Yes Script vs. No Script

    hi,
    es sei mir verziehen, aber ich bin sehr intensiv im welt-wwech unterwegs,
    hatte vorher JesScript, jetzt NoScrept. macht für mich (fast) keinen unterschied, mache ich was falsch? oder ist brain.exe immer rechtzeitig angesprungen?

    shadow

    Es gibt 10 Arten von Menschen
    - solche, die das Binaersystem verstehen
    - solche, die es nicht verstehen.

    NoScript verwaltet eine Whitelist: JavaScript ist generell erstmal verboten, außer für ausdrücklich freigegebene Seiten.
    YesScript verwaltet dagegen eine Blacklist: JavaScript ist überall erlaubt außer auf explizit gesperrten Seiten.

    Außerdem hat NoScript ein paar mehr Funktionen, zum Beispiel verhindert es spezielle Cross-Site-Techniken und das unsägliche <a ping>. Ich finde, dass sich beide Erweiterungen schon ziemlich unterscheiden. Zumindest in der Anfangszeit muss man bei NoScript ständig erwünschte Seiten freigeben. Nach einiger Zeit, wenn man alle regelmäßig besuchten Seiten in seiner Whitelist hat, macht sich die Erweiterung natürlich kaum noch bemerkbar und der Unterschied zu YesScript (von dem man auch nichts bemerkt, weil es ja nichts blockiert) wird wesentlich geringer.

    Das Problem bei YesScript ist: Wenn du erst einmal auf einer Seite landest, die einen JavaScript-Exploit ausnutzt, dann hilft dir diese Erweiterung nicht - schließlich ist mit ihr JavaScript auf unbekannten Seiten erstmal erlaubt. Allerdings wird auch oft kritisiert, dass NoScript etwas übertrieben ist, schließlich gibt es ja derzeit gar keine ausnutzbare JavaScript-Lücke. Hier ist es eben wieder mal die Frage, wieviel Komfort man zugunsten der Sicherheit aufgeben will.

    Gegenüber BRAIN.EXE sind beide Erweiterungen sowieso unterlegen. Außer man benutzt sie nicht nur zur Sicherheit, sondern auch, um diese billigen Grafikspielchen auf allzu "coolen" Seiten zu unterdrücken.

    Zitat

    Das Problem bei YesScript ist: Wenn du erst einmal auf einer Seite landest, die einen JavaScript-Exploit ausnutzt, dann hilft dir diese Erweiterung nicht -


    du hast schon recht, aber ich klicke nicht auf jeden link = brain.exe
    außerdem bin ich schneller auf YS klicken als jdes malware script laden kann =R"L tested (ok, da schwante schon mir nichts gutes)

    danke für deine antwort, das prinzip war mir auch klar, hatte nur gehöhrt das whitelisting äh unpraktisch sein soll.
    sprich bei jeder "spannenden" seite, einen re-load durchführen zu müssen, wäre auch etwas unpraktisch.

    wie dem auch sei, soweit, ist NS für mich nicht weiter störend, was ich ja cool finde.

    lg
    shadow

    Es gibt 10 Arten von Menschen
    - solche, die das Binaersystem verstehen
    - solche, die es nicht verstehen.

    Zitat von PIGSgrame

    Allerdings wird auch oft kritisiert, dass NoScript etwas übertrieben ist, schließlich gibt es ja derzeit gar keine ausnutzbare JavaScript-Lücke.


    das ist zwar (soweit ich das verstanden habe) keine normale js-lücke, aber noscript hilft angeblich trotzdem dagegen. außerdem gibts ja immer wieder lücken die mit noscript entschärft werden können.

    ich verwende noscript übrigens trotzdem nicht, ist mir doch irgendwie zu umständlich. ich geh immer davon aus dass mich brain.exe zumindest so lang schützt, bis die lücke gestopft wurde. :)

    Und was hilft einem Brain.exe, wenn über IFrames auf regulären ("gehackten") Seiten Exploits ausprobiert werden? Oder verwendet ihr Brain.exe so, dass ihr euch erstmal den Code bspw. über wget holt und ihn in der Hinsicht untersucht?

    Und zum Verständnis:
    NoScript verwaltet das ganze über Domains! Es muss nicht jede einzelne Seite freigeschaltet werden. Und ein lächerlicher Reload, der für die Zukunft ausreicht, kann wohl keinen wirklich stören.

    Zudem sehe ich das persönlich als ein Qualitätsmerkmal, wenn eine Seite ohne JS auskommt (von sinnvollem Einsatz einmal abgesehen)

    Zitat von boardraider

    Und was hilft einem Brain.exe, wenn über IFrames auf regulären ("gehackten") Seiten Exploits ausprobiert werden?

    Klar, dass man mit NoScript prinzipiell sicherer unterwegs ist, wurde ja schon erwähnt. Allerdings gibt es derzeit keinen Exploit, der sich über IFrames gehacker Seiten ausnutzen ließe. Ob man also auf Verdacht hin eine Erweiterung betreiben will, bei der man jede neue Domain freigeben muss, muss jeder selbst wissen. Unvernünftig oder sinnlos ist es in jedem Fall nicht und es bleiben einem oft auch billige Spielereien erspart.

    Zitat von boardraider

    Zudem sehe ich das persönlich als ein Qualitätsmerkmal, wenn eine Seite ohne JS auskommt

    Da stimme ich allerdings vollkommen zu - wenn ich sehe, wie Seiten manchmal künstlich "verjavascriptet" werden und dann lahme "Rechtsklickverhinderer oder HTML-freie Links einsetzen, wird mir übel.

    Zitat von PIGSgrame

    Allerdings gibt es derzeit keinen Exploit, der sich über IFrames gehacker Seiten ausnutzen ließe.


    Der Quicktime-Bug ist noch nicht offiziell gefixt und nicht jeder bekommt das mit und nicht jeder setzt die Workarounds in der Zwischenzeit um. Und wie oft tauchen hier noch Leute auf mit hoffnungslos veralteten Versionen des Fx. Zudem kann es jeder Zeit neue (öffentliche oder nicht öffentliche) Exploits geben, ein proaktiver Schutz hilft dort.

    Zitat

    Ob man also auf Verdacht hin eine Erweiterung betreiben will, bei der man jede neue Domain freigeben muss, muss jeder selbst wissen.


    Damit hast du recht, das muss jeder selbst entscheiden. Allerdings muss man ja nicht jede Domain freigeben. Die paar, die man regelmäßig besucht und JS benötigen... mich persönlich haben die paar Klicks bisher noch nie gestört.

    Zitat von boardraider

    NoScript verwaltet das ganze über Domains! Es muss nicht jede einzelne Seite freigeschaltet werden. Und ein lächerlicher Reload, der für die Zukunft ausreicht, kann wohl keinen wirklich stören.

    Wenn aber nun eine böse eine Site vermeintlich die Inhalte, die du gerade suchst, beinhaltet und nur ohne JavaScript funktioniert, wirst du sie (evtl. temporär, aber das ist dann auch schon egal) Whitelisten. Und damit ist das ganze ach so tolle Sicherheitskonzept von NoScript ausgehebelt.

    Zitat

    Zudem sehe ich das persönlich als ein Qualitätsmerkmal, wenn eine Seite ohne JS auskommt (von sinnvollem Einsatz einmal abgesehen)

    Ist es auch. Aber das Web besteht leider trotzdem zu 99% aus Seiten minderer Qualität.

    Zitat von Dr. Evil

    Wenn aber nun eine böse eine Site vermeintlich die Inhalte, die du gerade suchst, beinhaltet und nur ohne JavaScript funktioniert, wirst du sie (evtl. temporär, aber das ist dann auch schon egal) Whitelisten. Und damit ist das ganze ach so tolle Sicherheitskonzept von NoScript ausgehebelt.


    Ich nehme an, dass du schreiben wolltest:

    Zitat

    und nur mit JavaScript funktioniert


    In dem Sinne: Dass ein gewisses "Restrisiko" bleibt, lässt sich nicht ändern. Damit hast du natürlich vollkommen recht. Aber wann lässt sich dieses Restrisiko schon ausschließen? Solange man mit dem "whitelisten" einigermaßen vernünftig umgeht, sehe ich mit NoScript ein Sicherheitsplus und das halte ich für ausreichend groß, um den Aufwand auf mich zu nehmen ein Whitelist zu führen.