Welche Erweiterungen sind das? Und wie lautet die exakte Fehlermeldung? Überprüfe, ob du das Verhalten im Abgesicherten Modus [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png] bestätigen kannst.
//
Und wieder kann ich mir ein Schmunzeln nicht verkneifen.... :wink:
[Blockierte Grafik: http://img3.imagebanana.com/img/j2pg1yo6/sorcerersapprentice.jpg]
Die ich rief, die Geister...
Ich habe no script im Moment noch nicht installiert - ist das sinnvoll und notwendig??
LG Jana
Muss du dir die Beschreibung des Addon durchlesen und selbst entscheiden, ob DU das brauchst. Ich kann gut drauf verzichten.
Es ist sehr sinnvoll, weil es bezüglich der Sicherheit die wichtigste Erweiterung von FF ist und Javascript ohne NoScript nicht wirklich sicher zu verwenden ist. Wenn man - wie der OP - "einige Addons" innerhalb kurzer Zeit installiert und danach nicht mehr durchblickt, war wohl diese Vorgehensweise falsch und hat weniger mit gerufenen Geistern als vielmehr dem rufenden Geist zu tun. Wenn man NoScript installiert und und bei der Meldung "Scripte verboten" nicht an NoScript denkt, liegt das IMHO und sehr zurückhaltend formuliert nicht an der Erweiterung. 
Zitat von CosmoEs ist sehr sinnvoll, weil es bezüglich der Sicherheit die wichtigste Erweiterung von FF ist und Javascript ohne NoScript nicht wirklich sicher zu verwenden ist.
Das ist zu kurz gesprungen. Solange man immer die aktuellste Firefox-Version einsetzt ist das Risiko durch aktiviertes JavaScript doch sehr überschaubar. (Und bei einer veralteten Version hilft auch das deaktivieren normalerweise nichts.)
Außerdem kann jemand, der nicht (wirklich) weiß was NoScript tut, es mit ziemlicher Sicherheit auch nicht richtig bedienen - und wird deswegen entweder jede Seite ohne Scripte aufrufen (und bei Problemen nicht wissen, was er tun soll), oder bei Problemen blind JavaScript aktivieren und damit wieder jede Sicherheitslücke, die durch den Einsatz von NoScript verhindert werden soll, doch wieder aufreisen.
Wie Dr. Evil schon sagt. Solang man eine aktuelle Version vom Firefox nutzt, ist das "Risiko" nahe Null. Wenn man keine Aktuelle Version nutzt, hilft das Addon auch nur bedingt. In jedem Fall eine erhebliche Einschränkung des Komforts und in Händen von Laien auch nicht gut aufgehoben.
ich bedanke mich bei Euch für die Erläuterungen - da ich ja immer die aktuelle Version dess FF instaliert habe, kann ich darauf verzichten
LG mädchen
Zitat von bugcatcherIn jedem Fall eine erhebliche Einschränkung des Komforts..
Kann ich nach langer Benutzung nicht bestätigen.
Eine gute deutsche Anleitung gibt es hier: http://www.firefox-browser.de/wiki/No_Script ff
Zitat von Dr. EvilSolange man immer die aktuellste Firefox-Version einsetzt ist das Risiko durch aktiviertes JavaScript doch sehr überschaubar. (Und bei einer veralteten Version hilft auch das deaktivieren normalerweise nichts.)
Zitat von bugcatcherSolang man eine aktuelle Version vom Firefox nutzt, ist das "Risiko" nahe Null.
Irgendeine Begründung oder einen Beleg dafür, außer Glauben und Hoffnung? Das eine fehlerhafte Version des Interpreters das Gefahrenpotential erhöht, ist banal, daß eine solche Version das Potential überhaupt erst schafft, ist Behauptung pur.
Nicht umsonst empfiehlt das BSI klar und unmißverständlich, Javascript soweit möglich (und das interpretiere ich mit: auf allen Seiten, auf denen es für die Darstellung nicht benötigt wird und der man nach reiflicher Überlegung vertraut) zu deaktivieren. Es gibt dazu mehrere Seiten beim BSI, zum Beispiel wird hier klar gemacht, daß ein fehlerhafter Interpreter mitnichten das einzige kritische Sicherheitsrisiko darstellt, wie oben behauptet.
Eine solche sehr blauäugige Sichtweise läßt sich auch nicht mit dieser umfassenden Darstellung von der FU Berlin in Übereinstimmung bringen. Nur wenige Aussagen zur Auswahl:
Es besteht bei der bloßen Anzeige einer Web-Seite das Risiko, daß der anzeigende Rechner durch einen fernen Rechner in schädlicher Weise mit JavaScript ™ ferngesteuert wird.
Viele gefährliche Sicherheitslücken, von denen weiter unten noch berichtet werden wird, können durch das Abschalten von JavaScript ™ gestopft werden. Gleichzeitig werden Belästigungen durch sich unerwünscht öffnende Fenster oder verschiedene Manipulationen von Informationen unterdrückt. Deswegen haben viele Benutzer JavaScript ™ inzwischen bewußt deaktiviert.
Die Zugänglichkeitsrichtlinien des maßgeblichen World Wide Web Consortium verlangen, daß Seiten ohne JavaScript ™ verwendbar sein müssen. Diese Forderung wird sinngemäß von der Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz übernommen. Das Bundesamt für Sicherheit in der Informationstechnik rät dringend, bei der Nutzung des Internets die Interpretation von aktiven Inhalte abzustellen und empfiehlt den Betreibern von WWW-Servern dringend, vollständig auf JavaScript ™ zu verzichten. Der Hersteller Microsoft Corporation empfiehlt zur Abwehr von Angriffen, die Sicherheit für die „Internetzone“ auf „hoch“ zu setzen und damit Active Scripting zu deaktivieren. Laut DPA riet im Juni 2004 die Abteilung für Computerüberwachung des Ministeriums für Heimatverteidigung der Vereinigten Staaten von Amerika den Computer-Nutzern „JavaScript zu deaktivieren, falls es nicht unbedingt benötigt wird“.
Des weiteren ist es so, daß Javascript teils aus Bequemlichkeit der Seiten-Programmierer, teils aus Gründen der Schikane (oder Schlimmeres) eingesetzt wird, obwohl es technisch gar nicht erforderlich ist.
Wenn JavaScript ™ angeblich benötigt wird, ist es selten wirklich nötig. Manche Webangebote werden aber leider so aufgebaut, daß sie ohne JavaScript ™ nicht mehr verwendet werden können, obwohl es dabei selten einen guten Grund für den Einsatz von JavaScript ™ gibt.
Dabei gehen einige Seitenbetreiber soweit, sich zumindest sehr weit in die rechtliche Grauzone zu bewegen (und das allein sollte die Alarmglocken laut werden lassen), indem sie nicht einmal den Aufruf des gesetzlich vorgeschriebenen Impressums ohne aktiviertem JS erlauben. Allein die begrenzten Ressourcen der Strafverfolger (oder deren Nachlässigkeit) machen es möglich, daß diese mit 50.000 € belegte Ordnungswidrigkeit praktiziert wird, was aber nichts daran ändert, daß es keine lauteren Absichten sind, die dem Seitenbetreiber zuzuschreiben sind.
Eine Seite mit sehr schönen Beispielen des Sinns und Unsinns von JS sowie weiteren Links zum Thema ist die von Daniel Rehbein.
Zitat von Dr. EvilAußerdem kann jemand, der nicht (wirklich) weiß was NoScript tut, es mit ziemlicher Sicherheit auch nicht richtig bedienen - und wird deswegen entweder jede Seite ohne Scripte aufrufen (und bei Problemen nicht wissen, was er tun soll), oder bei Problemen blind JavaScript aktivieren und damit wieder jede Sicherheitslücke, die durch den Einsatz von NoScript verhindert werden soll, doch wieder aufreisen.
Zitat von bugcatcherIn jedem Fall eine erhebliche Einschränkung des Komforts und in Händen von Laien auch nicht gut aufgehoben.
Falsch, JS wird sehr wohl gerne dafür benutzt, den Komfort herabzusetzen (siehe die bereits genannten Links). Die Aussage ist somit faktisch falsch.
Wer NoScript dazu verwendet, um JS bei jeder Seite, die nicht sofort in voller Schönheit erstrahlt, ohne nachzudenken zuzulassen, hat den Sicherheitsaspekt nicht verstanden. Das sind nach meiner Erfahrung dieselben Leute, die auf jeden Link kicken, der sich irgendwo sehen läßt und mit administrativen Rechten (möglicherweise sogar mit völlig ungeschütztem Rechner, nicht selten sogar ohne aktuelle Sicherheits-Patches und -Updates - OS, Browser, Plugins und anderes betreffend -) arbeiten. Dieses Verhalten irgendwie mit Sicherheit und deren Praktikabilität in Verbindung bringen zu wollen finde ich schon sehr merkwürdig. Solche Sicherheits-Ignoranten auch noch mit der Suggestion, Sicherheit sei für Laien unpraktikabel, auch noch zu bestätigen, halte ich ohne Wenn und Aber für falsch. Darüber hinaus halte ich das für gefährlich, weil es Forderungen und Diskussionen darüber, infizierte PCs unter Quarantäne zu stellen, - womöglich ungewollt - unterstützt; eine Forderung, die ich von der vorgetragenen Begründung zwar sehr wohl verstehen kann, die sich aber leicht dazu mißbrauchen läßt, um mißliebige Zeitgenossen aus dem - auch im Privatleben immer bedeutsamer werdenden Netz - auszuschließen.
Die Reaktion von mädchen belegt, wie gefährlich falsche Einschätzungen und unvollständige Bewertungen sind.
Dabei ist es sogar so, daß NS eine Option hat (die ich nicht empfehle), mit der JS auf besuchten Top-Level-Sites automatisch temporär zugelassen wird (womit immerhin Dritt-Anbieterseiten weiterhin daran gehindert werden, ihren Code auszuführen). Auch wenn ich diese Option nicht empfehle (und aus gutem Grund ist sie per default nicht aktiviert), ist das besser als Full-Script und ist auch von Computer-DAUs verwendbar (weil in der Regel gar keine Interaktion erforderlich wird). Es gibt ferner auch ein optionales Symbol und einen Tastaturkürzel, um das fallweise zu schalten. NoScript pauschal für PC- / Internet-Laien als unbrauchbar zu bezeichnen und deswegen abzuempfehlen ohne sich vorher mit allen verfügbaren Optionen beschäftigt zu haben, kann keine qualifizierte Empfehlung sein. - Im übrigen ist es geradezu lächerlich wenn man hier beobachten kann, wieviele Benutzer sich selber ein Bein stellen und aus Angst um ihren Datenschutz alle Chronikdaten (einschließlich Webseiten-Einstellungen) löschen lassen und sich dann wundern, daß bestimmte Einstellungen nach dem Sitzungsende verloren gehen, gleichzeitig aber dem Datenklau durch JS munter sein Wesen treiben läßt (weil ein Abschalten angeblich doch so unbequem sei).
Nicht erwähnt - und hier auch nicht weiter zu vertiefen - ist die Tatsache, daß NS keineswegs nur JS limitiert, sondern auch Schutz vor anderen Risiken darstellt (wie Cross-Site-Scripting [1], Clear-Click-Schutz oder der in 2.0rc5 eingeführte Router-Schutz, um nur einige Beispiel zu nennen). Daraus folgt aber klar, daß der Sicherheitsgewinn durch NS weit über die JS-Thematik hinausreicht.
Tröstlich zu wissen, daß NS mit derzeit rund 550.000 Downloads wöchentlich und rund 66 Mio. Downloads insgesamt (Stand: 1. Mai 2010) zu den beliebtesten Firefox-Erweiterungen zählt.
[1] nur mal zum Nachdenken: einen XSS-Schutz hat der aktuelle IE von Haus aus eingebaut, FF dagegen nicht. FF ohne NS hat bezüglich Sicherheit gegenüber anderen Browser teilweise durchaus das Nachsehen.
aha - jetzt habe ich aber doch noch mal eine Frage,
muss ich für jede Seite, der ich vertraue, dann auch eine Ausnahmeregel erstellen oder reicht es, wenn ich ich über das NoScript in der Taskleiste auf den Befehl klicke, dass Scripte zugelassen werden? (auf der entsprechenden Seite, auf der ich mcih gerade dann befinde)
Gruß mädchen
Die verlinkte Anleitung beantwortet dir auch diese Frage! :wink:
Komfort war im Sinne von "Seite geht nicht wie erwartet", bei dem vielen Laien einfach das nötige Fachwissen fehlt, einzuschätzen, warum etwas nicht geht. Oft ist auf den ersten Blick nicht darauf zu schließen, dass ein Problem auf fehlende Javascriptunterstützung basiert. Das ist auch der selbe Grund, warum ein Laie nicht einschätzen kann, ob ein Seite gefährlich ist oder nicht. Wenn eine Seite nicht funktioniert, aktiviert er im Zweifel Javascript eh wieder. Auf eine konsequente Einstellung ala "die Seite funktioniert ohne Javascript nicht, also bin ich lieber vorsichtig und meide die Seite" wirst du keine finden.
Und auch wenn Du jetzt schöne Horrorszenarios an die Wand malst, um zu belegen, dass Javascript total kritisch ist, sind die Beispiele eher wenig geeignet sensibel mit dem Thema umzugehen (die Kuh wird auch genauso wie Cookies und ähnliche Techniken gerne durchs Dorf getrieben und nur dazu genutzt von den eigentlichen Risiken abzulenken, sprich Sündenbock zu spielen). Mit Nichten lässt sich ein Rechner mit Firefox per Javascript fern steuern. Auch hast du selbst zitiert, dass das ganze Angriffspotential primär aus Sicherheitslücken rührt. Hier habe ich längst die Einschränkung gemacht, dass man einen aktuellen Firefox nutzen soll. Natürlich kann man auch hier die ZeroDay-Keule auspacken, aber selbst dann ist ein Konto mit eingeschränkten Rechten eine Hürde die nicht mit Javascript zu nehmen ist.
Wenn jemand mit Adminrechten, veralteten Plugins und ungepatchtem Betriebssystem arbeitet, dem hilft es im Übrigen auch nicht mehr, Javascript abzuschalten. Javascript ist von all den genannten Risiken das mit Abstand geringste. Es zur Speerspitze der Unsicherheit zu erheben ist daher mehr als Absurd und alles andere als eine "qualifizierte Beratung" für einen Laien.
Die Anzahl der Downloads ist übrigens keinerlei Belegt für die Sinnhaftigkeit einer Erweiterung. Fasterfox und Konsorten sind auch weit verbreitet, ohne das sie tatsächlich einen Nutzen hätten. Placebo-Effekt lässt grüßen. Steht "Geschwindigkeit" drauf, der Rest ist entsprechendes Wunschdenken.
Cross-Site-Scripting ist tatsächlich das einzige bei dem der Nutzer unter Umständen Risiken erfährt. Hierbei wird er aber nur Opfer wenn er grundlegende Regeln im Netz ignoriert. Auch hier ist weniger Javascript als ein Fehlverhalten des Nutzers Ursache des Risikos. Und NoScript schützt genau so wenig wie ein Virenscanner vor Fehlern durch Unwissenheit. Nur wenn man sich mit der Thematik befasst, kann man Noscript vernünftig nutzen. Was allerdings auch dazu führt, dass man Noscript nicht mehr benötigt.
Daher bleibe ich bei meiner Meinung: aus Sicherheitsgründen ist ein aktueller Firefox in Sachen Javascript wenig bedenklich.
Hallo mädchen,
schön, wenn ich dich doch noch einmal nachdenklich machen konnte. 
Es gibt für die Taskleiste insgesamt 3 Symbole (die Beschriftung sollte deutlich erkennen lassen, welches das Haupt-Symbol ist). Das Hauptsymbol für die Taskleiste entspricht von seiner Funktion dem standardmäßig in der Statusleiste befindlichen Symbol. Und das funktioniert generell so:
Sobald du darauf klickst (in den letzten Versionen reicht ein darauf zeigen), erscheint eine Liste mit den Adressen, von denen Scripts blockiert werden. Die Hauptseite, die du gerade besuchst, ist fett gedruckt. Weitere Seiten (nicht immer, aber häufig Werbe-Adressen) normal. Jede Adresse erscheint (sofern bislang blockiert) doppelt: Einmal besteht die Möglichkeit, die Adresse dort freizugeben, das erstellt automatisch eine Regel, so daß in der Zukunft diese Seite immer JS ausführen darf. Ein weiterer Menüeintrag erlaubt die temporäre Freigabe, die spätestens beim Schließen des FF wieder entfernt wird. Wenn man einer Seite wirklich vertraut und die JS-Freigabe auch regelmäßig benötigt wird ist die permanente Freigabe sinnvoll, weil man sich später nicht mehr darum zu kümmern braucht.
Das Hauptsymbol für die Taskleiste hat noch eine weitere Funktionalität: Mit einem einfachen Klick wird JS für die besuchte Seite temporär freigegeben (ohne sich mit den Menüeinträgen beschäftigen zu müssen), ein weiterer Klick darauf entfernt diese temporäre Freigabe wieder. Dasselbe kann man mit einer Tastenkombination umschalten. Standardmäßig ist die mit Strg-Umschalt-\ belegt, was jedoch mit deutschen Tastaturen nicht funktioniert. Ändern läßt sich das, wenn du in der Adresszeile des Browsers about:config eingibst und dann in der Filterzeile eintippst noscript.keys.toggle und dann den Wert änderst (dort wird stehen: ctrl shift VK_BACK_SLASH.|, eine sinnvolle Alternative, die mit deutscher Tastaturbelegung funktioniert ist ctrl shift VK_BACK_SPACE.| und bedeutet die Tastenkombination Strg-Umschalt-Rückschrittaste (die oben rechts in der Reihe mit den Zifferntaste im Haupttastenfeld.) Da sich das Symbol jedesmal ändert ist der aktuelle Status mit einem Blick sichtbar.
Ich hoffe, das hilft dir weiter.
Zitat von CosmoIrgendeine Begründung oder einen Beleg dafür, außer Glauben und Hoffnung? Das eine fehlerhafte Version des Interpreters das Gefahrenpotential erhöht, ist banal, daß eine solche Version das Potential überhaupt erst schafft, ist Behauptung pur.
Wo bleibt denn dein Beweis, dass JavaScript in aktuellen Firefox-Versionen eine Sicherheitslücke darstellt? Bisher konnte ich da auch nur die Behauptung entdecken.
Zitat von CosmoNicht umsonst empfiehlt das BSI klar und unmißverständlich, Javascript soweit möglich (und das interpretiere ich mit: auf allen Seiten, auf denen es für die Darstellung nicht benötigt wird und der man nach reiflicher Überlegung vertraut) zu deaktivieren. Es gibt dazu mehrere Seiten beim BSI, zum Beispiel wird hier klar gemacht, daß ein fehlerhafter Interpreter mitnichten das einzige kritische Sicherheitsrisiko darstellt, wie oben behauptet.
Lies dir die Seite nochhmal durch: die Risiken die da stehen sind allgemeine Sicherheitslücken (die gibt es aber nicht nur in JavaScript - und 0-Day Exploits sind bei Firefox extrem selten, deswegen die Empfehlung der aktuellen Version), gefakte Linkziele (geht schon lange nicht mehr - und in Zeiten von twitter geht es mit den ganzen Linkverkürzern auch viel einfacher) - und schlechte Sicherheitsprogramme. Ein schlechtes Security-Programm gehört ausgetauscht, statt an den Symptomen rumzudoktern.
Zitat von CosmoEine solche sehr blauäugige Sichtweise läßt sich auch nicht mit dieser umfassenden Darstellung von der FU Berlin in Übereinstimmung bringen. Nur wenige Aussagen zur Auswahl:
[snip]
Das ist nicht "die FU Berlin", sondern die sogenannte "Userpage" von einer Person, die dort wohl arbeitet oder studiert.
Und die Seite ist von 2004. Da wurde der IE jahrelang nicht weiterentwickelt wurde und hatte Sicherheitslücken, die Microsoft nicht beheben wollte. Das hat hat wenig mit FIrefox (oder der heutigen Situation des IE) zu tun.
Zitat von CosmoDes weiteren ist es so, daß Javascript teils aus Bequemlichkeit der Seiten-Programmierer, teils aus Gründen der Schikane (oder Schlimmeres) eingesetzt wird, obwohl es technisch gar nicht erforderlich ist.
Stimmt. Dafür gibt es aber wesentlich einfachere Lösungen, wie z.B. YesScript.
Zitat von CosmoWer NoScript dazu verwendet, um JS bei jeder Seite, die nicht sofort in voller Schönheit erstrahlt, ohne nachzudenken zuzulassen, hat den Sicherheitsaspekt nicht verstanden.
Stimmt. That's exactly my point! Jemand, der sich nicht mit der Materie auskennt und auf eine Empfehlung NoScript installiert, der ist nicht automatisch sicherer dran, als davor. Aber er hat jetzt einen Placebo und denkt, niemand könnte ihn mehr hacken.
Solche Sicherheits-Ignoranten auch noch mit der Suggestion, Sicherheit sei für Laien unpraktikabel, auch noch zu bestätigen, halte ich ohne Wenn und Aber für falsch.
Aber NoScript ist für Laien nicht bedienbar! Wie soll ein Laie denn einschätzen, ob Scripte von z.B. Akamai (ein CDN) vertrauenswürdig sind oder nicht? Das kann so auch kein Experte sagen - wenn mans genau nimmt müsste man den JavaScript-Code nämlich lesen, bevor man ihn freischaltet. (Und dafür ist NoScript nicht ausgelegt, denn dann müsste es ja bei einem geänderten Script Alarm geben, damit man dieses wieder lesen und freischalten kann.)
Zitat von CosmoNicht erwähnt - und hier auch nicht weiter zu vertiefen - ist die Tatsache, daß NS keineswegs nur JS limitiert, sondern auch Schutz vor anderen Risiken darstellt (wie Cross-Site-Scripting [1], Clear-Click-Schutz oder der in 2.0rc5 eingeführte Router-Schutz, um nur einige Beispiel zu nennen). Daraus folgt aber klar, daß der Sicherheitsgewinn durch NS weit über die JS-Thematik hinausreicht.
Das sind Heuristiken, die keinen 100%-Schutz bieten und gerne auch mal Fehlalarm geben. Man kann sie teilweise (wie JavaScript) sogar zum DoSen des PCs ausnutzen... Aber ich gebe zu, dass die meisten Allerweltshacks über diese Hürde wohl nicht springen. (Ich rege mich nur immer über die Aussagen auf, die suggerieren diese Features würden zu 100% wirken.)
Zitat von CosmoTröstlich zu wissen, daß NS mit derzeit rund 550.000 Downloads wöchentlich und rund 66 Mio. Downloads insgesamt (Stand: 1. Mai 2010) zu den beliebtesten Firefox-Erweiterungen zählt.
Die Zahlen sind mit sehr viel Vorsicht zu genießen. Es ist schon öfter passiert, dass addons.mozilla.org gewisse Probleme aufgetaucht sind, die das Zählen der Downloads beeinflusst haben. Das hat dann aber komischerweise die täglichen Downloadzahlen aller Add-ons von einem Tag auf den anderen nach oben oder nach unten katapultiert - nur bei NoScript sind sie gleich geblieben.
[1] nur mal zum Nachdenken: einen XSS-Schutz hat der aktuelle IE von Haus aus eingebaut, FF dagegen nicht. FF ohne NS hat bezüglich Sicherheit gegenüber anderen Browser teilweise durchaus das Nachsehen.
Und der XSS-Schutz des IE hat auch schon XSS-Lücken auf Seiten produziert, die sonst eigentlich sicher sind. Aus dem Grund deaktiviert Google ihn z.B. für die eigenen Webseiten. Echt ein tolles Feature!
Zitat von bugcatcherKomfort war im Sinne von "Seite geht nicht wie erwartet", bei dem vielen Laien einfach das nötige Fachwissen fehlt, einzuschätzen, warum etwas nicht geht.
Viel mehr Seiten, als allgemein kolportiert wird, gehen ohne JS. Aber in der völlig falschen Behauptung, es sei unkomfortabel, werden auch administrative Konten zum Arbeiten verwendet; die Behauptung erfolgt nahezu ausschließlich von Leuten, die sich für eingeschränkte Konten zu erhaben fühlen und keine Erfahrung damit haben. Also, wenn das Geschrei wegen angeblichen Komforts ein Kriterium darstellen sollte, so werfe man alle - aber wirklich alle - Sicherheitsfunktionen über Bord, denn keine Sicherheits-Software und -Konfiguration dient vom Design her der Steigerung des Komforts! Für mich ist das kein Argument, solange man sich nicht mit den Bedingungen im Einzelnen auseinandersetzt. Und ich finde auch keine überzeugende Argumentation dazu, was schlimmes und unkomfortables es sein soll, auf den fett gedruckten Menüeintrag von NS zu klicken (einmal davon abgesehen, daß die Verwendung des von der Natur mitgegebenen Gehirns für mich keine Option, sondern Bedingung menschlichen Agierens ist; Gehirn-Abschalten, weil es komfortabler ist: darauf lasse ich mich nicht ein, ob ich damit allein stehen sollte (so ganz allein ziemlich offensichtlich nicht) oder nicht).
Zitat von bugcatcherwarum ein Laie nicht einschätzen kann, ob ein Seite gefährlich ist oder nicht.
Wer brain.exe durch nobrain.exe ersetzt, ist für mich kein Argument für irgend etwas. Wer keinerlei Motivation erkennen läßt, sich mit dem Thema auseinander zu setzen, wird auch niemals klüger werden (sich aber irgendwann womöglich ganz ausgeschlossen finden, siehe meine Anmerkung im vorhergehenden grundlegenden Beitrag von mir). Dummheit der Anwender, die Dummheit zu konservieren, wird freilich den Status quo konservieren; zumindest solange, bis die Virenschleudern (JS-Dauerbenutzer haben ja typischerweise, wie ebenfalls bereits angerissen, noch ganz andere Sicherheitslücken - "gepflegt" durch vorgeblichen Komfort, besser ausgedrückt: Ignoranz - an Bord) zwangsweise vom Netz getrennt werden (und meine Befürchtung: unter diesem Vorwand auch andere Leute gleich mit).
Zitat von bugcatcherAuf eine konsequente Einstellung ala "die Seite funktioniert ohne Javascript nicht, also bin ich lieber vorsichtig und meide die Seite" wirst du keine finden.
Deine Vermutung und Sichtweise, aber kein Beleg und schon gar kein Argument dafür, es weiterhin und wie die Lemminge einfach in der Masse mitmarschierend mitzumachen.
Zitat von bugcatcherHorrorszenarios
Welche?
Zitat von bugcatcherNatürlich kann man auch hier die ZeroDay-Keule auspacken, aber selbst dann ist ein Konto mit eingeschränkten Rechten eine Hürde die nicht mit Javascript zu nehmen ist.
Darf ich das so verstehen, daß du es für erfolgversprechender - aus der Sicht der Akzeptanz - ansiehst, Benutzer von der Verwendung eingeschränkter Konten zu überzeugen als von dem Klick auf einen gut erkennbaren Menüeintrag? Natürlich: Denken muß dabei schon eingeschaltet werden ("Brauche ich das wirklich, traue ich dem Anbieter tatsächlich?"), aber der penetrante Nicht-Denker wird sich von der Verwendung eines eingeschränkten Kontos noch viel schwerer überzeugen lassen - und der Aufwand zur Umstellung ist ungleich höher. Im übrigen ist Sicherheit ein Konzept, ähnlich einer Kette gehören alle Glieder dazu.
Zitat von bugcatcherWenn jemand mit Adminrechten, veralteten Plugins und ungepatchtem Betriebssystem arbeitet, dem hilft es im Übrigen auch nicht mehr, Javascript abzuschalten.
Das wirst du bei mir auch nicht gelesen haben, daß ich das vertrete. Und ich bin so frei und behaupte, daß du mich so weit kennst, daß du meine Einstellung und meine ständige Ermahnung, die genannten Lücken nicht entstehen zu lassen oder zu schließen, kennst. Das Abschalten von JS ist in der Tat - und da sind wir völlig einer Meinung - kein Ersatz für die grundlegende Sicherung und Härtung des Systems; ich gehe sogar so weit zu sagen, daß auf einem System mit Adminrechten und fehlenden kritischen Updates die Verwendung von JS auch keinen Unterschied mehr macht - da ist sowieso schon alles zu spät. Aber in diesem Thread geht es nun mal um Javascript; das dessen generelle Freigabe mit Sicherheitsmängeln in den anderen genannten Aspekten häufig einhergeht, hatte ich in einer Randbemerkung gleichwohl gemacht.
Zitat von bugcatcherEs zur Speerspitze der Unsicherheit zu erheben ist daher mehr als Absurd und alles andere als eine "qualifizierte Beratung" für einen Laien.
Du magst zitieren, welche meiner Aussagen du derart mißverstanden hast.
Zitat von bugcatcherDie Anzahl der Downloads ist übrigens keinerlei Belegt für die Sinnhaftigkeit einer Erweiterung.
Wahrscheinlich noch so eine falsche Interpretation. Ich hatte die Zahlen nicht einmal im Ansatz als Argumentation für irgend etwas verwendet, sondern es als tröstlich (das geschah in Replik auf die Beiträge, auf die ich mich bezogen hatte) bezeichnet, daß es sich so verhält. Elvis ist tot und die Zeiten, als Colonel Parker (sein Manager) verkündete "Millionen Fans können sich nicht irren" liegen 50 Jahre zurück. Aber hohe Zahlen (Plattenverkauf oder Downloads) sind auch kein Beleg, daß die Leute auf falsche Botschaften herein gefallen wären. Elvis' Musik war trotz Col. Parker gut und wenn man hohe Downloads allein bereits für verdächtig halten sollte, dann müßte man den FF zu den schlimmsten Stücken an Software erklären, die jemals geschrieben worden sind.
Zitat von bugcatcherCross-Site-Scripting ist tatsächlich das einzige bei dem der Nutzer unter Umständen Risiken erfährt. Hierbei wird er aber nur Opfer wenn er grundlegende Regeln im Netz ignoriert. Auch hier ist weniger Javascript als ein Fehlverhalten des Nutzers Ursache des Risikos. Und NoScript schützt genau so wenig wie ein Virenscanner vor Fehlern durch Unwissenheit. Nur wenn man sich mit der Thematik befasst, kann man Noscript vernünftig nutzen. Was allerdings auch dazu führt, dass man Noscript nicht mehr benötigt.
Ach nein? Welchen Schutz gegen XSS-Attacken bietet der FF den ohne NS? Und wieso und auf welche Art und Weise sollen, die Benutzer, denen du die angeborene Unfähigkeit zur Benutzung von NS attestierst, plötzlich in der Lage sein, sich dagegen zu schützen?
Doch selbst auf das simple JS - um darauf zurück zu kommen - widerspreche ich deiner Einschätzung: Vielleicht weißt du einen praktikablen Weg, der sich mir bislang nicht erschlossen hat, ohne NS gegebenenfalls von einer Top-Level-Domäne JS zuzulassen, ohne daß JS von jeder Feld- und Wiesen-Second-Level-Domäne ebenfalls ausgeführt wird. Nach meiner Recherche ist das mit dem nackten Fuchs unmöglich mit der logischen Konsequenz, daß das Wissen allein auch erfahrener Benutzer nicht hilft.
Zitat von Cosmoohne NS gegebenenfalls von einer Top-Level-Domäne JS zuzulassen, ohne daß JS von jeder Feld- und Wiesen-Second-Level-Domäne ebenfalls ausgeführt wird. Nach meiner Recherche ist das mit dem nackten Fuchs unmöglich
Doch, einen solchen Weg gibt es, über Einträge in die Datei user.js, allerdings kaum für Laien.
Mozilla.org - Configurable Security Policies
This document is aimed at programmers familiar with JavaScript.
Ich ärgere mich nur darüber, daß bei 90% der Nutzer, bei denen NoScript installiert ist, nach spätestens 5 Tagen "Skripte permanent erlauben" immer wieder eingestellt ist. Das Gehirn funktioniert sehr wohl, aber nur um sich vermeintlichen Komfort zu sichern und sich einen oder zwei zusätzliche Klicks zu ersparen. Zum Rest heißt es dann: "Erweiterung installiert, also sicher."
Zum XSS-Schutz gibt es auch eine Reihe von expliziten Erweiterungen.
Gruß gammaburst
