Erweiterungen für den Browser können Komfort und Funktionalität des Internet Explorer für den Anwender deutlich verbessern. Aber aufgrund ihrer Möglichkeiten bergen diese Erweiterungen prinzipiell auch immer ein Sicherheitsrisiko. Nicht umsonst sind für ihre Installation administrative Rechte erforderlich.
Erweiterungsarten des Internet Explorers
Im Internet-Explorer-Kontext gibt es drei Erweiterungsarten:
1. Browser Helper Objects (BHO)
Dies sind Erweiterungen ohne UI, die beispielsweise, wie das Skype BHO, eine Telefonnummer im angezeigten Text hervorheben können.
2. Browser Extensions
Dies sind Erweiterungen, die typischerweise keinen direkten Zusammenhang mit einer angezeigten Webseite haben, zum Beispiel die Bing-Toolbar.
3. ActiveX Controls
Dies sind Erweiterungen, die von einer Webseite genutzt werden können, um zusätzliche Funktionalität zu nutzen, also zum Beispiel Adobe Flash.
Dabei ist zu beachten, dass alle drei Arten über denselben Mechanismus im Internet Explorer geladen werden, denn es sind alles DLLs. Und genau hierin sind Vor- und Nachteile der Erweiterbarkeit des Internet Explorer begründet.
Vorteile und Risiken des Konzepts
Der Hauptvorteil besteht in der Mächtigkeit der Erweiterungen, was entsprechende Risiken mit sich bringt. Da diese als eigenständige DLL in einen Internet-Explorer-Prozess geladen werden, haben sie alle Rechte und Pflichten, wie es für eine DLL üblich ist. Das heißt, dass eine Erweiterung quasi den gesamten Prozess verändern und (in der Regel positiv) beeinflussen kann.
Für eine erfolgreiche Umsetzung gilt es, bestimmte Punkte zu beachten. Eine fehlerhafte Erweiterung kann im schlimmsten Falle zum Absturz des gesamten Prozesses führen oder den Nutzer und dessen Betriebssystem angreifen. Hier wurden jedoch in der Vergangenheit viele Sicherheitsmechanismen eingeführt, die genau dieses Angriffsszenario aushebeln sollen.
So wurde mit Windows Vista der verbesserte Sandbox-Mechanismus ("Protected Mode") eingeführt und mit Windows 7 weiter optimiert. Zudem wurde bereits im IE7 erstmals das Feature "Loosly coupled IE" (LCIE) bereitgestellt und in den nachfolgenden Versionen weiter verbessert.
Eine der wichtigsten Sicherheitsvorkehrungen ist prinzipiell, dass die Installation einer Erweiterung immer administrative Rechte voraussetzt. Dies ist gerade im Unternehmenseinsatz von Vorteil.
"Ja, aber …" wird sich der eine oder andere jetzt denken, denn "administrative Rechte" bedeuten mehr Aufwand auf Administratorseite: Wenn jeder Nutzer ein Support-Ticket eröffnet, sobald er eine Erweiterung benötigt, dann kann dies sicher nicht die sinnvollste Idee sein.
Vorinstallation von Erweiterungen
Eine der Lösungen ist, die zu erwartenden Erweiterungen vorzuinstallieren. Dies kann entweder über eine entsprechende Präparation des Windows-Images sein oder eine Verteilung von MSI Installer Packages über die eigene Verteilsoftware, zum Beispiel System Center Configuration Manager 2012.
IT- wie Fachabteilungen sollten sich vorab allerdings über folgende Punkte Gedanken machen:
-
Benötigt wirklich jeder (oder zumindest die meisten) User das zu installierende Add-on?
-
Welche Auswirkungen (Performance, Sicherheit, Stabilität etc.) hat die Erweiterung auf meine Installationen?
Denn eine Erweiterung, die nicht installiert oder nicht aktiviert ist, kann den Browser auch nicht negativ beeinflussen. Das bedeutet im Umkehrschluss, dass hier "Sparsamkeit" zumindest angestrebt werden sollte.
Auch in Hinblick auf die zunehmende Anzahl an Geräten, die keine Erweiterungen wie Adobe Flash oder Microsoft Silverlight benutzen können, steht zu erwarten, dass die Webseiten und Webanwendungen in Zukunft weniger proprietäre Erweiterungen benötigen werden und gegebenenfalls nur noch bestimmte Benutzergruppen diese auch installiert haben sollten.
Ideal wäre also ein Mechanismus, der es ermöglicht, dass ein User ohne administrative Rechte möglichst wenige Erweiterungen (vor)installiert hat, sich bei Bedarf aber selbstständig und ohne größeren Aufwand selbstständig helfen kann.
Installation ohne Admin-Rechte
Genau für diese Anforderung wurde in Windows Vista der sogenannte "ActiveX Installer Service" (AXIS) eingeführt. Dieser ermöglicht es, dass Administratoren eine Liste von Seiten vordefinieren, von denen ein User bei Bedarf ein ActiveX Control installieren darf.
Das Prinzip ist relativ einfach:
1. Das Windows Vista oder Windows 7 Gerät wird für die Nutzung des AXIS vorbereitet (etwa durch ocsetup.exe AxInstallService).
Dies installiert einen im Systemkontext laufenden Service, der die vom User angestoßene Installation einer Erweiterung vornehmen kann.
2. Die notwendigen Group Policies (GPO) werden definiert: Only use the ActiveX Installer Service for installation of ActiveX Controls,
Hier ist es notwendig, dass der zuständige Administrator festlegt, von welcher Seite eine Erweiterung automatisch installiert werden darf und, vor allem, welche Sicherheitsbedingungen für das Installations-Package gegeben sein müssen (Zertifikate, Signaturen usw.). Hier sollte natürlich auf vertrauenswürdige Signaturen geachtet werden.
3. Ein User besucht eine Seite, auf der eine Erweiterung notwendig ist.
4. Der User wird durch eine Goldbar (IE7/8) beziehungsweise eine Notification (IE9) benachrichtigt, dass diese Seite ein Add-on benötigt, und kann dort die Installation starten.
5. Der IE benachrichtigt den AXIS über den Installationswunsch.
6. Der AXIS überprüft anhand seiner GPOs, ob der User über die besuchte Seite ActiveX Controls installieren darf. Sofern dies erlaubt ist und die Signatur und das Zertifikat des Installers passen, wird automatisch die Installation durchgeführt und die Seite anschließend neu geladen, damit das Control geladen wird und damit auch benutzt werden kann.
Wenn es nicht erlaubt ist, folgt eine entsprechende Fehlermeldung.
Fazit
Auf die gezeigte Art und Weise ist es relativ einfach möglich, ein Windows-Betriebssystem zu verteilen und zu betreiben, ohne dass viele IE-Add-ons direkt in das Erstellen des Images einbezogen werden müssen.
Administratoren können die Seiten für Gruppen oder Nutzer spezifisch definieren, von denen installiert werden darf, und können auf diese Weise die installierten Internet Explorer schlank halten.
Und zusätzlich werden die notwendigen Support-Tickets zurückgehen, denn die User haben weniger Probleme und können die wirklich notwendigen Add-ons selbstständig installieren - und das sogar ohne Zutun des Supports. (mje)