hi,
es sei mir verziehen, aber ich bin sehr intensiv im welt-wwech unterwegs,
hatte vorher JesScript, jetzt NoScrept. macht für mich (fast) keinen unterschied, mache ich was falsch? oder ist brain.exe immer rechtzeitig angesprungen?
shadow
hi,
es sei mir verziehen, aber ich bin sehr intensiv im welt-wwech unterwegs,
hatte vorher JesScript, jetzt NoScrept. macht für mich (fast) keinen unterschied, mache ich was falsch? oder ist brain.exe immer rechtzeitig angesprungen?
shadow
NoScript verwaltet eine Whitelist: JavaScript ist generell erstmal verboten, außer für ausdrücklich freigegebene Seiten.
YesScript verwaltet dagegen eine Blacklist: JavaScript ist überall erlaubt außer auf explizit gesperrten Seiten.
Außerdem hat NoScript ein paar mehr Funktionen, zum Beispiel verhindert es spezielle Cross-Site-Techniken und das unsägliche <a ping>. Ich finde, dass sich beide Erweiterungen schon ziemlich unterscheiden. Zumindest in der Anfangszeit muss man bei NoScript ständig erwünschte Seiten freigeben. Nach einiger Zeit, wenn man alle regelmäßig besuchten Seiten in seiner Whitelist hat, macht sich die Erweiterung natürlich kaum noch bemerkbar und der Unterschied zu YesScript (von dem man auch nichts bemerkt, weil es ja nichts blockiert) wird wesentlich geringer.
Das Problem bei YesScript ist: Wenn du erst einmal auf einer Seite landest, die einen JavaScript-Exploit ausnutzt, dann hilft dir diese Erweiterung nicht - schließlich ist mit ihr JavaScript auf unbekannten Seiten erstmal erlaubt. Allerdings wird auch oft kritisiert, dass NoScript etwas übertrieben ist, schließlich gibt es ja derzeit gar keine ausnutzbare JavaScript-Lücke. Hier ist es eben wieder mal die Frage, wieviel Komfort man zugunsten der Sicherheit aufgeben will.
Gegenüber BRAIN.EXE sind beide Erweiterungen sowieso unterlegen. Außer man benutzt sie nicht nur zur Sicherheit, sondern auch, um diese billigen Grafikspielchen auf allzu "coolen" Seiten zu unterdrücken.
ZitatDas Problem bei YesScript ist: Wenn du erst einmal auf einer Seite landest, die einen JavaScript-Exploit ausnutzt, dann hilft dir diese Erweiterung nicht -
du hast schon recht, aber ich klicke nicht auf jeden link = brain.exe
außerdem bin ich schneller auf YS klicken als jdes malware script laden kann =R"L tested (ok, da schwante schon mir nichts gutes)
danke für deine antwort, das prinzip war mir auch klar, hatte nur gehöhrt das whitelisting äh unpraktisch sein soll.
sprich bei jeder "spannenden" seite, einen re-load durchführen zu müssen, wäre auch etwas unpraktisch.
wie dem auch sei, soweit, ist NS für mich nicht weiter störend, was ich ja cool finde.
lg
shadow
Zitat von PIGSgrameAllerdings wird auch oft kritisiert, dass NoScript etwas übertrieben ist, schließlich gibt es ja derzeit gar keine ausnutzbare JavaScript-Lücke.
das ist zwar (soweit ich das verstanden habe) keine normale js-lücke, aber noscript hilft angeblich trotzdem dagegen. außerdem gibts ja immer wieder lücken die mit noscript entschärft werden können.
ich verwende noscript übrigens trotzdem nicht, ist mir doch irgendwie zu umständlich. ich geh immer davon aus dass mich brain.exe zumindest so lang schützt, bis die lücke gestopft wurde.
Und was hilft einem Brain.exe, wenn über IFrames auf regulären ("gehackten") Seiten Exploits ausprobiert werden? Oder verwendet ihr Brain.exe so, dass ihr euch erstmal den Code bspw. über wget holt und ihn in der Hinsicht untersucht?
Und zum Verständnis:
NoScript verwaltet das ganze über Domains! Es muss nicht jede einzelne Seite freigeschaltet werden. Und ein lächerlicher Reload, der für die Zukunft ausreicht, kann wohl keinen wirklich stören.
Zudem sehe ich das persönlich als ein Qualitätsmerkmal, wenn eine Seite ohne JS auskommt (von sinnvollem Einsatz einmal abgesehen)
Zitat von boardraiderUnd was hilft einem Brain.exe, wenn über IFrames auf regulären ("gehackten") Seiten Exploits ausprobiert werden?
Klar, dass man mit NoScript prinzipiell sicherer unterwegs ist, wurde ja schon erwähnt. Allerdings gibt es derzeit keinen Exploit, der sich über IFrames gehacker Seiten ausnutzen ließe. Ob man also auf Verdacht hin eine Erweiterung betreiben will, bei der man jede neue Domain freigeben muss, muss jeder selbst wissen. Unvernünftig oder sinnlos ist es in jedem Fall nicht und es bleiben einem oft auch billige Spielereien erspart.
Zitat von boardraiderZudem sehe ich das persönlich als ein Qualitätsmerkmal, wenn eine Seite ohne JS auskommt
Da stimme ich allerdings vollkommen zu - wenn ich sehe, wie Seiten manchmal künstlich "verjavascriptet" werden und dann lahme "Rechtsklickverhinderer oder HTML-freie Links einsetzen, wird mir übel.
Es gab schon mal einen Thread über No Script, in dem Gegner und Befürworter der Erweiterung ihre Meinungen gepostet haben.
Vielleicht wäre es für diesen und jenen mal interessant, etwas in diesem Thread zu schmökern?
Zitat von PIGSgrameAllerdings gibt es derzeit keinen Exploit, der sich über IFrames gehacker Seiten ausnutzen ließe.
Der Quicktime-Bug ist noch nicht offiziell gefixt und nicht jeder bekommt das mit und nicht jeder setzt die Workarounds in der Zwischenzeit um. Und wie oft tauchen hier noch Leute auf mit hoffnungslos veralteten Versionen des Fx. Zudem kann es jeder Zeit neue (öffentliche oder nicht öffentliche) Exploits geben, ein proaktiver Schutz hilft dort.
ZitatOb man also auf Verdacht hin eine Erweiterung betreiben will, bei der man jede neue Domain freigeben muss, muss jeder selbst wissen.
Damit hast du recht, das muss jeder selbst entscheiden. Allerdings muss man ja nicht jede Domain freigeben. Die paar, die man regelmäßig besucht und JS benötigen... mich persönlich haben die paar Klicks bisher noch nie gestört.
Zitat von boardraiderNoScript verwaltet das ganze über Domains! Es muss nicht jede einzelne Seite freigeschaltet werden. Und ein lächerlicher Reload, der für die Zukunft ausreicht, kann wohl keinen wirklich stören.
Wenn aber nun eine böse eine Site vermeintlich die Inhalte, die du gerade suchst, beinhaltet und nur ohne JavaScript funktioniert, wirst du sie (evtl. temporär, aber das ist dann auch schon egal) Whitelisten. Und damit ist das ganze ach so tolle Sicherheitskonzept von NoScript ausgehebelt.
ZitatZudem sehe ich das persönlich als ein Qualitätsmerkmal, wenn eine Seite ohne JS auskommt (von sinnvollem Einsatz einmal abgesehen)
Ist es auch. Aber das Web besteht leider trotzdem zu 99% aus Seiten minderer Qualität.
Zitat von Dr. EvilWenn aber nun eine böse eine Site vermeintlich die Inhalte, die du gerade suchst, beinhaltet und nur ohne JavaScript funktioniert, wirst du sie (evtl. temporär, aber das ist dann auch schon egal) Whitelisten. Und damit ist das ganze ach so tolle Sicherheitskonzept von NoScript ausgehebelt.
Ich nehme an, dass du schreiben wolltest:
Zitatund nur mit JavaScript funktioniert
In dem Sinne: Dass ein gewisses "Restrisiko" bleibt, lässt sich nicht ändern. Damit hast du natürlich vollkommen recht. Aber wann lässt sich dieses Restrisiko schon ausschließen? Solange man mit dem "whitelisten" einigermaßen vernünftig umgeht, sehe ich mit NoScript ein Sicherheitsplus und das halte ich für ausreichend groß, um den Aufwand auf mich zu nehmen ein Whitelist zu führen.