Blog

Firefox: In Zukunft standardmäßig keine automatische Ausführung von Plugins mehr

Verfasst von: Sören Hentzschel

Firefox: In Zukunft standardmäßig keine automatische Ausführung von Plugins mehr

Firefox beherrscht bereits seit ein paar Versionen ein sogenanntes Click-to-Play. Dies bedeutet, dass Plugins wie Adobe Flash, Adobe Acrobat, Oracle Java oder Microsoft Silverlight nicht generell aktiv sind, sondern erst bei Bedarf vom Benutzer geladen werden. Mozilla plant nun eine standardmäßige Aktivierung dieses Features.

Bislang ist dieses Feature optional und kann aktiviert werden, indem über about:config der Schalter plugins.click_to_play per Doppelklick auf true gesetzt wird. Außerdem kann Mozilla die Sicherheit oder Stabilität des Browsers gefährendende Versionen solcher Plugins per Blockliste für alle Nutzer auf Click-to-Play setzen, wenn die Situation dies erfordert.

Mozilla plant nun, Click-to-Play standardmäßig für alle Plugins zu aktivieren – mit Ausnahme der zum jeweiligen Zeitpunkt aktuellen Version des Flash-Plugins. Flash gehört zu den Plugins, welche noch relativ viel im Web eingesetzt werden, weswegen diese Ausnahme nachvollziehbar ist. Nicht aktuelle Flash-Versionen werden aber genauso auf Click-to-Play geschaltet wie andere Plugins.

Vor allem Java macht in den letzten Monaten mit vielen Negativ-Schlagzeilen hinsichtlich der Sicherheit auf sich aufmerksam. Dies macht einmal mehr deutlich, dass Plugins ein hohes potentielles Sicherheits-Risiko darstellen können. Durch die standardmäßige Aktivierung von Click-to-Play wird die Sicherheit signifikant verbessert, gleichzeitig behält der Benutzer im Gegensatz zur vollständigen Deaktivierung dabei aber die volle Kontrolle, indem er bei Besuch einer Seite, welche ein entsprechendes Plugin erfordert, dieses einfach für die jeweilige Situation erlauben kann. Auch ist es möglich, Plugins für bestimmte Webseiten generell zu erlauben oder zu verbieten. Aber nicht nur die Sicherheit wird durch diese Maßnahme verbessert. Plugins können ebenso einen bedeutenden Einfluss auf die Stabilität des Browsers haben und sind als häufige Ursache für Browser-Abstürze zu nennen. Schließlich kann auch die Geschwindigkeit von Firefox davon profitieren, wenn nicht permanent alle Plugins geladen sind.

Derzeit strebt Mozilla Version 22 von Firefox für diese Änderung an. Die Veröffentlichung dieser Version ist für den 25. Juni 2013 geplant. Unabhängig davon sollten Plugins immer aktuell gehalten werden. Der Plugin-Check von Mozilla hilft hierbei.

14


Kommentare

  1. Gerhard Hallstein  30. Januar 2013, 14:55

    Hallo Sören,

    verstehe ich Dich jetzt richtig:

    indem er bei Besuch einer Seite, welche ein entsprechendes Plugin erfordert, dieses einfach für die jeweilige Situation erlauben kann.

    Kann ich in diesen Fällen das entsprechende Plugin gefahr- und bedenkenlos aktivieren?

    Bis denne
    Gerhard

     

  2. Valentin  30. Januar 2013, 15:22

    @Gerhard: Wenn du der Seite vertraust, kannst du das natürlich machen.

  3. Robert Kaiser  30. Januar 2013, 16:10

    Wenn man in Sicherheitsbedenken Java und Flash im gleichen Atemzug nennt, ist das mittlerweile eher irreführend.

    Seitdem Java von Oracle übernommen wurde, ist die Geschwindigkeit der Lösung von Sicherheitsproblemen weiter nach unten gegangen, und Sun war schon nicht wirklich flott. Es gibt im Moment keine aktualle Java-Version ohne bekannte Sicherheitslücken, so weit ich weiß (daher wird Java auch schon jetzt in Firefox generell auf Click-to-play gestellt).

    Flash dagegen sieht da anders aus: Im letzten Jahr hat Adobe die automatische Update-Funktion deutlich verbessert und der bedeutende Großteil der Installationen ist jetzt in kürzester Zeit auf der aktuellen Version, Adobe reagiert auf Sicherheitsprobleme rasch und arbeitet eng mit Browserherstellern wie Mozilla und Google, um Probleme zu beheben. Dass sowohl Mozilla und Google als auch Adobe (!) daran arbeiten, Flash im Web überflüssig zuu machen und durch HTML5 und verwandte Technologien/Standards zu ersetzen, steht natürlich auf einem anderen Blatt, aber sicherheitstechnisch und in der Freundlichkeit und Geschwindigkeit im Arbeiten ist Flash heute um viele Stufen besser als Java.

  4. Sören Hentzschel  30. Januar 2013, 23:51

    Gerhard: Ob ein Plugin immer aktiviert ist oder erst bei Bedarf aktiviert wird, bedeutet in der Konsequenz nach der Aktivierung das selbe: Das Plugin ist in diesem Moment aktiviert. Das heißt, wenn du dem Plugin die Erlaubnis gibst ausgeführt zu werden, bist du natürlich auch nicht mehr vor möglichen negativen Einflüssen dieses Plugins geschützt. Click-to-Play verhindert lediglich, dass Plugins immer aktiviert sind, wenn sie überhaupt nicht gebraucht werden. Das ist wie mit dem Benutzerkontensteuerungsdialog (UAC) bei Windows Vista und höher. Der Schutz besteht darin, dass Anwendungen bestimmte Aktivitäten nicht ohne deine ausdrückliche Zustimmung durchführen können. Sobald du das bestätigst, hat die Anwendung die Freigabe dazu. Und genauso ist es hier.

    Robert: Ich nehme diesen Einwand an und stimme dir zu, Adobe hat sich in dieser Hinsicht stark verbessert. Um dem Punkt gerecht zu werden, werde ich ein paar textliche Anpassungen im Artikel vornehmen. Danke für das Feedback.

  5. Gerhard Hallstein  31. Januar 2013, 00:17

    Hi Sören,

    irgendwie ist es mit der Aktivierung bzw. Nichtaktivierung dieser Plugins dasselbe wie mit NoScript: Für das letztendliche Verständnis fehlt mir der technische Hintergrund. Damit muss und werde ich leben. Wenn eine Seite Java verlangen würde, so würde ich – sofern mir der Inhalt der Seite wichtig ist – Java aktivieren.

    Adobe Flash nutze ich gar nicht und habe es auch nicht in meinen Plugins. Stattdessen arbeite ich mit Shockwave Flash.

    Noch einige Worte zu meinem technischen Verständnis:

    Mein technisches Verständnis war noch nie ausgeprägt. Und manches kann man mir erklären und erklären . . .  und ich versteh´s einfach nicht.

    Darum nutze ich ein Add-on wie NoScript auch nur deshalb, weil ich mich beim Surfen damit sicherer fühle.

    Ich lese so gut wie alle Deine Artikel, auch wenn ich oft nur “Bahnhof” verstehe. Das macht mir aber nichts, weil es mir darauf ankommt, den Überblick zu behalten und den ein oder anderen Begriff zumindest schon mal gehört zu haben.

    So wäre ich im Internet auch noch nicht so weit wie heute, wenn mir Armand Theisen (den ich schon seit Jahren persönlich kenne) nicht immer wieder geduldig per Email oder per TeamViewer helfen würde.

    So – und nun wünsche ich Dir ein gut´s Nächtle
    und einen lehrreichen Arbeitstag
    Gerhard

  6. Uran235  31. Januar 2013, 00:34

    https://bugzilla.mozilla.org/show_bug.cgi?id=830267

    Das ist wohl der Grund wieso Mozilla Flash anläst.

  7. Sören Hentzschel  31. Januar 2013, 01:10

    Gerhard: Im Prinzip brauchst du gar nicht viel technischen Hintergrund. Wenn du sagst “Wenn eine Seite Java verlangen würde, so würde ich – sofern mir der Inhalt der Seite wichtig ist – Java aktivieren.”, dann hast du damit eigentlich schon das ganze Prinzip von Click-to-Play verstanden. Ich versuche mal, das noch ein wenig zu verdeutlichen, um dir ein genaueres Verständnis dafür zu geben:

    Im klassischen Sinn hast du genau zwei Möglichkeiten: Die erste ist, dass ein Plugin, beispielsweise Flash oder Java, grundsätzlich aktiviert ist. Das ist standardmäßig für alle Plugins der Fall und du kannst alle Webseiten ohne Einschränkung benutzen, welche von diesen Plugins abhängig sind. Oder eben ein Plugin ist deaktiviert. In diesem Fall siehst du auf einer Webseite, welches dieses Plugin verlangt, eben nicht den Inhalt, welcher durch dieses Plugin dargestellt werden soll. Das Click-to-Play heißt soviel wie: Wenn ich eine Webseite besuche, welche ein Plugin erfordert, dann frag mich, ob ich das Plugin benutzen möchte oder nicht. Das ist im Prinzip ein Kompromiss aus Deaktiviert und Aktiviert. Plugins sind dabei eigentlich grundsätzlich deaktiviert. Du besuchst nun aber eine Seite, welche für irgendeinen Inhalt auf der Seite Java benötigt. Firefox gibt dir jetzt die Möglichkeit, Java in dieser speziellen Situation zu aktivieren, über so eine Meldung, wie du sie im Screenshot des Artikels siehst. Tust du nichts, bleibt Java deaktiviert. Sagst du Firefox, er soll das Plugin aktivieren, wird es aktiviert und du siehst den Inhalt auf der Webseite, welcher durch Java dargestellt wird.

    Adobe Flash nutze ich gar nicht und habe es auch nicht in meinen Plugins. Stattdessen arbeite ich mit Shockwave Flash.

    Shockwave Flash = Adobe Flash. Also der Flash Player, welcher im Add-on Manager von Firefox unter dem Namen Shockwave Flash auftaucht, wird von Adobe entwickelt (ursprünglich von Macromedia, aber die wurden 2005 von Adobe aufgekauft).

    Ich lese so gut wie alle Deine Artikel, auch wenn ich oft nur “Bahnhof” verstehe.

    Scheue dich nicht zu fragen. Ich bin immer bemüht, Fragen so gut es geht zu beantworten. Insbesondere bei einem so treuen und netten Leser wie dir beantwortet man sehr gerne Fragen. ;)

  8. Gerhard Hallstein  31. Januar 2013, 11:25

    Hallo Sören,

    Insbesondere bei einem so treuen und netten Leser wie dir beantwortet man sehr gerne Fragen.

    ich danke Dir für diese anerkennenden und anspornenden Worte.

    An dieser Stelle ein technischer Hinweis:

    Die Absätze “Noch einige Worte . . .” bis “So wäre ich im Internet . . .” hatte ich als Liste markiert. Wie ich sehr, wurden diese Absätze aber nicht als Liste umgesetzt.

    Ich wünsche Dir noch einen schönen Tag
    Gerhard

     

  9. Gerhard Hallstein  10. Februar 2013, 22:46

    Wie kann ich die Dauer des Fensters einstellen, dass bei den entsprechenden Seiten danach fragt, ob ich das xyz-Plugin auf der entsprechenden Seite zulassen will oder nicht. In manchen Fällen ist es mir zu schnell wieder verschwunden.

  10. Sören Hentzschel  14. Februar 2013, 15:40

    Hallo Gerhard,

    entschuldige bitte die späte Antwort. Normalerweise gibt es keine Zeitbegrenzung für das Fenster, das Fenster sollte so lange bleiben bis du woanders in klickst. Gibt es eine konkrete Seite, wo es Probleme damit gibt, oder ist das grundsätzlich so?

  11. Gerhard Hallstein  14. Februar 2013, 16:43

    Hallo Sören,

    die Verspätung macht nichts.

    Ich habe Click-to-Play jetzt wieder deaktiviert, weil ich für mich keinen Sinn darin sehe, weil ich die entsprechenden Plugins ohnehin zulasse, wenn sie gebraucht werden.

    Es geht mir damit ähnlich wie mit dem Add-on NoScript: Ich nutze es (NoScript), ohne genau zu wissen, was ich mache. Im Grunde ist es nur für mein Sicherheits-Gefühl.

    Lieben Gruß
    von Gerhard

Kommentar hinzufügen

E-Mail-Benachrichtigung bei weiteren Kommentaren.