NoScript: Vorgefertigte Blockliste(n)?

[Basinator]

Folgendes: Ein Bekannter hatte sich ein verfängliches Firefox-Addon....eingefangen.

Nachdem ich dieses nun entfernt hatte, stelle ich mir die Frage, wie ich ihn am Besten schützen kann.

Avast!-Update, als nächstes MalwareBytes' Anti-Ransomware.

Ich möchte egtl. auch noch NoScript aktivieren. Das Problem ist, dass der Nutzer sich leider etwas...technisch ungeschickt anstellt und mit der NoScript-Konfiguration überfordert sein wird.
Daher würde ich gerne Skripte global erlauben, aber eine Blockliste zu gefährlichen Websites importieren.* Bin leider nicht so wirklich fündig geworden, kennt jemand von euch eine Quelle?

* Nach der Devise: Lieber einige geblockte gefährliche Websites als gar keine.

 

[AleksZ86]

die besten tools werden nicht helfen, du musst deinem bekannten die "gefahren des internets" erklären, nur das hilft auf dauer.

 

[Basinator]

Es geht um Schadensbegrenzung. Dass eine zu tun, bedeutet nicht, dass das Andere nicht auch auch sinnvoll sei.

Auf Golem ein Artikel über AV und Gefahren:
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

Interessant wäre wohl App-Whitelistening, NoScript funktioniert ja auch auf demselben Prinzip.

https://www.schneier.com/blog/archives/2016/10/security_design.html <- Fand den Artikel recht interessant.

 

[AleksZ86]

der Windows Defender sollte eigentlich ausreichend sein, und wenn du ihm erklärst dass er nur die seiten whitelisten soll die er auch kennt, sollte eine black/whitelist eigentlich nicht mehr notwendig sein.

ob es eine blacklist für noscript gibt kann ich dir leider nicht sagen.

 

[andy_m4]

Das Problem ist, dass der Nutzer sich leider etwas...technisch ungeschickt anstellt und mit der NoScript-Konfiguration überfordert sein wird.

Für solche "Experten" empfiehlt sich dann eher ein "immutable system". Alles andere ist nix halbes und nix Ganzes. Ohne Wissen ist es kaum möglich sich effektiv zu schützen.

 

[Oli_P]

Vielleicht stattdessen mal uBlock probieren. In den Einstellungen "Ich bin ein erfahrener Anwender" aktivieren und dann den integrierten Skripte-Blocker auf "Medium Mode" stellen. Wie das geht und um was es sich überhaupt geht, kann man in der Wiki von uBlock nachlesen; die ist verlinkt in den Einstellungen (English only). Man kann natürlich auch einen höheren Block-Modus aktivieren, aber dann werden Seiten unter Umständen nicht mehr richtig geladen und man muss von Hand Skripte zulassen die notwendig sind.

 

[badpitt]

Du kannst nicht verhindern, dass gefährliche Websites besucht werden - auch nicht mit Noskript. Das soll übrigens "seltsamen Code" enthalten, wie ich in einem Entwicklerforum gelesen habe. Worum es dabei genau geht weiß ich leider nicht. Es sollte aber zu denken geben, dass NoSkript tatsächlich das einzige Plugin seiner Art ist und meines Wissens keine Alternativen existieren. Warum? Ja, genau...gute Frage.

 

[andy_m4]

Du kannst nicht verhindern, dass gefährliche Websites besucht werden - auch nicht mit Noskript.

Das ist auch gar nicht der Sinn und Zweck von Noscript.
NoScript soll in erster Linie verhindern, dass Javascript ausgeführt wird weil viele Sicherheitsprobleme eben genau im Zusammenhang mit Javascript auftreten.

Es sollte aber zu denken geben, dass NoSkript tatsächlich das einzige Plugin

Es ist kein Plugin, sondern ein AddOn.

seiner Art ist und meines Wissens keine Alternativen existieren.

Gibt es schon. Zum Beispiel SafeScript.

Aber inwiefern sollte das zu denken geben, selbst wenns keine Alternative gäbe?

 

[badpitt]

Das ist auch gar nicht der Sinn und Zweck von Noscript.
NoScript soll in erster Linie verhindern, dass Javascript ausgeführt wird weil viele Sicherheitsprobleme eben genau im Zusammenhang mit Javascript auftreten.

Richtig.

Es ist kein Plugin, sondern ein AddOn.

Unwichtig.

Gibt es schon. Zum Beispiel SafeScript.

Interessant. Allerdings scheint es noch sehr neu:

"The first version of Script Safe for Firefox is up to a promising start. The developer needs to sort out some features of the extension, and work on the usability part as well",

schrieb ghacks vor einem Jahr. Das Addon wurde von Chrome portiert, einem per-Design unsicheren Browser.

Aber inwiefern sollte das zu denken geben, selbst wenns keine Alternative gäbe?

Post #7 einfach nochmal lesen.

 

[Oli_P]

uMatrix?

 

[badpitt]

...auf Github gehostet...nice! Ja, das sieht schon besser aus. Der scheint auch schon was älter zu sein. Ältester Bug-Report ist von 2014. Vielen Dank, den schau ich mir mal genauer an. Da hast Du offenbar die Ausnahme gefunden.

 

[andy_m4]

Unwichtig.

Kommt drauf an.
Daher finde ich es sinnvoll darauf hinzuweisen.

Interessant. Allerdings scheint es noch sehr neu:

Du kannst alternativ auch Javascript via irgendeiner Proxy-Software rausfiltern. Da hast Du dann sogar ne browserübergreifende Lösung.

schrieb ghacks vor einem Jahr. Das Addon wurde von Chrome portiert, einem per-Design unsicheren Browser.

Was ist jetzt am Chrome "per Design" unsicher?
Ich hoffe, Du meinst nicht irgendwelche von Google eingebauten Sachen. Das hat nix mit einem unsicheren Security-Design zu tun und Du bist die Dinge auch ganz schnell los, wenn Du z.B. den Chromium verwendest (was ich übrigens auch tue). Die Funktionstüchtigkeit von Addons bleibt davon unberührt.

Post #7 einfach nochmal lesen.

Hab ich getan. Hat sich mir trotzdem nicht erschlossen.

Ergänzung (21. Mai 2018)

uMatrix?

Stimmt. uMatrix ist im Prinzip auch eine Alternative zu NoScript.
Ich finds eigentlich auch sehr übersichtlich dafür, dass es sich ziemlich feingranular einstellen lässt.

Ergänzung (21. Mai 2018)

 

[badpitt]

Du kannst alternativ auch Javascript via irgendeiner Proxy-Software rausfiltern. Da hast Du dann sogar ne browserübergreifende Lösung.

gute Idee.

Ich hoffe, Du meinst nicht irgendwelche von Google eingebauten Sachen.

doch meine ich. Wenn per Design auf Sicherheit gesch***ssen wird, kann man auch von den Addons/Plugins nicht viel erwarten. Beispiel Safari: Bin kein Apple-Nutzer, habe aber mal jemandem ein Cookie-löschendes Plugin installieren wollen. Da fand ich dann raus, dass laut Autor das Plugin "nur manchmal funktioniert", weil Apple Fehler in der Safari-API hat. Der führt ein Cookie-Löschen einfach nicht immer aus. Der Fehler sei schon lange bekannt gewesen, wurde aber als unwichtig erachtet. Der Autor könne da leider nichts machen. Ähnliches erwarte ich dann auch von Chrome und seinen angeblich bereinigten Forks. Du weißt nie, ob da nicht doch noch was unsauber ist. Bei einem Browser, in den nie was eingebaut wurde, gibt's auch keine unsauberen Bruchkanten.

Aber inwiefern sollte das zu denken geben, selbst wenns keine Alternative gäbe?

Weil es keinen Grund für mangelnde Alternativen gibt.