Soll ich No-Script verwenden?

10

Ich höre, dass das Surfen im Internet heutzutage der wahrscheinlichste Ursprung von Malware auf einem Computer ist. Ich höre auch, dass man sich unter Linux keine Sorgen um Viren machen muss. Sollte ich also eine Browser-Erweiterung verwenden, mit der ich Javascript für bevorzugte Domänen wie No-Script oder Not-Script selektiv aktivieren kann?

firefox  chromium 
daithib8
quelle
1
Ich benutze es selbst, aber ich denke, dass es ein Nichtstarter für die "weniger geduldigen" ist. Sogar ich konnte nicht gestört werden, bis ich die Tastenkombination fand. Ich sage meiner Schwester: "Wechseln Sie zu Ubuntu, keine Viren" und bestehe dann darauf, dass sie No-Script verwendet. Keine Chance. Kann ich ihr wenigstens sagen, dass sie unter Ubuntu x% sicherer ist?
Daithib8
@ daithib8 Ihre Verwendung von Nichtstarter ist hier besonders angebracht.
Belacqua
Beachten Sie, dass NoScript ADDED-Sicherheit ist. Sie verwenden bereits einen sicheren Browser auf einem sicheren Betriebssystem. Noscript ist eine wunderbare Erweiterung und ich benutze es die ganze Zeit, aber es ist nicht jedermanns Sache. Einige Leute sind mit der Menge an Unterhalt ausgeschaltet, die sie beim Durchsuchen fremder Websites benötigen (es wird sie beschädigen). Ich denke, es lohnt sich persönlich. Aber es ist deine Entscheidung.

Antworten:

13

Bestimmt!

Angreifer können bösartige Skripte verwenden, um mehrere Angriffe wie XSS auszuführen:

Cross-Site Scripting (XSS) ist eine Art von Sicherheitslücke in Bezug auf Computersicherheit, die normalerweise in Webanwendungen auftritt und es böswilligen Angreifern ermöglicht, clientseitige Skripte in Webseiten einzufügen, die von anderen Benutzern angezeigt werden.

Lesen Sie mehr in Wikipedia .

Kein Skript gibt Ihnen die Möglichkeit, alle Skripte auf einer Webseite (oder einer Website) und die darin verwendeten Plugins wie Flash, Java usw. zu steuern. Sie fügen einer Whitelist vertrauenswürdige Sites hinzu, und die anderen dürfen keine Skripte ausführen. es sei denn, Sie lassen sie (vorübergehend oder dauerhaft).

Eine Frage und ihre Antwort auf der No-Script-Website ( FAQ ) können einige Klarstellungen liefern:

Warum sollte ich die Ausführung von JavaScript, Java, Flash und Plugins nur für vertrauenswürdige Sites zulassen?

JavaScript, Java und Flash, auch wenn sie sehr unterschiedliche Technologien sind, haben eines gemeinsam: Sie werden auf Ihrem Computercode ausgeführt, der von einem Remote-Standort stammt. Alle drei implementieren eine Art Sandbox-Modell, wodurch die Aktivitäten eingeschränkt werden, die Remotecode ausführen kann: Beispielsweise sollte Sandbox-Code Ihre lokale Festplatte nicht lesen / schreiben oder mit dem zugrunde liegenden Betriebssystem oder externen Anwendungen interagieren. Selbst wenn die Sandboxen kugelsicher waren (nicht der Fall, siehe unten) und selbst wenn Sie oder Ihr Betriebssystem den gesamten Browser mit einer anderen Sandbox (z. B. IE7 + unter Vista oder Sandboxie) umhüllen, kann die bloße Möglichkeit, Sandbox-Code im Browser auszuführen für böswillige Zwecke ausgenutzt werden, z. B. um wichtige Informationen zu stehlen, die Sie im Internet speichern oder eingeben (Kreditkartennummern, E-Mail-Anmeldeinformationen usw.) oder um sich als Sie auszugeben, z Starten Sie bei gefälschten Finanztransaktionen "Cloud" -Angriffe wie Cross Site Scripting (XSS) oder CSRF, ohne dass Sie Ihrem Browser entkommen oder höhere Berechtigungen als bei einer normalen Webseite erwerben müssen. Dies allein ist Grund genug, Skripte nur auf vertrauenswürdigen Sites zuzulassen. Darüber hinaus zielen viele Sicherheits-Exploits darauf ab, eine "Eskalation von Berechtigungen" zu erreichen, dh einen Implementierungsfehler der Sandbox auszunutzen, um größere Berechtigungen zu erhalten und unangenehme Aufgaben wie die Installation von Trojanern, Rootkits und Keyloggern auszuführen. Diese Art von Angriff kann auch auf JavaScript, Java, Flash und andere Plugins abzielen: Dies allein ist Grund genug, Skripte nur auf vertrauenswürdigen Sites zuzulassen. Darüber hinaus zielen viele Sicherheits-Exploits darauf ab, eine "Eskalation von Berechtigungen" zu erreichen, dh einen Implementierungsfehler der Sandbox auszunutzen, um größere Berechtigungen zu erhalten und unangenehme Aufgaben wie die Installation von Trojanern, Rootkits und Keyloggern auszuführen. Diese Art von Angriff kann auch auf JavaScript, Java, Flash und andere Plugins abzielen: Dies allein ist Grund genug, Skripte nur auf vertrauenswürdigen Sites zuzulassen. Darüber hinaus zielen viele Sicherheits-Exploits darauf ab, eine "Eskalation von Berechtigungen" zu erreichen, dh einen Implementierungsfehler der Sandbox auszunutzen, um größere Berechtigungen zu erhalten und unangenehme Aufgaben wie die Installation von Trojanern, Rootkits und Keyloggern auszuführen. Diese Art von Angriff kann auch auf JavaScript, Java, Flash und andere Plugins abzielen:

  1. JavaScript scheint ein sehr wertvolles Werkzeug für Bösewichte zu sein: Die meisten der bisher entdeckten Sicherheitslücken, die vom Browser ausgenutzt werden konnten, waren unwirksam, wenn JavaScript deaktiviert wurde. Vielleicht liegt der Grund darin, dass Skripte einfacher zu testen und nach Löchern zu suchen sind, selbst wenn Sie ein Neuling sind: Jeder und sein Bruder glauben, ein JavaScript-Programmierer zu sein: P.

  2. Java hat eine bessere Historie, zumindest in seiner "Standard" -Inkarnation, der Sun JVM. Stattdessen wurden Viren für die Microsoft JVM geschrieben, wie beispielsweise der ByteVerifier.Trojan. Auf jeden Fall ermöglicht das Java-Sicherheitsmodell, dass signierte Applets (Applets, deren Integrität und Herkunft durch ein digitales Zertifikat garantiert wird) mit lokalen Berechtigungen ausgeführt werden, dh so, als wären sie regulär installierte Anwendungen. Dies, kombiniert mit der Tatsache, dass es immer Benutzer gibt, die vor einer Warnung wie "Dieses Applet ist mit einem fehlerhaften Zertifikat signiert. Sie möchten es NICHT ausführen! Sind Sie so verrückt, es stattdessen auszuführen?" Niemals!] [Nein] [Nein] [Vielleicht] ", wird suchen, finden und auf die Schaltfläche" Ja "klicken, was sogar Firefox einen schlechten Ruf einbrachte (beachten Sie, dass der Artikel ziemlich lahm ist, aber wie Sie sich vorstellen können, viel Echo hatte ).

  3. Früher galt Flash als relativ sicher, doch seit seiner Verwendung wurden schwerwiegende Sicherheitslücken häufiger festgestellt. Flash-Applets wurden auch genutzt, um XSS-Angriffe auf die Websites zu starten, auf denen sie gehostet werden.>

  4. Andere Plugins sind schwerer auszunutzen, da die meisten von ihnen keine virtuelle Maschine wie Java und Flash hosten, aber dennoch Lücken wie Pufferüberläufe aufdecken können, die beliebigen Code ausführen können, wenn sie mit einem speziell gestalteten Inhalt gespeist werden. Kürzlich haben wir einige dieser Plugin-Schwachstellen gesehen, die Acrobat Reader, Quicktime, RealPlayer und andere Multimedia-Helfer betreffen.

Bitte beachten Sie, dass keine der oben genannten Technologien normalerweise (in 95% der Fälle) von öffentlich bekannten und noch nicht gepatchten ausnutzbaren Problemen betroffen ist. Der Sinn von NoScript ist jedoch genau das: Verhindern der Ausnutzung selbst unbekannter Sicherheitslücken, denn wenn sie entdeckt werden es kann zu spät sein;) Der effektivste Weg ist das Deaktivieren der potenziellen Bedrohung auf nicht vertrauenswürdigen Websites.

Pedram
quelle
5

Theoretisch können Sie unter Linux und Mac OS Viren bekommen. Der Grund, warum die meisten Menschen dies nicht tun, ist, dass Linux und Mac OS keine großen Ziele sind. Die Malware-Autoren wollen mit minimalem Aufwand ein weites Netz werfen. Zweitens bieten Linux / Unix mehr Sicherheit und besser informierte Benutzer (im Allgemeinen). Davon abgesehen verwende ich jederzeit Flashblock und No Script unter Windows, Mac OS X und Ubuntu. Seiten werden schneller geladen und helfen bei der Online-Anonymität, indem sie Flash-Cookies und alle möglichen anderen Probleme verhindern. Ich kann sie nur empfehlen, unabhängig von der Plattform. Zumindest machen sie Sie bewusster darüber, was Seiten versuchen.

manyxcxi
quelle
Apache ist für den hier angesprochenen Punkt nicht wirklich relevant. Bei Desktops ist die primäre Sicherheitslücke der Benutzer, der auf etwas klickt. Da Canonical bei der Ausrichtung auf Nicht-Geek-Typen erfolgreicher wird, werden Sicherheitsprobleme sicher zunehmen.
Chan-Ho Suh
4

Ich verwende NoScript regelmäßig in Firefox und empfehle es für den täglichen Gebrauch.

Anzeigen werden nicht blockiert, sodass Sie die Site-Kosten für die Administratoren weiterhin unterstützen.

Es blockiert jedoch Flash-Anzeigen und reduziert die CPU-Auslastung beim Surfen erheblich (vorausgesetzt, Sie haben das Flash-Plugin installiert).

Sie können die Ausführung von Inhalten individuell zulassen, sodass die meisten Websites für die gemeinsame Nutzung von Videos funktionieren, nachdem Sie die Skripte für die Videowiedergabe zugelassen haben (dies kann einige Vermutungen erfordern, wenn die Seite mehrere Skripte enthält). Die Berechtigungen, die Sie erteilen, können für die Sitzung vorübergehend oder dauerhaft sein, sodass die Site funktioniert, sofern Sie sie nicht erneut blockieren.

Wenn Sie Formulare wie Site-Registrierungen ausfüllen, sollten Sie die Skripte zulassen, bevor Sie die Formulare ausfüllen, damit Sie Ihre Arbeit nicht wiederholen müssen. Wenn Sie ein Skript auf einer Seite zulassen, wird die Seite neu geladen.

Der wichtigste Schutz, den NoScript Ihnen gewährt, besteht vor böswilligen Websites, die versuchen, Ihre Fenstergröße zu ändern, Inhalte auf sozialen Websites zu veröffentlichen oder andere unerwünschte Aktionen auszuführen. NoScript ändert die Standardaktion in "verweigert". Sie können pro Site auswählen, wenn Sie der Meinung sind, dass die Skripte vertrauenswürdig sind.

Hier ist der Installationslink für Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/

Joni Nevalainen
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.