Vorbemerkung: Dieser Beitrag ist eine Replik auf den Teil der Diskussion in einem anderen Thread etwa ab hier. Dieser Thread zeichnet sich dadurch aus, daß er sich mit mindestens 3 verschiedenen Themen befaßt und die Übersichtlichkeit massiv verloren geht; sollte jemand auf die Idee, kommen, darin noch weitere Themen anzusprechen, wird das Chaos noch übersichtlicher. Deswegen habe ich mich entschlossen, meinen Beitrag in einem neuen Thread (und im passenden Unterforum) zu plazieren. Ohne die Kenntnis der Beiträge zu dem verlinkten Thread werden die hier vorgetragenen Argumentationen allerdings nicht verständlich werden.
Es ist immer wieder interessant zu beobachten, daß die Argumentation derjenigen, die sich gegen Sicherheitskonzepte / Strategien / Software aussprechen immer wieder nach dem gleichen Schema ablaufen:
A - ist viel zu unkomfortabel
B - ist nicht praxisgerecht
C - bringt sowieso nichts
D - ist viel zu kompliziert (wurde in diesem Fall aber (noch) nicht vorgetragen, entfällt deswegen erst einmal)
Interessant ist auch immer wieder zu beobachten, daß Leute, die solche Argumente vortragen, die betreffende Software / Einstellungen etc. nach eigenem Bekunden gar nicht einsetzen. Mag sein, daß sie es mal ausprobiert haben, aber aktuelle und vermutlich langzeitige Erfahrungen haben sie nach eigenem Bekunden gar nicht - und man merkt es ihrer Argumentation auch bald an. Sie reden also über etwas, was sie nicht wirklich kennen.
Das läßt sich beobachten, egal um welches Sicherheitsthema es sich handelt. Ob es um die Verwendung eingeschränkter Rechte geht oder wie in diesem Fall um NoScript (im folgenden mit NS abgekürzt).
A - begegnet uns hier in der Aussage, daß NS mehr Nachteile als Vorteile biete und es heißt weiter, daß die Benutzbarkeit eines Produkts nicht durch den Sicherheitsaufwand einsgechränkt werden darf, was selbstverständlich primär im Komfort begründet liege. Da steht nicht etwa, daß die Einschränkung über ein bestimmtes Maß nicht hinweggehen dürfe, so wie es dort geschrieben steht steht dort gar keine Einschränkung. Nun wundert mich das nicht, da derselbe vor 2 Wochen ebenfalls verkündete:
Zitat von Sören HentzschelDas Leben ist zu kurz um USB-Sticks abzumelden.
Er schrieb auch dort nicht etwa von seinem Leben, sondern generalisierte es gleich für das Leben schlechthin. Nun, wenn die eigenen Komfortansprüche so hoch gehen, dann erwarte ich aus dieser Quelle logischerweise auch nichts Sicherheit-relevantes zu erfahren. Denn Sicherheit und Komfort sind nun mal 2 Dinge, die sich nur schwierig unter einen gemeinsamen Hut bringen lassen.
Sicherheit und Komfort lassen sich aber sehr wohl durch sachgerechte Kompromisse miteinander vereinen. Und tatsächlich gibt es in NS eine - allerdings nicht empfohlene - Einstellung, mit der der Komfort mit NS mit dem von NS-losen Profilen nahezu ebenbürtig ist: Das temporäre Erlauben der aktuellen Top-Level-Site. Damit mich hier keiner falsch versteht wiederhole ich: Ich (und auch der Autor von NS) empfehle diese Einstellung ausdrücklich nicht. Und diese Option löst auch nicht das Problem bei Webangeboten, die auf unterschiedlichen Domänen verteilt sind, doch für die Masse der Seiten kann man damit derselbe Komfort erzielen wie bei Benutzern, die jedes Script aus jeder ungeprüften Quelle auf ihrem Rechner munter agieren lassen, aber der Unterschied besteht darin, daß die Trittbrettfahrer-Scripte und auch solche auf der häufig übersehenen NS-Blacklist außen vor bleiben. Diese Option ist im übrigen keineswegs in den Untiefen der Einstellungen versteckt, sondern es handelt sich um die erste Option auf der ersten Seite der Einstellungen - jeder, der behauptet, NS zu kennen, muß sie also auch kennen; wer sie nicht kennt beweist, wie weit er in Sachen NS kompetent ist.
B - Hier lesen wir, daß durch eine XSS-Attacke der Schutz durch NS ausgehöhlt sei; gebe man einer attackierten Webseite die NS-Freigabe "schon haben auch NoScript-Nutzer die selben Probleme wie ohne Erweiterung" (so wörtlich). Hier beweist der NS-Kritiker, daß er nicht nur NS nicht wirklich kennt, sondern auch nicht verstanden hat. Denn NS hat einen XSS-Schutz, und natürlich betrifft er nicht die Seiten, die sowieso keine Freigabe haben, sondern eben genau die freigegebenen. Logisch, denn wenn Scripting sowieso verboten ist, dann gilt das zwangsläufig auch für Cross-Site-Scripte. Diese Aussage ist also absolut falsch und die darauf bauende Argumentation bricht in sich zusammen (oder mit seinen eigenen Worten "total ad absurdum"). Der XSS-Schutz hat auch nichts mit Vertrauen des Benutzers zu tun. Bei so viel zur Schau gestellter Unkenntnis ist es dann natürlich schon mehr als selbstbewußt, anderen mangelnde Kenntnisse über NS an den Kopf zu werfen.
C - Mit der vorgenannten Argumentation, frei von sachlichem Wissen, wird dann auch gleich erklärt: "Und das führt die ganze Idee hinter NoScript total ad absurdum". Als Beispiel muß dann die PC Welt herhalten. Nachdem Zitronella dann schrieb, daß sich die Seiten der PC Welt sehr wohl lesen lassen, ohne daß man dort Freigaben setzen müsse (etwas was ich vor kurzem in anderen Zusammenhang ebenfalls geschrieben hatte), mithin die Einrichtung von Freigaben auf dieser Seite bei vernünftigem Umgang mit NS eine ausgesprochen dumme Verwendung ist und das Beispiel für die angebliche Unverwendbarkeit von NS als Sicherheitswerkzeug nichts tauge (was mag die damalige Sicherheitschefin von Mozilla wohl bewogen haben zu sagen, daß sie NS gerne in der Kernfunktionalität von FF sehen würde), wird dann lakonisch der eigene Fehler mit der PC Welt als Argumentationshilfe damit beantwortet, daß man dann halt die PC Welt durch eine x-beliebige Seite ersetzen solle (Was kümmert mich mein Geschwätz von gestern). Dann ersetzen wir halt PC Welt durch eine x-beliebige Seite: Nach meiner Erfahrung funktionieren die meisten Seiten auch mit Scriptblockade. Natürlich gibt es Seiten, die ohne Scripting nicht funktionieren; wäre es nicht so, wäre NS in der Tat überflüssig (zumindest was die namengebende Scriptblockade betrifft, NS bietet ja nun noch einiges mehr), dann könnte man Scripting in den FF-Einstellungen einfach abschalten und gut ist. Da es aber nun einmal so ist, daß es nicht völlig ohne geht, hat NS seine Berechtigung: Nicht nur - und nicht einmal primär, weil so die Freigabe viel komfortabler ist als über den FF-Einstellungsdialog, sondern weil es in FF in Ermangelung eines Zonenmodels unmöglich ist, Scripte von der Erstanbieterseite oder auch von bestimmten Drittanbieterquellen zuzulassen, ohne Hinz und Kunz die Freiheit einzuräumen, auf Rechner des Benutzers aktive Inhalte auszuführen, die er nicht will.
Ob es nun eine Ankündigung oder eine Drohung sein soll, der Kritiker bekräftigt seinen Standpunkt schließlich mit
Zitat von Sören HentzschelDie kommende Version meines Mozilla-Blogs wird ohne Erlaubnis für JavaScript das eine oder andere Problem machen. Ich werde da definitiv keine Rücksicht auf deaktiviertes JavaScript nehmen.
(Der letzte Satz klingt eher nach Drohung.) Ich sehe nicht den Sinn des Forums darüber zu informieren, welchen Seiten ich im Laufe eines Tages keine Freigabe erteilt habe. Da aber hier diese Ankündigung öffentlich als Teil der Argumentation gegen NS publiziert wurde, mache ich es in diesem Fall öffentlich: Ich habe vor kurzem 2 ultimative Bedingungen genannt, unter den NS-Freigaben hier entschieden werden: Die Notwendigkeit und das Vertrauen. Nach der Ankündigung scheint die Bedingung 1 ja demnächst gegeben zu sein, Bedingung 2 dagegen ist nicht erfüllt.
