The Browser Extension Ecosystem
Zusammenfassung
Der Browser war das Tor zum Web — aber wessen Browser? Die Geschichte des Extension-Ökosystems ist die Geschichte eines Machtkampfes: Nutzer, die das Web nach ihren Vorstellungen formen wollten; Entwickler, die Funktionen einbauten, die Browser-Hersteller nie liefern würden; und schließlich Unternehmen, die erkannten, dass ein installiertes Extension mit Millionen Nutzern ein mächtiges Werkzeug ist — für Gutes wie für Böses.
Greasemonkey: Der Nutzer als Entwickler
2005 veröffentlichte Aaron Boodman Greasemonkey, eine Firefox-Extension, die eine simple Idee hatte: Nutzer sollten JavaScript-Skripte auf beliebige Webseiten anwenden können, nachdem die Seite geladen war.
Das klingt technisch. Die Implikation war radikal: Das Web war nicht mehr das, was ein Server auslieferte. Es war das, was der Nutzer daraus machte.
Userscripts schossen aus dem Boden. Jemand schrieb ein Skript, das Amazons Preise mit denen bei eBay verglich. Jemand anderes baute Keyboard-Shortcuts für Gmail, bevor Google sie einbaute. YouTube bekam Download-Buttons. Reddit bekam Inline-Bildvorschau. Facebook bekam einen Chronologiefeed, lange bevor Facebook selbst einen anbot.
Das Userscripts-Ökosystem zeigte etwas Wichtiges: Nutzer hatten konkrete Vorstellungen davon, wie das Web funktionieren sollte — und die Fähigkeit, diese Vorstellungen selbst umzusetzen. Greasemonkey.org (später UserScripts.org, heute Greasy Fork) wurde zum kollektiven Gedächtnis dieser Erweiterungen.
Mozilla integrierte das Konzept 2010 mit der Add-ons API tiefer in Firefox. Greasemonkey war Proof of Concept. Was folgte, war eine Industrie.
AdBlock: Der erste Massenprotest
2006 schrieb Henrik Aasted Sørensen AdBlock für Firefox. Die Idee: Werbeanzeigen vor dem Laden blockieren — nicht nach dem Laden ausblenden, sondern Netzwerkanfragen zu Werbeservern gar nicht erst abschicken.
Die Zahlen wurden schnell unkomfortabel für die Werbebranche. Dutzende Millionen Installationen. Dann hunderte Millionen. 2015 schätzte PageFair, dass 198 Millionen Nutzer weltweit einen Adblocker nutzten — 41% mehr als im Vorjahr.
AdBlock Plus (Wladimir Palant, 2006) dominierte den Markt früh — und monetarisierte ihn dann: Das “Acceptable Ads”-Programm erlaubte Werbetreibenden, gegen Zahlung auf eine Whitelist zu kommen. Für Kritiker war das Schutzgeld in Extension-Form. Für Palant war es ein Kompromiss zwischen Nutzerbedürfnis und Publisher-Überleben.
uBlock Origin (Raymond Hill, 2014) positionierte sich als Reaktion: kein Acceptable-Ads-Programm, keine Monetarisierung, reines Blockieren mit minimalen Systemressourcen. uBlock Origin wurde zur bevorzugten Wahl technisch versierter Nutzer und Datenschutz-Advokaten.
Die Werbebranche reagierte mit Gegenmitteln: Anti-Adblocker-Skripte, Paywalls hinter Adblocker-Detektoren, Erstparteiwerbung, die Extensions nicht erkennen konnten. Der Rüstungswettlauf läuft bis heute.
Warnung
Das Macht-Paradox der Extension-Plattform:
Extensions, die legitim Werbung blockieren, nutzen dieselben API-Zugriffsrechte wie Extensions, die Passwörter stehlen. Der Browser-Hersteller gibt Extensions privilegierten Zugriff auf alle Seitenladevorgänge, alle Formulardaten, alle Netzwerkanfragen. Das ist notwendig für nützliche Extensions — und genau das macht bösartige Extensions so gefährlich.
Eine legitime AdBlock-Extension und ein Credential-Stealer sind aus API-Perspektive identisch: beide hören Netzwerkanfragen ab, beide können Seiteninhalt modifizieren. Der Unterschied liegt in der Absicht des Entwicklers — und die ist für den Browser nicht erkennbar.
Chrome und die Zentralisierung
Googles Chrome (2008) startete ohne Extension-Support. Das änderte sich 2010 mit dem Chrome Web Store — zentralisiert, kuratiert, mit Googles Review-Prozess.
Die Zentralisierung hatte Vorteile: Qualitätskontrolle, automatische Updates, einfache Installation. Sie hatte auch Risiken, die sich erst später zeigten.
Chrome wuchs zur dominanten Browser-Engine. Das Chrome-Extension-Ökosystem wuchs mit. 2023 gab es über 190.000 Extensions im Chrome Web Store.
Mit Marktmacht kam Missbrauchspotenzial. Malware-Extensions wurden ein systematisches Problem:
- Extensions, die nach Übernahme durch neue Eigentümer Malware-Updates ausrollten
- Extensions, die Affiliate-Links in alle E-Commerce-Seiten injizierten
- Extensions, die Browsing-Daten an Datenhändler verkauften — legal, weil die Datenschutzrichtlinie dies erlaubte
- Supply-Chain-Angriffe: Entwickler wurden mit gefälschten Übernahmeangeboten kontaktiert; nach dem Verkauf rollten neue Eigentümer bösartige Updates aus
Google reagierte mit manuellen Reviews, automatischer Erkennung, und wiederholten Räumaktionen im Web Store. Der Grundkonflikt blieb: Jede Extension mit Millionen Nutzern ist ein wertvolles Angriffsziel.
Manifest V3: Der Konflikt um Extension-Macht
2018 kündigte Google Manifest V3 (MV3) an — eine neue Extension-API, die in Chrome 2023 verpflichtend wurde. Die technische Änderung: das webRequestBlocking-API, das Extensions ermöglichte, Netzwerkanfragen in Echtzeit zu blockieren, wurde durch declarativeNetRequest ersetzt.
declarativeNetRequest ist regelbasiert: Extensions definieren vorab Regeln, welche Anfragen blockiert werden sollen. Der Browser wendet die Regeln an, ohne dass Extension-Code bei jeder Anfrage ausgeführt wird.
Googles Argument: Sicherheit und Performance. Extensions, die bei jeder Netzwerkanfrage Code ausführen, können Browser verlangsamen und haben tiefen Zugriff auf alle Kommunikation.
Das Gegenargument der Adblocker-Community: declarativeNetRequest begrenzt die maximale Regelanzahl (zunächst 30.000 statische, 5.000 dynamische Regeln) und verhindert dynamische, kontextabhängige Blockierungsentscheidungen. uBlock Origins fortgeschrittene Funktionalität — Kosmetik-Filter, Skript-Injektion, dynamisches Filtering — wurde unter MV3 eingeschränkt.
Raymond Hill (uBlock Origin) veröffentlichte uBlock Origin Lite als MV3-Version — funktional eingeschränkt, ohne alle Features des Originals.
Mozilla übernahm MV3 im Kern, behielt aber webRequestBlocking als optionales API. Firefox blieb damit mächtiger für Extension-Entwickler — was Mozilla als Differenzierungsmerkmal kommunizierte.
Der Verdacht vieler Beobachter: MV3 war keine reine Sicherheitsentscheidung. Google ist der weltgrößte Werbeanbieter. Extensions, die Werbung blockieren, kosten Google Einnahmen. MV3 schwächt Adblocker. Ob das Absicht war, ist nicht beweisbar — aber die Interessenlage ist evident.
Dead End: Firefox XUL Extensions
Info
Mozillas mächtiges Extension-Modell — und warum es sterben musste:
Firefoxs ursprüngliche Extension-Architektur basierte auf XUL (XML User Interface Language) und gab Extensions tiefen Zugriff auf Firefox-Interna. Das war mächtig: Extensions konnten die Firefox-Oberfläche vollständig umbauen, auf interne APIs zugreifen, mit dem Betriebssystem interagieren.
Der Preis: Jede Firefox-Hauptversion konnte Extensions brechen. Updates erforderten Extension-Anpassungen. Entwickler mussten die Firefox-Interna kennen — nicht nur Standard-Web-APIs. Das begrenzte den Entwickler-Pool drastisch.
2017 wechselte Firefox mit Version 57 (“Quantum”) zur WebExtensions API — dieselbe Grundlage wie Chrome. Über Nacht wurden tausende XUL-Extensions inkompatibel. Entwickler, die ihre Werkzeuge nicht portierten, verloren ihre Nutzerbasis. Nutzer, die auf XUL-Extensions angewiesen waren, verloren ihre Werkzeuge.
Der Wechsel war notwendig: Firefox Quantum war dramatisch schneller, und die WebExtensions-Kompatibilität erleichterte Port von Chrome-Extensions. Aber der Übergang zerstörte ein lebendiges Ökosystem hochspezialisierter Tools, die für Firefox-Spezifika geschrieben worden waren und keine WebExtensions-Entsprechung hatten.
Vermächtnis
Extensions veränderten das Web auf eine Weise, die Browser-Hersteller nicht beabsichtigt hatten. Sie zeigten, dass das Web keine finale Form hat — es ist ein Medium, das jeder Nutzer mitgestalten kann.
AdBlocker haben das Werbefinanzierungsmodell des Internets fundamental herausgefordert. Userscripts haben gezeigt, dass Nutzer bessere Produktentscheidungen treffen als Produktteams, wenn man sie lässt. Passwortmanager als Extensions haben Sicherheitsmuster verbreitet, die ohne Extensions Randphänomene geblieben wären.
Das ungelöste Grundproblem bleibt: Ein Ökosystem, das mächtig genug ist, nützlich zu sein, ist mächtig genug, um gefährlich zu sein. Der Browser ist das Fenster zum gesamten digitalen Leben. Wer das Fenster kontrolliert — Nutzer, Entwickler, Browser-Hersteller, oder Angreifer — ist die zentrale Machtfrage des modernen Webs.
📚 Sources
- Greasemonkey — Aaron Boodman’s original announcement (2005)
- PageFair & Adobe: The Cost of Ad Blocking (2015)
- uBlock Origin — GitHub Repository
- Google: Manifest V3 Migration Guide
- Raymond Hill on MV3 limitations (GitHub Issues)
- WebExtensions — Wikipedia
- WIRED: The Malware-Extension Problem in Chrome (2019)