Mit dem Start von Chrome-Version 138 führt Google eine wichtige Änderung bei der Nutzung von Benutzerskripten in Erweiterungen ein. Künftig müssen Nutzer die Ausführung solcher Skripte gezielt für jede Erweiterung freischalten – standardmäßig sind sie deaktiviert.
Was ändert sich?
Ab Chrome 138 wird für jede Erweiterung, die die chrome.userScripts-API nutzt, eine neue Option namens „Benutzerskripte zulassen“ eingeführt. Diese muss manuell über die Detailseite der jeweiligen Erweiterung (zu finden unter chrome://extensions) aktiviert werden. Damit ersetzt Google die bisherige Regelung, bei der die Nutzung von Benutzerskripten nur mit aktiviertem Entwicklermodus möglich war.
Hintergrund der Änderung
Die userScripts-API erlaubt es Erweiterungen, dynamisch JavaScript-Code in Webseiten einzuschleusen – ein mächtiges Werkzeug, das unter anderem von Tools wie Tampermonkey, Werbeblockern oder Barrierefreiheits-Add-ons genutzt wird. Doch gerade diese Funktion birgt erhebliche Sicherheitsrisiken, insbesondere wenn Erweiterungen zu viele oder zu weitreichende Berechtigungen erhalten.
Bisher reichte der globale Entwicklermodus aus, um Skripte in beliebige Seiten einzubetten. Das Problem: Damit erhielten auch neu installierte Erweiterungen mit userScripts-Berechtigung automatisch Zugriff – ohne gezielte Zustimmung des Nutzers. Zudem war der Entwicklermodus oft unternehmensweit deaktiviert, was den Einsatz entsprechender Erweiterungen in Organisationen erschwerte.
Ziel: Mehr Sicherheit und Kontrolle
Google reagiert damit auf Kritik aus der Entwickler-Community und von Sicherheitsexperten. Durch die neue, erweiterungsspezifische Einstellung soll die Kontrolle für Anwender feiner werden – und potenzieller Missbrauch erschwert.
In der Übergangsphase bleibt der bisherige Entwicklermodus für ältere Chrome-Versionen aktiv. Ab Version 138 werden bestehende Erweiterungen mit userScripts-Berechtigung bei aktivem Entwicklermodus automatisch migriert. Neu installierte Erweiterungen müssen die Benutzer jedoch künftig ausdrücklich zur Aktivierung der Skriptfunktion auffordern.
Missbrauch bleibt ein Risiko
Die neue Maßnahme ist Teil eines größeren Bemühens, die Sicherheit im Chrome Web Store zu erhöhen. Immer wieder werden Erweiterungen für Spionage und Datenmissbrauch genutzt. Sicherheitsforscher von DomainTools entdeckten zuletzt rund 100 schädliche Erweiterungen mit Tarnfunktion – und in vielen weiteren Fällen wurde versteckter Tracking-Code gefunden.
Fazit: Mit der neuen Opt-in-Regelung für Benutzerskripte stärkt Google den Schutz der Chrome-Nutzer und schränkt riskante Standardberechtigungen deutlich ein. Für Entwickler bedeutet das mehr Transparenz – und für Anwender ein Stück mehr Kontrolle.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Wie Cyberangriffe tatsächlich ablaufen – und wie Unternehmen sich in fünf Schritten besser schützen können
OneClik: Neue APT-Kampagne nimmt Energiebranche ins Visier
XSS-Schwachstellen in Palo Altos GlobalProtect VPN: XBOWs KI-System deckt Sicherheitslücken auf
Cyber-Eskalation im Nahen Osten: Von Hacktivismus zu ausgeklügelten Bedrohungsoperationen
„Echo Chamber“: Neue Angriffstechnik umgeht KI-Sicherheitsmechanismen mit subtiler Manipulation
Studien
Studie von Bundesdruckerei und Possible zu Fachverfahren: Wie kann KI in Verwaltungsprozessen effektiv unterstützen?
Gigamon Deep Observability: Neue KI-Funktionen setzen höhere Sicherheits- und Sichtbarkeitsstandards
Neue Studie: Sind Sie auf die sich wandelnde Bedrohungslandschaft für die Cybersicherheit von SAP vorbereitet?
Cybersicherheit bleibt auf der Strecke: Schutzverhalten der Bevölkerung nimmt ab
Quantenkommunikation: Chancen, Risiken und Einsatzfelder im Überblick
Whitepaper
Neue Leitlinien zur Reduzierung von Speicher-Sicherheitslücken veröffentlicht
OWASP veröffentlicht Leitfaden für sichere KI-Tests
BSI-leitet G7-Arbeitsgruppe: Gemeinsames Konzept für eine „SBOM for AI“ veröffentlicht
NIST stellt 19 Modelle für Zero-Trust-Architekturen vor
