Frage zu NoScript
- Ersteller kronen
- Erstellt am
:
Morku
Lieutenant
- Registriert
- Mai 2004
- Beiträge
- 892
r0ck3r schrieb:Sorry, aber ich habe solche Probleme noch nie erlebt... und ich benutze NoScript schon einige Jahre und surfe wirklich viel!!
Finde dein Posting ein wenig übertrieben.
Dann probier es aus und wenn du Youtube "repariert" bekommst, bitte ich dich um deine Vorgehensweise. Dann nehme ich alles zurück
Lemon with Ice
Lieutenant
- Registriert
- März 2011
- Beiträge
- 574
Also ich finde NoScript übertrieben. Adblock und Disconnect reichen mir völlig aus. Und seit Java nicht mehr so ungefragt Zugriff auf Webseiten hat finde ich es persönlich für überflüssig.
Man kann es auch übertreiben, es sei denn man ist auf unseriösen Seiten unterwegs. Dann könnte es eventuell noch von nutzen sein.
Man kann es auch übertreiben, es sei denn man ist auf unseriösen Seiten unterwegs. Dann könnte es eventuell noch von nutzen sein.
Nein, du musst erstmal gar nichts machen. Du kannst es aber machen, wenn du die entsprechenden Seiten regelmäßig besuchst und du in der Benutzbarkeit zu sehr eingeschränkt wirst.kronen schrieb:
Indem sie es lernen (=sich aktiv damit beschäftigen), Alternativen suchen oder darauf verzichten? Manch einer bootet z.B. lieber von einer Live-Linux-CD oder virtualisiert nur den Browser, bzw. das Betriebs-System unter Windows. Kann schließlich jeder handhaben, wie er oder sie möchte.
Ein Beispiel, wofür (standardmäßig) geblocktes Javascript helfen könnte, wären solche "Spaß-Seiten", wie in dem folgenden Thread erklärt:
https://www.computerbase.de/forum/threads/budespolizeitrojaner-webseiten.1262421/
Sorry, aber außer zu Fehler-Analysen, wenn man grad zu wenig Zeit hat, ist diese Vorgehensweise eher kontraproduktiv.Ahorn schrieb:
Das Addon hat den Sinn, zunächst über temporäreres Whitelistening nur die nötigsten Skripte laden zu lassen. Wenn alles funktioniert, kann man wieder auf blockieren gehen, bzw. eine neue Sitzung aufmachen und dann per Rechtsklick das entsprechende Element dauerhaft whitelisten.
Bei Foren wie Computerbase.de (und bei den meisten Webseiten allgemein) reicht die Freigabe der Hauptseite aus, um alle Funktionen benutzen zu können (z.B. die
- wer hätte das gedacht? -
@Topic: Mir geht NoScript mitterweile nicht mehr weit genug, weswegen ich auch RequestPolicy einsetze, auch wenn ein wenig mehr Eingewöhnungs-Zeit notwendig war.
Es geht nicht um manipulierte Downloads (also .exe, .zip,...) sondern um manipulierte Webinhalte, genauer gesagt JS. Ein Eindringling wird, wenn er clever ist, nicht etwa seine eigenen JS-Files von der Fremdquelle separat einbinden, sondern seinen Schadcode direkt in der Haupt.JS einbetten. Das kann sogar vollautomatisch erfolgen. Im Falle von einem gehackten Magento müsste man dafür z.B. nur die local.xml des verwendeten Themes um ein halbes Dutzend Zeilen erweitern. Auch andere CMS besitzen automatische Code-Zusammenführung und -kompression.emlyn d. schrieb:
Dagegen schützt dich NoScript keinen Meter weit, weil der Inhalt von derselben Domain kommt, der du ja bisher immer vertraut hast.
Und Anti-Viren-Scanner verhindern bei 0 day Exploits in der Regel nicht vor einer Infektion. Und die Windows-Firewall und/oder die Router-Firewall können nicht alle Hacker-Eingriffe abwehren. Und verschloßene Türen und Fenster helfen auch nicht zu 100% gegen Einbrecher.Daaron schrieb:
Wenn ein zusätzliches Modul aber Schutz anbieten kann, dann spricht auch nichts dagegen, solange man sich nicht zu sehr eingeschränkt fühlt.
Tatsache ist jedenfalls, dass man sich nie nur auf einen bestimmten Aspekt bei der Sicherheit festlegen sollte, sondern neben einem Anti-Viren-Scanner mit Echtzeit-Schutz und aktiver Router + Software-Firewall (Windows intern oder Dritt-Programm) auch Programme (insbesondere Java, Flash u. Browser), sowie das Betriebs-System aktuell halten muss und auf jeden Fall sämtliche wichtigen Daten gesichert haben sollte.
Übrigens seh ich NoScript eher als "Vorhang", der meine Privatsphäre vor anderen besser schützen sollte, aber das hilft ja auch nicht viel, wenn ich selber darüber ausplaudere, also sozusagen "das Licht anmache".
Zuletzt bearbeitet:
@Daaron
Du hast die Beispiele aufgeführt.
Die Wetter.com-Geschichte, ein ganz typischer Exploit-Angriff, hast Du hoffentlich jetzt verstanden.
Bei Computec ist davon
Hast Du irgendeinen Anhaltspunkt, dass die Werbemittel nicht "von extern" kamen?
btw:
Als die PC Welt-Seite kompromittiert war, hat NoScript auch geschützt.
btw2:
Aktuelles Beispiel: Ruft man xttp://thisisnotforpublicuse.pp.ua/212/ auf, landet man ohne NoScript bei einer Browser-Ransom-Seite.
Du hast die Beispiele aufgeführt.
Die Wetter.com-Geschichte, ein ganz typischer Exploit-Angriff, hast Du hoffentlich jetzt verstanden.
Bei Computec ist davon
die Rede.
Hast Du irgendeinen Anhaltspunkt, dass die Werbemittel nicht "von extern" kamen?
btw:
Als die PC Welt-Seite kompromittiert war, hat NoScript auch geschützt.
btw2:
Aktuelles Beispiel: Ruft man xttp://thisisnotforpublicuse.pp.ua/212/ auf, landet man ohne NoScript bei einer Browser-Ransom-Seite.
DerOlf
Admiral
- Registriert
- März 2010
- Beiträge
- 9.557
Wo ist denn nun das Problem?
Wenn euch die ewige Freischalterei stört, dann nutzt eben "YesScript", im Prinzip macht das genau das gleiche, wie NoScript nur eben andersrum. Das bedeutet, bei YesScript muss man die Scripte nicht entblocken (NoScript, Prinzip der Whitelist), sondern blocken (Prinzip der Blacklist). Für die jenigen, denen es zu nervig ist, ständig irgendwelche Scripte zuzulassen, ist das dann wohl die bessere Lösung. Oder ihr nutzt die Whitelist von NoScript, und seid damit eben dann nicht dagegen geschützt, wenn Schadcode in ganz "normale" und bei euch erlaubte Scripte eingebettet wurde.
Ich verwende z.B. nichtmal die Whitelist von NoScript (bzw. sie ist sehr kurz, eigentlich stehen da nur youtube, gmx und Computerbase drin), alles andere wird bei Bedarf temporär erlaubt.
Am besten gefällt mir daran folgendes: Ich bekomme recht schnell mit, wenn auf einer Seite (wiedermal) ein neues Script eingebettet wurde. Bei den meisten Seiten wird die Liste immer länger, und ich möchte garnicht genau wissen, wie diese Seiten ohne NoScript aussehen.
Ursprünglich habe ich NoScript angefangen zu nutzen, weil Scripte bei mir eine Zeitlang absolute Performance-Killer gewesen sind. Ohne NoScript dauerte der Seitenaufbau teilweise 2-5 Minuten, mit NoScript waren es dann nur noch 20-30 sek (war ein alter Rechner, aber ich habe das beibehalten). Und das ist bei mir der Hauptgrund für NoScript, Sicherheit erwarte ich mir von dem Ding auf jeden Fall nicht primär. Es ist gut, wenn ich dadurch vor ein paar Gefahren mehr geschützt bin, aber ich würde mich definitiv nicht darauf verlassen.
Einen sehr interessanten Effekt konnte ich dabei auch feststellen. Im Foren-Bereich von StudiVZ kann man nur posten, wenn man das StudiVZ-eigene Script blockiert - lässt man dieses Script zu, hat das z.B. zur Folge, dass das Eingabefenster für eine Antwort verschwindet. Stellt euch vor, ihr erlaubt das Script von computerbase.de und der ganze Bereich "direkt antworten" ist danach weg.
Wenn euch die ewige Freischalterei stört, dann nutzt eben "YesScript", im Prinzip macht das genau das gleiche, wie NoScript nur eben andersrum. Das bedeutet, bei YesScript muss man die Scripte nicht entblocken (NoScript, Prinzip der Whitelist), sondern blocken (Prinzip der Blacklist). Für die jenigen, denen es zu nervig ist, ständig irgendwelche Scripte zuzulassen, ist das dann wohl die bessere Lösung. Oder ihr nutzt die Whitelist von NoScript, und seid damit eben dann nicht dagegen geschützt, wenn Schadcode in ganz "normale" und bei euch erlaubte Scripte eingebettet wurde.
Ich verwende z.B. nichtmal die Whitelist von NoScript (bzw. sie ist sehr kurz, eigentlich stehen da nur youtube, gmx und Computerbase drin), alles andere wird bei Bedarf temporär erlaubt.
Am besten gefällt mir daran folgendes: Ich bekomme recht schnell mit, wenn auf einer Seite (wiedermal) ein neues Script eingebettet wurde. Bei den meisten Seiten wird die Liste immer länger, und ich möchte garnicht genau wissen, wie diese Seiten ohne NoScript aussehen.
Ursprünglich habe ich NoScript angefangen zu nutzen, weil Scripte bei mir eine Zeitlang absolute Performance-Killer gewesen sind. Ohne NoScript dauerte der Seitenaufbau teilweise 2-5 Minuten, mit NoScript waren es dann nur noch 20-30 sek (war ein alter Rechner, aber ich habe das beibehalten). Und das ist bei mir der Hauptgrund für NoScript, Sicherheit erwarte ich mir von dem Ding auf jeden Fall nicht primär. Es ist gut, wenn ich dadurch vor ein paar Gefahren mehr geschützt bin, aber ich würde mich definitiv nicht darauf verlassen.
Einen sehr interessanten Effekt konnte ich dabei auch feststellen. Im Foren-Bereich von StudiVZ kann man nur posten, wenn man das StudiVZ-eigene Script blockiert - lässt man dieses Script zu, hat das z.B. zur Folge, dass das Eingabefenster für eine Antwort verschwindet. Stellt euch vor, ihr erlaubt das Script von computerbase.de und der ganze Bereich "direkt antworten" ist danach weg.
Zuletzt bearbeitet:
Ähnliche Themen
- Frage
