Nach Umstieg zu FF: Nachträglicher Ärger über IE!

  • Hallo Sören,

    ich verstehe schon sehr gut, was Du meinst (schon seit so einigen Postings), bin aber trotzdem nicht Deiner Meinung.

    Konkret zum oben gesagten:

    Zitat


    Dieses ganze Verhalten mit Blockieren und dann doch wieder Ausnahmen erlauben ist inkonsequent. Wenn ich dieses Vertrauen nicht habe, dann sollte ich JavaScript komplett blockieren.


    Dann musst Du aber die Nutzung nicht weniger Websites komplett einstellen. Ich vertraue auch nicht zu 100% darauf, dass surfen selbst ohne JavaScript immer und auf allen Websites zu 100% sicher ist - dann dürfte ich also gar nicht mehr online gehen?

    Du insistierst auf "alles oder nichts", d.h. absoluter Perfektionismus - was nicht absolut tausendprozentig ist, ist gar nichts. So funktioniert das Leben aber, wie gesagt, nicht. Noch ein Beispiel dazu: Airbags und ESP verhindern auch nicht ALLE Unfälle, aber VIELE. Nach Deiner Logik taugen sie deshalb nichts und gehören abgeschafft? Denn, um Deine Argumentation auf dieses Real-Life-Beispiel zu übertragen: Man könnte sich durch Airbag und ESP trügerischerweise zu sicher fühlen und dadurch zu unvorsichtig fahren.

    EDIT: Was mir dazu noch einfiel, was ehrlicherweise nicht unter den Tisch fallen soll: Natürlich kann man analog zur Verwendung von NoScript sagen, dass Airbag und ABS dann auch vom Fahrer auf einigen Straßen gezielt ausgeschaltet werden (so wie Scripting vom User auf einigen Seiten aktiviert wird). Immerhin so halbwegs gibt es dafür aber sogar reale Parallelen: Der Airbag auf dem Beifahrersitz wird abgeschaltet, wenn dort ein Kindersitz erkannt wird, und das ESP kann abgeschaltet werden, um sich im Schnee freizufahren. Aber deshalb muss man Airbag und ESP ja nicht gleich dauerhaft abschalten.

    Im Gegensatz zu Dir, Sören, finde ich: Etwas macht auch dann Sinn, wenn es zwar nicht zu 100,00% perfekt ist, aber trotzdem einen Nutzen hat. Nur dann, wenn etwas wirklich absolut null Nutzen hat, kann man darauf verzichten.

    Wenn ich mal den Umkehrschluss aus Deinen Aussagen ziehen darf:
    - Du nutzt den FF mit JavaScript, pauschal für alle Websites, richtig?
    - D.h. Du vertraust zu 100% darauf, dass surfen mit dem FF und JavaScript sicher ist - korrekt?

    Brauchst Du dann eigentlich noch eine Firewall und einen Virenschutz, denn die wirken ja eigentlich erst im Nachhinein, d.h. wenn es der Schadcode schon von der Website auf Deinen PC geschafft hat, und entfernen ihn dann hoffentlich wieder bzw. blockieren seine Aktivität. Aber da Du doch FF mit JS zu 100% vertraust, kann es doch eigentlich gar nicht so weit kommen? Korrigiere mich gerne.

    6 Mal editiert, zuletzt von dark_rider (8. Februar 2013 um 12:22)

  • Es mag vielleicht eine Antwort geben, wo 99,9% aller zustimmen werden: Wer 100% Sicherheit haben will, nehme die Firewall Modell Seitenschneider und plaziere sie mit kräftigem Druck zwischen sein Netzwerkkabel. Nur - die Menschheit kann auch wieder in Erdhöhlen zurück kriechen oder auf Bäumen leben, doch solche "Lösungen" sind lediglich eins: lebensfremd. Also leben wir weiter mit Computer, Internet, aber ohne Seitenschneider und somit auf einem Sicherheitslevel von weniger als 100%.

    Wenn aus dem obigen folgt, daß 100%ige Sicherheit ein Wunsch ist, der sich nicht realisieren läßt, so heißt das aber nicht, daß eine möglichst hohe Annäherung an dieses Ziel nicht erstrebenswert sei. So wie die Menschheit versucht (versuchen sollte), ihre technisches Leben mit einem Minimum an Schadstoffemissionen zu bestreiten, die meisten Autofahrer ein Auto haben wollen, daß möglichst wenig Sprit verbraucht (ohne deswegen, weil es daß 0-Liter-Auto (klassischer Verbrennungsmotor) nicht gibt, das Autofahren ganz einzustellen) und so weiter.

    Wenn es um die Sicherheit geht - und ich meine hier zunächst einmal das "wirkliche" Leben, nicht den Computer oder das Internet - wird eine anwendbare Sicherheit nicht zuletzt durch das Verteilen von Vertrauen organisiert. Kein Mensch wird sein Haus mit offenen Türen und Fenstern stehen lassen und Jeti und Kreti ungehindert Eintritt gewähren. Aber die allermeisten Menschen haben Lebenspartner, mit denen sie sehr wohl Wohnung und mehr (Geld, Wertgegenstände) teilen. Wer einen Partner hat, schenkt ihm Vertrauen und wer keine Vertrauensperson hat, ist ein sehr, sehr armer Mensch. Auch derartiges Vertrauen ist keine 100%ige Garantie, daß der Vertraute nicht - sei es von Anfang an (Heiratsbetrüger) oder im Laufe der Zeit - dieses Vertrauen mißbraucht und seine Zugänge gegen den Partner anwendet. Vertrauen ist somit eine potentielle Lücke der persönlichen Sicherheit, aber dennoch ein unverzichtbares Element gesellschaftlichen Lebens - jedenfalls zeigt die Realität, daß es nur eine verschwindende Minderheit ist, die ein Einsiedlerleben vorzieht.

    Die Realität zeigt aber auch, daß niemand, der einem oder vielleicht mehreren Menschen Vertrauen schenkt, deswegen seine Sicherheit deswegen gleich so auf den Nullpunkt setzt, daß er seine Wohnung für jedermann offen stehen läßt, sein Kontodaten oder überhaupt geschäftliche und private Angelegenheiten ohne Beschränkungen für jedermann zugänglich macht. Will sagen: Seit Jahrtausenden funktioniert das Leben so, daß Sicherheit so praktiziert wird, daß man gezielt Lücken läßt, wenn man den Lücken vertraut und nur und gerade dann glücklich ist.

    Übertragen auf die Computer-/Internet-Welt funktioniert es nicht anders, denn letztlich sind es Menschen, die das eine wie das andere verwenden. Die Schwierigkeit hier besteht allerdings darin, daß wir Vertrauen schenken müssen, ohne daß es zu einer persönlichen Beziehung gekommen wäre. Das macht die Entscheidung wesentlich problematischer, aber keineswegs entbehrlich. Andererseits, warum soll das Verwenden von Vertrauen, um bestimmte Freigaben zu machen, im PC-Bereich dazu führen, daß ich allen eine Freigabe erteile (im gegebenen Fall: JS für alle erlaube)? Warum etwas tun, was im normalen Leben kein Mensch tun würde? Die Logik ist keine. Außerdem ist JS ja nun keineswegs der Anfang und das Ende von Sicherheitsrisiken. Mit der Logik, JS generell freizugeben, wenn man es auch nur auf einer einzigen Seite freigibt, kann man dann doch gleich auf jegliches Sicherheitskonzept verzichten, wenn man JS generell erlaubt. Warum sollte ein Sicherheitskonzept, daß die Zulassung aktiver Inhalte im Browser generell erlaubt, etwas anderes sein als das schöne Gefühl der Sicherheit, die in Wirklichkeit eine dezidierte Lücke hat? - Offenkundig verhalten sich sicherheitsbewußte Menschen nicht so; sie versuchen die Sicherheitsrisiken zu minimieren (im Bewußtsein, sie nie auf Null bringen zu können), wie es dem vernünftigen Umgang entspricht. Sicherheits-Udates gehören selbstverständlich dazu, getrennte Benutzerrechte gehören dazu, nur bei JS soll das alles nicht gelten? Die Logik hat bislang noch keiner erklärt. - Wobei - da es hier ja um NS geht - nicht einfach übergangen werden darf, daß NS ja durchaus über weitere zusätzliche (und von den JS-Freigaben unabhängige) Sicherheitsfeatures beinhaltet, beim XSS-Schutz angefangen und bei einer Kontrolle über Plugin-Inhalte noch nicht aufgehört.

  • Hallo Cosmo,

    jetzt wird es ja hier im FF-Forum fast schon philosophisch ;)

    Dazu angemerkt (und ich hoffe, das wird genauso lustig-freundlich aufgefasst, wie ich es meine): Ich möchte nicht Sören's Freundin sein - wenn man da nicht 100% intelligent, 100% hübsch, 100% nett, 100% fleißig, 100% sexy und 100% finanziell unabhängig ist, wird man erst gar nicht "installiert" ;)

  • Nein, das war überhaupt nicht philosophisch gemeint (vielleicht mit Ausnahme von der Bemerkung, daß Menschen ohne Vertrauenspartner sehr arme Menschen sind). Ich habe versucht aufzuzeigen, daß die Frage des Vertrauens nichts ist, was es erst in der Computerei gegeben habe und daß die Menschheit mit dem Thema umgeht, seit sie sich zum homo sapiens entwickelt hat. Und diese Jahrtausende alten Erfahrungen braucht man nicht erst wieder neu zu erfinden oder zu definieren, so wenig wie das Rad.

    Noch einmal zum Beispiel Sicherheits-Updates, es macht es nämlich so schön deutlich: Wer sein OS oder den Browser oder was auch immer so einstellt, daß Updates automatisch installiert werden, hat ebenfalls ein Vertrauen geäußert, nämlich zum Anbieter; er hat (zumindest im Fall des OS) einen Dienst dafür installiert / aktiviert. Wer (Massenbeispiel Windows) die Updates händisch von Windows-Update installiert, muß ebenfalls Vertrauen haben, denn er läßt ja Script und ActiveX im Internet Explorer zwangsläufig zu (was dank des hier vorhandenen Zonenmodells auch wunderbar klappt, ohne darüber hinaus Tür und Tor zu öffnen). Wer der Meinung ist, jede Benutzung von Vertrauensentscheidungen ist bereits gleichbedeutend mit dem völligen Ende jeglicher Sicherheit, müßte zu dem Schluß kommen, daß man dann ja auch im IE die Sicherheitseinstellungen für die Internetzone mit sämtlichen Rechten der vertrauenswürdigen Zone (oder noch darüber) konfigurieren kann, es sei ja sowieso eine Lücke geschlagen. Da fragt man sich allerdings, warum diese Leute überhaupt ein Betriebssystem verwenden, bei denen sie nicht jede Codezeile selbst geschrieben oder zumindest gelesen und und mit der Source die Binaries selbst kompiliert haben - natürlich mit einem selbst erstellten Compiler. Einmal von der Sorte Mensch abgesehen, die die Relevanz von Sicherheitsupdates völlig in Abrede stellen oder den Paranoikern, die meinen, Sicherheitsberichte seien nur dafür da, um die Menschheit dazu zu veranlassen, Updates, die in Wirklichkeit Schad- oder Spyware seien, von MS, Apple, Mozilla & Co. zu installieren, hat wohl jeder bereits über das vergebene Vertrauen Entscheidungen getroffen, ohne damit automatisch die Sicherheit als schönen Schein abzutun.

  • Zitat von dark_rider

    Du insistierst auf "alles oder nichts", d.h. absoluter Perfektionismus - was nicht absolut tausendprozentig ist, ist gar nichts.


    Genau das habe ich ausdrücklich nicht gesagt. Lies bitte genau, was ich geschrieben habe. Aus diesem Grund werde ich auf den Rest des Beitrages auch nicht eingehen, weil er auf dieser Interpretation beruht.

  • IT-Sicherheit ist die Summe aller Sicherheitsmassnahmen. - Das heißt nichts anderes, als dass die momentan exponierteste Sicherheitslücke innerhalb des Systems, das momentan maximal erreichbare Maß an Sicherheit markiert.

    Wenn eine einzelne Sicherheitsmaßnahme (egal welche) nur einen einzigen Angriff verhindert, hat sie sich bereits im höchst erreichbaren Maß rentiert.

    Da gibt es doch gar nichts zu diskutieren. Entweder ein System ist kompromittiert oder nicht. Das ist so eindeutig wie ein Binärcode: eins/null, falsch/richtig, ja/nein, an/aus. Wird die Kompromittierung verhindert, war die getroffene Sicherheitsmaßnahme dieses eine Mal erfolgreich. Das angestrebte Ziel, also die Vermeidung einer Kompromittierung, wurde erreicht.

    Wer NoScript verwendet, und die dabei auftauchenden Komforteinschränkungen (je nach Konfiguration) für seine persönlichen Zwecke als akzeptabel erachtet, kann auf diesem Weg sein persönliches Risiko verringern. Alles andere ist irrelevant.

  • Hallo Sören,

    Zitat von Sören Hentzschel


    Genau das habe ich ausdrücklich nicht gesagt. Lies bitte genau, was ich geschrieben habe. Aus diesem Grund werde ich auf den Rest des Beitrages auch nicht eingehen, weil er auf dieser Interpretation beruht.


    ich habe es so verstanden, und auch nach erneutem Lesen verstehe ich es nicht anders. Und andere User scheinbar ebenfalls. Jetzt eingeschnappt aufzuhören und sich mit "Ihr versteht mich alle falsch" aus der Affäre zu ziehen, ist doch auch kein Diskussionsstil. Oder?

    Zitat von Docc

    ...
    Wer NoScript verwendet, und die dabei auftauchenden Komforteinschränkungen (je nach Konfiguration) für seine persönlichen Zwecke als akzeptabel erachtet, kann auf diesem Weg sein persönliches Risiko verringern. Alles andere ist irrelevant.


    Ganz genau. Wenn ein Sicherheitstool genau null komma null bringt, kann man es getrost vergessen. Sobald es aber irgendwo zwischen 1% und 99% liegt, muss man es nicht unbedingt verwenden, es zwingt einen ja niemand dazu. Man kann aber die, die es verwenden, dann nicht dahingehend kritisieren, als dass es nichts bringen würde.

    Wie schon mit Cosmo ausdiskutiert: Ich selbst verwende derzeit aus persönlichen Praktikabilitätsgründen auch noch keinen Nicht-Admin-User, sehe aber sehr wohl den Sinn dahinter und werde ihn beim nächsten System ggf. einsetzen (weil die Einrichtung dann weniger Arbeit/Stress, je nach persönlicher Situation, macht, als ihn nachträglich anzulegen). Man stirbt doch nicht daran, einzugestehen, dass Dinge, die man selbst (noch) nicht einsetzt, trotzdem Sinn machen können.

  • Zitat von dark_rider

    ich habe es so verstanden. [...] Und andere User scheinbar ebenfalls. Jetzt eingeschnappt aufzuhören und sich mit "Ihr versteht mich alle falsch" aus der Affäre zu ziehen, ist doch auch kein Diskussionsstil. Oder?


    Und wieso sollte hier irgendjemand eingeschnappt sein? Das verstehe ich nicht. Ich habe meinen Standpunkt nun bereits mehrfach erörtert. Wenn du einen ellenlangen Beitrag verfasst, welcher wieder nur auf deiner falschen Interpretation meines Beitrages beruht, dann hab ich schlicht und ergreifend keine Lust, meine Aussage noch ein weiteres mal zu wiederholen. An diesem Punkt ist es nämlich bereits keine Diskussion mehr. Dafür dürftest du mir nicht irgendwas in den Mund legen, darauf kann man kaum sachlich antworten. Zumal ich mich eh nur wiederholen würde. Wenn du wirklich nicht verstanden hast, was meine Aussage war, könntest du das ja alternativ auch einfach mal nachfragen, nur so eine Idee von mir. Und das "Ihr versteht mich alle falsch" ist schon wieder so eine Sache, die du mir einfach mal in den Mund legst und nicht im Geringsten meine Meinung widerspiegelt, das ist ehrlich gesagt ziemlich frech von dir. Ich weiß von Usern dieses Forums, die eine andere Ansicht vertreten als ich. Und ich weiß von Usern dieses Forums, die genau meine Ansicht teilen. Diese ganze Diskussion ist nicht so Schwarz-Weiß, wie du vielleicht denkst. Ich respektiere die andere Meinung. Ich respektiere aber nicht, wenn mir andere Aussagen in den Mund gelegt werden, welche ich in dieser Form nicht geäußert habe. Und da bin ich nicht eingeschnappt, weil es mich dazu erst einmal persönlich tangieren müsste, was es nicht im Geringsten tut. Ich verzichte ganz einfach darauf, ein weiteres mal das zu schreiben, was ich eh schon geschrieben habe. Und das ist wohl verständlich. Mir das zum Vorwurf machen zu wollen, ist ziemlich lächerlich.

  • Hallo Sören,

    Zitat von Sören Hentzschel

    ...Aus diesem Grund werde ich auf den Rest des Beitrages auch nicht eingehen, weil er auf dieser Interpretation beruht.


    mh, das ist also nicht eingeschnappt? Dann drückst Du Dich zumindest teilweise recht missverständlich aus, oder wir reden Deutsch und Afrikanisch.

    Zitat von Sören Hentzschel


    ... das ist ehrlich gesagt ziemlich frech von dir ... Mir das zum Vorwurf machen zu wollen, ist ziemlich lächerlich.


    Ich zumindest habe Dich nicht als "frech" oder "lächerlich" bezeichnet (wie kürzlich auch anderswo gegenüber einem anderen User), sondern bleibe - finde ich zumindest - sachlich. Bleib doch einfach locker, ich rege mich doch auch nicht auf.

    Der Kernpunkt ist doch weiter der:
    - Man kann NoScript einsetzen, muss es aber natürlich nicht.
    - Einen Sicherheitsgewinn bringt NoScript schon (und das bestreitest Du - aber sicher habe ich das auch wieder "falsch verstanden" und Du bestreitest das in Wahrheit nicht?).
    - Dagegen spricht höchstens die Bequemlichkeit, nicht aber sicherheitstechnische Argumente.

    Mal die Frage an die anderen User hier: Versteht Ihr Sören, und könnt Ihr mir vielleicht erklären, was ich bei ihm falsch verstanden haben soll (wo es doch zumindest Cosmo auch so wie ich zu verstanden haben scheint und ich damit hoffentlich nicht, ohne es zu bemerken, völlig wirr daherrede)?

  • Zugegeben, ich verstehe diesen länglichen Diskurs nicht. Das mag aber daran liegen, dass ich die vielen Episteln nicht wirklich gelesen habe.

    Der letzte gute Beitrag war …

    Zitat von Docc

    Entweder ein System ist kompromittiert oder nicht.

    Und ich mag noch eins drauflegen: "Entweder ein System ist kompromittierbar oder nicht."
    Ob es nun der Browser, eine Erweiterung oder der Anwender ist, die Betonung liegt einfach nur auf System.

  • Zitat von .Hermes

    Zugegeben, ich verstehe diesen länglichen Diskurs nicht. Das mag aber daran liegen, dass ich die vielen Episteln nicht wirklich gelesen habe.


    Das zeichnet Cosmo eben aus, aber auch ich habe die ellenlangen Beiträge nur überflogen-)

  • Ohne hier als Mediator zw. Sören und dark_rider auftreten zu wollen stelle ich folgendes fest.
    Es gibt 2 offensichtlich verhärtete Standpunkte bzgl. der Nutzung von No-resp. Javascript. Ich glaube nicht, dass es möglich ist, einen Status quo herzustellen. Jeder hat seine Meinungen, die jeder für sich auch vertreten darf.

    Die Kernaussage von Sören war, soweit ich dass aus dem Wust der Posts entnehme, das NS ein minimaler Sicherheitsgewinn ist und er die Nutzung ablehnt. Außerdem meint Sören, dass durch Ausnahmeregeln via NS die Sicherheit des Systems so weit gefährdet wird, dass die Nutzung des Addons keinen Sinn mehr macht.
    Ich stimme dem z.t. zu. Ich nutze selber auch NoScript. Anfangs ungern, da ich es lästig fand aber inzw. habe ich mich daran gewöhnt. Ich finde es gut, dass man kontrollieren kann, welche Skripts von welcher Seite ausgeführt werden dürfen und welche nicht. Ich denke es stimmt, dass wenn man eine Seite generell erlaubt (also auf die Positvliste setzt), dann ist der Sicherheitsgewinn = Null, da heutzutage Drive-by-Angriffe per SQL-Injection auch auf vertrauenswürdigen Sites recht beliebt sind.
    Anmerken möchte ich noch, dass ich bisher auch von allen möglichen Seiten her höre, dass man (neben den üblichen Sicherheitsmaßnahmen) FF i.V.m. Adblock Plus und NoScript nutzen soll, um maximale Surfsicherheit zu haben.

    PS: Diverse Posts gehen teilweise beinahe ins metaphysische, so das es schwer ist, die Kernaussagen zu finden. :roll:

  • Hallo Hermes,

    Zitat von .Hermes

    Du hast ja alle Freiheitsgrade, mit einem Wechsel des System löst sich der ganze Thread in Wohlgefallen auf.


    das verstehe wer will, ich jedenfalls nicht. Manche Leute haben scheinbar die Gabe, sich un- oder missverständlich auszudrücken und dann den Lesern noch nahezulegen, sie seien zu simpel gestrickt, um das dann zu verstehen?

    Darklord:

    Zitat von Darklord666

    Jeder hat seine Meinungen, die jeder für sich auch vertreten darf.


    Auch, wenn sie unlogisch ist?

    Zitat von Darklord666

    Die Kernaussage von Sören war, soweit ich dass aus dem Wust der Posts entnehme, das NS ein minimaler Sicherheitsgewinn ist und er die Nutzung ablehnt.


    So, wie er argumentiert, kommt es zumindest bei mir so an, als wenn er gar keinen Sicherheitsgewinn sieht.

    Zitat von Darklord666

    Außerdem meint Sören, dass durch Ausnahmeregeln via NS die Sicherheit des Systems so weit gefährdet wird, dass die Nutzung des Addons keinen Sinn mehr macht.


    Das träfe aber nur dann zu, wenn man...
    a) NoScript so einstellte, dass Scripte generell alle erlaubt sind (aber dann bräuchte man es gar nicht).
    b) alle besuchten Websites auf die Positivliste setzen würde (aber dann bräuchte man NS auch nicht).

    Zitat von Darklord666

    Ich denke es stimmt, dass wenn man eine Seite generell erlaubt (also auf die Positvliste setzt), dann ist der Sicherheitsgewinn = Null, da heutzutage Drive-by-Angriffe per SQL-Injection auch auf vertrauenswürdigen Sites recht beliebt sind.


    Diese Aussage trifft aber nur auf den Sicherheitsgewinn bei der Nutzung einer einzelnen Site bezogen zu, nicht aber auf den gesamten Traffic.

    Zitat von Darklord666


    Anmerken möchte ich noch, dass ich bisher auch von allen möglichen Seiten her höre, dass man (neben den üblichen Sicherheitsmaßnahmen) FF i.V.m. Adblock Plus und NoScript nutzen soll, um maximale Surfsicherheit zu haben.


    NoScript filtert ja auch oft schon selbst Werbung heraus, da diese nicht selten Scripte verwenden und zugleich auf externen Servern liegen. Wie macht AdBlock Plus das, ggf. mit einer öffentlichen Blacklist?

    5 Mal editiert, zuletzt von dark_rider (8. Februar 2013 um 17:57)

  • Nun gut, jetzt mit Quadratlatschen: Ich nutze ein Linux und brettere ganz entspannt durch das Internet.
    Ich würde aber niemals Reklame dafür machen, denn dafür gibt es ja die Freiheitsgrade der Anwender.

  • Zitat von dark_rider

    Mal die Frage an die anderen User hier: Versteht Ihr Sören, und könnt Ihr mir vielleicht erklären, was ich bei ihm falsch verstanden haben soll (wo es doch zumindest Cosmo auch so wie ich zu verstanden haben scheint und ich damit hoffentlich nicht, ohne es zu bemerken, völlig wirr daherrede)?

    Frag mich doch einfach selber. ;) Und Cosmo hat sowieso ein persönliches Problem mit mir. Sein anderer Thread zu diesem Thema war ja nichts als ein persönlicher Angriff ohne jegliche Sachlichkeit. ;)

    Zitat von dark_rider

    - Man kann NoScript einsetzen, muss es aber natürlich nicht.
    - Einen Sicherheitsgewinn bringt NoScript schon (und das bestreitest Du - aber sicher habe ich das auch wieder "falsch verstanden" und Du bestreitest das in Wahrheit nicht?).
    - Dagegen spricht höchstens die Bequemlichkeit, nicht aber sicherheitstechnische Argumente.

    Punkt 1: steht vollkommen außer Frage. Und wie mehrmals in diesem Thread betont, respektiere ich die gegensätzliche Meinung zum Thema. Mir ist das auch egal, ob andere NoScript nutzen, ich muss niemanden von einer anderen Meinung überzeugen, das interessiert mich nicht einmal. Mir ist nur wichtig, dass meine Aussagen ihren Sinn behalten.

    Punkt 2: Ich habe das nicht bestritten, im Gegenteil. Einen marginalen Vorteil habe ich in meinem Beitrag eingeräumt, ich meine das sogar extra fett geschrieben zu haben. Abgesehen davon, dass Sicherheit fast nicht in Zahlen auszudrücken ist, wäre es das, wären aber Zahlen von 50% mehr Sicherheit jenseits jeglicher Realität. Diese Zahlen bestreite ich. Aber wie gesagt, das sind Rechnungen, die sowieso nicht funktionieren und daher müßig zu diskutieren sind.

    Punkt 3: Dass Bequemlichkeit ein Grund gegen die Nutzung von NoScript sein kann, ist eine klare Sache. Genannte Argumente bezüglich der Sicherheit sind aber auch valide, und damit meine ich nicht Kein 100%iger Schutz = Gar kein Schutz, denn das habe ich so nicht gesagt. Die entscheidende Aussage von mir war, dass wenn du den Schutz auf einer Seite aufhebst, auf dieser Seite genauso ungeschützt bist wie ohne Erweiterung. Den Schutz hebst du auf, weil du einer Webseite vertraust. Statistiken zeigen aber, dass gerade auf den Seiten, denen du vertraust, die Wahrscheinlichkeit für eine Kompromittierung höher ist, das heißt, auf diesen Webseiten wäre der Schutz eher wichtiger als unwichtiger. Eine andere Aussage, welche in einem früheren Beitrag getroffen wurde, war die, dass es immer der Mensch ist, der den Schutz der eigenen Sicherheitskette explizit aushebelt. Und das habe ich mit der Warnung verbunden, dass zu viel Vertrauen in das eigene Sicherheits-System auch ein gefährlicher Sicherheitsfaktor sein kann. Das hat die Vergangenheit mehrfach bewiesen. In diesem Zusammenhang viel auch das Linux-Gleichnis.

    Dass ich persönlich von NoScript nichts halte und es nicht nutze, das ist meine persönliche Einstellung zum Sinn respektive Unsinn der Erweiterung. Aber diese muss man eben genauso respektieren wie ich respektiere, dass andere die Erweiterung für absolut notwendig erachten. Denn auch ich habe einiges Wissen auf diesem Gebiet und bin dazu in der Lage, mir eine Meinung zu bilden. Meine Meinung ist nicht besser, aber auch kein bisschen schlechter als andere Meinungen.

    Zitat von Darklord666

    Ohne hier als Mediator zw. Sören und dark_rider auftreten zu wollen stelle ich folgendes fest.
    Es gibt 2 offensichtlich verhärtete Standpunkte bzgl. der Nutzung von No-resp. Javascript. Ich glaube nicht, dass es möglich ist, einen Status quo herzustellen. Jeder hat seine Meinungen, die jeder für sich auch vertreten darf.


    Ganz entscheidender Punkt und das, was ich damit meinte, dass das nicht so eine Schwarz-Weiß-Sache ist. Jeder gewichtet die verschiedenen Komponenten seines persönlichen Sicherheits-Konzeptes anders und es gibt nicht die eine richtige Antwort. Und genauso verhält es sich mit NoScript. Hier muss jeder seine persönliche Entscheidung treffen. Es gibt sicher auch welche, die nur über eine VM im Internet surfen. Für mich wäre das nicht akzeptabel, aber wenn es jemand für zwingend erforderlich hält, bittesehr.

    Zitat von Darklord666

    Die Kernaussage von Sören war, soweit ich dass aus dem Wust der Posts entnehme, das NS ein minimaler Sicherheitsgewinn ist und er die Nutzung ablehnt. Außerdem meint Sören, dass durch Ausnahmeregeln via NS die Sicherheit des Systems so weit gefährdet wird, dass die Nutzung des Addons keinen Sinn mehr macht.


    Minimaler Sicherheitsgewinn mit starker Betonung auf minimal und die persönliche Ablehnung, das ist richtig verstanden. Dass ich für mich persönlich keinen Sinn in der Erweiterung sehe, würde ich mit dem wirklich nur marginalen Sicherheits-Gewinn und den damit verbundenen "Kosten" begründen, nicht unbedingt in der Ausnahmeregelung. Diese Ausnahmen machen die gesamte Maßnahme für mich einfach nur inkonsequent, insbesondere unter dem Gesichtspunkt, dass diese Vertrauensfrage grundsätzlich blind getroffen wird / werden muss. Ich bin einfach der Meinung, dass es a) keinen 100%igen Schutz gibt und b) ein sehr gutes Gesamt-Sicherheits-Konzept schon wirklich sehr, sehr gut schützen kann, so dass dieser eine Faktor praktisch gar nicht mehr ins Gewicht fällt. Besonders, da der Nutzer eben kein Wissen über die möglichen Schwachstellen auf der Webseite hat.

    Zitat von Darklord666

    Diverse Posts gehen teilweise beinahe ins metaphysische, so das es schwer ist, die Kernaussagen zu finden. :roll:


    Das ist so eine Eigenheit dieses Forums. ^^

  • Hallo Sören,

    da NoScript in Deinen Augen also nur einen marginalen Sicherheitsgewinn bringt: Könntest Du dann mal aufschlüsseln, was für Dich die Kernpunkte eines Sicherheitskonzeptes für einen PC sind, mit dem man ins Internet geht, und wie Du deren Bedeutung gewichtest?

    Zitat


    Die entscheidende Aussage von mir war, dass wenn du den Schutz auf einer Seite aufhebst, auf dieser Seite genauso ungeschützt bist wie ohne Erweiterung.


    Ich habe den für mich entscheidenden Teil Deiner Aussage oben unterstrichen: "auf dieser Seite"

    Nehmen wir dazu doch mal die Firewall: Hat auch diese nur noch einen marginalen Nutzen, wenn Du darin ein Programm, einen Port oder eine IP als Ausnahme freischaltest? Ist sie dann zwar nicht komplett (was Du ja neuerdings immerhin zugestehst), aber so gut wie wertlos?

    Mal zur Klarstellung:
    - Nehmen wir den Nutzen von NoScript ohne jeglichen Eintrag in der Positivliste (d.h. Scripting nirgendwo erlaubt) mit 100% an.
    - Wieviel Prozent bleiben von den 100 dann Deiner Meinung nach noch übrig, wenn man eine, zwei, drei, ... Ausnahmen in der Positivliste einträgt?

    D.h.
    a) ist NoScript für Dich von vorn herein fast wertlos, und ob man dann noch Ausnahmen einträgt, und wie viele, ist dann auch egal? Oder
    b) ist NS generell sinnvoll, und erst die Ausnahmen (davon aber schon eine einzige) machen es quasi wertlos?

    Wenn man - als unrealistisches Beispiel - immer nur ein und dieselbe Website besucht, und niemals eine andere, und diese auf die NS-Positivliste setzt - klar, dann bringt NS gar nichts. Wenn man aber im Laufe einer durchschnittlichen Woche 100 verschiedene Websites besucht, und davon 5 auf der Positvliste stehen, dann bewirkt NS immerhin, dass das Risiko eines Schadcodes per Scripting auf den restlichen 95 Sites eliminiert ist. Nur noch 5 von 100 - ist das "marginal"?

    Ich sehe es so, dass es hier eben nicht um eine Meinung, sondern um ein grundlegendes Fehlverständnis in Sachen Statistik und Wahrscheinlichkeit geht. 5 von 100 sind 5% - da gibt es keine "Meinungen".