ubuntuusers.de

Hallo,

normalerweise nutze ich den Firefox mit der Erweiterung Noscript. Seit gutsy habe ich mir mal zusätzlich den Epiphany-Browser installiert, der mir auch ganz gut gefällt. Allerdings gibt es dafür ja die Erweiterung NoScript nicht und die Einstellungsmöglichkeiten bzgl. Cookies, Java und Javascript sind ebenfalls begrenzt.

Ich habe bzgl. der Cookies die Einstellung "nur von momentan angezeigter Seite akzeptieren" gewählt. Popup's habe ich deaktiviert. Java ist abgeschaltet. Javascript habe ich allerdings aktiviert gelassen, da viele Seiten dies zum Navigieren u. ä. erfordern. Ich habe außerdem die Erweiterung Adblock aktiviert.

Meine Annahmen: Javascript ansich soll ja nicht gefährlich sein, da diese Sprache wohl keinerlei Befehle zum Lesen oder Schreiben von Daten auf der Festplatte kennt. Man soll damit zwar "ärgerliche" Dinge machen können (z. B. nervgie Popups und das Verändern von Fenstern), aber direkte Angriffsmöglichkeiten soll es wohl nicht geben.

Allerdings soll es sich gut dazu eignen, andere aktivierte Dinge (insbesondere VBS, ActiveX oder Java) als Angriffswerkzeuge anzusprechen, die dann aufgrund ihrer Beschaffenheit Schaden anrichten können (so jedenfalls habe ich das verstanden, was allerdings auch völlig fehlinterpretiert sein kann. Ich bin da eher Laie).

Meine Frage: Sind meine Annahmen soweit richtig und kann man relativ bedenkenlos mit den o. g. Einstellungen im Epiphany-Browser surfen (was relativ komfortabel ist) oder sollte man sicherheitshalber alle Cookies, Java und Javascript per default deaktivieren (was beim surfen relativ unkomfortabel wäre)?

Ich gehe mal davon aus, dass Programmierfehler nie auszuschließen sind. Aber die wären dann bei einer temporären Freigabe von Javascript (was ja mit NoScript im Handumdrehen geht) wahrscheinlich ebenfalls ausnutzbar. Solche Lücken sind daher nicht Gegenstand meiner Frage. Mir geht's hier in erster Linie darum zu erfahren, ob das Prinzip "aktiviertes Javascript" aufgrund seines Konzeptes bereits als risikoreich zu bewerten ist.

Gruß,
Tom

Tom L hat geschrieben:

Mir geht's hier in erster Linie darum zu erfahren, ob das Prinzip "aktiviertes Javascript" aufgrund seines Konzeptes bereits als risikoreich zu bewerten ist.

Die Sicherheitsfanatiker werden mich jetzt gleich steinigen, aber ich denke, es gibt für den Benutzer größere Fallen als aktiviertes JavaScript. Und immer bedenken, die größte Sicherheitslücke besteht nicht aus Nullen und Einsen. 😉

Hallo ditsch,

danke zunächstmal. Wenn ich eine Möglichkeit finden könnte nur bestimmten Seiten Javascript zu erlauben - also eine Art Whitelist - wäre ich mit Epiphany wunschlos glücklich. Es gibt nur einige Seiten, wo ich das wirklich benötige - da aber dann auch zwingend.

Ich habe es nun deaktiviert, für die entsprechenden Seiten aktiviere ich es dann nur für die Dauer meines Besuches. Das aber nicht nur aus Sicherheitsgründen, sondern auch aus Gründen der Performance. Die Verarbeitung von Javascript beansprucht meine CPU auf einigen Seiten teilweise ganz schön stark und vorallem lange, jedenfalls im Vergleich zu deaktiviertem Javascript auf der gleichen Seite (z. B. www.chip.de).

Der Seitenaufbau ansich geht zwar in beiden Fällen schnell, aber Epiphany schnellt bei aktiviertem Javascript mal kurz auf 50% CPU-Leistung hoch und verbraucht dann aber trotzdem noch relativ lange, nachdem die Seite bereits aufgebaut ist, ca. 45% der CPU-Leistung. Bei deaktiviertem Javascript geht die CPU-Leistung mal kurz auf ca. 30% hoch, aber Sekunden später sinkt sie dann auch wieder auf 2 oder 3% ab, was dann auch so bleibt.

Gruß,
Tom