NoScript vs. Surfspuren

Habe seit dem Samstag die Extension "NoScript" in Gebrauch (Tip von pcinfarkt, Danke nochmals).

Funktioniert ziemlich gut, das dauernde JS-Erlauben geht allerdings ein bischen auf die Nerven

Sieht man mal was beim Surfen so alles ungefragt geladen wird.


Allerdings stört es mich, daß unter Einstellungen, die Liste für die diversen Seiten welche man angesurft hat, einsehbar ist. Also eine Art "Verlauf". Nicht grade sehr diskret.
Weiß jemand eine Lösung, mit der man das Einsehen verhindert, die Liste aber erhalten bleibt?

 

Die Extension NoScript hat "0" mit Surfspuren im klassischen Sinn zu tun! Mit Hilfe dieser Ergänzung kannst Du auf Grundlage einer eigenen Whitelist Pages für JS freigeben, pflegen und löschen. Es gibt da nirgends einen Verlauf!

Fall Du Interesse zum Nachlesen hast:
http://www.noscript.net/whats
http://forums.mozillazine.org/viewtopic.php?t=265889

Verstehe ich nicht. Die ständigen ca. 10 Seiten liegen bei mir fest! Dazu kommt mal eine, welche ich nach Gebrauch wieder aus meiner Liste lösche.

Wenn es mich "nerven" würde, würde das Teil wieder das Zeitliche segnen.

 

> Nicht grade sehr diskret.

Wo ist das Problem?

 

Ok, ok ein "Verlauf" ist es natürlich nicht. Aber in der Whitelist sind
die bis dato angeschauten Seiten, welche JS benutzen, hinterlegt.
Natürlich könnte ich unerwünschte Adressen löschen. Da ich bis jetzt mit "Paranoia" aber immer alles auf einen Schlag gelöscht habe, ist das im Sinne der Bequemlichkeit ein Rückschritt.

Schreibt mir jetzt bitte nicht das ich zu faul bin (höre ich sowieso schon ab und zu).

Und mit "indiskret" meine ich, das nicht unbedingt jeder einen Einblick in mein Surfverhalten haben sollte. In der Whitelist wird zwar kein Datum oder sonstwas mitgeführt, aber interessant kann es für andere allemal sein.

Ach so, noch das "Nervige":

Alleine diese Seite kommt mit 4 verschiedenen Scripts an. 4 mal erlauben.
Wenn man viel im Internet rumschaut, kommt man schnell auf einige verschiedene Seiten.

Noch ne Kleinigkeit. Kann man irgendwie sehen welches Script grade was machen will?
Beispiel hier: Was will "advertising.com" oder "doubleclick.net" grade machen?

 

> Aber in der Whitelist sind die bis dato angeschauten Seiten, welche JS benutzen, hinterlegt

Wie soll die Erweiterung sonst wissen, auf welchen Seiten JavaScript erlaubt ist?

> Was will "advertising.com" oder "doubleclick.net" grade machen

(nur umrissen) Im Grunde versuchen die über Anfragen auf ihre Server durch die Scripts (oder auch einfache Bilder) auf fremden Seiten, webseitenübergreifend einzelne Nutzer zu verfolgen. In der Regel ist dazu noch ein Cookie notwendig (bzw. man macht es temporär über die IP oder andere Browsermerkmale). Nutzt man nun eine Seite mit "Anmeldung", kann diesem anonymen Profil eine tatsächliche Person zugeordnet werden. Die Kette wird durchbrochen wenn:

- man das Cookie der Firmen nicht zulässt
- öfter mal den Browser schließt und sich neu bei seinem Provider einwählt (hilft bei Standleitungen mit fester IP natürlich nicht)
- keine seitenfremden (d.h. von einer anderen Webseite als die man grade betrachtet) Bilder und Script akzeptieren

 

Du weißt aber schon das du bestimmte Seiten auch nur temporär erlauben kannst, oder? Dann brauchst du die nicht aus der Liste löschen.

 

Noch was. So wie es ausschaut, kann ich nur Seiten aus der Liste löschen, welche ich vorher zugelassen habe. Wie kann ich Seiten entfernen, welche ich nicht zugelassen habe?

Und woher weiß ich überhaupt, welches Script nun schädlich sein kann?

Hab keine Ahnung, kann auf einer "sicheren" Seite auch JS von anderer Quelle auftauchen? (Können sichere Seiten irgendwie mißbraucht werden?)

 

> Und woher weiß ich überhaupt, welches Script nun schädlich sein kann

Wenn du den Quelltext eines jeden Scriptes analysierst, kannst du sicher sein.

> Hab keine Ahnung, kann auf einer "sicheren" Seite auch JS von anderer Quelle auftauchen

Da du nicht in der Lage bist zu entscheiden was "sicher" ist, fehlt dir bereits die Grundlage jeglicher weiteren Betrachtung. Selbstverständlich kann der Seiteninhalt (wozu auch Scripte gehören) jederzeit geändert werden. BTW: was versprichst du dir eigentlich von der genannten Erweiterung? Ich habe das Gefühl du mißverstehst dessen Zweck.

 

> Da du nicht in der Lage bist zu entscheiden was "sicher" ist, fehlt dir bereits die Grundlage jeglicher weiteren Betrachtung.

Hm, was heißt nicht hier nicht in der Lage. Im landesüblichen Sinne weiß ich natürlich schon was sicher ist. Im engeren Sinne (grade Funktionalität Scripte etc.) bin ich allerdings ein stinknormaler User.

> Selbstverständlich kann der Seiteninhalt (wozu auch Scripte gehören) jederzeit geändert werden. BTW: was versprichst du dir eigentlich von der genannten Erweiterung? Ich habe das Gefühl du mißverstehst dessen Zweck.

Vorausgegangen ist ein kleines Problem, guckst Du hier:

http://forum.pcwelt.de/forum/thread173226.html

Daraufhin, als folgsamer und sicherheitsbedachter Mensch, habe ich mal den Rat befolgt. Siehe auch:

http://217.111.81.80/forum/showpost.php?p=797081&postcount=54

Da Scripte ja (wieder ich in meinem Verständnis als normaler User), auch böswillig sein könnten, habe ich keinen Bock mein System jedem Quertreiber auszuliefern.

Liege ich jetzt grundsätzlich falsch?

 

Ja, weiss ich. Ich war mir bloß nicht sicher, ob dieser Ausdruck nicht noch mehr verwirrt!

 

Ist vllt. wirklich besser, Du verabschiedest Dich wieder von dieser Extension. Die Seite des Herstellers hast Du sicherlich gelesen. Noch ein wichtiger Hinweis für eine Deinstallion: Schalte vorher im Kontextmenü von NoScript unbedingt auf <JavaScript global erlauben>!
http://www.noscript.net/faq#qa1_9

 

> bin ich allerdings ein stinknormaler User

Eben - du kannst den Inhalt der Scripte nicht analysieren und damit auch nicht entscheiden, ob eine Seite sicher ist. Auch die Erweiterung kann dies nicht und vertraut darauf das du ihr sagst, was sie tun soll.

> ist ein kleines Problem, guckst Du hier

Hat doch meine Glaskugel richtig gerochen, dass es hier um was ganz anderes geht... - Also: allg. JavaScripte sind nicht wirklich böse, da bereits im Browser gewisse Beschränkungen für dessen Ausführung vorgesehen sind. So kann z.B. ein Script nicht auf den Inhalt einer fremden Seite zugreifen und spionieren (meistens zu mindest ). JavaScript abzuschalten macht gegen die Werbetracker kaum Sinn, da diese auch ohne JavaScript funktionieren (siehe #5). Der ganze Hype um das deaktivieren von Scripting kommt aus den Sicherheitslücken des IE (was nicht heißt, das es dies in den Geckos nicht geben kann, war aber bis dato nicht notwendig).

Die verwendete Erweiterung ermöglicht dir, dass JavaScripte von bestimmten Seiten ausgeführt werden oder nicht. Das kann z.B. dann sinnvoll sein, wenn das JavaScript zu einer fehlerhaften Anzeige der Seite führt oder der Webmaster irgend welche nervenden Dinge eingebaut hat (zitternde Fenster, Endlosalerts usw.). Die Erweiterung ist kein Mittel um für mehr Sicherheit zu sorgen, allenfalls kann man sich durch die retriktive Abschaltung von JavaScript vor eventuellen zukünftigen Lücken der Engine schützen (was aber vorraussetzt das die Erweiterung selbst nicht davon betroffen ist, da die Erweiterungen selbst zum großen Teil aus JavaScript-Code bestehen).

 

Na siehst Du, jetzt weiß ich doch schon mehr.

Wie reell ist jetzt eigentlich die (vielleicht hochgespielte) Bedrohung durch Scripte wirklich. Weißt Du von so einem Fall im näheren Umfeld?

> Ist vllt. wirklich besser, Du verabschiedest Dich wieder von dieser Extension.

Werde die Extension trotzdem erst mal drauflassen und mich noch ein bischen weiter mit dem Thema beschäftigen. Weil interessieren tut mich das ganze jetzt schon.

 

Mir ist kein Fall bekannt, wo jemand allein durch das Nutzen von JavaScript auf Webseiten zu Schaden gekommen ist. Sicher ist, das JavaScript u.U. dazu taugt "böse" Dinge zu verschleiern oder zu begünstigen - siehe ebay - in der Regel ist aber immer das Verhalten des Nutzers mit für die Schadwirkung verantwortlich. Also es wird alles nicht so heiß gegessen, wie es gekocht wird.