0 Reaktionen

Plug-n-Hack: Mozilla schlägt Standard zur Interaktion zwischen Sicherheitstools und Browsern vor

Geschätzte Lesedauer:

Mit Plug-n-Hack (PnH) schlägt Mozilla einen Standard vor, welcher definiert, wie Sicherheitstools mit Browsern besser interagieren können.

In einem aktuellen Blog-Beitrag schreibt Mozilla, dass Sicherheitstools häufig in Verbindung mit Browsern benutzt werden, bislang aber eine direkte Interaktion Plattform- und Browsererweiterungen notwendig gemacht haben. Das Konfigurieren des Browsers, damit dieser mit einem Sicherheitstool zusammenarbeitet, sei ein nicht trivialer Vorgang, welcher Entwickler und Tester mit weniger Erfahrung davon abhalten kann, solche Tools zu nutzen.

PnH soll dieses Problem lösen, indem es Sicherheitstools erlaubt, die Funktionalitäten mittels Manifest festzulegen, welche geeignet für eine Interaktion mit dem Browser sind. Ein Browser, welcher PnH unterstützt, kann diese Funktionalitäten dann direkt aufrufen ohne zum und vom Tool hin- und herwechseln zu müssen. Neben einigen fest definierten Fähigkeiten, beispielsweise zur Proxy-Konfiguration, seien die meisten Möglichkeiten dabei komplett generisch gehalten, so dass praktisch jede denkbare Funktionalität über PnH festgelegt werden kann.

PnH wurde sowohl browser- als auch toolunabhängig entwickelt, auch eine Implementierung für Firefox ist bereits vorhanden. Beides steht unter der Mozilla Public Licence 2.0 und ist damit auch für kommerzielle Tools geeignet. Mozilla hofft, dass auch andere Browserhersteller PnH implementieren werden. Der aktuelle Stand, von Mozilla als Phase 1 bezeichnet, erlaubt die einfache Integration und definiert, wie Sicherheitstools ihre Fähigkeiten dem Browser bekannt machen können. In Phase 2 sollen dann auch Browser den Sicherheitstools mitteilen können, welche Fähigkeiten diese besitzen und genutzt werden können. Dann sollen die Tools Informationen direkt vom Browser erhalten und der Browser sogar als Erweiterung des Tools genutzt werden können.

Unterstützt wird PnH in Firefox ab Version 24 unter Zuhilfenahme des Add-ons Ringleader. OWASP ZAP 2.2.0 ist das erste Sicherheitstool, welches PnH unterstützt, hierfür wird das MITM-conf Add-on benötigt. Die Unterstützung für die Burp Suite soll bald folgen.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen