# Firefox: NoScript, ja oder nein?



## RubenPlinius (10. November 2010)

hallo leute

ich habe gelsen, dass addons wie noscript durchaus die sicherheit beim surfen fördern können
stimmt das?

welches ist das beste/verlässlichste script blocking plugin für firefox? noscript?
mit welchen einschränkungen muss ich rechnen wenn ich so ein plugin verwende?
und vor welchen gefahren kann ein solchen plugin tatsächlich schützen?

herzlichen dank im voraus!


----------



## ZAM (10. November 2010)

Rechnen: Mit kaputten Seiten, mit Featureeinbußen.


----------



## Hotgoblin (10. November 2010)

Also ich hab es nicht drauf.

Die meisten Seiten haben Javascript drin und wie Zam schon gesagt hat kannst du entweder gewisse Sachen nicht nutzen bzw ist die Seite "kaputt".


Javascript wird missbraucht um dir Viren zu senden etc aber denke das ist sehr sehr selten.


----------



## Dracun (10. November 2010)

Also i nutze NoScript und AdBlock und meine Seiten sind alles andere als kaputt denn du kannst ja bei NoScript die Seiten freischalten. Bei Buffed zum Bleistift habe ich Buffed erlaubt aber google Analytics net. und die Seite läuft wunderbar


----------



## Klos1 (10. November 2010)

Ja, Fakt ist aber, dass du JavaSrcript Funktionen nicht hast, wenn du verhinderst, dass diese ausgeführt werden. Alles, was mit JavaScript umgesetzt wurde, funktioniert halt dann nicht. Wie sollte es auch funktionieren?


----------



## Lilith Twilight (10. November 2010)

Noscript erhöht die Sicherheit ungemein, wenn du es richtig benutzt. Gibts du alle Seiten auf die du gehst frei weil du dort alle Funktionen haben "musst" dann kannst du es aber auch gleich weglassen. 

Die Seiten die du als sicher erachtest und auf die du täglich gehst kannst du freigeben und die Seiten wo man nur mal so drauf schaut und auf die volle "Funktionalität" auch mal verzichten kann lässt man geblockt bzw. du kannst di Seite selbst freigeben aber Skripte von anderen Domains und anderen Müll (googleanalytic, googleapis, etc.) kannst du geblockt lassen.

Ist am Anfang etwas Arbeit bis du deine vertrauneswürdigen Seiten gespeichert hast aber lohnt sich meiner Meinung nach.

Meiner Meinung nach hat dieser ganze Javascript/Flash Müll eh nichts auf einer vernünftigen Seite verloren, genausowenig wie HTML in einer E-Mail


----------



## Klos1 (10. November 2010)

Tja, aber Dynamik bringst du in eine Webseite nun mal nicht mit HTML rein. Und wenn du für jeden Scheiß nen Postback machen musst, ist das auch nicht Sinn der Sache. Es macht einfach an vielen Stellen Sinn, Code clientseitig auszuführen. Außerdem, sofern der Browser keine Sicherheitslöcher aufweißt, ist es ja längst nicht so, dass ich mit Javascript beliebig Scheiße auf deinen Rechner betreiben kann.


----------



## Lilith Twilight (10. November 2010)

Trotzdem kann ich eine Webseite ohne den Müll funktional gestalten, cgi, perl, php, asp, usw., alles Mittel die man zusätzlich zu HTML nutzen kann, da brauche ich weder Javascript noch Flash.

Das wichtigste wofür eine Webseite da ist, ist es Informationen zu vermitteln und nicht möglichst bunt zu blinken und zu glitzern...leider vergessen das die meisten heutzutage. Naja, ist aber heute wichtiger wie eine Seite aussieht, als der Informationsgehalt. Facebook-Generation halt, mehr Schein als sein.

Und jeder Browser hat Sicherheitslöcher


----------



## Klos1 (10. November 2010)

Was du da aufzählst, sind alles serverseitige Programmiersprachen. Javascript wird clientseitig ausgeführt. Das kannst du weder mit PHP, ASP.Net oder was auch immer. Sinn und Zweck von Javascript ist es, die Funktion bei dir clientseitig auszuführen, sodass es keinen Postback braucht. Das ist in vielen Fällen auch performance-relevant. Außerdem ist es heutzutage einfach auch Standard, dass Teile der Webseite asynchron über Ajax aktualisiert werden und nicht die ganze Webseite neu geladen werden muss. Auch hier kommst du ohne Javascript nicht weit. Man denke nur an Autocomplete-Funktionaliät bei einer Suchmaschine. Ohne Javascript ist eine Webseite komplett statisch. Und das will sich heutzutage wohl keiner mehr geben.


----------



## Falathrim (10. November 2010)

Ich hatte früher NoScript drauf...und habs auf jeder verwendeten Seite deaktiviert. Und Viren hab ich trotzdem seit Jahren keine mehr bekommen. 
Finds also nicht notwendig, ABP reicht mir vollkommen aus, gemeinsam mit Kaspersky Internet Security


----------



## Lilith Twilight (10. November 2010)

Klos schrieb:


> Was du da aufzählst, sind alles serverseitige Programmiersprachen.



Da weiß ich, deshalb hab ich sie aufgezählt 



Klos schrieb:


> Javascript wird clientseitig ausgeführt. Das kannst du weder mit PHP, ASP.Net oder was auch immer. Sinn und Zweck von Javascript ist es, die Funktion bei dir clientseitig auszuführen, sodass es keinen Postback braucht. Das ist in vielen Fällen auch performance-relevant.



Für was brauche ich Performance um Text von einer Seite zu lesen? Was muss da dynamisch sein und ändert sich ständig?

Code gehört auf den Server nicht auf den Client, zumindest sehe ich das so. Damit könnte man sich viel Ärger sparen den man ohne clientseitig ausgeführten Code nicht hätte.



Klos schrieb:


> Außerdem ist es heutzutage einfach auch Standard, dass Teile der Webseite asynchron über Ajax aktualisiert werden und nicht die ganze Webseite neu geladen werden muss.



Und weil es alle machen, muss ich das auch machen? Wenn ich eine Webseite aktualisieren will drücke ich den Reload Button, da brauche ich nicht unbedingt die Callback Funktionalität, Postback ist vollkommen ausreichen IMHO...Webseiten die sich ständig ändern während ich draufkucke sind mir eh ein greul. Und soviel Daten braucht das auch nicht wenn ich die Webseite neu übertrage..zumindest nicht wenn sie nicht mit Grafik, Flash und anderem aufgeblasen ist was dann die größe unnötig in die Höhe treibt. 

Mit anderen Worten ich brauche eine unnötige Technik weil die Seite mit anderen unnötigen Techniken unnötig aufgeblasen und groß gemacht worden ist, damit ich nicht unnötigerweise immer den Datenberg komplett übertragen muss. Irgendwie paradox, oder 



Klos schrieb:


> Auch hier kommst du ohne Javascript nicht weit. Man denke nur an Autocomplete-Funktionaliät bei einer Suchmaschine. Ohne Javascript ist eine Webseite komplett statisch. Und das will sich heutzutage wohl keiner mehr geben.



Naja, ich kann mit statischen Seiten gut leben und "auto complete" brauche ich auch nicht, aber da steh ich wahrscheinlich ziemlich alleine mit da 

Ich glaube nicht das wir in der Diskussion da weiterkommen. Soweit ich das mitbekommen habe entwickelst du Webseiten bzw. programmierst dafür. Deshalb kann ich deine Sicht davon gut verstehen. Würde ich Seiten entwickeln würde ich wohl auch jede Technik die hilfreich ist einsetzten, vor allem da dies die Kunden auch verlangen weil sie der Konkurrenz nicht nachstehen wollen. Und wer gibt sich heute schon mit einer schlichten Seite zufrieden? 

Ich bin da halt eher altmodisch, sowohl was Webseiten als auch Mails betrifft.

Ich bin mit statischen HTML Seiten und Serverseitigem Code vollkommen zufrieden und brauch für mich persönlich den Rest nich, deshalb ist noscript ein willkommenes Addon


----------



## Tikume (10. November 2010)

Ich sag nur Drive-by Hacks. Ohne NoScript würde ich heute nicht mehr surfen wollen.
Und Javascript ist bei Bedarf auch schnell wieder aktiviert bzw. kann man für vertrauenswürdige Seiten auch permanent aktivieren.

Und wenn ich sehe dass eine Seite aus locker 10 verschiedenen Quellen Javascripts nachladen will wird mir schlecht. Sowas brauche ich absolut nicht.

Mal abgesehn davon funktionieren die meisten Seiten auch ohne Javascript ziemlich gut.

Jeder muss selber entscheiden was er macht. Ob Person X mit einem Viren-Mutterschiff unterwegs ist kann mir persönlich schnuppe sein


----------



## Klos1 (10. November 2010)

Also, ich hab kein Problem mit Javascript. Und ich wage zu bezweifeln, dass mein PC ein Viren-Mutterschiff ist.  Und wofür man Performance braucht? Zum Beispiel, wenn man eine Combobox mit Autocomplete-Funktion hat, bei der man für die Suche auch Wildcards einsetzen kann. Und das mal eben bei so ca. 50 000 items, die da dranhängen. Und alles soll ratzfatz gehen. Schon irgendwie scheiße, wenn da jedes mal die ganze Seite neu lädt. Wem willst du das verkaufen?


----------



## Skatero (11. November 2010)

Also ich halte Javascript überhaupt nicht gefährlich.

Ich zitiere mal selfhtml:"Wer also JavaScript in seinem Browser deaktiviert aus Angst, dass seine 
Festplatte damit formatiert werden könnte, sollte sich am besten ganz vom 
Internet fernhalten, denn schon beim Abruf von E-Mails lauern Gefahren, die 
wesentlich größer sind als diejenigen, die von JavaScript ausgehen."

Quelle: http://de.selfhtml.org/javascript/intro.htm#javascript_html


----------



## Najsh (11. November 2010)

Also wer wirklich denkt er würde mit deaktiviertem javascript sicherer surfen, hat leider wirklich keine Ahnung.
Das ausnützen von bugs in der js engine, ist zum einen browserspezifisch und zum anderen vergleichsweise harmlos.

Wesentlich gefährlicher im Resultat sind diverse Adobe bugs (pdf/flash), cross-site-scripting, session hijacking, 
mail-header-Injection, HTTP-Header-Manipulation und zu guter letzt die Dummheit einiger User die nach wie vor
auf phishing oä reinfallen.

Und wer flash ,sessions/coookies bis hin zu javascript alles deaktiviert, wird kaum noch Spass 
haben... viele Seiten würden gar nicht mehr fubktionieren und man kann dann gleich
auf einen text-basierten browser umschwenken, der aber sicher aus Bequemlichkeitsgründen
schnell wieder ad acta gelegt wird...

btw - private firewalls haben null Nutzen.

Und letzten Endes sind die Bugs in den Browsern sowieso nur das Eingangstor - denn die eigentlichen
Probleme resultieren aus dem unsicheren OS dahinter. Wer sein System auf dem aktuellen
Stand hält und auch konsequent auf Benutzerrechte setzt, hat schon mal einiges
für seine Sicherheit getan. So doof und ausgelutscht das auch klingen mag...

Wer aber eben meint er muss ich die neusten Kinofilme ansehen, p2p nutzen 
oder sonstiges wir mit einem windows system schnell vor der nächsten Neuinstallation stehen. 
Und da wird ihm aauf die Dauer auch kein virenscanner uä helfen...

Und wenn hier einige schon in helle Panik geraten, dass javascript evil ist,
wundert es mich zB dass es wohl kaum jmd stört dass er seine e-mails unverschlüsselt versendet...


----------



## Kyragan (11. November 2010)

Die beste Security-Software ist die brain.exe...


----------



## Blut und Donner (11. November 2010)

Kyragan schrieb:


> Die beste Security-Software ist die brain.exe...



Leider wird die bei manchen werkseitig vergessen zu installieren...


----------

