(uBlock): nach Aktivierung von JS verschwindet Domain

  • Guten Abend


    Ich habe in der jüngeren Vergangenheit eine Besonderheit beim blocken von Skripten in uBlock beobachtet auf die ich mir so recht keinen Reim machen kann. Aktuell wieder bei der Volks- und Raiffeisenbank vr.de
    Voraussetzung ist wie folgt: Win 8.1 64bit, Firefox 65: relevant dürfte hier uBlock 1.18.2 (JavaScript ist per defaul-Einstellung deaktiviert) sein, Cookies sind deaktiviert.
    Das sieht beim ersten Besuch der Seite dann so aus:


    [attachment=1]Vr ohne Änderung.jpg[/attachment]



    etracker.com ist allg. verboten (eine Trackerklitsche die kein Mensch benötigt), etracker.de ist bis dato noch unbekannt. Aktiviere ich JS jetzt auf der Seite, verschwindet der Eintrag für etracker.de komplett:


    [attachment=0]JS aktiviert.jpg[/attachment]



    Hat jemand eine Erklärung für das verschwinden von etracker.de?
    Wird mit der JS-Aktivierung evtl. die komplette .de-Domain freigegeben?

  • Im <noscript> Bereich der Webseite befindet sich ein Link zu etracker.de.
    Hast du JS deaktiviert, so wird der noscript-Bereich ordnungsgemäß ausgeführt und damit ein versuchter Zugriff auf etracker.de
    Hast du JS aktiviert, gibt es keinen Zugriffsversuch.


    Code
    1. <noscript><link rel="stylesheet" media="all" href="//www.etracker.de/cnt_css.php?uswusf"/></noscript>


    Nichts Böses.

  • .DeJaVu

    ich tippe auf einen Redirect


    Spekulation unnötig, ich habe doch sogar den entsprechenden Auszug aus dem Quelltext mit reingestellt?
    Da wirst du im Logger nix sehen.


    Stoiker
    Die Frage hatte ich vergessen

    Zitat

    Wird mit der JS-Aktivierung evtl. die komplette .de-Domain freigegeben?


    "Freigegeben" wird dadurch nichts. Aber da du weder Skripte von Drittseiten allgemein, noch etracker.de explizit verboten hast, wird eine Anfrage an etracker.de bei deaktiviertem JS durchgehen. Lässt sich jedoch ebenfalls auf rot stellen.

  • Danke, übersehen. Wobei ich <noscript> eher als Redirect ansehe "wenn kein Javascript erlaubt, dann nimm das hier". Ich kann das Beispiel VR allerdings nicht nachvollziehen hier mit meinen Einstellungen, da taucht etracker.de nicht ein Stück auf. Bei etracker.com wird mir allerdings static.etracker.com angezeigt, um genauer zu sein.

  • Danke, übersehen. Wobei ich <noscript> eher als Redirect ansehe "wenn kein Javascript erlaubt, dann nimm das hier".


    Ich sehe es eher als if-Anweisung ;-)
    So oder so, da der noscript-Bereich direkt in der html-Spezifikation ist und vom Browser interpretiert wird, hat uBO da nichts Blockbares/Logbares, da ja gar nichts angefragt wird.

  • Danke für die Rückmeldungen.
    Mich irritiert(e) einfach das eine Domain verschwindet nachdem ich JS erlaubt habe. Ich beobachtete das bis dato nur in die andere Richtung, sprich nach Aktivierung von JS tauchen plötzlich zahlreiche Domains auf die erst durch die Aktivierung getriggert wurden.
    Die entsprechende de-Domain ist nun auch verboten 8)

  • Jein.
    Ich würde schon behaupten, dass die meisten Sicherheitslücken und Angriffe irgendwie über JavaScript laufen.
    Mit uBO bin ich ebenfalls mehr oder weniger im "Nightmare" mode untwerwegs (neben allen 3rd party Ressourcen/Scripts auch Inline- und 1st party Scripts erst mal allgemein verboten).
    Das hat den Vorteil, dass es über uBO leichter zu steuern ist. Aber es heißt auch, dass der noscript-Bereich nicht ausgeführt wird, welcher auf JS setzende Seiten manchmal gleich "repariert".
    Ich komme inzwischen gut zurecht damit und bin flott unterwegs. Vielleicht übertrieben. Gewohnheitssache.
    Es ist auch erstaunlich, wie begrenzt die Anzahl der Seiten ist, auf denen man die meiste Zeit unterwegs ist, sodass sich das nachjustieren doch sehr in Grenzen hält.

  • Nicht wirklich. Vor allem sind die Möglichkeiten von JavaScript extrem begrenzt, du erhältst damit zum Beispiel auch keinen Zugriff auf das Dateisystem des Nutzers. Das Beste, was du aus Angreifersicht erreichen kannst, ist es, einen Absturz zu provozieren, um dann verbunden mit einer anderen Schwachstelle das System des Nutzers anzugreifen. Ansonsten bewegen wir uns bei Sicherheitslücken in Zusammenhang mit JavaScript in Bereichen wie Injections, was Programmierfehler der jeweiligen Webseite sind, Verletzungen der Same-Origin-Policy, was letztlich Zugriff auf Hosts bringt, auf die ein Script nicht zugreifen dürfte, oder Spoofing-Attacken, in dem man beispielsweise den Inhalt der Adressleiste manipuliert. Aber die meisten Sicherheitslücken haben ihren Ursprung in C++ und sind Pufferüberläufe, Speicherkorruptionen und dergleichen. Da geht die mit Abstand meiste Gefahr von aus. Und das war schon immer so, wird aber für Mozilla immer weniger ein Thema, je mehr sie auf Rust statt C++ setzen. Denn während C++ grundsätzlich sicher sein kann, ist es das in der Realität ganz häufig aufgrund menschlicher Fehler nicht. Fehler, die Rust von Anfang an verhindert.


    Natürlich kann man die Sicherheit verbessern, wenn man JavaScript abschaltet, weil dann eben ein möglicher Angriffsvektor wegfällt. Logisch ist man sicherer, je mehr man abschaltet. Aber solange man nur JavaScript deaktiviert, bleiben noch zig andere Angriffsvektoren übrig. Manipulierte Bilder beispielsweise sind ein absoluter Klassiker einer Sicherheitslücke und man schaltet ja auch nicht Bilder auf Webseiten ab.


    Am Ende kümmern sich Browserhersteller wie Mozilla, Google etc. gut um die Sicherheit und beheben alle Probleme, die ihnen bekannt sind. Ein Abschalten von JavaScript ist im Jahr 2019 vollkommen überholt. Das hat man vor zehn, fünfzehn Jahren noch gerne geraten, weil JavaScript damals für fast nichts wirklich notwendig und die Vorteile überschaubar waren. Aber heute ist es ja wirklich ein integraler Part des Webs, dessen Deaktivierung mehr Nachteile als Vorteile bringt.


  • Genau das, weil es unsinnig ist, vor allem, weil du schon uBlock nutzt - und wie BlackRitus aufgezeigt hast, es absolut nichts bringt. Solltest du Fragen zu uBlock haben, hilft wiki lesen:
    https://github.com/gorhill/uBlock/wiki


    Nun BlackRitus hat mir zumindest aufgezeigt dass Internetseiten heute subtiler im Umgang mit Usern sind die JS deaktivieren.
    Lasse ich JS aktiviert wenn ich Internetseiten aufrufe, erfolgen dann oft Anfragen an Domains die Zeit kosten, Traffic verursachen (weil sie Inhalte nachladen) und den eigentlichen Seitenaufruf verlangsamen.
    Für mich ist Internetsurfen mit deaktiviertem JS, neben dem Einsatz von uBlock, ein weiterer Baustein, um mich vor einer Vielzahl von unliebsamen Nebenerscheinungen des Internets zu schützen. Es hält mir eine Menge Kroppzeuch vom Leib.
    Deaktiviertes JS hat etwas von der "Holzhammermethode": einfach aber wirkungsvoll.

  • Dann benötigst du mMn auch kein uBlock. Wenn schon denn, schon, all-in oder nichts. Sören hat es wunderbar erklärt, wider besseren Wissens ist dann ganz allein deine Sache. Dann wirst du sicherlich auch verstehen, wenn man deine nächsten Anliegen etwas anders bewerten wird.

  • @Sören
    Ich gebe dir Recht, dass die meisten tatsächlichen Sicherheitslücken eher Speicherkram betreffen. Trotzdem werde ich den Eindruck nicht los, dass das meiste ungerichtete Scammingzeugs mit deaktiviertem JS oft schnell alt aussieht. Zum Beispiel unsichtbare Layer für XSS oder dass ein Script unbemerkt eine Injection an meinen Input anhängt. Auch die alltägliche Phishing-Bauernfängerei nutzt JS, um das eigene Auffliegen zu erschweren (gefakte Tooltips usw). Drive-by-downloads oder Ähnliches halte ich für eher unwahrscheinlich.

    Zitat von Sören Hentzschel

    bleiben noch zig andere Angriffsvektoren übrig


    correctomatico, auch bezüglich Rust volle Zustimmung

    Zitat von Sören Hentzschel

    heute ist es ja wirklich ein integraler Part des Webs, dessen Deaktivierung mehr Nachteile als Vorteile bringt.


    Kommt immer auf die persönliche Gewichtung der Vorteile / Nachteile an ;-)
    Ich sehe das auch von der anderen Seite, dass sich Webentwickler es durch die ganzen JS frameworks ganz schön bequem machen und zu stark darauf verlassen, dabei die Nachteile nicht sehen (aufgeblähte Webseiten für ganz einfachen Kram, Nachteile für schwache Rechner und Akkulaufzeiten etc.). siehe auch



    Dann benötigst du mMn auch kein uBlock.


    uBlock kann aber noch mehr als Ressourcen oder Javascript blockieren, z.B. unerwünschte Elemente ausblenden.


    Zitat von Stoiker

    Lasse ich JS aktiviert wenn ich Internetseiten aufrufe, erfolgen dann oft Anfragen an Domains die Zeit kosten, Traffic verursachen (weil sie Inhalte nachladen) und den eigentlichen Seitenaufruf verlangsamen.


    Dafür ist aber uBO hervorragend geeignet und die bessere Wahl statt JS pauschal zu deaktivieren.