NoScript (noch) Sinnvoll? (Ehemals: Sayonara NoScript)

    Ein paar Anmerkungen dazu:

    Weder NoScript noch irgendeine andere Maßnahme gewährt eine 100%ige Sicherheit. Dessen ist sich auch der Autor der Erweiterung bewusst. Das Ziel von NoScript ist aber die Sicherheit zu erhöhen und dies gelingt, in erster Linie durch das Deaktivieren von JavaScript und Plugins.
    Wenn man sich die Schwachstellen und Sicherheitsrisiken im Browserumfeld der letzten Jahre ansieht, erkennt man oft einen Bezug zu Plugins oder JavaScript. Viele der Angriffe basieren auf dem Vorhandensein von Plugins oder der Möglichkeit JavaScript im Browser auszuführen.
    Ein Browser, der weder Plugins noch JavaScript erlaubt, kann daher als sicherer angesehen werden, als ein Browser, der dies generell zulässt.

    Warum also NoScript? Man könnte ja auch generell JS deaktivieren und Plugins erst gar nicht installieren. NoScript ermöglicht es selektiv Seiten die Ausführung von JS und Plugins zu erlauben. Ein Zugeständnis an Seiten, die nicht mehr ohne diese Dinge funktionieren (dass es eine Vielzahl von Seiten gibt, die auch ohne auskommen könnten, sei mal dahin gestellt). Natürlich, und das bestreitet auch niemand, senkt das die Sicherheit des Browsers im Vergleich zur radikalen Lösung wieder, da diese Seiten nun in der Lage wären, Schwachstellen im Browser auszunutzen. Dennoch ist dieser Zustand, was leicht nachvollziehbar ist, noch immer besser als das ausnahmslose Zulassen dieser Technologien.

    Man kauft sich diesen Vorteil allerdings zu einem gewissen Preis ein und auch das ist unbestritten. Es bedarf höchstens zweier Mausklicks, um eine Seite, die man besucht (entweder temporär oder) dauerhaft die Erlaubnis zur Nutzung zu erteilen. Die persistente Erlaubnis muss nur einmal erteilt werden, stellt also keine wirkliche Usabillity-Einschränkung dar. Dies eignet sich hervorragend für Seiten, die man regelmäßig besucht.
    Es verbleiben also lediglich Seiten, die man in Einzelfällen aufruft. Es mag von meinen persönlichen Präferenzen und Workflows beeinflusst sein, aber die Rate der Seiten, die ihre Informationen und Dienste nur mit der Unterstützung von JS/Plugins zur Verfügung stellen, ist weit geringer, als manche hier den Anschein erwecken wollen. Weder habe ich eine unendlich lange Whitelist, noch muss ich bei jeder zweiten Seite JS temporär erlauben. Und die Rate ist auch weit entfernt von "90%" oder "fast allen".

    Was also der User entscheiden muss: ist ihm dieser Sicherheitszuwachs die paar Mausklicks wert? Dem einen ja, dem anderen nicht. So einfach ist es und das bleibt auch das wesentliche Kriterium, gleichzeitig verdeutlicht es die Stärke des Addon-Prinzips.

    Nachvollziehbar ist für mich die Kritik in Bezug auf den "Geekfaktor" gewisser Einstellungen. Dabei ist aber anzumerken, dass es sich um optionale Einstellungen handelt, die man auch einfach deaktivieren kann bzw. die schon in den Default-Einstellungen deaktiviert sind. Nicht ohne Grund gibt es einen Tab "Erweitert" in den Einstellungen, der die meisten dieser Optionen bereit hält. Die übrigen Tabs beziehen sich im Wesentlichen auf die optische Erscheinung und den Funktionszugang. Es bleiben die Positivliste sowie rudimentäre Plugin-Einstellungen, welche zur Grundfunktionalität von NoScript gehören. In Einzelfällen kann man darüber streiten, ob bspw. die ClearClick-Optionen nicht besser in den Erweitert-Tab wandern sollten, im wesentlichen findet man aber in den anderen Tabs nichts, was völlig unverständlich ist.

    Ein kleiner Vergleich mit AdBlock Plus sein an der Stelle auch erlaubt. Diese Erweiterung wird im Allgemeinen nur als nützlich empfunden. Wenn man sich allerdings die zu Grunde liegende Kennzeichnungsvorschrift der zur blockierenden Elemente ansieht, so kann man dort ebenfalls anführen, dass dies einen Laien überfordert. Müssten alle Nutzer die Elemente via Source-Code entziffern und dann die Blacklist-Einträge von Hand eintippen, würde kaum jemand die Erweiterung nutzen.
    Aber ABP tut etwas dagegen, es werden Abos und visuelle Mittel bereit gestellt, Seitenelemente auch für den Laien zugänglich und blockierbar zu machen. Reduziert man NoScript auf die ursprünglichen und grundsätzlichen Funktionen, sehe ich da ebenfalls keine zu hohen Ansprüche an den User, insbesondere nicht in den Default-Einstellungen.

    Ein weiterer verständlicher Kritikpunkt ist die stellenweise etwas nachlässige Dokumentation, insbesondere fehlen gute Lokalisierungen. Viele Fragen und Probleme lösen sich leicht nach dem Studium der Feature-Liste oder der FAQ, allerdings sollte man dafür des Englischen mächtig sein.
    Nicht direkt ein Kritikpunkt, aber die engagierte Wartung der Erweiterung durch den Autor führt natürlich auch dazu, dass des öfteren noch nicht ausreichend dokumentierte Features Einzug erhalten. Einen Einfluss auf die Grundfunktionalitäten haben diese aber in der Regel nicht.

    Wesentlicher als der Zuwachs der Sicherheit im Browser, ist allerdings die Konfiguration der Betriebssystems und das dahinter stehende Sicherheitskonzept. Auch das ist ohne Zweifel so, wobei NoScript dabei in Einzelfällen sogar noch in der Lage ist, Versäumnisse abzumildern.

    Ich nutze NoScript und werde es auch weiterhin tun. Hier gibt es keine Whiteliste und hier wird der Content auch grundsätzlich nur temporär zugelassen. Vielleicht liegt es daran, das ich kaum Seiten aufsuche, die ohne die Zulassung von JS nicht funktionieren. Ich sehe NoScript, wie auch ABP nur mit Vorteilen behaftet. Übrigens: Eine 100 % ige Sicherheit gibts nirgends. Nichtmal im Bett! :lol:

    was mich am meisten stört ist, dass man z.b. nicht global festlegen kann dass der cursor automatisch in suchfelder etc. springt UND gleichzeitig scripte verboten sind.

    wenn ich jetzt global alles verbiete und google aufrufe muss ich von hand den cursor in die eingabezeile setzen.

    ansonsten ist es wie bereits erwähnt sehr praktisch zum blocken von flash inhalten. spart besonders bei älteren pcs resourcen.

    Zitat von boardraider

    Weder NoScript noch irgendeine andere Maßnahme gewährt eine 100%ige Sicherheit. Dessen ist sich auch der Autor der Erweiterung bewusst.

    Warum sagt er dann ständig das Gegenteil? Eben die unseriöse Aussage, "NoScript macht Firefox sicher" des Autors ist das, was bei mir die große Ablehnung verursacht. Wenn man NoScript als das, was es ist verkaufen würde: eine Möglichkeit, nervige Seiten davon abzuhalten, nervig zu werden mit einem gewissen, nicht abschätzbaren (und sehr vom Nutzerverhalten abhängigen) Sicherheitsgewinn, dann hätte ich kein Problem damit. Aber auf den ganzen Müll von wegen "Firefox unsicher, NoScript sicher" reagiere ich ziemlich allergisch. Damit disqualifiziert es sich für mich zum reinen Placebo...

    Zitat von Boersenfeger

    Firefox ist wirklich sicherer mit NoScript.


    Nö. Javascript und Plugins kann man auch so im Firefox deaktivieren. NoScript bietet nur mehr Komfort in der Bedienung. Sonst nichts.

    OK, wer diese Einstellungen aber nicht vornimmt, weil er sie nicht kennt....... usw. usw.
    Bringen eigentlich irgendjemanden diese Haarspaltereien was? Wers nehmen will soll es tun, sich allerdings nicht dabei einreden, das der Firefox dadurch sicher ist. Könnte man das als Konsens ansehen? 8)

    Zitat von bugcatcher

    NoScript bietet nur mehr Komfort in der Bedienung. Sonst nichts.

    Deswegen nutze ich es auch weiterhin :!:

    Von den paar Klicks sterbe ich nicht.

    P.S wie kann man nur ellenlange Beiträge dazu schreiben(@ boardraider)
    Naja, wer die Zeit hat... 8)

    Zitat von Simon1983

    Ist ja ne tolle Anleitung für NoScript. Richtig topaktuell. Nur 2 Jahre alt.

    Spielt keine Rolle, da sind alle wichtigsten und relevanten Einstellungen
    genau beschrieben.

    Hier läuft NoScript einwandfrei.

    Zitat von pittifox

    Deswegen nutze ich es auch weiterhin :!:


    Ich will auch niemandem das ausreden. Nur darauf hinweise das durch NoScript nichts sicherer wird, als wie mit dem Firefox selbst es auch möglich ist.

    Ich selbst nutze diese Erweiterung nicht. Solang Plugins und Firefox gepatcht sind, ist ein Risiko verschwindend gering. Für ein Promille mehr "Sicherheit" mach ich mir da keinen Stress mit sowas.

    Ich benutze Flashblock. Aber weniger aus Sicherheitsgründen. Ich hasse Flashseiten die in Hintergrund-Tabs anfangen rumzududeln oder unnötig Ressourcen fressen. ^^

    So eine Anleitung mag zwar nett sein, klärt aber nicht wirklich verständlich auf, was man da eigentlich betreibt.

    Leute die sowas aus Sicherheitsgründen nutzen sind und bleiben für mich persönlich Hobbyparanoiker. ; )

    Ich find bugcatcher hat's wiedermal auf den Punkt gebracht. Die Frage ist eigentlich: ist Firefox ohne JavaScript und Plugins sicherer als mit?

    Wenn ja, dann wäre die weitergehende Frage: macht der Komfort den NoScript gibt Sinn? Und das ist dann wieder pure Ansichtssache ohne Diskussionswert.

    Und wenn nein, dann ist auch NoScript unnötig.

    Da ich viel rumsurfe und gelegentlich auch in die dunklen Gassen des Internets gerate benutze ich es, JS und Plugins sind ja nicht nur ein (minimales) Sicherheitsrisiko sondern lassen auch Informationen auslesen die niemanden was angehen.

    klaudschv wrote:

    Zitat

    was mich am meisten stört ist, dass man z.b. nicht global festlegen kann dass der cursor automatisch in suchfelder etc. springt UND gleichzeitig scripte verboten sind.

    Kannst du trotz NoScript mit einem GM-Skript oder Ubiquity machen.