Nach Umstieg zu FF: Nachträglicher Ärger über IE!

    Zitat von Boersenfeger

    Einspruch: Nicht unbedingt, wenn man sich mit der Erweiterung und den Einstellungsmöglichkeiten beschäftigt... Ich wehre mich gegen diese grundsätzliche Aussage... :P


    Okay, dann sage ich eben Ausnahmen bestätigen die Regel als universale Klausel für alles. ;)

    Nichtsdestominder: Du hast keine Ahnung, ob die Seite, welche du besuchst, anfällig gegenüber Cross-Site-Scripting oder derartigen Späßen ist. Das heißt, jede deiner Entscheidungen beruht auf Vertrauen. Leider zeigen selbst die allergrößten Unternehmen, dass sie immer wieder ihre Schwachstellen haben. Und wenn du diesen schon nicht vertrauen kannst, wem kannst du dann vertrauen? Das heißt, du gibst auch deine temporären Freigaben im guten Glauben an die entsprechende Webseite und bist dann genauso ungeschützt wie wenn es NoScript nicht geben würde. Es ist sogar eher unwahrscheinlich, dass dir auf einer kleinen, unbedeutenden Seite auf diese Weise Schaden hinzugefügt wird. Da ist die Wahrscheinlichkeit auf einer Seite, wo man ein Vertrauen voraussetzen möchte, möglicherweise sogar deutlich höher für einen Angriff auf dein System. Da ist es dann auch vollkommen egal, wie gut du die Einstellungen der Erweiterung kennst. Und das führt die ganze Idee hinter NoScript total ad absurdum.

    Siehe PC-Welt-Beispiel aus dem Kommentar über meinem. ;)

    aber gerade im Fall PC-Welt wäre ich nicht einmal auf die Idee gekommen etwas frei zu geben. Ich kann da Artikel lesen, Dinge herunter laden usw. ohne irgendwelche Skripte frei zu geben. Ich fühle mich in keiner Weise einschränkt durch NoScript und ich habe lediglich 10 Seiten (davon sind 4 meine eigenen) in der Positiv Liste von NoScript.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Zitat von Sören Hentzschel

    Okay, dann sage ich eben Ausnahmen bestätigen die Regel als universale Klausel für alles. ;)

    Das finde ich gut... den Stecker werde ich nicht ziehen... :P
    @ Zitronella: genauso sehe ich es auch; ich habe allerdings keine Seiten in der generellen Ausnahme (Positiv-Liste) abgelegt..

    Man kann PC-Welt ja durch jede x-beliebige Seite ersetzen, es gibt genug Webseiten, welche ohne JavaScript keinen Spaß machen und das kann auf wirklich jeder Webseite passieren. Ab dem Punkt, in welchem Vertrauen und damit der Mensch ins Spiel kommt, ist Schluss mit der Sicherheit, so einfach ist das.

    PS: Die kommende Version meines Mozilla-Blogs wird ohne Erlaubnis für JavaScript das eine oder andere Problem machen. Ich werde da definitiv keine Rücksicht auf deaktiviertes JavaScript nehmen. ;)

    Hallo Sören,

    Zitat von Sören Hentzschel


    Willst du uns eigentlich verarschen? :evil:
    ...
    Am besten den Thread einfach schließen, der verkackeiert uns doch nur...


    cool down ;) Ich möchte hier definitiv niemanden "verkackeiern" - im Gegenteil. Ich weiß ja gar nicht mehr, wie mir selbst geschieht und fühle mich selbst ein bisschen "verkackeiert", wenn man hier teilweise scheinbar Dinge verstehen soll, die wirklich nicht allgemeinverständlich erklärt wurden, und man deshalb dann als Idiot oder gar nun auch noch als böswilliger Spaßmacher hingestellt wird. Ich glaube, das könnte eventuell daran liegen, dass einigen Profis - ganz ohne bösen Willen - gar nicht mehr bewusst ist, was noch allgemeinverständlich ist und welches Vorwissen man benötigt, um ihre Aussagen nachvollziehen zu können.

    Aber zurück zur Sache: Das mit den erwähnten 6 Verbindungen pro Domain und deshalb zumindest theoretisch mehr Speed durch parallel angesprochene, verschiedene Domains habe ich verstanden. Sind also deshalb Websites wie z.B. domain.de, die ihre Daten und Scripte auf domain1.de, domain2.de, domain3.de, domain4.de usw. aufteilen, besonders User-freundlich, oder bringen diese nicht eher dem Betreiber mehr Vorteile und mehr Bequemlichkeit, und der User interessiert dabei eher weniger? Wäre mit subdomain1.domain.de, subdomain2.domain.de usw. auch mehr Speed möglich, oder gelten die 6 Verbindungen pro Hauptdomain?

    Nochmal zu NoScript, ein konkretes Beispiel, nochmal zurückkommend auf die PC-Welt-Sache aus dem anderen Thread (IFRAMEs mit Schadcode):
    User A: Kein NoScript
    User B: NoScript mit PC-Welt.de in Positivliste
    User C: NoScript ohne PC-Welt.de in Positivliste

    User C vermeidet doch, dass der Schadcode überhaupt ausgeführt wird. User B vermeidet es, solange der Schadcode nicht komplett direkt auf PC-Welt.de liegt, sondern z.B. auf schadcodeserver.ua. Bei User A dagegen wird der Schadcode ausgeführt.

    OK, wenn NoScript ein Heidenaufwand wäre, könnte man es sich überlegen. Ist es aber doch gar nicht, finde ich: Die meisten Sites, die ich besuche, besuche ich sehr regelmäßig, d.h. es sind nur selten neue Sites dabei, und die, die davon wirklich Scripting benötigen, damit sie einwandfrei funktionieren, schalte ich - sofern sie vertrauenswürdig sind, und das sind regelmäßig besuchte Sites i.d.R. - einmalig frei, d.h. wenn man einmal alle Sites besucht hat, muss man nur noch selten neue Sites ggf. temporär oder dauerhaft für Scripting freischalten.

    Wenn ich nun mal auf Google etwas suche und dazu diverse Websites anklicke, um deren Inhalt auf Relevanz zu überprüfen, laufen diese i.d.R. ohne aktiviertes Scripting (sofern sie nicht zufällig schon in meiner Positivliste stehen).

    3 Mal editiert, zuletzt von dark_rider (5. Februar 2013 um 16:56)

    Hallo Andreas,

    klar, man schaltet mit NoScript nicht das Risiko aus für Sites, denen man Scripting dauerhaft erlaubt. Aber man beschränkt das Risiko damit auf ein paar wenige Websites, und wenn man - wie oben als Beispiel angeführt - mal wieder etwas im Web recherchieren und dazu unter Umständen zig bislang unbekannte Quellen überprüfen muss, laufen die alle zunächst mal ohne Scripting. Genauso wie alle regelmäßig besuchten Sites, die auch ohne Scripting funktionieren und daher gar nicht in die Positivliste aufgenommen werden müssen (wie dieses Forum hier).

    2 Mal editiert, zuletzt von dark_rider (5. Februar 2013 um 17:51)

    Zitat von dark_rider

    denen man Scripting dauerhaft erlaubt.


    Und was ist, wenn ausgerechnet diese Seite gehackt wird!?
    Wie du siehst...es gibt keinen 100%igen Schutz im Net.
    Ich will dir oder anderen damit auf keinen Fall die Nutzung von NS mies machen etc....jeder muss das für sich entscheiden.

    Noch einmal das abstrakte Beispiel dazu: Du kannst (ohne NoScript) auf dem Weg zur Arbeit 10 Kreuzungen mit Unfallrisiko überfahren, oder (mit NoScript) nur 2, weil Du die anderen 8 Kreuzungen mit wenig Aufwand umfährst. Natürlich hast Du damit nicht null Risiko, aber nur noch 2 von 10 möglicherweise gefährlichen Situationen.

    Da in diesem Thread die Themen munter durcheinander purzeln und die Diskussion über NoScript mit dem Titel des Threads auch nicht entfernt abgedeckt ist, habe ich mich entschlossen, meine Antwort zu der hier geäußerten Kritik an NS in einen eigenen Thread zu posten.

    Kurz zusammengefaßt: Kritik greift nicht, wenn ganz offensichtlich die Kenntnis über die Erweiterung fehlt.

    Hallo Sören,

    Zitat von Sören Hentzschel

    Die Zahlen sind fiktiv, damit ist das eine Milchmädchenrechnung...
    ...
    Generell bezweifle ich, dass Sicherheit in absoluten Zahlen ausgedrückt werden kann.


    die "nur noch 2 von 10 Kreuzungen" sind fiktiv, da hast Du natürlich Recht - aber immerhin nicht absolut, sondern relativ. Aber ob es nun noch 50%, nur noch 20% oder gar nur noch 5% Risiko sind, ist doch auch nicht entscheidend. NoScript senkt das Risiko eines "Drive-by-Angriffes" durch das Besuchen einer "falschen" Website beträchtlich, macht mir nach einmaliger Installation und der erstmaligen Konfiguration aber so gut wie null Aufwand: Eine neue Website für Scripting freizugeben, das kommt, nachdem mittlerweile alle regelmäßig besuchten Sites, die überhaupt Scripting benötigen, auf der Positivliste stehen, vielleicht alle paar Tage (wenn überhaupt) mal vor.

    Zitat von Boersenfeger

    Ziel sollte sein kein Mal auf der Kreuzung angefahren zu werden... :D


    Klar, aber dazu nach den Kreuzungen hier noch ein Beispiel: Russisch Roulette. Ob ich nun in der 6er-Trommel eines Revolvers fünf oder nur eine Kugel stecken habe, ist zumindest mir nicht egal. Klar sagen die Kritiker jetzt wieder: Russisch Roulette spiele ich erst gar nicht. OK, auf das Beispiel übertragen hieße das aber ganz konkret, Scripting generell im FF abzuschalten. Das machen die NS-Kritiker aber auch nicht.

    Mensch, im Nicht-Admin-User-Thread habe ich doch auch erst Argumente dagegen gesucht. Letztlich verstehe ich aber schon den Sinn dahinter (an so einem Zugeständnis stirbt man doch nicht), auch wenn ich es aus Gründen der Praktikabilität bei der nachträglichen Einrichtung vorerst verschiebe und es mir vorerst nur für das nächste System vorgenommen habe.

    Zitat von Sören Hentzschel

    zumal du ja gar nicht bemerkst, wenn du verwundbar bist...


    Wie meinst Du das genau?

    Nehmen wir deine zwei von zehn Kreuzungen. Wenn auf einer dieser zwei Kreuzungen ein Unfall passiert, dann bekommst du davon ja normalerweise trotzdem erst einmal nichts mit. Denn im Gegensatz zu einem realen Unfall an realen Kreuzungen sind die Gefahren im Internet zumeist unsichtbar. Und das macht es schwierig, die Gefahr abzuschätzen. Genauso weißt du aus diesem Grund auch nicht, vor wieviel Gefahr dich NoScript nun überhaupt wirklich schützt. Das heißt, ob du mit NoScript nun 90% oder lediglich 0.01% sicherer unterwegs bist, kann überhaupt nicht bestimmt werden. Das meine ich damit.

    Cisco Security Report 2013

    Der diesjährige Bericht bestätigt genau das, was ich die ganze Zeit sage, nämlich dass die Sicherheit mit dem Vertrauen aufhört, ich verweise mal auf Seite 42, wo es unter anderem heißt:

    Zitat

    Online shopping sites are 21 times more likely to deliver malicious content than counterfeit software sites

    Und natürlich vertrauen wir doch Shopping-Seiten weit eher... ;)

    Nachtrag: Golem fasst das schön zusammen:

    Zitat

    "Cisco räumt zudem mit dem weitverbreiteten Vorurteil auf, dass sich Anwender nur dann Schadsoftware einfangen, wenn sie fragwürdige Seiten besuchen. Tatsächlich erfolgen die meisten Begegnungen mit Schadsoftware auf populären Webseiten, wenn die Anwender sich sicher fühlen. 18,3 Prozent der Angriffe finden über Dynamic Content & CDN direkt statt. Auf dem zweiten Platz ist mit 16,8 Prozent Werbung als Verteilung von Angriffen. Über Spielewebseiten werden 6,5 Prozent der Angriffe getätigt. Zudem ist die Wahrscheinlichkeit, sich Schadsoftware einzufangen, in einem Onlineshop mit 3,6 Prozent 21 mal höher als auf einer Webseite, die illegal Software anbietet."

    Quelle

    Was ist die logische Schlussfolgerung daraus? NoScript funktioniert nicht, sobald man damit anfängt, Ausnahmen festzulegen, auch wenn sie nur temporär sind. Wer wirklich eine so extreme Angst vor Angriffen durch aktiviertes JavaScript hat, sollte es einfach komplett und ohne Ausnahme deaktivieren, ansonsten ist man nämlich ziemlich genauso angreifbar wie ohne.

    Hallo Sören,

    so ganz stimmt das so wirklich nicht: Wie Cosmo schon sagte, gibt es ZWEI Bedingungen, unter denen der aufmerksame NoScript-User eine Seite auf die Positivliste setzt:
    1. Die Seite benötigt für den Umfang, in dem man sie benutzt, Scripting.
    2. Man vertraut den Betreibern der Site, dass die Schadsoftware abwehren.

    Oft greift Bedingung 1 schon gar nicht, d.h. viele Sites, die ich regelmäßig nutze, brauchen gar kein JavaScript oder funktionieren für meinen Bedarf auch ohne. D.h. längst nicht alle regelmäßig besuchten Sites müssen in NS freigeschaltet werden, und somit schützt NoScript auch auf diesen vor Script-initiierter Schadsoftware.

    Dein Dauerargument, dass ein Sicherheitskonzept nichts bringe, sofern es das Risiko nicht zu 100,00% ausschaltet, zieht hier nicht, denn es bringt sehr wohl einen Nutzen, ein Risiko zwar nicht zu 100%, aber vielleicht zu 50 oder 90% auszuschalten. Unser ganzes Leben funktioniert so: Denn sonst bräuchtest Du Dich auch nicht zu rasieren, denn irgendwo bleibt immer ein Stoppel stehen.

    Grundsätzlich hast Du aber insofern Recht, als dass große Websites mit vielen Besuchern und hohem Vertrauenswert für Hacker natürlich interessanter sind als unbekannte, dafür aber leichter zu knackende Sites. Das ist das gleiche Phänomen wie bei Betriebssystemen, Browsern usw.: Erst waren MacOS oder Firefox und Safari für Virenprogrammierer wenig interessant und galten daher als relativ sicher, weil sie kaum jemand benutzte. Das hat sich mittlerweile geändert.

    Du bist also der Meinung, Firefox ist als wenig sicherer Browser zu bezeichnen? Das sagst du für mich zumindest gerade mit deinem letzten Satz aus, das möchte ich jetzt aber mal ganz stark anzweifeln. Möglicherweise meinst du das aber so auch gar nicht, kann auch gut sein. Ich kenne kaum ein Unternehmen, welches so vorbildlich mit dem Thema Sicherheit umgeht wie Mozilla es tut. Natürlich gibt es keine zu 100% sichere Software, aber wenn wir von relativ sicher sprechen, trifft dies auf Firefox ganz klar zu.

    Ich streite nicht ab, dass man die eigene Sicherheit mit genannter Erweiterung marginal verbessern kann. Das war nie der Punkt in meinen Beiträgen. Die Zahlen 50 bis 90% sind natürlich vollkommener Humbug, das steht vollkommen außer Frage. Ich habe immer ausgeführt, dass die Sicherheit beim Vertrauen aufhört, also bitte nicht die Kernaussage aus ihrem Kontext reißen. Dann ist nämlich klar, wenn Aussagen nicht passen, wenn der Sinn der Aussagen dadurch verändert wird. Ich sage ganz klar, dass wenn man Webseiten auf die Ausnahmeliste setzt, kein Schutz mehr auf diesen Webseiten gegeben ist. Und die Angriffswahrscheinlichkeit ist hier wesentlich höher, außerdem kommt der Faktor dazu, dass man sich ja sicher fühlt, was in vielen Sicherheits-Konzepten der zweifelsohne größte Schwachpunkt ist. Achtung, jetzt kommt eine überspitzte Pauschalisierung, die nur stilistischen Zwecken dienst, natürlich trifft das nicht auf alle zu: Insbesondere Linux-Nutzer kennen diesen Faktor des grundsätzlichen Sicher-Fühlens. ;) Dieses ganze Verhalten mit Blockieren und dann doch wieder Ausnahmen erlauben ist inkonsequent. Wenn ich dieses Vertrauen nicht habe, dann sollte ich JavaScript komplett blockieren. Vertrauen kann man nämlich selbst der bekanntesten Webseite nicht, wie gesagt, die Gefahr ist auf den Seiten, welchen man tendenziell mehr vertraut, sogar weit mehr gegeben, gerade auf diesen Seiten bräuchte man den Schutz also umso mehr, nicht weniger. Das war meine Aussage. Das wird durch den Cisco Sicherheits-Bericht in meinen Augen auch sehr gut unterstrichen.