Zitat von Dr. EvilWo bleibt denn dein Beweis, dass JavaScript in aktuellen Firefox-Versionen eine Sicherheitslücke darstellt?
Ich hatte dargestellt, daß die Methode Javascript (oder allgemeiner: aktive Inhalte) ein Sicherheitsrisiko darstellt. Ich hatte ferner darauf hingewiesen, daß die Frage nach der aktuellen Software-Version in diesem Zusammenhang banal ist; und du willst dich doch nicht auf Banalitäten konzentrieren?
Zitat von Dr. EvilLies dir die Seite nochhmal durch: die Risiken die da stehen sind allgemeine Sicherheitslücken ...
Genau: allgemeine! Nur im ersten respektiven Absatz auf Sicherheitslücken im Interpreter bezogen, aber keineswegs darauf beschränkt. Unter anderem wird ein Codebeispiel genannt; sollte ich dich jetzt so verstanden haben, daß dieser Code nur in einem fehlerhaften Interpreter funktionier? Der Text des BSI gibt das nicht her.
Zitat von Dr. EvilDas ist nicht "die FU Berlin", sondern die sogenannte "Userpage" von einer Person, die dort wohl arbeitet oder studiert.
Und die Seite ist von 2004. Da wurde der IE jahrelang nicht weiterentwickelt wurde und hatte Sicherheitslücken, die Microsoft nicht beheben wollte. Das hat hat wenig mit FIrefox (oder der heutigen Situation des IE) zu tun.
Die FU Berlin ist der Seitenbetreiber. Und beschrieben wurde dort Javscript, nicht eingeschränkt auf die MS-Umsetzung dieser Technologie. Und ich sehe nicht, daß die generelle Funktionalität von JS heute eine völlig andere wäre. Bei Nicht-Gefallen ist aber ein Leichtes, andere Seiten zu dem Thema zu ergoogeln.
Zitat von Dr. EvilStimmt. Dafür gibt es aber wesentlich einfachere Lösungen, wie z.B. YesScript.
Unlike NoScript, YesScript does absolutely nothing to improve your security.
Für mitlesende Nicht-Anglisten: "Im Unterschied zu NoScript tut YesScript absolut nichts zur Verbesserung der Sicherheit" - was impliziert, daß NS das tut (auch wenn der YS-Autor sich dazu bekennt, die vom FF allein stammende Sicherheit für ausreichend zu halten). - Und das soll einfach sein, daß der Benutzer die zu blockierenden Adressen erst einzeln eintragen soll? Nun ja, wer was für wie einfach hält, darüber kann man ja unterschiedlicher Meinung sein. Wenn du das so siehst, werde ich dir nicht widersprechen, dann mach mal schön. Meine Vorstellung über Einfachheit sieht anders aus (das ist jedoch egal bei einer Erweiterung, die laut Anbieter sowieso mit Sicherheit nichts am Hut hat und bei der ich mich folglich frage, wozu sie eigentlich gut sein soll).
Zitat von Dr. EvilJemand, der sich nicht mit der Materie auskennt und auf eine Empfehlung NoScript installiert, der ist nicht automatisch sicherer dran, als davor. Aber er hat jetzt einen Placebo und denkt, niemand könnte ihn mehr hacken.
Dann lag es womöglich an der Empfehlung. Wer sich NS installiert, weil er sensibilisiert worden ist, hat die Chance, seine Sicherheit zu verbessern. Wer auf "Empfehlung" NS nicht installiert, macht weiter wie bisher in dem Bewußtsein, daß ein Wissender ihm doch erzählt hat, es könne ja nichts passieren - bis dann doch etwas passiert.
Zitat von Dr. EvilAber NoScript ist für Laien nicht bedienbar!
Doch, es ist bedienbar, wie einfach das geht, hatte ich beschrieben. Das Gehirn dabei zu benutzen hat nichts mit der Einfachheit der Bedienung zu tun. Menschen, die ihr Gehirn notorisch ausschalten, sind in der Tat nicht die Ansprechpartner für Sicherheitslösungen; da gebe ich mich keiner Illusion hin. Menschen, die danach fragen - und so ist dieser Thread doch wohl zustande gekommen - haben ihr Gehirn offensichtlich benutzt. Und ich hatte klar und deutlich geschrieben: JS ja, wenn es wirklich unbedingt benötigt wird und man dem Anbieter tatsächlich traut. Kennt man ihn nicht, beantwortet sich die Frage nach dem Vertrauen automatisch, da braucht es nicht einmal einen außerordentlichen IQ. Sprich: Das können auch Laien bedienen; die einzige Frage ist die, ob sie das auch wollen. Wer nach NS fragt, erweckt in mir (ich beanspruche nicht, daß du das genauso bewertest) jedenfalls den Eindruck, daß er das will. Eine Bewertung wie die deine halte ich mit Verlaub deswegen als kontraproduktiv.
Zitat von Dr. Evil... keinen 100%-Schutz bieten ...
100% Schutz gibt es nicht, ich denke, das sollte unstrittig sein. Aber alles unter 100% mit 0% gleichzusetzen stellt die simpelste Mathematik auf den Kopf. Immerhin hast du mit keiner Silbe diese Risiken als nicht-vorhanden abgetan, damit stündest du auch ziemlich einsam da.
Nachtrag:
Du hattest in dem vorhergehenden Beitrag geschrieben:
Zitat von Dr. Evil(Und bei einer veralteten Version hilft auch das deaktivieren normalerweise nichts.)
wobei sich die "veraltete Version" aus dem Kontext erkennbar auf den FF bezog.
Wie kommst du eigentlich zu dieser Behauptung? NS blockiert den Code, er kommt also gar nicht im Interpreter an, folglich kann der (einen alten, fehlerbehafteten angenommen) auch nichts damit machen - noch nicht einmal etwas falsches. Genau das Gegenteil dessen, was du schreibst ist somit richtig. Und damit das nicht in die falsche Kehle gelangt: Nein, ich bin ganz und gar nicht der Meinung, daß NS das zügige Aktualisieren des Browsers ersetzt, im Gegenteil. Aber wenn eine Sicherheitslücke bekannt geworden ist, das Update aber noch nicht zur Verfügung steht, bietet gerade NS die Möglichkeit, sich davor zu schützen. (Zugegeben: Man könnte JS auch in dieser Zeit in den FF-Optionen abschalten, aber gerade die Dummies, von denen hier immer wieder die Rede war, werden das nicht tun - sofern sie sich überhaupt über die Existenz einer nicht geschlossenen Lücke im JS-Interpreter informiert haben, was nahezu durchgängig verneint werden muß.)
Da ich das oft genug anderes erlebt habe bedanke ich mich hiermit bei allen Beteiligten. 