Eerder deze week legde Google een open source koekoeksei in Microsoft's Internet Explorer. De Chrome Frame plugin activeert zowel de WebKit- als de Javascript-engine van Chrome in Internet Explorer 6, 7, of 8.

Google is het een doorn in het oog dat de dominante browser zo traag is met Javascript en webstandaarden en hoopt met de plugin het 'moderne, snelle en open web' ook toegankelijk te maken voor IE-gebruikers. Wie bijvoorbeeld Google Wave in IE wil gebruiken, dient nu de Chrome Frame plugin te installeren.

Verdubbelt het gevaar

Microsoft is er helemaal niet blij mee en vindt de plugin gevaarlijk. "We hebben met Internet Explorer 8 enorme vooruitgang geboekt om de browser veiliger te maken voor onze klanten. Gezien de beveiligingsproblemen met plugins in het algemeen en Google Chrome in het bijzonder, verdubbelt de Google Chrome Frame plugin het aanvalsgebied voor malware en kwaadaardige code. Zo'n risico nemen zouden we onze vrienden en familie niet willen aanraden", aldus een Amerikaanse woordvoerder van Microsoft aan Webwereld.

Microsoft wijst daarbij op recente malwarecijfers van NSS Labs. Dat bedrijf heeft echter eerder rapporten geschreven over browserbeveiliging in opdracht van Microsoft. Daaruit kwam, niet geheel verrassend, de conclusie dat IE8 veruit de veiligste browser was.

Plugins riskant

Het is nog onduidelijk of het argument van Microsoft echt hout snijdt. Er zijn nog veel vragen over Chrome Frame. Het aanroepen van een complete rendering engine via een plugin is een noviteit en dat brengt wellicht risico's met zich mee.

Dat plugins in het algemeen een securityrisico zijn staat als een paal boven water. Dat is ironisch genoeg een van de redenen dat Google zelf vooralsnog geen plugins ondersteunt in zijn Chrome-browser. Een andere ironie is dat de plugin ook werkt voor IE 6 en 7, beide browsers met een beruchte track record waar het aankomt op securitylekken.

Experimenteel

Bovendien is Chrome Frame nog niet bedoeld voor de gemiddelde gebruiker, maar een experiment voor ontwikkelaars en testers. De plugin wordt geactiveerd als er aan een webpagina een metatag is toegevoegd, zoals ook de verschillende rendering modi in IE 8 zelf worden geactiveerd. Maar gebruikers kunnen Chrome Frame ook handmatig aangeroepen door vóór de url in de adresbalk "cf:" (zonder aanhalingstekens) te zetten.

Op die manier deed Computerworld de SunSpider benchmark en inderdaad, de snelheidsclaims van Google lijken niet overdreven. Javascript werd met Chrome Frame ingeschakeld 10 keer sneller verwerkt dan met een 'kale' IE8.

Dat is nog meer snelheidsverschil dan tussen IE8 en Chrome 3 zelf, zoals eerder deze week getest. Dit komt onder meer omdat de plugin de nieuwste testversie van Chrome, WebKit en V8 gebruikt.

Google heeft op zijn beurt nog niet gereageerd op het 'negatieve advies' van Microsoft.

Update:

Google is toch nog met een reactie gekomen, zij het een standaardverklaring. Een Amerikaanse woordvoerder zegt tegen eWeek: "Wij moedigen gebruikers aan om een modernere browser te gebruiken die voldoet aan webstandaarden, zoals de browsers Firefox, Safari, Opera of Google Chrome, in plaats van een plug-in, zoals Chrome Frame. Maar voor gebruikers die dat niet doen, is er Google Chrome Frame. Dat is ontworpen om een hoger prestatieniveau, krachtige security en meer keuze voor zowel ontwikkelaars als gebruikers te bieden, voor alle versies van Internet Explorer."