Unausgereifte Schutzfunktion

Die Browser-Plug-Ins sind ein Segen – aber gleichzeitig ein ziemlicher Fluch. Bei Websites, wo unvermittelt eine Werbung oder ein Videoclip losdröhnt, wünschte man sich, Flash wäre nie erfunden worden. Darum kommt es mir sehr entgegen, dass die neuen Versionen der gängigen Browser alle die Click to Play-Funktion eingeführt haben: Hat man diese eingeschaltet, wird eine Erweiterung nicht sofort aktiv, sondern erst nach einem Klick. Das schützt nicht nur vor Belästigungen, sondern erhöht auch die Systemsicherheit. Da Schadsoftware häufig über Plug-Ins wie Flash oder Java eingeschleppt werden, lebt man man deutlich sicherer, wenn man diese Inhalte nur dann zulässt, wenn man wirklich an ihnen interessiert ist.

140218-java.jpg
Java: Als Kaffee nicht so lästig wie als Plug-In.

Das klingt in der Theorie gut. Aber bei meinen Tests hat sich die Funktion in den gängigen Browsern leider als nahezu unbrauchbar erwiesen:

Bei Firefox ist Click to Play standardmässig eingeschaltet – eine Option gibt es in den Einstellungen nicht. Konfigurieren lässt sich Click to Play lediglich über die versteckten Parameter, zu denen man gelangt, wenn man in die Adressleiste about:config eingibt und, nach dem Druck auf die Enter-Taste bestätigt, dass man vorsichtig sein wird. Die Konfigurationseinstellung, die Click to Play steuert, heisst plugins.click_to_play. Per Doppelklick stellt man von true auf false um und umgekehrt.

Click to play äussert sich bei Firefox, indem im Bereich des Plug-Ins eine dunkelgraue Fläche mit einem Legostein erscheint, auf der man über den Link [Plug-In-Name] aktivieren die Ausführung einschaltet. Klickt man darauf, erscheint eine Sprechblase, die die Optionen Diesmal erlauben und Erlauben und Entscheidung merken anbietet. Die erste Option lässt die Ausführung des Plug-Ins einmalig zu, die zweite dauerhaft. (Mehr Infos in der Hilfe.)

Firefox’ Click to Play-Implementation hat meines Erachtens einige Schwächen, nämlich:

  • Es braucht zwei Klicks, um einen Inhalt einzuschalten. Meines Erachtens sollte schon beim ersten Schritt die Auswahl angeboten werden, das Plug-In einmalig auszuführen oder auf der fraglichen Website dauerhaft zu aktivieren. Bei Java erfolgt dann u.U. nochmals eine Warnung, die ihrerseits von der Java-Maschine ausgegeben wird. Da wird die Sicherheit dann so langsam lästig.
  • Es gibt Click to Play nicht für Flash. Im Blog heisst es zur Begründung: «Flash-Inhalte sind weit verbreitet im Web. Es gibt viele Sites mit versteckten Flash-Instanzen, die der User nicht sieht und entsprechend nicht anklicken kann. Deshalb wäre es verwirrend für die Nutzer, wenn Flash Click to Play verwenden würde.» Click to Play erscheint entsprechend nur dann, wenn der Flash-Player veraltet ist. Mir leuchtet zwar die Begründung ein, aber ich würde mir trotzdem die Möglichkeit wünschen, Click to Play global oder für bestimmte Websites aktivieren zu können.
  • Es gibt offenbar keine Möglichkeit, die Click to Play-Whitelist zu bearbeiten. Das ist ärgerlich, wenn man bei einer Website versehentlich auf Erlauben und Entscheidung merken geklickt hat. Dieses Manko macht der Click-to-Play Manager wett. Nach der Installation findet man ihn im Extras-Menü. Er erlaubt es, eine einmal erteilte Click to Play-Berechtigung zurückzunehmen und Berechtigungen manuell zu erfassen. Man kann die Liste auch exportieren und importieren.

Bei Google Chrome klickt man auf das Menü (die Schaltfläche mit den drei horizontalen Strichen), wählt Einstellungen und klickt dann unten auf Erweiterte Einstellungen anzeigen. Im Abschnitt Datenschutz betätigt man Inhaltseinstellungen. Hier gibt es den Abschnitt Plug-ins (nicht zu verwechseln mit «Plug-In-Zugriff ohne Sandbox»), bei dem man die Option Click-to-Play einschaltet. Über die Schaltfläche Ausnahmen verwalten bestimmt man pro Website, ob Plug-ins zugelassen oder blockiert werden oder ob der Browser jeweils nachfragt.

140217-clicktopla.jpg
Hier zu klicken, bringt nur wenig – das ist nämlich nur ein Screenshot.

Chrome blockiert nun auch Flash. Doch auch die Google-Lösung scheint mir verbesserungsfähig. Ein wirklich eklatanter Nachteil ist, dass man eine Adresse nur über den Konfigurationsdialog der weissen Liste hinzufügen kann. Das ist so umständlich, dass man die Click to Play-Funktion dann doch nicht nutzt. Es bräuchte natürlich die Möglichkeit, das Plug-In direkt auf der Seite dauerhaft freizuschalten.

Safari stellt unter Safari > Einstellungen im Reiter Sicherheit die Option Plug-Ins erlauben zur Verfügung. Über die Schaltfläche Weitere Einstellungen verwalten kann man die installierten Plug-Ins pro Website konfigurieren. Das klingt viel versprechend, aber auch bei Apple braucht es zu viele Klicks, um ein Plug-In für eine Website dauerhaft freizuschalten. Immerhin kann man bei Safari einigermassen vernünftig den Blacklisting-Weg begehen: Man erlaubt Flash grundsätzlich und trägt Sites, die sich durch besonders nervigen Flash-Einsatz auszeichnen, mit der Option Unterdrücken (oder Fragen) in die Liste ein.

140218-click-to-play-safari.jpg
Schwarz- oder Weisslisten: Beides ist in Safari möglich.

Ach ja, noch ein Extra-Tipp: Wer seine Click to Play-Einstellungen optimiert, sollte vorab prüfen, ob die Erweiterung eines Drittherstellers zum gleichen Zweck aktiv ist. Ich spreche aus Erfahrung: Ich habe in Safari sicher zwanzig Minuten herumgepröbelt, weil die Option zur standardmässigen Freischaltung von Flash-Elementen einfach nicht funktionieren wollte. Irgendwann ist mir aufgegangen, dass ich vor Urzeiten eine entsprechende Erweiterung installiert hatte, die mir unabhängig von der Safari-Konfiguration einen Klick abverlangte. Ein typischer Fall von Selbstaustricksung, könnte man sagen…

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

Kommentar verfassen