Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

uMatrix

  1. Thema

Neues Thema Ansicht wechseln


  1. uMatrix

    Autor: tobster 03.02.16 - 08:46

    Und wieder einmal fühle ich mit uMatrix davor sicher, weil das Skript von einer externen Seite kommt, die ich nicht freischalten würde, egal wie kryptisch es im Source eingebunden wird.

  2. Re: uMatrix

    Autor: cpt.dirk 03.02.16 - 10:50

    Gefühlte Sicherheit ist aber nicht gleich tatsächliche Sicherheit.

    Viele benutzen vielleicht sogar uMatrix oder noScript, deaktivieren es dann jedoch auf einer Seite komplett, weil die so zugemüllt ist mit dutzenden von Scripts, dass es u. U. nicht möglich ist, sie ohne JS zu nutzen - und dank Boilerplates nimmt das leider immer mehr zu.

    Hinzu kommt, dass ja durch das Blocker-Addon potentiell noch weitere Sicherheitslücken direkt im Browser entstehen können.

  3. Re: uMatrix

    Autor: crazypsycho 03.02.16 - 19:32

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > Viele benutzen vielleicht sogar uMatrix oder noScript, deaktivieren es dann
    > jedoch auf einer Seite komplett, weil die so zugemüllt ist mit dutzenden
    > von Scripts, dass es u. U. nicht möglich ist, sie ohne JS zu nutzen - und
    > dank Boilerplates nimmt das leider immer mehr zu.

    Noscript und co sind Addons die für Profis gemacht worden sind. Wenn man nicht weiß was jquery, modernizr, foundation, usw ist, kommt man damit nicht wirklich klar.

    Javascript gehört eben mittlerweile zum Internet dazu.

  4. Re: uMatrix

    Autor: cpt.dirk 07.02.16 - 18:57

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Noscript und co sind Addons die für Profis gemacht worden sind. Wenn man
    > nicht weiß was jquery, modernizr, foundation, usw ist, kommt man damit
    > nicht wirklich klar.
    >
    > Javascript gehört eben mittlerweile zum Internet dazu.

    Kann ich so nicht bestätigen. NoScript ist IMHO das einzige verfügbare Tool, welches JS bei vernünftiger Usability in ausreichender Granularität kontrollieren kann (Whitelisting). Ich kenne viele Durchschnittsuser, die damit sehr gut zurechtkommen.

  5. Re: uMatrix

    Autor: crazypsycho 07.02.16 - 19:21

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Noscript und co sind Addons die für Profis gemacht worden sind. Wenn man
    > > nicht weiß was jquery, modernizr, foundation, usw ist, kommt man damit
    > > nicht wirklich klar.
    > >
    > > Javascript gehört eben mittlerweile zum Internet dazu.
    >
    > Kann ich so nicht bestätigen. NoScript ist IMHO das einzige verfügbare
    > Tool, welches JS bei vernünftiger Usability in ausreichender Granularität
    > kontrollieren kann (Whitelisting). Ich kenne viele Durchschnittsuser, die
    > damit sehr gut zurechtkommen.

    Ich habe es schon bei so manchen Durchschnittsuser wieder runtergeworfen, weil die sich beklagt haben, dass viele Seiten nicht mehr richtig funktionieren.

    Für sinnvoller ist es, wenn man einen Adblocker und Tracker-Blocker installiert (oder beides in einem). Da muss man nämlich gar nichts mehr machen und alles unnötige wird geblockt, alles notwendige bleibt erhalten.

  6. Re: uMatrix

    Autor: cpt.dirk 09.02.16 - 15:49

    Es ging doch zuvorderst um die Erhöhung der Sicherheit durch das Blockieren von Skripten - da hilft nur, Skripte generell oder granular, z. B. mittels NoScript-Plugin, zu deaktivieren.

    Ein positiver Nebeneffekt ist die Erhöhung der Privatsphäre, durch das Blockieren von Profilingskripten. Oder umgekehrt, je nachdem, was nun für den Einzelnen einen höheren Stellenwert hat.

    Dazu muss man sich natürlich vor Augen halten, dass viele werbebasierte, bzw. viele Profilingfirmen es gerade darauf anlegen, Inhalt und Werbung/Tracking so zu vermengen, dass sie mit Blockern nicht mehr sauber zu trennen sind, und die meisten User lieber alles zulassen, als auf den Inhalt zu verzichten - anstatt die Seiten zu boykottieren.
    Siehe z. B. Sueddeutsche.de oder Bild.de.

    Es wird ja nun sogar versucht, das Copyright ganz neu interpretieren zu lassen, um mit dieser Masche durchzukommen. Und wenn die technischen Möglichkeiten weggeklagt werden können, gibt es keinen (legalen) effektiven Schutz der Privatsphäre mehr, auch nicht mit Adblockern.

    Hinzu kommt noch die zunehmende serverseitige Profilinganalyse und Auslieferung von personalisierter Werbung ("Same Origin").

    Gegen das Erste hilft nur ein Blockieren aktiver Inhalte wie Skripte (und vermehrt auch gewisser HTML5-Tags), um die schlimmsten Privatsphärenprobleme zu verhindern. Mittlerweile ist es ja sogar möglich, per Skript verhaltensbasierte, eindeutige Keying- und Mousebewegungsprofile zu erzeugen.

    Gegen serverseitige personalisierte Ads aus gleicher Domain gibt es technisch wenig wirksame und zuverlässige Möglichkeiten, außer, den Fingerprint generell so allgemein wie möglich zu halten, was ultimativ auch das Surfverhalten mit einschließen würde.

    Was aber alle Plugins betrifft, egal ob aus Antiprofiling-, oder Sicherheitsgründen installiert: sie schaffen potentiell neue Angriffsvektoren, da grundsätzlich jeder Software Sicherheitslücken unterstellt werden müssen.

  7. Re: uMatrix

    Autor: crazypsycho 09.02.16 - 18:12

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > Es ging doch zuvorderst um die Erhöhung der Sicherheit durch das Blockieren
    > von Skripten - da hilft nur, Skripte generell oder granular, z. B. mittels
    > NoScript-Plugin, zu deaktivieren.

    Dies erreicht man idr auch durch Blacklisting, da gibt es genug Filterlisten. Dies ist wesentlich einfacher zu bedienen als Noscript. Denn bei Noscript muss man zig CDNs freigeben, die Frameworks kennen, usw.
    Daher ist das nur Profis zu empfehlen, die zumindest fähig sind herauszufinden welches Framework und welchen CDN sie freigeben können. Und selbst da ist der Verwaltungsaufwand sehr groß.

    > Ein positiver Nebeneffekt ist die Erhöhung der Privatsphäre, durch das
    > Blockieren von Profilingskripten. Oder umgekehrt, je nachdem, was nun für
    > den Einzelnen einen höheren Stellenwert hat.

    Das gleiche erreiche ich durch einen Adblocker und passender Filterlisten.

    > Dazu muss man sich natürlich vor Augen halten, dass viele werbebasierte,
    > bzw. viele Profilingfirmen es gerade darauf anlegen, Inhalt und
    > Werbung/Tracking so zu vermengen, dass sie mit Blockern nicht mehr sauber
    > zu trennen sind, und die meisten User lieber alles zulassen, als auf den
    > Inhalt zu verzichten - anstatt die Seiten zu boykottieren.
    > Siehe z. B. Sueddeutsche.de oder Bild.de.

    Du hast es erkannt. Die meisten User erlauben einfach alles, weil sie eben nicht wissen was notwendig ist und was nicht. Da ist es doch wesentlich sinnvoller eine fertige Blacklist von Profis zu verwenden.

    > Es wird ja nun sogar versucht, das Copyright ganz neu interpretieren zu
    > lassen, um mit dieser Masche durchzukommen. Und wenn die technischen
    > Möglichkeiten weggeklagt werden können, gibt es keinen (legalen) effektiven
    > Schutz der Privatsphäre mehr, auch nicht mit Adblockern.

    Die werden damit aber nicht durchkommen. Zumal es kontraproduktiv ist und für weniger Einnahmen sorgt.

    > Hinzu kommt noch die zunehmende serverseitige Profilinganalyse und
    > Auslieferung von personalisierter Werbung ("Same Origin").

    Dies lässt sich aber nicht verhindern. Statistiken sind ja auch etwas positives. Bspw erkennt der Betreiber das mehr Zugriffe aus Frankreich erfolgen und merkt das eine Übersetzung notwendig ist.

    > Gegen das Erste hilft nur ein Blockieren aktiver Inhalte wie Skripte (und
    > vermehrt auch gewisser HTML5-Tags), um die schlimmsten
    > Privatsphärenprobleme zu verhindern. Mittlerweile ist es ja sogar möglich,
    > per Skript verhaltensbasierte, eindeutige Keying- und Mousebewegungsprofile
    > zu erzeugen.

    Gegen das erste, also serverbasiertes Logging hilft nichts, dagegen kann man nichts machen.
    Mousebewegungsprofile kann man schon seit Jahren verwenden, an sich seit die Browser Mouse-Events unterstützen.

    > Gegen serverseitige personalisierte Ads aus gleicher Domain gibt es
    > technisch wenig wirksame und zuverlässige Möglichkeiten, außer, den
    > Fingerprint generell so allgemein wie möglich zu halten, was ultimativ auch
    > das Surfverhalten mit einschließen würde.
    >
    > Was aber alle Plugins betrifft, egal ob aus Antiprofiling-, oder
    > Sicherheitsgründen installiert: sie schaffen potentiell neue
    > Angriffsvektoren, da grundsätzlich jeder Software Sicherheitslücken
    > unterstellt werden müssen.

  8. Re: uMatrix

    Autor: cpt.dirk 10.02.16 - 23:21

    Zusammenfassend lässt sich allerdings folgendes festhalten:

    Aktive Inhalte (Skripte, Flash usw.) bringen eine beträchtliche Sicherheitsproblematik mit sich, da sie die unmittelbare Ausführung von Schadcode bei Vorhandensein einer Sicherheitslücke ermöglichen.
    Dabei gibt es unter Umständen z. B. bei Javascript mehrere Angriffsvektoren, etwa in der Rendering-Engine des Browsers und im PDF-Reader.

    Viele sehr detailierte Browserprofiling-Techniken funktionieren nur unter Ausnutzung der Features aktiver Inhalte, die ein eindeutiges Fingerprinting unabhängig von der IP-Adresse ermöglichen, z. B. Details zur Systemkonfiguration und installierten Fonts sowie Plugins auszulesen.

    Whitelisting-Skriptblocker, die von vornherein jeglichen aktiven Code blockieren bringen also den größten theoretischen Nutzen in beiden Fällen - sofern sie selbst frei von Sicherheitslücken sind, wie bereits erwähnt. Beim Blacklisting ist man auf die unter Umständen an eigene Interessen gebundenen Filterlisten-Profis angewiesen.

    Dass das nur bedingt gut funktioniert, zeigt sich beispielsweise bei Adblock Plus, wo mit den meisten Abolisten von Haus aus eine Unzahl an Ads freigeschaltet wird und noch dazu von den Entwicklern selbst eventuell unerwünschte Vorentscheidungen getroffen werden, die mit vertretbarem Aufwand nicht rückgängig zu machen sind.

    Es liegt mir fern, Werbung für ein bestimmtes Tool zu machen, aber
    solche Filterlisten selbst anzulegen ist um Größenordnungen schwieriger, erfordert ein ungleich höheres Spezialwissen und kann keine vergleichbare situationsspezifische Flexibilität bieten, wie das o. g. NoScript, wo einfach per Try & Error mittels Rechtsklick die Regeln pro Seite/generell, bzw. per Seitenbesuch eingestellt werden können.

    Für den Durchschnittsuser daher IMHO nach wie vor das beste verfügbare transparente Selbsthilfetool, und die wenigen voreingestellten White Domains lassen sich einfach in den Einstellungen entfernen.

  9. Re: uMatrix

    Autor: crazypsycho 10.02.16 - 23:33

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > Für den Durchschnittsuser daher IMHO nach wie vor das beste verfügbare
    > transparente Selbsthilfetool, und die wenigen voreingestellten White
    > Domains lassen sich einfach in den Einstellungen entfernen.

    Dem kann ich so nicht zustimmen. Gerade für den Durchschnittsuser bringt noscript kaum Sicherheit. Denn der wird, damit die Seite funktioniert, einfach alle Scripte erlauben.
    Der Durchschnittsuser kennt nicht die ganzen CDNs der Frameworks und kann diese auch nur schwer von Trackern oder Werbung unterscheiden.
    Der Durchschnittsuser will sich auch nicht 10min (oder eher deutlich mehr) hinsetzen und für eine einzige Website prüfen was er aktivieren kann und was nicht.
    Der ist daher mit Filterlisten wesentlich besser bedient.

    Noscript ist eher was für Profis, bspw für Webentwickler geeignet, die noch dazu viel Zeit haben.

  10. Re: uMatrix

    Autor: cpt.dirk 12.02.16 - 00:47

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Gerade für den Durchschnittsuser bringt noscript kaum Sicherheit. Denn
    > der wird, damit die Seite funktioniert, einfach alle Scripte erlauben.

    > Der Durchschnittsuser kennt nicht die ganzen CDNs der Frameworks
    > und kann diese auch nur schwer von Trackern oder Werbung unterscheiden.
    > Der Durchschnittsuser will sich auch nicht 10min (oder eher deutlich mehr)
    > hinsetzen und für eine einzige Website prüfen was er aktivieren kann und
    > was nicht. Der ist daher mit Filterlisten wesentlich besser bedient.

    Wer sich gerne ein Plus an gefühlter Sicherheit einem Plus an nachvollziehbarer Sicherheit vorzieht, der ist sicher mit einem Adblocker (der nicht unbedingt dafür konzipiert ist, die aus Sicherheitsgründen problematischen aktiven Inhalte zu blocken) besser bedient.

    Es ist noch zu unterscheiden, ob Code oder Ads erst gar nicht von Fremddomains geladen werden, oder nur deren Ausführung nach dem Herunterladen verhindert wird, bzw. die Werbung lediglich versteckt wird, wie es z. B. bei Adblock Plus Filterlisten sehr häufig der Fall ist.

    Der Zugewinn an Privatsphäre ist bei NoScript eher ein Sekundäraspekt, allerdings sozusagen ein Breitschwert, das die ärgsten Plagegeister bereits am Eingangstor erschlagen kann.

    Falls ein Mehr an Privatspähre gewünscht ist, kann immer noch ein Adblocker nachgeschaltet werden (sollte es sogar). Aber vor dem Platzanweiser sollte in einem guten Restaurant der Türsteher (Skriptblocker) kommen.

    Sofern irgenwelche Schrauben gedreht werden sollen/müssen (weil die gängigen Filterabos eben leider viel Unerwünschtes absichtlich durchlassen), ist nämlich die Luft raus, sofern man nicht eine komplett eigene Liste von Grund auf aufbauen will - was sogar für die meisten versierten Nutzer einen kaum vertretbaren Lern- und Zeitaufwand darstellen würde.

    Die meisten Seiten beschränken sich auf ca. 3 bis 6 aktive Skripte, die man je nach Präferenz nur einmal für alle Domains zu blocken braucht und fertig. Aufwand, selbst bei Try & Error, unter eine Minute, im Klickibunti-Verfahren.
    Hier kann innerhalb von wenigen Minuten jeder Laie verstehen lernen, wie er sich hier selbst hilft.

    Keine kryptischen Pseudo-RegEx-Filtercodes, die sich gegenseitig widersprechen und die tatsächlich nur für Profis verständlich sind.

    Wer allerdings mit einem derart simpel zu bedienenden Klicktool wie NoScript nach einem Tag noch mehr als 2 Minuten benötigt, um eine 08/15-Seite dauerhaft "einzustellen", für den sind Internet und Computer vielleicht generell nichts.

    > Noscript ist eher was für Profis, bspw für Webentwickler geeignet, die noch
    > dazu viel Zeit haben.

    Gerade die werden NoScript eher nicht einsetzen, da heute auf Webseiten immer mehr JS verwendet wird - es sei denn, um NoScript-Blockerseiten zu entwickeln.

  11. Re: uMatrix

    Autor: crazypsycho 12.02.16 - 01:08

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Gerade für den Durchschnittsuser bringt noscript kaum Sicherheit. Denn
    > > der wird, damit die Seite funktioniert, einfach alle Scripte erlauben.
    >
    > > Der Durchschnittsuser kennt nicht die ganzen CDNs der Frameworks
    > > und kann diese auch nur schwer von Trackern oder Werbung unterscheiden.
    > > Der Durchschnittsuser will sich auch nicht 10min (oder eher deutlich
    > mehr)
    > > hinsetzen und für eine einzige Website prüfen was er aktivieren kann und
    >
    > > was nicht. Der ist daher mit Filterlisten wesentlich besser bedient.
    >
    > Wer sich gerne ein Plus an gefühlter Sicherheit einem Plus an
    > nachvollziehbarer Sicherheit vorzieht, der ist sicher mit einem Adblocker
    > (der nicht unbedingt dafür konzipiert ist, die aus Sicherheitsgründen
    > problematischen aktiven Inhalte zu blocken) besser bedient.

    Wer bei Noscript einfach die komplette Website freigibt, der hat auch nur gefühlte Sicherheit. Und sogar deutlich geringere Sicherheit als mit einem Adblocker.

    > Es ist noch zu unterscheiden, ob Code oder Ads erst gar nicht von
    > Fremddomains geladen werden, oder nur deren Ausführung nach dem
    > Herunterladen verhindert wird, bzw. die Werbung lediglich versteckt wird,
    > wie es z. B. bei Adblock Plus Filterlisten sehr häufig der Fall ist.

    Woher hast du denn dieses Gerücht? Mein Adblock Plus hat die Werbung schon am runterladen gehindert. uBlock hindert sie auch am runterladen. Mit wenigen Klicks werden mit uBlock auch Tracker blockiert.

    Zu Anfang hat das Chrome-Addon von Adblock die Werbung nur versteckt, das ist richtig. War aber nur in den ersten Versionen so.

    > Der Zugewinn an Privatsphäre ist bei NoScript eher ein Sekundäraspekt,
    > allerdings sozusagen ein Breitschwert, das die ärgsten Plagegeister bereits
    > am Eingangstor erschlagen kann.

    Das was ein Blocker also auch macht.

    > Falls ein Mehr an Privatspähre gewünscht ist, kann immer noch ein Adblocker
    > nachgeschaltet werden (sollte es sogar). Aber vor dem Platzanweiser sollte
    > in einem guten Restaurant der Türsteher (Skriptblocker) kommen.

    Beim Adblocker stelle ich den Türsteher ein und er macht seinen Job.
    Beim Scriptblocker muss ich den Job selbst übernehmen.
    Der eingestellte Türsteher kennt aber die meisten Störenfriede. Man selbst aber nicht und lässt dann schnell die falschen Leute rein.

    > Sofern irgenwelche Schrauben gedreht werden sollen/müssen (weil die
    > gängigen Filterabos eben leider viel Unerwünschtes absichtlich
    > durchlassen), ist nämlich die Luft raus, sofern man nicht eine komplett
    > eigene Liste von Grund auf aufbauen will - was sogar für die meisten
    > versierten Nutzer einen kaum vertretbaren Lern- und Zeitaufwand darstellen
    > würde.

    Absichtlich lassen die Filterlisten nur etwas durch, wenn man bei Adblock Plus das Häkchen aktiv hat.
    Eine eigene Liste ist an sich nicht notwendig.

    > Die meisten Seiten beschränken sich auf ca. 3 bis 6 aktive Skripte, die man
    > je nach Präferenz nur einmal für alle Domains zu blocken braucht und
    > fertig. Aufwand, selbst bei Try & Error, unter eine Minute, im
    > Klickibunti-Verfahren.
    > Hier kann innerhalb von wenigen Minuten jeder Laie verstehen lernen, wie er
    > sich hier selbst hilft.

    Allein auf Golem finde ich im Quelltext 39 mal <script. Und dank der vielen Tracker sind soviele Scripts durchaus üblich.

    > Keine kryptischen Pseudo-RegEx-Filtercodes, die sich gegenseitig
    > widersprechen und die tatsächlich nur für Profis verständlich sind.

    Als Anwender muss man die Filterlisten ja auch nicht verstehen. Sie funktionieren.

    > Wer allerdings mit einem derart simpel zu bedienenden Klicktool wie
    > NoScript nach einem Tag noch mehr als 2 Minuten benötigt, um eine
    > 08/15-Seite dauerhaft "einzustellen", für den sind Internet und Computer
    > vielleicht generell nichts.

    Der normale Anwender muss ja jedes Script anhand des Namens erstmal ergooglen, um die Gewissheit zu haben, dass dieses harmlos ist. Macht man das nicht, so aktiviert man schnell die falschen Scripts.

    > > Noscript ist eher was für Profis, bspw für Webentwickler geeignet, die
    > noch
    > > dazu viel Zeit haben.
    >
    > Gerade die werden NoScript eher nicht einsetzen, da heute auf Webseiten
    > immer mehr JS verwendet wird - es sei denn, um NoScript-Blockerseiten zu
    > entwickeln.

    Webentwickler hab ich eher wegen der Kenntnis der Frameworks genannt. Denn nur mit der Fachkenntnis kann man schnell zwischen guten und bösen Scripts unterscheiden.

    Darum ist es eigentlich für niemanden zu empfehlen. Denn es kostet haufenweise Zeit (oder bringt keinerlei Sicherheit, wenn man Klick-Klick alles aktiviert).

  12. Re: uMatrix

    Autor: cpt.dirk 12.02.16 - 18:33

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Wer bei Noscript einfach die komplette Website freigibt, der hat auch nur
    > gefühlte Sicherheit. Und sogar deutlich geringere Sicherheit als mit einem
    > Adblocker.

    Dazu ist niemand verpflichtet, es können sehr einfach Skripte je externer Domain separat einmal oder immer geblockt werden - und es erscheint auch eine explizite Warnung, falls man "generell erlauben" wählt.

    > Zu Anfang hat das Chrome-Addon von Adblock die Werbung nur versteckt,
    > das ist richtig. War aber nur in den ersten Versionen so.

    Ich meinte Filterlisten, die viele Ads einfach nur verstecken.
    Das hat sich mittlerweile offenbar wirklich verbessert.
    Jedoch lässt das Einknicken von Adblock Plus im Fall Bild.de und die Definition "aktzepabler Werbung" per se Zweifel aufkommen, wie neutral solche Filtersysteme sein können - auch NoScript ist da nicht ausgenommen.

    > Beim Adblocker stelle ich den Türsteher ein und er macht seinen Job.
    > Beim Scriptblocker muss ich den Job selbst übernehmen.
    > Der eingestellte Türsteher kennt aber die meisten Störenfriede. Man selbst
    > aber nicht und lässt dann schnell die falschen Leute rein.

    Ein Türsteher bekäme dann eine (inverse) Gästeliste von Fremden, nicht vom Besitzer des Ladens. Hierzu Ausnahmen zuzulassen, ist bei Adblock X - von uBlock weiß ich es nicht - sehr umständlich und erfordert Expertenwissen (sowohl Syntax, als auch Ad-Netzerk), das man bei NoScript nicht braucht. Hier reichen ein paar Faustregeln sowie Try & Error. Und will man Werbung gezielt selbst blockieren, ist das mit Adblock Plus keinesfalls schöner oder gar einfacher.

    In der Praxis werden darum auch immer mindestens ZWEI Türsteher eingesetzt, die sich gegenseitig auf die Finger schauen und unterstützen können.

    Darum wiederhole ich: falls ein Mehr an Privatspähre gewünscht ist, kann immer noch ein Adblocker nachgeschaltet werden (sollte es sogar).
    D. h. Skriptblocker + Adblocker als zweifaches Filtersystem erhöht Sicherheit und Privatspähre.

    Meistens ist es ziemlich trivial, NoScript einzustellen, da bei einer nicht funktionierenden Webseite alle Skripte, außer denen der besuchten Domain selbst, in der Regel blockiert bleiben können. Ausnahmen sind z. B. yimg.com auf youtube, jquery.com, googleapis.com oder oft *cdn*static, die grundlegende Funktionen und Inhalte auf Webseiten zur Verfügung stellen.

    Da ist keine große Magie dahinter oder ein Doktortitel für nötig. Meine Whiteliste hat ca. 20 Einträge.

    Bei Golem erfordert NoScript weder zum Betrachten noch zum Schreiben von Beiträgen irgendwelche Aktionen vom User, wobei automatisch geblockt werden:

    ioam.de (Analyseframework)
    amazonaws.com
    golem.de

    Golem.de funktioniert also ganz ohne laden und ausführen von Skripten, so wie es sein sollte. Zusätzliche passive Ads werden von Adblock Edge gefiltert.

    > Allein auf Golem finde ich im Quelltext 39 mal <script. Und dank der vielen > Tracker sind soviele Scripts durchaus üblich.

    Wenn wir über das Thema Sicherheit reden wollen, müssen wir uns auf Skripte (v. a. die von Drittanbietern) konzentrieren. Geht es um Privatsphäre, müssen wir außer diesen natürlich auch passive Inhalte wie Beacons, Banner oder aber HTML5-Schnittstellen wie Geo API, Social API usw. in Betracht ziehen (die natürlich ebenso Sicherheitsrisiken bergen).

    Script- und Adblocker bringen Vorteile hinsichtlich der Sicherheit und Privatsphäre, aber auch *potentielle* Nachteile, wie bereits gesagt.
    Wegen möglicher Sicherheitslücken in jeder zusätzlichen Software (s. auch Angriffsvektor Antivirenprogramme), und, weil zusätzliche Plugins das Browserprofil bei aktivem Skripting eindeutiger werden lassen.

    Will man zusätzlich Ad-Netzwerke analysieren, braucht man Plugins wie Lightroom oder Ghostery. HTTPS-Everywhere ist zusätzlich zu empfehlen, um SSL-Verschlüsselung von Seiten automatisch anzufordern, die es unterstützen. Muss man Flash einsetzen, sollte man noch Betterprivacy verwenden.

    > Als Anwender muss man die Filterlisten ja auch nicht verstehen. Sie
    > funktionieren.

    Für manche Fälle ja, für andere nein. Beispielsweise können Domain-eigene Skripte auf Webseiten XSS-Angriffsvektoren bieten oder Sicherheitslücken aufweisen, die vom Adblocker nicht gefiltert, jedoch vom Scriptblocker abgefangen werden, da die Seite auch ohne Skripte läuft, bzw. NoScript Zusatzfeatures wie Anti-XSS oder Clearclick-Schutz enthält.

    Weiter können z.B. mit NoScript auch iFrames (die berüchtigten Facebook-Buttons) und das Laden von Fonts per WebGL verhindert - beides mit großen Privatsphärenproblematiken behaftet - sowie Java, Silverlight und Flash blockiert werden, was ein großes Zusatzplus an Sicherheit bringt und noch einiges mehr. Solche Funktionen können Adblocker allein meines Wissens nicht bieten.

    Das Thema ist breitgefächert und man müsste tatsächlich noch die diversen API-Schnittstellen und internen Optionen des Browsers selbst optimieren (was bei Firefox recht gut geht mit about:config) und sich gewisse Verhaltensregeln auferlegen, sofern man sich gezielt gegen manche Szenarien absichern möchte.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Berliner Stadtreinigungsbetriebe (BSR), Berlin
  2. Ziehm Imaging GmbH, Mitteldeutschland, Süddeutschland
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. Infokom GmbH, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 274,00€
  2. ab 369€ + Versand
  3. 107€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

  1. Digitale Souveränität: Bundesregierung treibt den Aufbau einer Europa-Cloud voran
    Digitale Souveränität
    Bundesregierung treibt den Aufbau einer Europa-Cloud voran

    Aus Angst vor Industriespionage will die Bundesregierung eine Europa-Cloud - in Abgrenzung zu Anbietern wie Amazon, Microsoft und Google, die nach dem CLOUD-Act, den US-Behörden weitreichende Zugriffe auf die Daten geben müssen, auch wenn sie nicht in den USA gespeichert sind.

  2. 3G: Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben
    3G
    Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben

    Die Washington Post will Dokumente erhalten haben, die belegen sollen, dass Huawei ein Mobilfunknetz in Nordkorea ausgerüstet habe. Huawei hat dies dementiert.

  3. 5G-Media Initiative: Fernsehen über 5G geht nicht einfach über das Mobilfunknetz
    5G-Media Initiative
    Fernsehen über 5G geht nicht einfach über das Mobilfunknetz

    In einem Streit unter den Öffentlich-Rechtlichen wird dem Intendanten des Deutschlandradios erklärt, dass Rundfunk über 5G nicht einfach über die Netze der kommerziellen Betreiber ginge. Der Intendant hatte die Technik nicht ganz verstanden.


  1. 21:15

  2. 20:44

  3. 18:30

  4. 18:00

  5. 16:19

  6. 15:42

  7. 15:31

  8. 15:22