NoScript Optionen ausblenden und deaktivieren

BrokenHeart

milupo : Da es ja um die 68.4.1 ESR geht, steht bei ihm wohl der Eintrag xpinstall.signatures.required auf false.

sam2008 : Ich finde beide Lösungen('userContent.css' / xpi ändern) sind ganz 'üble Hacks'. Es kommt wohl auf den Anwendungsfall bei dir an. Wenn du sehr viele Installationen hast, in denen du das ändern möchtest, ist sicher die xpi Methode besser. Allerdings schreibst du was von zwei Installationen, da sehe ich dann noch keinen Sinn drin, gleich die xpi zu verändern. Und wie du geschrieben hast, ist bei einem Update wieder alles weg. Da ist das Anpassen der UUID pro Installation in der 'userContent.css' wohl die einfachste Methode...

BrokenHeart

Zitat von Sören Hentzschel

Nachtrag zum nächsten Beitrag: Ja, drei Minuten nach meinem Beitrag hast du das dazu editiert…

Ob du es glaubst oder nicht: ich habe es nicht auf Grund deines Beitrags 'dazu editiert' (ich hatte noch gar nicht gesehen, dass du geantwortet hattest), sondern weil es mir eben noch als Möglichkeit in den Sinn gekommen ist. Das ist doch immer das Problem hier im Forum, dass man etwas schreibt oder ändert und vorher oder zeitgleich Antworten dazu kommen.

Mein letzter Beitrag in diesem Thread ist auch ein gutes Beispiel: Da steht mehr oder weniger auch nur drin, was du 15 Minuten vorher geschrieben hast. Ich hatte mir aber beim Schreiben sehr viel Zeit gelassen und andere Sachen gemacht und dann erst auf 'Antworten' geklickt, ohne darauf zu achten, dass es einen neuen Beitrag dazu gibt.

Es ist absolut nicht meine Art, irgendetwas 'dazu zu editieren' um meine Argumentation oder bestimmte Aussagen nachträglich zu rechtfertigen.

Und ja, ich weiß, dass du als Admin auch die älteren Versionen der Benutzer einsehen kannst. Ich hoffe du verstehst mich aber...

PS: Ok, vielleicht habe ich deine Intention doch falsch interpretiert und du wolltest nur deinen Hinweis auf die ID und meine Antwort darauf("hatte ich schon geschrieben") zeitlich einordnen. Falls ja, dann Sorry...

Sören Hentzschel

Ich entschuldige mich, wenn mein Nachtrag vorwurfsvoll klang, das war nicht meine Absicht. Nachdem in deinem Beitrag "Ja, das hatte ich schon geschrieben" stand, sah mein Beitrag so aus, als hätte ich deinen Beitrag nicht richtig gelesen. Daher wollte ich meinen Beitrag dahingehend klarmachen, dass das noch nicht da stand, als ich es schrieb. Aber ich fand es nicht wichtig genug, um nur deswegen einen neuen Beitrag zu schreiben. Daher hatte ich mich für den nachträglich hinzugefügten Satz entschieden. Aber ich verstehe im Nachhinein betrachtet, dass mein Beitrag mit unterschiedlicher "Stimmung" gelesen werden kann. In geschriebenen Sätzen geht leider manchmal ein Stück Information verloren im Vergleich zum gesprochenen Satz.

BrokenHeart

"Alles ist gut!"

sam2008

Hallo Zusammen,

zuerst vielen Dank von alle.

@BrokenHeart,

zwei war meine Test Machinen, in real wird auf über 10000 Machinen Bereit gestellt.

@Sören Hentzschel,

ich glaube nicht dass ich Risiko habe, weil:

1- XPI Installation über Benutzer gesperrt (Benutzer darf nicht Extension installieren).

2- Benutzer (auch Admin) kann nicht meine Konfiguration sehen oder ändern (unsere Firefox wird über APP-V Bereit gestellt).

3- Ja, hast recht, bei jede NOScript Update, muss ich Änderung in Source Datei durchführen (ich finde so ist besser als das Firefox ohne NoScript Bereit gestellt wird).

Mfg

Sören Hentzschel

Zitat von sam2008

ich finde so ist besser als das Firefox ohne NoScript Bereit gestellt wird

Darüber kann man sehr stark geteilter Meinung sein. Im Endeffekt schränkst du die Benutzbarkeit von Websites damit enorm ein, für einen Mehrwert, der in keinem Verhältnis zu den Einschränkungen einsteht. Das gilt insbesondere dann, wenn du die Verwendung wesentlicher Funktionen von NoScript unterbindest, weil Nutzer dann keine Möglichkeit haben, Einschränkungen zu umgehen, falls notwendig. Selbst viele NoScript-Nutzer würden vermutlich kein NoScript nutzen, wäre das ein Alles-oder-Nichts. Klar könnte man argumentieren, dass bei deaktivierten Scripts ein Sicherheitsgewinn erzielt werden kann, der allerdings höchstens marginal ist, und auf der anderen Seite wurde die Signaturpflicht durch dich auch abgeschaltet. Insofern weiß ich nicht, ob Sicherheit wirklich das Ziel ist. Auch wenn die Benutzer selbst keine Add-ons installieren können, bleibt die grundsätzliche Problematik ja bestehen. Und das würde mich ja mehr beunruhigen als ein Browser ohne NoScript, denn kompromittierte Add-ons können einen potentiell viel größeren Schaden anrichten. Und wenn du schreibst, über 10.000 Systeme zu betreuen, würde ich die Abstriche erst recht nicht an der Sicherheits-Architektur von Firefox machen und akzeptieren, dass JavaScript im Jahr 2020 ein integraler Bestandteil der Webplattform ist. Du deaktivierst ja sicher auch nicht die Darstellung von Bildern, obwohl manipulierte Bilder auch keine so seltene Quelle für Sicherheitsprobleme sind.

BrokenHeart

Zitat von sam2008

in real wird auf über 10000 Machinen Bereit gestellt.

"10000"

Da würde sich ja rentieren die NoScript-Autoren anzuschreiben und (gegen Geld) um eine "Custom-Version" für euch zu bitten.

Sören Hentzschel

… oder einfach selbst signieren. Aber da bleibt dann immer noch das Problem, dass wenn Updates von NoScript erscheinen, jedes Mal wieder neu angepasst werden muss.

geminus

Nicht nur muss die Anpassung immer neu gemacht werden, NoScript wird sich in Zukunft enorm verändern, was die Oberfläche betrifft: Designing for Power Users: A Case Study on NoScript. Diese Umstellung ist im Moment in Arbeit.

Selber verwende ich NoScript, wo es sinnvoll ist. Für die permanente Verwendung steht der Aufwand zum potentiellen Gewinn meiner Meinung nach nicht wirklich dafür. Der Aufwand, den man betreiben muss, um Seiten zum Funktionieren zu bringen, kann einem zwar das Gefühl geben, etwas für die Sicherheit getan zu haben, aber letztendlich ist dabei die gefühlte Sicherheit weit stärker als der reale Gewinn an Sicherheit.

Dem Anwender jede Möglichkeit zu nehmen, NoScript zumindest temporär zu deaktivieren, halte ich nicht für vertretbar. Speziell bei Bestell- und Bezahlvorgängen, wo nicht von Anfang an klar ist, was zu erlauben ist und was nicht, ist das ein Horror. Ein von der Seite nicht vorgesehenes Reload durch das Erlauben einer notwendigen Domain in NoScript kann unangenehme Folgen haben.

BrokenHeart

geminus : Danke für den Link. Klingt interessant. Die jetzige Oberfläche ist - obwohl ich mich mittlerweile daran gewöhnt habe - nicht wirklich selbsterklärend und unnötigerweise umständlich zu bedienen. Für meinen Geschmack viel zu bunt und verspielt...

sam2008

jede Firma hat seine Policy und muss man beachten, und wenn Policy so sagt, muss man tun oder?

Als Info:

auf Windows gibt es Internet Explorer Zone (Internet-Zone, Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites) Registry Keys für Benutzer.

Code

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Da kann man seine Liste Zentral verwalten. Man kann mit PowerShell "Domains" lesen und in NoScript "storage.js" Datei schreiben.

Bei uns ist so, dass Benutzer nicht etwa ändern darf. Die Änderungen macht Admin und Zentral (IE Zone).

Zum Beispiel, wenn NoScript JavaScript blockiert/deaktiviert, Benutzer kann Domain Name sehen und zu Admin sagen, Admin prüft das und wenn alles Ok ist, schaltet frei (Vertrauenswürdige Sites Zone).

Wenn Mozilla ähnliche Funktion (Zone) in Firefox gebaut hatte, glaub mir, war bye bye for Google Chrome .

Mfg

sam2008

hier ist einfache Beispiel PowerShell Skript (was ich gemaint habe):

Code

$FF_Profile_Name=(Get-ItemProperty -Path "$env:appdata\Mozilla\Firefox\Profiles\*.default").Name
if (!(Test-Path "$env:appdata\Mozilla\Firefox\Profiles\$FF_Profile_Name\browser-extension-data\{73a6fe31-595d-460b-a920-fcc0f8843232}")) {
  $WhiteListFile = "$env:appdata\Mozilla\Firefox\Profiles\$FF_Profile_Name\browser-extension-data\{73a6fe31-595d-460b-a920-fcc0f8843232}\storage.js"
}
else {
  New-Item -Path "$env:appdata\Mozilla\Firefox\Profiles\$FF_Profile_Name\browser-extension-data\{73a6fe31-595d-460b-a920-fcc0f8843232}" -Name "storage.js" -ItemType File -Force
}
$s1=(Get-childItem -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\").PSChildName -join ' '
$liste = @()
$s1.Split("") | ?{$_ -ne "//system/" -and $_ -ne "blank"} | %{
    [array]$liste += '"§:' + $_ + '"' 

}
$ZoneListe=($liste) -join ','

$Update1= '{"__fallbackKeys":["sync","policy","xssUserChoices","xssWhitelist"],"local":{"debug":false,"showCtxMenuItem":true,"showCountBadge":true,"showFullAddresses":false,"storage":"local","uuid":"d2168f8f-7e3c-43f5-9929-202df71d5359"},"policy":{"DEFAULT":{"capabilities":["frame","fetch","other"],"temp":false},"TRUSTED":{"capabilities":["script","object","media","frame","font","webgl","fetch","ping","other"],"temp":false},"UNTRUSTED":{"capabilities":[],"temp":false},"sites":{"trusted":[xxxZoneListexxx],"untrusted":[],"custom":{}},"enforced":true,"autoAllowTop":false}}
'
$Update2 = $Update1.Replace("xxxZoneListexxx",$Zoneliste)

$Update2 | Out-String | %{ $_.Replace("`r`n","`n") } |out-file $WhiteListFile -Force

$MyWhitListFile=Get-Content $WhiteListFile 
$Utf8NoBomEncoding = New-Object System.Text.UTF8Encoding $False 
[System.IO.File]::WriteAllLines($WhiteListFile, $MyWhitListFile, $Utf8NoBomEncoding)

Alles anzeigen

Mfg