137244

Schwachstellen in Greasemonkey behoben

02.08.2005 | 13:38 Uhr |

Eine neue Beta-Version bringt die in der Vorversion deaktivierten Funktionen zurück.

Die Entwickler der Firefox-Erweiterung Greasemonkey haben die Beta-Version 0.5 ihrer Software vorgestellt. Sie soll die Sicherheitslöcher der Version 0.34 schließen und schaltet die in der Version 0.35 deaktivierte Programmierschnittstelle (GM-API) wieder frei.

Greasemonkey ist eine Erweiterung für den Web-Browser Firefox, mit der es möglich wird, die Darstellung besuchter Web-Seiten nach eigenem Geschmack zu verändern. Dazu werden eigene Javascripts auf die im Browser geladene Seite angewandt. Im einfachsten Fall verändert man so eine notorisch zu kleine Schrift, hebt Links deutlicher hervor oder verwandelt Text-URLs in anklickbare Links. Die Scripts werden beim Laden der angegebenen Seiten automatisch ausgeführt.

In der Version 0.34 wurden mehrere Sicherheitslücken entdeckt. Eine davon ermöglicht der besuchten Website den lesenden Zugriff auf beliebige Dateien auf der lokalen Festplatte des Besuchers. Dazu dient das Protokoll "file://" über Javascripts in der aufgerufenen Seite. In der Version 0.35, die als schnelles Sicherheits-Update heraus kam, ist die Programmierschnittstelle zu speziellen Funktionen von Greasemonkey deaktiviert.

Die neue Beta-Version 0.5 trennt nun die Scripts der Website und die des Benutzers. Benutzerdefininierte Scripte werden nun in einem eigenen, als "Sandbox" bezeichneten Bereich ausgeführt, wo sie vor Manipulationen durch Scripts der Website geschützt sind. Durch diese und weitere Änderungen wird es für Scripts in Web-Seiten schwierig, die Verwendung der Benutzer-Scripts zu blockieren oder ihr Verhalten zu beeinflussen. Besonders in Zusammenarbeit mit der kommenden Firefox-Version 1.5 ("Deer Park") soll Greasemonkey nun sehr viel sicherer sein.

Wichtig: Bei Greasemonkey 0.5 handelt es sich derzeit noch um eine Beta-Version, die noch Fehler aufweisen kann. Die offizielle aktuelle Fassung ist weiterhin die aus Sicherheitsgründen stark beschnittene Version 0.35. Weiter Details zur neuen Beta-Version finden Sie im Weblog der Entwickler .

0 Kommentare zu diesem Artikel
137244