Guten Morgen,
meint ihr die Verwendung eines Addons wie Noscript oder ähnliches ist auch unter einem Ubuntun System sinnvoll? Ist JavaScript für Linux OS ein genauso großes Sicherheitsrisiko wie unter Windows?
Anmeldungsdatum: Beiträge: 94 |
Guten Morgen, meint ihr die Verwendung eines Addons wie Noscript oder ähnliches ist auch unter einem Ubuntun System sinnvoll? Ist JavaScript für Linux OS ein genauso großes Sicherheitsrisiko wie unter Windows? |
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
„Genauso groß“ wahrscheinlich nicht (prinzipiell kaum zu beantworten, da zwei Betriebssysteme sich in zuvielen Details unterscheiden, um „genauso“ klar definieren zu können). Die meisten Schadskripte werden von einer Windowsumgebung ausgehen, aber natürlich können entsprechende Skripte innerhalb Deines Browsers auch unter Linux Schaden anrichten, z.B. Dir falsche Loginseiten vorgaukeln oder anderweitig Daten abgreifen, sog. Flashcookies speichern etc. Für mich hat NoScript allerdings noch vor der Sicherheit eine reine Erhöhung der Benutzerqualität zur Folge, da ich weniger mit Skriptkram beballert werde. Leider sind viele Webseiten ohne Skripte kaum bis gar nicht mehr bedienbar. Neben NoScript finde ich dahingehend Flashblock praktisch, was prinzipiell zwar durch eine entsprechende „Click to Play“-Funktion Firefox' überflüssig sein sollte, wobei Letztere bei mir aber nicht funktioniert. ❓ ☹ Beide starten eingebettete Flashinhalte erst nach Klick auf einen eingeblendeten Startknopf. Datenschutztechnisch wäre noch Ghostery zu erwähnen, das viele Webtracker blockiert. |
Anmeldungsdatum: Beiträge: 19197 |
Natürlich, der Firefox bleibt ja der Gleiche. Somit lassen sich im Zweifelsfall Passwörter, History und Lesezeichen auslesen und abschicken. Und das ganze Gebinker und die Popups will man üblicherweise auch nicht haben. |
Anmeldungsdatum: Beiträge: 732 |
Welcher Firefox? Ab 26 hat sich da (mal wieder) was geändert. |
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
Lese gerade, dass FF 26 nur Java-Applets und ältere Flash-Plugins auf diese Weise stoppt, kein aktuelles Flash, weil dieses „zu verbreitet“ sei. 🙄
Also hat Flashblock nach wie vor eine Daseinsberechtigung. Neben dem Sicherheitsaspekt sorgt Flashblock z.B. dafür, dass Video-Applets nicht gleich nach Aufruf der Seite loslaufen. Man kann also z.B. bei Youtube mehrere Suchergebnisse per Mittelklick in einzelnen Tabs öffnen, ohne danach von einer Kakophonie an gleichzeitig startenden Videos akkustisch erschlagen zu werden. 💡 Ich habe nichts darüber gefunden, ob und wie man Click-to-Play dahingehend selbst konfigurieren kann. Das wäre hier aber endgültig Off-Topic. |
Anmeldungsdatum: Beiträge: 338 |
Ich bin grundsätzlich bei solchen Addons vorsichtig. Es gibt genügend Beispiel die unter Verdacht stehen, weil Sie Benutzer ausspionieren und ähnliches tun. |
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
Konkret welche? |
Anmeldungsdatum: Beiträge: 338 |
Von Ghostry bis Stealthy und wie sie sonst noch alle heißen. Nichts gegen No Script, ich kenne das Addon nur vom hören sagen, den Quellcode hast du da nicht in 5 Minuten durch. Ich kann es nur nicht ganz verstehen wenn man sich um Datenschutz/Anonymität bemüht und zeitgleich sein Browser mir Addons zuballert wo man selbst nicht genau weiß, was alles im Hintergrund passiert. |
Anmeldungsdatum: Beiträge: 19197 |
Seltsame Argumentationskette. Hast du schon den Quellcode deines Betriebssystems und deines Browsers vollständig nach Hintertürchen und Spionagefunktionen abgesucht? |
Anmeldungsdatum: Beiträge: 338 |
Es gibt nunmal Software, der ich vertrauen (muss). Das heisst aber nunmal nicht, dass ich mir zig Addons installiere. Wenn du da anderer Meinung bist, dann find ich das allerdings auch OK, es stört mich ja nicht 😉 |
Anmeldungsdatum: Beiträge: 19197 |
Es ist auf jeden Fall nicht leichtsinniger etablierten sicherheits Addons zu vertrauen, als einem riesigen Softwarestack zu vertrauen. |
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
|
Anmeldungsdatum: Beiträge: 338 |
Es ist erst recht nicht sinnvoll, nichts zu hinterfragen. Tu dir keinen Zwang an und beschwer dich doch bei Wikipedia wenn dir der FUD nicht passt http://de.wikipedia.org/wiki/Ghostery |
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
Ohne konkrete Indizien ins Blaue hinein zu hinterfragen auch nicht. Du hast auch nicht hinterfragt, Du hast behauptet, dass es Plugins gäbe, die „im Verdacht stünden, weil Sie Benutzer ausspionieren und ähnliches tun“. Das ist eine Tatsachenbehauptung, die Du auf Nachfrage mit keinerlei Quellen belegen konntest. Die verlinkte Kritik an Ghostery ist ambivalent und weit von „Spionieren“ entfernt, zudem die Teilname an GhostRank per Opt-In aktiv vom Benutzer aktiviert werden muss. |
Anmeldungsdatum: Beiträge: 5106 |
Ohne jetzt Panik verbreiten zu wollen, muss man zumindest bezüglich NoScript (ich verwende es selbst trotzdem) festhalten, dass die folgende Aktion nicht gerade das beste Licht auf den Autor geworfen hat: http://princo.wordpress.com/2009/05/02/krieg-der-firefox-extensions-noscript-vs-adblock-plus/ Das bestärkt IMO nicht gerade das Vertrauen in den Autor und Vertrauen ist nun mal bei Sicherheits-relevanter Software schon entscheidend. Man kann auch generell die Frage aufwerfen, warum NoScript gewisse Skripte bereits in der Voreinstellung erlaubt. Eigentlich dürfte es IMO in der Standard-Einstellung absolut gar keine Scripte erlauben. Das war aber bei NoScript AFAIK noch nie so. Wie gesagt, das muss man jetzt nicht dramatisch sehen, aber es macht IMO durchaus Sinn, bei solchen Add-Ons einen Blick in die voreingestellt Whitelist zu werfen - auch wenn man diese natürlich komplett leeren kann, was aus Vertrauens-Sicht ein Vorteil für den Nutzer ist. Gruß, Martin EDIT: Ansich sind solche Erweiterungen wie NoScript, Flashblock usw. auf alle Fälle auch unter Linux sinnvoll, weil der erste Angriffsvektor von außen über Websiten über Skript-Code erfolgen. Was IMO beim Firefox-Konzept mit den Add-Ons auch problematisch gesehen werden kann: Der Nutzer muss sich zur Wahrung der Sicherheit mehreren vertrauen. Das kann eben auch ein Nachteil sein. IMO könnte man auch die Auffassung vertreten, dass so etwas wie optionales Skript-Blocking zum Standard eines jeden Browser gehören sollte. Der Nutzer müsste dann auch nur einer Quelle vertrauen. |