Mozilla: Firefox 52 schließt NPAPI-Plug-ins außer Flash aus

Mozilla macht mit Firefox 52 ernst und streicht die Unterstützung für alle NPAPI-Plugins außer Adobe Flash. Davon betroffen sind beispielsweise Silverlight, Java, Google Hangouts sowie Adobe Acrobat. Die Sicherheit der Nutzer erhöht Firefox 52 unter anderem durch die Einführung der Strict-Secure-Cookies-Spezifikation.

Auch Firefox sperrt NPAPI aus

Sicherheit und Datenschutz standen bei Firefox 52 wieder einmal ganz oben auf der Liste der Entwickler. Die meisten Änderungen der neuen Version haben mit einem der beiden Themen zu tun. So haben die Entwickler, wie bereits seit Langem angekündigt, die Unterstützung für NPAPI-Plug-ins beendet. Einzige Ausnahme ist Adobe Flash. Firefox (Download) ist damit der letzte große Browser, der diesen Schritt geht. Google Chrome hatte die Unterstützung für diese Plug-ins bereits mit Version 45, welche im September 2015 erschien, gekappt. Auch das CDM-Modul Adobe Primetime zum Abspielen von DRM-Inhalten wird mit Firefox 52 nicht mehr heruntergeladen, wenn entsprechende Inhalte gestartet werden.

Verschärfte Warnung bei unsicheren Formularen

Weitere Maßnahmen zur Verbesserung der Sicherheit in Firefox 52 sind die nochmals verschärfte Warnung zu unsicher in Webseiten eingebundenen Login-Masken sowie die Umsetzung der Spezifikation zu Strict Secure Cookies.

Bei der erweiterten Warnung auf Webseiten, die per HTTP ausgeliefert werden und Masken zur Eingabe persönlicher Daten aufweisen, wird nun direkt neben dem Eingabefeld eine Warnung eingeblendet, wenn der Nutzer dort Daten eingibt. Zudem wird auf solchen Seiten die Autofill-Option deaktiviert. Mit Strict Secure Cookies wird verhindert, dass per HTTP ausgelieferte Seiten Cookies mit dem Attribut »secure« setzen dürfen. Zusätzlich wird verhindert, dass Cookies, die von HTTPS-Seiten mit diesem Attribut gesetzt wurden, überschrieben werden können.

Von Tor geborgt: Schutz gegen Font-Fingerprinting

Vom Anonymisierungsnetzwerk Tor wurde eine Funktion übernommen, die Font-Fingerprinting verhindern soll. Diese Methode wird breitflächig von Webseiten eingesetzt, um über die installierten Schriftarten eines Computers ein Fingerabdruck zu erstellen, der dazu beiträgt, den Rechner eindeutig zu identifizieren. Die jetzt von Tor übernommene Methode will das unterbinden, indem nur vom Anwender eingetragene verwendete Fonts, die in einer Whitelist stehen, angezeigt werden und nicht alle, größtenteils vom Betriebssystem installierten Fonts.

Allerdings kann es bei aktivierter Whitelist vorkommen, dass Webseiten nicht mehr im Original dargestellt werden. Wird Flash auf dem System eingesetzt, entfällt der Schutz, da NPAPI-Plug-ins weiterhin alle Fonts auslesen können. Aus dem gleichen Grund wird auch das Battery Status API entfernt.

Neues Binärformat fürs Web

Die Veröffentlichung von Firefox 52 markiert auch die standardmäßig aktivierte Unterstützung von WebAssembly (wasm). WebAssembly, das derzeit der W3C Community Group zur Standardisierung vorliegt, soll als neues Binärformat JavaScript deutlich beschleunigen. Dabei soll JavaScript nicht ersetzt sondern ergänzt werden. Das neue Format wird gemeinsam von Google, Microsoft und Mozilla entwickelt. Eine FAQ auf GitHub beantwortet häufige gestellte Fragen.

Weitere Neuerungen umfassen die Unterstützung für die Multiprozess-Architektur Electrolysis (e10s) auf Touchscreens unter Windows. Vor SHA-1-Zertifikaten wird gewarnt, der Anwender kann die Warnung allerdings übergehen.

Firefox ESR auch auf 52

Zeitgleich mit Firefox 52 erscheinen auch Firefox ESR 52.0, Beta 53.0, Aurora 54.0 und Nightly 55. Zudem wird die ESR-Vorgängerversion auf Firefox ESR 45.8 aktualisiert. Firefox ESR 52.0 wartet dabei mit einigen Besonderheiten auf. So werden Anwender von Windows XP und Vista während der Aktualisierung zu Firefox 52 auf die ESR-Version umgestellt. Firefox 53 läuft nicht mehr auf den von Microsoft nicht mehr unterstützten Windows-Versionen. Somit haben Anwender auf Firefox 52 ESR eine letzte Gnadenfrist von rund einem Jahr.

Unterschiede und Einschränkungen bei ESR

Unterschiede zwischen der Standard- und der ESR-Version umfassen die Deaktivierung von WebAssembly und Service Workers sowie von Push-Benachrichtigungen für Firefox 52 ESR. Die Gründe hierfür sind überwiegend technischer Natur und in den anhaltenden Umbauarbeiten zur Multiprozess-Architektur zu finden.

Die Anwender der ESR-Version müssen zudem Einschränkungen bei Electrolysis hinnehmen. Hier gelten nicht die Kriterien, die für Firefox 52 wieder gelockert wurden, sondern die für Firefox 50. Firefox ESR 52 erlaubt auf der anderen Seite auch weiterhin die Nutzung aller NPAPI-Plug-ins. Zudem kann die Deaktivierung der Signaturpflicht für Erweiterungen umgangen werden.