Bundesamt für Sicherheit in der Informationstechnik

Browser Plug-Ins

Plug-Ins sind Programme, welche die Funktionalität des Web-Browsers erweitern. Sie können je nach Bedarf vom Anwender installiert oder deinstalliert werden. Mit Plug-Ins können beispielsweise Webseiten-Inhalte angezeigt werden, deren Format der Web-Browser selbst nicht beherrscht. Meistens sind das spezielle Video-, Audio- oder Grafikformate. Damit beim Eintreffen der Daten das entsprechende Plug-In verwendet werden kann, wird den Dateien ein MIME-Typ (Multipurpose Internet Mail Extension), d. h. ein auf das Plug-In abgestimmtes Dateiformat und die dazugehörende Dateiendung, zugewiesen. Anhand dieser Angaben erkennt der Web-Browser, mit welchem Plug-In die Datei geöffnet werden kann.

Plug-Ins können auch Laufzeitumgebungen für vorkompilierte Programm-Module zur Verfügung stellen. Die in dem Browser verwendete Java Virtual Machine kann z. B. durch Java-Interpreter ersetzt werden, die zusätzliche Funktionen wie Datenbankabfragen unterstützen.

Ein Beispiel für ein oft im Zusammenhang mit Aktiven Inhalten genanntes Plug-In ist das Adobe Flash-Plug-In (vormals Macromedia Flash-Plug-In). Mit diesem Plug-In kann eine Webseite um eine so genannte Flash-Animationen erweitert werden. Streng genommen handelt es sich bei Flash um ein spezielles Grafikformat, das in Webseiten integriert werden kann. Da in den neueren Versionen der Funktionsumfang von Flash jedoch über das Darstellen reiner Animation hinausgeht, wird Flash häufig zu den Aktiven Inhalten gezählt.

Gefahren und Risiken im Zusammenhang mit Plug-Ins

Durch den Einsatz von Plug-Ins können allerdings auch Risiken entstehen. Enthält ein Plug-In Programmierfehler oder bewusst eingebaute Schadensfunktionen, können Sicherheitslücken auf dem Rechner des Anwenders entstehen. Über diese Lücken kann ein Webseiten-Betreiber eigene Programme (wie z. B. Trojanische Pferde) auf dem Anwenderrechner installieren. Je nach Rechtevergabe auf dem lokalen Rechner kann über ein auf diesem Weg installiertes Trojanisches Pferd voller Zugriff auf die Ressourcen des lokalen Rechners erlangt werden.

Der Anwender sollte genau prüfen, ob er das Plug-In benötigt, und es dann nur von vertrauenswürdigen Anbietern, wenn möglich digital signiert, herunterladen.

Mit digitalen Signaturen versehene Plug-Ins bieten eine auf Vertrauen basierende Sicherheit. Der Entwickler des Plug-Ins unterschreibt mit der digitalen Signatur, dass das Plug-In von ihm erstellt wurde und in einem funktionstüchtigen und nicht schadhaften Zustand ist. Der Anwender kann über die angefügte Signatur feststellen, ob zwischenzeitlich Änderungen am Programm-Code vorgenommen worden ist (Integritätsschutz). Durch die Verwendung von zertifikatsbasierenden Signaturen kann zudem die Echtheit des Anbieters (Authentizität) festgestellt werden. Das Zertifikat wird dabei von einer vertrauenswürdigen dritten Stelle ausgestellt. Es gilt allerdings nur für die Authentizität und sichert nicht die Qualität des Plug-Ins. In Bezug auf die Qualität muss der Anwender dem Entwickler Vertrauen entgegenbringen.

Allerdings lässt sich durch die Verwendung von Signaturen keine Aussage dazu treffen, ob das Plug-In wirklich nur die in der Dokumentation beschriebenen Funktionen ausführt. Wenn der Anbieter nicht vertrauenswürdig ist, gelten die Risiken auch hier.