CD
    schrieb am :

    Vielen Dank, ich nutze Firefox für lokale SWFs und war schon ziemlich verzweifelt. Ihr Tip hat geholfen.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.