Hi!
Wie der Titel bereits andeutet, frage ich mich, wie sicher die Firefox-Themes sind. Können hier – ähnlich wie bei den AddOns– ebenfalls schädliche Inhalte eingebunden werden, oder sind Themes grundsätzlich anders konzipiert, sodass keine Gefahr besteht?
Vielen Dank für eure Einschätzung!
Was die Sicherheit von Browsern angeht, bin ich immer sehr vorsichtig. Für mich gehören Browser zu den gefährlichsten Tools im User Interface. Allerdings unterscheiden sich Firefox-Themes von Add-ons ganz erheblich. Statische Themes bringen keinen Code mit, der vom Browser selbst ausgeführt wird, sondern nur eine manifest.json. In dieser wird festgelegt, welche grafischen Elemente (z.B. Hintergrundbilder, Farben, Icons) verwendet werden [1]. Dazu werden die entsprechenden Bilddateien bereitgestellt. Es wird also nichts interpretiert oder ausgeführt – es gibt keine Skripte, keine Logik und keinen Zugriff auf Browserdaten. Das ist vergleichbar mit einer styles.css beim Webdesign.
Etwas anders verhält es sich bei dynamischen Themes [2], die das Aussehen des Browsers nach bestimmten Kriterien festlegen. Hier wird die Funktion theme.update() verwendet, die die Theme-API aktiv ansteuert. Da es sich faktisch um eine Browser-Erweiterung (Add-on) handeln kann, gelten dieselben Mechanismen wie für Add-ons, d. h. es kann potenziell Code, Logik, Ereignishandler etc. enthalten sein.
Offizielle Firefox-Themes (über addons.mozilla.org) dürfen laut Mozilla-Regeln jedoch keine ausführbaren Skripte enthalten, sondern lediglich deklarative Änderungen am Aussehen vornehmen. Wenn ein Theme jedoch von einer Drittquelle kommt und beispielsweise Skripte enthält oder Anpassungen im Profil vornimmt, gelten andere Sicherheitsbedingungen, da dort durchaus das Potenzial für unerwünschte oder riskante Eingriffe besteht.
[1] https://extensionworkshop.com/documentation/themes/static-themes/
[2] https://extensionworkshop.com/documentation/themes/dynamic-themes/
Vielen Dank!