No Script (XSS) Cross-Site Scripting??

  • Hallo Leute,
    vielleicht sind auch mal ganz "blöde" Fragen erlaubt!? Da mein Englisch schlicht gesagt miserabel ist, habe ich entsprechende Probleme beim Lesen diverser FAQ´s von Erweiterungen etc. - "No Script" halte ich jedoch für eine recht wichtige Erweiterung, und in letzter Zeit kamen ein paar Funktionen hinzu, die ich nicht wirklich verstehe. Es wäre sehr nett, wenn sich jemand erbarmen würde, die Funktion zum "Cross-Site Scripting - (XSS)" in "No Script" ein wenig näher zu erläutern!? Ich konnte dazu im Forum nichts finden. Dies wäre sicher auch für andere User hilfreich, die sich nicht zu den Experten zählen!?

    Nebenbei ist mir nur durch Zufall aufgefallen, dass bei der aktuellen Version: "No Script 1.1.4.8.070423" (die englische Version ist ohnehin eingedeutscht) ein zusätzlicher Button in der Statuszeile und ein weiterer Eintrag im Kontextmenü des herkömmlichen Button hinzugekommen ist:

    [Blockierte Grafik: http://img72.imageshack.us/img72/8537/noscriptschnittmarkmq1.jpg]

    ... ich hoffe, der screenshot ist einigermaßen deutlich!? Mit meinem Fox 2.0.0.3 bin ich bewusst im eingeschränkten Benutzerkonto (Win XP) unterwegs; den Fox selbst installierte ich im Adminkonto - entsprechend steht mir dort der Fox noch mit recht abgespecktem Profil zur Verfügung. Den o.a. Button (unten rechts in der Statuszeile) und den Kontextmenü-Eintrag fand ich zufällig in diesem Profil, da ich im Adminkonto nur selten den Fox starte.

    In meinem Gebrauchs-Profil im eingeschränkten Benutzerkonto des XP ist weder der Button noch der Kontextmenü-Eintrag vorhanden. Habe aber ne ganze Menge Erweiterungen installiert; es wäre also sehr mühselig, alle zu deaktivieren und nach und nach auszuprobieren ... am eingeschränkten Benutzerkonto liegt es nicht - hatte dazu zusätzlich ein Test-Profil eingerichtet, von dem ich auch den screenshot machte.

    Vielleicht ist dies ja noch jemandem aufgefallen oder jemand hat eine Idee, mit welcher Erweiterung eventuell eine Inkompatibilität auftreten kann - ein ähnliches Phänomen hatte ich bezüglich des Optionen-Menüs von FoxyTunes - das Problem trat durch ein Stylish-Script auf, und ich hatte Ewigkeiten danach gesucht, da ich dort zuletzt nachgeschaut habe - daran liegts jedoch jetzt vermutlich nicht. Wie gesagt: vielleicht hat jemand auf Anhieb einen Tipp - die Erweiterungen etc. kann ich notfalls noch immer posten.

    Danke im Voraus - Grüße doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

  • Wenn ich die FAQ richtig verstanden habe erscheint der Menüeintrag sowie der Button nur wenn die Gefahr von XSS auf einer Site in deiner Whitelist besteht, sprich wenn nicht vertrauenswürdige Seiten versuchen JavaScript-Code in eine vertrauenswürdige Seite einzufügen.

    Zum (eventuell) besseren Verständnis von XSS: Wikipedia-Link

  • Hallo Palli - Hallo Snakeeye,
    erstmal vielen Dank für die rasche Antwort! Sorry, dass ich jetzt erst schreiben kann.

    Palli: Die "No Script Versionen" sind in beiden Profilen identisch - zudem ist zusätzlich im Test-Profil (im eingeschränkten XP-Benutzerkonto) ebenfalls die aktuelle Version installiert.

    Snakeeye: Man kann es auf dem Ausschnitt des screenshots nicht sehen: es ist die Standard-Startseite von Firefox, wie auch im Profil des Admin-Kontos. Im Test-Profil ist ausschließlich No Script installiert - im Profil des Admin-Kontos lediglich noch Local Install und Update Notifier. Die Scripte sind im No Script-Standardmodus jedoch in allen Profilen - auch im Gebrauchsprofil - für die Startseite nicht erlaubt; es ist lediglich so eingestellt, dass die Info-Leiste von No Script nach 5 Sekunden verschwindet. Hab aber schon rumprobiert, ob Änderungen der Einstellungen was bringen - war aber nicht der Fall.

    In meinem Gebrauchsprofil fehlt ja der Button und der Menüeintrag - egal auf welcher Seite: sie tauchen nicht auf.

    Nun, es ist jetzt für mich schwer vorstellbar, dass beim Start der Standardstartseite - noch dazu mit einem neuen Profil - ohne Lesezeichen etc. - sozusagen nackt - vor der Gefahr von XXS, bzw. unerwünschtem Java-Script-Code gewarnt wird, zumal auch die Einstellungen bezüglich der Standardstartseite in allen drei Profilen identisch sind.

    Bist Du sicher, dass laut FAQ Menüeintrag und Button nur bei einer Warnung erscheinen? Ich habe ja die Hoffnung, dass noch andere No Script installiert haben - es müsste doch herauszufinden sein, ob auch bei den anderen der Button fehlt, wenn dies normal sein sollte - dann könnte ich mir die Sucherei bei den vielen Erweiterungen in meinem Gebrauchsprofil sparen.

    Aber trotzdem erstmal vielen Dank (auch für den Link)!
    Grüsse doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

  • Hi doubletrouble,

    ich setze auch NoScript 1.1.4.8.070423 ein. Der von dir beschriebene Button in der Statuszeile erscheint bei mir nur dann, wenn "Cross-Site Scripting" festgestellt wird; ich habe das aber erst einmal bemerkt, weiß allerdings nicht mehr, auf welchen Seiten ich zu dem Zeitpunkt war.

    Hast du mal kontrolliert, ob in den erweiterten Einstellungen von NoScript in all deinen Profilen gleiche Ausnahmen vom XSS-Schutz vorhanden sind? Bei mir sind folgende Einträge vorhanden:

    Code
    ^http://([a-z]+)\.google\.[a-z\.]+/(?:search|custom|\1)\?
    ^http://([a-z]*)\.?search\.yahoo\.com/search(?:\?|/\1\b)
    ^http://[a-z]+\.wikipedia\.org/[^"'<>\?%]+$

    Diese sind unverändert und nach der Installation von NoSript vorhanden gewesen.

    Have fun,
    NightHawk

  • Zitat von doubletrouble


    ...

    Nun, es ist jetzt für mich schwer vorstellbar, dass beim Start der Standardstartseite - noch dazu mit einem neuen Profil - ohne Lesezeichen etc. - sozusagen nackt - vor der Gefahr von XXS, bzw. unerwünschtem Java-Script-Code gewarnt wird, zumal auch die Einstellungen bezüglich der Standardstartseite in allen drei Profilen identisch sind.

    Bist Du sicher, dass laut FAQ Menüeintrag und Button nur bei einer Warnung erscheinen? Ich habe ja die Hoffnung, dass noch andere No Script installiert haben - es müsste doch herauszufinden sein, ob auch bei den anderen der Button fehlt, wenn dies normal sein sollte - dann könnte ich mir die Sucherei bei den vielen Erweiterungen in meinem Gebrauchsprofil sparen.

    Aber trotzdem erstmal vielen Dank (auch für den Link)!
    Grüsse doubletrouble

    1) Schwer vorstellbar oder nicht, wenn du die Startseite aufrufst und mal mit der Maus über dem Button schwebst, siehst du dass genau das der Fall ist. Kannst du auch in der Konsole nachlesen:

    Zitat

    [NoScript XSS] Eine verdächtige Anfrage wurde bereinigt. Original-URL [http://www.google.com/firefox?client…lla:de:official] angefordert von [http://de.start2.mozilla.com/firefox?client…lla:de:official]. Bereinigte URL: [http://www.google.com/firefox?client…3Ade%3Aofficial].

    Die Mozilla-Site versucht in diesem Fall Script-Code in die Google-Site einzubinden. In diesem Fall sicherlich harmlos, aber eben generell eine Schwachstelle.


    2) Ja, ich bin sicher... und NightHawk auch ;)

  • Vielen Dank für Eure Hilfe! :)

    Nighthawk: die Einträge in den erweiterten Einstellungen von No Script sind in allen Profilen identisch. "Seltsamerweise" verschwand der Button diesmal, nachdem ich über den Standardbutton von No Script "google.de" erlaubte - seltsam deshalb, weil ich dies zuvor schon mal versucht hatte, ohne dass dies etwas bewirkte. (Wie gesagt, das Profil im Admin-Konto benutze ich nur recht selten.)

    Snakeeye: Sorry, dies hatte mich natürlich verunsichert, zumal ich mir nicht erklären konnte, warum denn dann die Warnung in meinem Gebrauchsprofil mit gleicher Startseite nicht erschien. Jetzt vermute ich, dass es vielleicht daran lag, dass ich in meinem Gebrauchsprofil die Erlaubnis für google.de irgendwann mal rückgängig gemacht habe - in den anderen Profilen hatte ich noch nie die Erlaubnis erteilt. Dies ist zumindest der einzige Unterschied, der mir dazu einfällt.

    Ich hatte seinerzeit wegen einer anderen Schwachstelle das Ausführen von Scripten auf der Startseite unterbunden - es ging dabei um bookmarks, mit denen sich angeblich Scripte allá bookmarklets in den Browser schmuggeln lassen; Scripte, die jedoch erst durch den Aufruf der Seite ausgeführt werden, auf der man sich vor dem Speichern des entsprechend abgespeicherten manipulierten bookmarks befindet - also nicht durch das Aktivieren des bookmarks selbst. Da ich Scripte auf der Standardstartseite, in die google eingebettet ist, nicht für notwendig halte, hatte ich sie für google.de unterbunden. Ich weiß allerdings nicht, in wie weit dies etwas damit zu tun haben könnte, dass in meinem Gebrauchsprofil ohne Erlaubnis für google.de die Warnung nicht auftaucht.

    Wie gesagt: der Button verschwand jetzt in den anderen Profilen, nachdem ich google.de erlaubte.

    Da es sich, wie Du schreibst, um einen Script-Code der Mozilla-Site handelt, der sich in die Google-Site einzubinden versucht, mach ich mir da jetzt keine Sorgen - ich hatte ohnehin eher daran gedacht, irgendetwas nicht wirklich zu verstehen, was selbstredend nach wie vor der Fall ist - muss mich diesbezüglich noch etwas mehr schlau machen.

    Nochmal vielen Dank an alle! Grüße - doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)