NoScript (noch) Sinnvoll? (Ehemals: Sayonara NoScript)

    Zitat von boardraider

    Auf was beziehst du dich? Auf den (lange schwelenden) Konflikt zwischen Palant (und jetzt Ares) und Maone?


    Das war natürlich der Auslöser für etwas Zurückhaltung gegenüber Maone. Da hatte ich mich schon auf die Suche nach Ersatz gemacht den es eigentlich nicht gibt. Als ich dann noch den Artikel las bez. Ask.Toolbar war ich richtig gehend geschockt. Das durfte doch nicht wahr sein. Zuerst versucht er es mit ABP, als das nicht klappte kommt nun wohl diese Toolbar.

    Ich bin sehr froh das das wohl eine Ente war und ich NoScript weiter benutzen kann. Zumindest erst mal. Sehen wir mal wie es weitergeht...

    Das Vorgehen von Maone war sicherlich nicht sinnvoll, insbesondere stößt mir negativ auf, dass er einen Teil des NoScript-Codes verschleiert hat. Zwar hat er damit recht, dass diese Verschleierung trivial war, aber sie zielte eindeutig darauf ab dem Reviewer eine Hürde aufzuerlegen (Edit: Korrektur unten). Fast noch trauriger als dieser Umstand ist die Tatsache, dass der zuständige Reviewer sich nicht um den Code geschert hat. Das zeigt wieder einmal auf, wie löchrig und kritisch der Prozess an der Stelle ist! Für mich eigentlich das wirklich fatale an dem Vorfall!

    Zunächst sehe ich nichts Verwerfliches darin die eigene Seite mit Werbung zu versehen. Auch das Eintragen der dafür relevanten Domains in der NoScript-Whitelist ist in Ordnung. Dies war schon immer so und war auch von Beginn an entsprechend transparent dokumentiert. Jeder, der das erste Mal die Einstellungen von NoScript öffnet, sieht die Whitelist und kann sich entsprechend informieren (im übrigen war das Entfernen der Default-Whitelist meine erste Handlung nachdem ich NoScript installiert hatte). Jeder NoScript-User der wollte, konnte also die Werbung verschwinden lassen, ebenso konnte jeder sonstige User die vorhandenen Funktionen von AdBlock Plus nutzen.
    Als dann Ares seinen Anti-Maone-Kreuzzug führte, reagierte dieser leider zu emotional. Der oben genannte Code war nicht in Ordnung und auch das ungefragte Hinzufügen einer Whitelist für ABP ging eindeutig zu weit (wobei Palant darüber informiert war, dass Maone diese Schnittstelle nutzen wollte und dagegen prinzipiell nicht protestierte).

    Allerdings ist für mich auch das Verhalten von Palant insgesamt nicht verständlich. Als der Konflikt zwischen Ares und Maone schon am Abklingen war und Maone seine Fehler bereits korrigierte, sah er wohl seine Zeit gekommen dem bereits länger andauernden Zwist mit Maone neues Leben einzuhauchen. Anders als mit Eitelkeit und eiskalter Berechnung kann ich es nicht erklären, dass es diese Form der Hetze brauchte. Die vorgegebenen eigenen hohen moralischen Ansprüche werden auf diese Weise ebenso getrübt. Dies auf andere Art zu klären wäre ohne Weiteres möglich gewesen. Aber da kam einem die Gelegenheit doch recht günstig gegenüber Maone die Keule auszupacken.

    Insgesamt war der Auftritt von beiden Seiten schwach und unnötig und jeder sollte einmal kritisch mit sich ins Gericht gehen. Maone und Ares scheinen dies zumindest augenscheinlich schon getan zu haben. Bleibt zu hoffen, dass die Beteiligten sich in Zukunft in etwas mehr Zurückhaltung üben und vielleicht versuchen ihre Meinungsverschiedenheiten untereinander zu klären, statt auf dem Rücken der User gegenseitige Sabotage zu betreiben oder in der Community Hetz-Kampagnen aufzuzieht.

    Nachtrag:
    http://hackademix.net/2009/05/04/dea…illa-community/

    Im Zuge dessen revidiere ich meine obige Aussage bzgl. des Review-Prozesses ein Stück weit.

    Zitat

    Nobody from AMO even saw the release passing by, because the extension was considered "trusted", i.e. not needing any approval for exiting the so called "Sandbox".


    Bleibt die Frage, ob es nicht sinnvoll wäre auch diese Erweiterungen entsprechend zu prüfen.

    Nachtrag 2 zum Statement von Palant:
    http://hackademix.net/2009/05/04/dea…/#comment-12355

    Zitat

    While the bug you are referring to was public, very few people were actually aware of it. In fact, to my knowledge you were to only one to use it to work around Adblock Plus. That was the only reason why it wasn’t a high priority for me until now and why I preferred working on more important changes. However, since your site is shown so prominently to every NoScript (and FlashGot) user regularly, it generated quite a few Adblock Plus bug reports and might also lead to other sites copying the same approach. Which is why I asked EasyList maintainer (Rick752 back then) to add a filter specifically for you

    Diese Begründung empfinde ich doch als etwas fragwürdig. AdBlock Plus hatte eine seit langem öffentlich bekannte Design-Schwachstelle, die es ermöglichte dessen Funktion einzuschränken. Statt diese zu beheben, verweist er darauf, dass die Seiten von Maone die einzigen ihm bekannten Seiten waren, die diese Schwachstelle ausnutzten. Zum Glück legt man solche Maßstäbe nicht in Fragen von Sicherheitslücken an. :roll:
    Darüber hinaus wundert es, dass es dann doch so schnell gelang, diese Schwachstelle zu beheben. Der Aufwand hielt sich also in Grenzen dieses Problem generell anzugehen, statt dessen versuchte er aber über den EasyList-Verwalter zu agieren. Warum nur über ihn? Warum nicht bei den anderen ABP-Abolisten, die man beim Installieren angeboten bekommt? Diese Vorgehen scheint mir weder sinnvoll noch nachhaltig zu sein, viel eher auf Grund der spezifischen Anti-Maone-Filter fragwürdig, denn was kümmert den ABP-Autor eigentlich so speziell die User-Base von NoScript und Flashgot? Nach eigenem Bekunden wohl nur das Verhindern weiterer Aufmerksamkeit in Bezug auf die eigene Design-Schwachstelle.

    Zitat

    you shouldn’t imply that the breakage on your site was intentional. It was rather caused by your evasive maneuvers making targeted blocking harder. Ares2 fixed false positives as soon as he became aware of them (plus some delay because nobody is permanently online).

    Also Ares2 gewährt man die Zeit seine überzogenen Filter zu fixen, aber obwohl Maone schon eine entsprechende Reaktion auf das Dilemma angekündigt hat, gießt man selbst neues Öl ins Feuer, aber dann gleich im großen Stil. Warum gewährt man nur Ares2 die Zeit, das Problem zur Zufriedenheit zu lösen? Warum war der Blog-Eintrag in der Form zu dem Zeitpunkt noch notwendig?

    Zitat

    Another note in the changelog? Nobody will look at that one too closely either, it shows up every week.

    Auf Grund der starken Funktionsfluktuation in NoScript, ist es eigentlich eher täglich Brot die Changelogs zu lesen. Einen effektivieren Platz für so eine Ankündigung kann es eigentlich nicht geben, abgesehen von einem Pop-Hinweis nach dem Update.

    Zitat

    Yes, I was naive to hope that this wouldn’t go any further than planet.mozilla.org.

    Nein, man kann natürlich davon ausgehen, dass es unbemerkt bleibt, wenn der Autor der wohl beliebtesten Erweiterung einen anderen bekannten Autor via Blog bezichtigt Ad- bzw. Scareware zu verbreiten! Die daraus potentiell entstehende (berufliche) Rufschädigung ist natürlich vollkommen unerwartet und überhaupt ist das Thema auch komplett irrelevant in der Community. *eg* Die "Naivität" kann ich an der Stelle weder erkennen noch abnehmen.

    Zitat

    I really gave this lots of thought but in the end I decided that warning users must be done.

    Das Gefühl habe ich leider nicht in Anbetracht dieser Umstände.