No Script : Updates

    Zitat von DasIch

    NoScript ist total überflüssig, wofür hat man schliesslich einen total paranoid konfigurierten Rechner wie ich ^^


    Diese (paranoide) Meinung erschüttert mich in meinen Grundfesten ! :D

    Lieber ein Narr sein auf eigene Faust, als ein Weiser nach fremdem Gutdünken ! (Nietzsche)

    NoScript kann natürlich lästig sein, wenn man einfach mal so durch's Web surft, um sich eventuell auch Animationen etc. gleich anschauen zu können, ohne diese erst temporär erlauben zu müssen. Eingebettete Newsticker von Zweit/Drittanbietern kommen jedoch nur dann zum Tragen, wenn ohnehin ein explizites Interesse an der Seite besteht - hält man diese für vertrauenswürdig, kann man sie ja generell zulassen.

    Letztlich kommt's doch auf das individuelle Surfverhalten an; wenn man häufig die selben Seiten besucht, diese für vertrauenswürdig hält und auf die Whitelist setzt, hält sich das lästige Geklicke in Grenzen, und die Seiten, auf denen die Scripte wirklich gebraucht werden, halten sich je nach Surfverhalten ebenfalls sehr in Grenzen. Die Whitelist muss erstmal 'ne zeitlang gepflegt werden - alles andere ist Sache der Gewohnheit - mich stört es nicht, ab und zu mal Scripte temporär erlauben zu müssen, wenn ich sie im großen und ganzen nicht benötige. Wenn dafür das Surfen einen guten Ticken sicherer wird, ist es mir das allemal wert.

    ... und das hat meiner Meinung nach absolut nix mit Paranoia zu tun - man muss ja nicht immer die sehr wohl gebotene Vor- bzw. Umsicht gleich auf's Extrem reduzieren - wenn ich beim Überqueren einer Straße nach links und rechts schaue, ist dies vielleicht eine Unbequemlichkeit aber lange nicht paranoid.

    Grüße - doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

    Einmal editiert, zuletzt von doubletrouble (29. Januar 2008 um 17:21)

    Zitat von Dr. Evil

    Das Problem ist: sobald man irgendeiner Seite (temporär oder dauerhaft) Scripte erlaubt, ist der (ohnehin schon fragwürdigen) Sicherheitsgewinn ziemlich gering.


    Eben.

    Zitat von doubletrouble

    hält man diese für vertrauenswürdig, kann man sie ja generell zulassen.
    ....
    mich stört es nicht, ab und zu mal Scripte temporär erlauben zu müssen


    Woher will denn der Anwender wissen, welche Scripte vertrauenswürdig sind?
    Ein Sicherheitsfeature, das auf Gefühlen basiert, ist imho kein wirkliches Sicherheitsfeature!

    Zitat von Dr. Evil

    Wenn man sich das regelmäßig auch auf fremden Seiten antrainiert, kann man es ganz vergessen.


    ... naja, für solche User ist das Add-on sicher nicht gedacht. :wink:

    Ich bin beileibe kein Computerexperte und es gibt vermutlich keine Statistik über den Grad gewonnener Sicherheit durch NoScript - zudem ist ja völlig klar, dass es ganz ohne Scripte nicht geht. Wenn ich bei einer Seite, die ich für temporär vertrauenswürdig halte, sozusagen ein "Risiko" eingehe, muss ich dies nun mal in Kauf nehmen, mache dafür aber nicht ständig Tür und Tor an Stellen auf, die ich doch ebenso bequem geschlossen halten kann.

    Zudem tauchen immer wieder Sicherheitslücken auf, ob in Flash, Quicktime etc. xss ..., für die NoScript zumindest ein zusätzliches Minimum an Sicherheit bietet.

    Edit:

    Zitat von Wurstwasser

    Woher will denn der Anwender wissen, welche Scripte vertrauenswürdig sind?
    Ein Sicherheitsfeature, das auf Gefühlen basiert, ist imho kein wirkliches Sicherheitsfeature!


    Alles wissen kann ein Anwender ohnehin nicht - wenn es darum ginge, könnte sich ein normaler Anwender ja gleich alle "Sicherheit" abschminken. By the way: ohne Gefühl und Intuition wäre der Mensch wohl aufgeschmissen, zumal NoScript nun wirklich nicht "nur" auf Gefühle basiert. Natürlich hängt es in Punkto "Einschätzung" einer Seite - nichts anderes ist es letztlich - vom usereigenen Erfahrungsschatz ab. 100%ige Sicherheit ist ohnehin eine Illusion - und "Einschätzungen" - wie auch "Erfahrungen" - hängen neben der Sachkenntnis immer auch mit Gefühl und Intuition zusammen, sonst könnten wir uns wohl kaum durch die Welt bewegen - auch das gehört zur "Wirklichkeit"; in diesem Sinne ist "Sicherheit" immer "nur" ein temporäres Gefühl. ;) ... klingt vielleicht philosophisch, ist aber so.

    Grüße - doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

    Einmal editiert, zuletzt von doubletrouble (29. Januar 2008 um 18:08)

    Da bleibt mir nur, die Frage nochmal zu stellen: Wie kann ein Anwender einschätzen, ob ein Script Schaden zufügt oder nicht?
    Welche Erfahrungen und Kenntnisse machen es mir möglich, vor dem zulassen eines Scriptes deren Schadhaftigkeit zu beurteilen?
    Selbst wenn mir eine Seite koscher erscheint: Wird jemand, der vor hat, mittels Scripten Schaden zuzufügen, vorher auf der entsprechenden Seite besonders unseriös daher kommen?
    Oder wird der eher versuchen, einen vertrauenswürdigen Eindruck zu erwecken?

    Wobei sich mir dann die nächste Frage stellt: Wie "akut" ist eigentlich die Bedrohung eines Schadens durch bösartige Scripte?
    Ich kenne mich da nicht genug aus, lese hier und anderswo aber recht wenig über solche Fälle.
    Hat jemand diesbezüglich Ahnung?

    Zitat von Wurstwasser

    Da bleibt mir nur, die Frage nochmal zu stellen: Wie kann ein Anwender einschätzen, ob ein Script Schaden zufügt oder nicht?
    Welche Erfahrungen und Kenntnisse machen es mir möglich, vor dem zulassen eines Scriptes deren Schadhaftigkeit zu beurteilen?


    Welche Scripte Schaden anrichten, kann ein Normaluser mit Sicherheit nicht einschätzen - beurteilen, bzw. einschätzen kann man lediglich die Seite selbst, auf der man sich befindet, und es ist längst nicht immer notwendig, überhaupt eine Einschätzung treffen zu müssen - in den meisten Fällen ohnehin nicht. Wenn ein User auf eine Pornoseite gerät oder diese wissentlich besucht, kann er davon ausgehen, dass damit das Risiko von Schaden wächst, um es mal an diesem Extrem zu erläutern.

    Ein Mensch, der andererseits nur auf Verpackung schaut, wird sicher nicht NoScript installieren. Wenn ich mich z.B. in einem Forum bewege, was bereits ein gewisses Maß an Vertrauen voraussetzt, kann es durchaus sein, dass Scripte für die Seite zugelassen werden müssen, um etwa Beiträge schreiben zu können. In manchen Foren, wie etwa Stern, GEO etc. sind aber mitunter kommerzielle Zweit- oder Drittadressen eingebettet, die teilweise kommerziell dienliche Statistiken erstellen, wie etwa doubleclick, falkag etc. - warum sollte ich solchen Adressen das Ausführen von Scripten erlauben? Die Forenbenutzung wird durch das Blocken solcher URL's nicht beeinträchtigt - aber schon häufig beklagten sich User über penetrante Popups etc., die auch teilweise durch NoScript geblockt werden.

    Ich habe leider auch nicht so viel technische Ahnung davon, wie groß der Schaden durch Scripte sein kann; aber auf diversen Seiten, wie etwa Heise, ist doch sehr häufig die Rede von schädlichen Scripten - und nicht selten ist in positivem Sinne von NoScript die Rede, auch wenn niemand behauptet, sich damit in absoluter Sicherheit wiegen zu können.

    Grüße - doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

    Zitat von doubletrouble

    ... naja, für solche User ist das Add-on sicher nicht gedacht. :wink:

    Denen wird es aber völlig unreflektiert als Sicherheitslösung präsentiert:

    Zitat von doubletrouble

    Ich habe leider auch nicht so viel technische Ahnung davon, wie groß der Schaden durch Scripte sein kann; aber auf diversen Seiten, wie etwa Heise, ist doch sehr häufig die Rede von schädlichen Scripten - und nicht selten ist in positivem Sinne von NoScript die Rede, auch wenn niemand behauptet, sich damit in absoluter Sicherheit wiegen zu können.


    Zitat

    Zudem tauchen immer wieder Sicherheitslücken auf, ob in Flash, Quicktime etc. xss ..., für die NoScript zumindest ein zusätzliches Minimum an Sicherheit bietet.

    Naja... Flash/Quicktime weiß ich nicht, was NoScript mit macht, wahrscheinlich einfach deaktivieren. Aber XSS ist einfach Schwachsinn. Das sind Lücken der Webseite, da kann NoScript nichts machen. Ich weiß, NoScript behauptet, das zu tun. Aber das tut es nicht.

    Zitat von doubletrouble

    Ein Mensch, der andererseits nur auf Verpackung schaut, wird sicher nicht NoScript installieren.

    Er wird es installieren. Auf der Verpackung steht, dass alles damit viel sicherer ist. Ob das so stimmt und ob das auch noch stimmt, wenn man Ausnahmen zulässt, das steht dann nicht mehr auf der Verpackung und so wiegt sich dieser Mensch dann in falscher Sicherheit.

    Zitat

    Die Forenbenutzung wird durch das Blocken solcher URL's nicht beeinträchtigt - aber schon häufig beklagten sich User über penetrante Popups etc., die auch teilweise durch NoScript geblockt werden.

    Ich bevorzuge für so etwas Adblock Plus oder YesScript. Da wird keine falsche Sicherheit vorgegaukelt. (Wenn das Marketing für NoScript anders laufen würde, würde sich meine Abneigung dagegen auch in Grenzen halten.)

    Zitat

    aber auf diversen Seiten, wie etwa Heise, ist doch sehr häufig die Rede von schädlichen Scripten - und nicht selten ist in positivem Sinne von NoScript die Rede, auch wenn niemand behauptet, sich damit in absoluter Sicherheit wiegen zu können.

    ja, leider :( Ich könnte mich jedesmal drüber aufregen.

    ich versteh das große problem nicht: solang es in einem browser keine bekannte offene sicherheitslücke gibt, kann auch ein noch so hinterhältiges script keinen schaden anrichten.

    okay, da gibts die zeit zwischen bekanntwerden der lücke (inklusive 0-day-exploit) und dem patch. wenn die lücke was mit js zu tun hat kann noscript schützen, vorrausgesetzt die scripte werden nicht aufgrund von whitelisting doch nicht geblockt...

    Zitat von boardraider

    Weshalb soll NoScript ab Fx 3 hinfällig werden?


    Da Firefox 3 angeblich mit einer konfigurierbaren Scriptkontrolle ausgestattet sein soll. Wenn das tatsächlich zutreffen sollte, dann wären die Tage von NoScript gezählt.

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

    Zitat von Dr Evil

    Aber XSS ist einfach Schwachsinn. Das sind Lücken der Webseite, da kann NoScript nichts machen. Ich weiß, NoScript behauptet, das zu tun. Aber das tut es nicht.


    ... wie gesagt, ich bin kein Computer-Guru, aber da ich NoScript nun bereits zwei Jahre benutze und mir in technischer Hinsicht das "cross site scripting" trotz aller Unkenrufe weitestgehend ein Rätsel ist, kann ich nur sagen, dass NoScript sehr wohl darauf aufmerksam macht, wenn bei einem Seitenaufruf "cross site scripting" vorliegt, auch wenn dies wohl eher selten mit bösartigen Absichten zusammenhängt.

    Man kann ja über Heise denken wie man will, und ich will Heise ganz sicher nicht überbewerten; aber es ist schwer vorstellbar, dass da nur lauter Deppen am Werk sind, die nix anderes im Sinn haben, als wichtigtuerisch unnötigen Alarm zu machen. Ich habe jedoch manchmal den Eindruck, dass der aus meiner Sicht oft sachliche Hinweis gerne als Extrem-Alarm interpretiert wird. Auf irgendeine Weise muss es doch möglich sein, über Sicherheitslücken reden zu können!? Und wenn ein "Buffer-Overflow" durch "cross site scripting" ausgelöst wird und dieser aktiv ausgenützt wird, um Schadsoftware auf den Rechner zu bringen, dann nützt auch der beste Browser nix - zumindest derzeit noch nicht wirklich. Die Leute ziehen sich das ja nicht aus den Nägeln. Oder arbeiten die Mozilla-Entwickler etwa nicht an dem Problem?

    Wie gesagt, ich denke, man sollte solche Nachrichten sicher nicht überbewerten, aber einen Grund, sie unterzubewerten oder zu ignorieren, sehe ich auch nicht.

    Wenn NoScript erstmal Quicktime deaktiviert, sehe ich auch das - zumindest derzeit, da permanent Sicherheitslücken in QT bekannt werden - für nicht verkehrt - dann kann man wenigstens selbst entscheiden, wann und wo Quicktime läuft, zumal man ja sowieso NoScript benutzt und dies lediglich ein weiteres feature ist. Ich kann ja verstehen, dass der eine oder andere persönliche Abneigungen hat oder keinen Bock auf eine zu erstellende Whitelist hat etc., aber ein wirklich objektives Argument für die Sinnlosigkeit von NoScript hab ich bisher noch nicht gelesen. Bisher habe ich nur gelesen, dass man schon den Gebrauch einer Whitelist so hinstellt, als würde diese das Ganze bereits sinnlos machen. Sorry, aber die Whitelist ist z.B. bei mir auch nach zwei Jahren Gebrauch von NoScript noch recht übersichtlich - die Seiten, die ich im Netz besuche, schon lange nicht mehr - selbst meine Lesezeichen sind kaum noch überschaubar.

    Wenn ich 100 Seiten besuche und vielleicht bei einer mal die Scripte temporär erlaube, habe ich diesbezüglich das eventuelle Risiko auf 1% reduziert - natürlich kann auch dies dann ein Griff in's Klo sein - aber rein statistisch gibt's da meiner Meinung nach nix zu meckern. Und wie ich weiter oben bereits schrieb, hängt dies wohl auch mit dem Surfverhalten oder den Gewohnheiten und Vorlieben zusammen - es gibt sicher Leute, bei denen sich ein anderes Verhältnis ergibt, wenn Spiele, Animationen etc. die erste Geige spielen. Mir geht's primär um Informationen. "Jede Jeck iss anders", wie man in Köln sagt. :wink:

    Aber ich lasse mich gerne aufklären; bisher habe ich noch keine für mich plausible Erklärung gelesen, dass bösartige Scripte unmöglich sind, cross site scripting absolut zu vernachlässigen ist etc. ... und eine pauschale Aussage wie: "ein sicherer Browser macht solche Add-ons unnötig", hilft erstens nicht wirklich weiter, da "sicher" nun wirklich sehr relativ ist, und zweitens ist Firefox zwar auch für mich der beste Browser, aber eine Heilige Kuh ist er deshalb jedoch nicht. Ich kann mir aber vorstellen, dass die Mozilla-Entwickler sehr wohl von solchen Add-ons mit profitieren. Ich frage mich allerdings, wenn es stimmen sollte, dass Firefox 3 NoScript überflüssig machen soll, ob dann die Funktion als solche noch immer als sinnlos betrachtet wird.

    Grüße - doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

    Zitat

    Das Problem ist: sobald man irgendeiner Seite (temporär oder dauerhaft) Scripte erlaubt, ist der (ohnehin schon fragwürdigen) Sicherheitsgewinn ziemlich gering.

    Wenn man generell JS zulässt soll der "Sicherheitsgewinn" genauso groß sein? Lässt man eine Seite zu, so schützt einen das natürlich nicht, wenn die Seite gecrackt wird. Wenn man aber ständig davon ausgeht, darf man konsequenterweise gar kein JS mehr zulassen.

    Zitat

    Woher will denn der Anwender wissen, welche Scripte vertrauenswürdig sind?

    Und weil er das nicht weiß, erlaubt er einfach mal alles? Natürlich können 95% der User ein Script nicht analysieren. Es geht bei NoScript aber um eine generelle Strategie. Man bietet so wenig Angriffsfläche wie möglich und nicht die maximale in Bezug auf JS. Dass diese Lösung keine wasserdichte sein kann, liegt schon in der Natur der Sache.

    Zitat

    Selbst wenn mir eine Seite koscher erscheint: Wird jemand, der vor hat, mittels Scripten Schaden zuzufügen, vorher auf der entsprechenden Seite besonders unseriös daher kommen? Oder wird der eher versuchen, einen vertrauenswürdigen Eindruck zu erwecken?

    Der optische Eindruck einer Seite ist natürlich kaum ein Kriterium. Allerdings schon eher die Reputation. Welcher Seite würde man ein höheres Vertrauen beimessen? http://www.heise.de/ oder http://xxx.cracksnpr0n.com/ Beim Aufruf der letzteren hätte man kein Bauchgrummeln in Bezug auf Sicherheit?


    Zitat

    Wie "akut" ist eigentlich die Bedrohung eines Schadens durch bösartige Scripte?
    Ich kenne mich da nicht genug aus, lese hier und anderswo aber recht wenig über solche Fälle.

    Wenn man sich mit der Materie beschäftigst, findet man genug Fälle. Nur ist das Thema in der breiten Öffentlichkeit nicht interessant da zu komplex.

    Zitat

    Aber XSS ist einfach Schwachsinn. Das sind Lücken der Webseite, da kann NoScript nichts machen. Ich weiß, NoScript behauptet, das zu tun. Aber das tut es nicht.

    NoScript versucht sehr wohl vor gewissen Formen von XSS und CSRF zu schützen. Das dies nicht umfassend sein kann, lässt sich nicht ändern. Auch Virenscanner können mit Signaturen nur reaktiv tätig sein. Eine ständige proaktive Lösung kann dann nur das generelle Abschalten von JS sein.

    Zitat

    ich versteh das große problem nicht: solang es in einem browser keine bekannte offene sicherheitslücke gibt, kann auch ein noch so hinterhältiges script keinen schaden anrichten.


    http://de.wikipedia.org/wiki/CSRF

    Die Diskussion hier geht eh am Sinn der Erweiterung vorbei. NoScript hat natürlich auf multimedialen Stamm- oder seriösen Seiten kaum einen Nutzen, aber für Vielsurfer die zb per Suchmaschinen ständig fremde Seiten öffnen ist der Sicherheitsgewinn schon enorm. Wenn ich nur zwischen YouTube, Heise und diesem Forum hin- und herklick hat NoScript natürlich keinen Sinn, aber wenn ich jeden Tag durch Suchmaschinen 100 total fremde Seiten öffne, dann will ich kein Flashbombardement, keine gefährlichen IFrames (die ja grade aktuell sehr beliebt sind um Viren unter's Volk zu bringen) und auch keine Scripts oder Pluginzugriffe erlauben.

    Ich persönlich find da auch nix störend dran, ich benutze immerhin eh gleich 4 AddOns der Art von NoScript, ich muss für neue Seiten erst Referer, Redirects, JavaScript und/oder Cookies erlauben - ich will einfach dass beim wilden rumgurken im Web sowenig Informationen wie möglich nach draußen kommen, und insofern hat NoScript für mich eine Daseinsberechtigung - auch wenn es wie bei jeder (Sicherheits-)Software absolut klar ist dass sie umgangen werden kann, keinen 100%igen Schutz bietet, Nachteile hat, bla bla...

    Zitat von hall77


    Da Firefox 3 angeblich mit einer konfigurierbaren Scriptkontrolle ausgestattet sein soll. Wenn das tatsächlich zutreffen sollte, dann wären die Tage von NoScript gezählt.


    In der aktuellen Beta ist nichts dergleichen enthalten.

    Zitat von boardraider


    http://de.wikipedia.org/wiki/CSRF


    okay, damit wird aber auch nicht mein lokales system sondern eine webanwendung bedroht. die sicher zu gestalten ist imho sache der entwickler der webanwendung (genauso wie beim XSS), nicht sache des browsers oder des surfenden. man kann sich ja nicht drauf verlassen dass jeder browser eine sicherheitslücke erkennt, die nichtmal im browser sondern in der website liegt.


    Zitat von vommie

    keine gefährlichen IFrames (die ja grade aktuell sehr beliebt sind um Viren unter's Volk zu bringen)


    es gibt derzeit in firefox keine bekannte sicherheitslücke, mit der schadcode verteilt werden könnte. (es sei denn du surfst mit einer alten version rum...)

    cubefox
    Sollte nur ein Beispiel sein, dass auch Webanwendungen angegriffen werden können. Auch damit kann dem User ein Schaden entstehen. Für CSRF ist genau genommen nicht einmal JS nötig.
    Es geht aber bei dem Ansatz von NoScript nicht nur um bekannte Sicherheitslücken. Wurde schon oft genug geschrieben. Zudem sind auch Plugins gern genommene Einfallstore. Auch an der Stelle verringert NoScript die Angriffsfläche. Man muss ja nur die letzte Quicktime-Lücke mit den IFrames verknüpfen. Und wieviele User haben denn effektiv von der QT-Lücke etwas mitbekommen? Und wie lange hat es gedauter bis Patches bereit standen und wann wurden diese eingespielt?

    Er meint damit nicht eine konkrete Schwachstelle bzgl. IFrames. Es geht darum, dass von Crackern auf gehackten Webseiten in letzter Zeit verstärkt IFrames eingebunden werden. Diese verändern die Optik der Webseite nicht, dem gewöhnlichen User fällt es nicht auf. Auch die Admins der Seite müssen schon in den Src-Code schauen.
    Dort steckt dann ein kleiner IFrame, der auf einen anderen Server verweist. Auf diesem läuft dann bspw. sowas wie MPack. Unter anderem über JS wird der Rechner dann auf Schwachstellen geprüft und diese nach Möglichkeit getestet.