Tipps & Tricks 18.03.2013, 06:58 Uhr

NoScript blockt Java- und Flash-Inhalte

Problem: Ich habe jetzt Firefox und das NoScript-Add-On installiert. Jetzt blockiert es mir aber ständig alles, was Java oder Flash braucht. Warum tut es das und wie kann ich das ändern?
Lösung: Das liegt daran, das es zu den Aufgaben von NoScript gehört, Flash und Java einzudämmen. Diese Technologien sind wegen der zahlreichen Sicherheitslücken die Haupteinfallstore von Schädlingen, die man sich via Browser einfangen kann. Standardmässig wird darum alles blockiert, was Sie nicht explizit freigeben - sei es temporär oder dauerhaft. Das Ziel ist, die erwünschten Inhalte anzuzeigen und die böswilligen zu blockieren.
Die Situation: Angreifer machen sich zweierlei Sicherheitslücken zunutze. Zum einen jene in der Software eines angegriffenen Webservers. Angreifer können direkt auf den angegriffenen Servern meistens keine manipulierten Java- oder Flash-Inhalte ablegen. Aber sie können solche auf anderen Servern deponieren und über Sicherheitslücken auf ansonsten seriösen Servern quasi «verlinken». Und genau das tun sie auch. Nun kommt die zweite Sorte Sicherheitsleck zum Zug: Wenn ein Nutzer mit einem anfälligen Browser die angegriffene Seite besucht, wird der darauf verknüpfte schädliche Inhalt ausgeführt. Virenscanner sind oft nicht in der Lage, solche Infektionen zu stoppen.
NoScript kann das Verhalten des Browsers wie folgt ändern: «Führe nur die JavaScript/Java/Flash-Inhalte aus, die ich erlaube». Das sind zum Beispiel jene, die direkt auf vertrauenswürdigen Domains liegen. Was da hingegen nur als Verknüpfung auf ausserhalb gelagerte Scripts vorhanden ist, wird blockiert. Welches für Sie die vertrauenswürdigen Seiten sind, bringen Sie NoScript nach und nach bei.
Am besten pflanzt man sich das NoScript-Icon in die Symbolleiste: Nach einem Rechtsklick auf die Symbolleiste gehts zu Anpassen, worauf man sich das NoScript-Icon greifen und in die Leiste ziehen kann. Auf einer Webseite angekommen, auf der man JavaScript-, Java- oder Flash-Inhalte ausführen will, geht es dann so: Fahren Sie aufs NoScript-Icon. Da finden Sie für jede involvierte Domain die möglichen Anweisungen. Auf der Beispielseite im Screenshot gibts zum einen die Hauptdomain «richarddawkins.net» selbst. Dazu gehört auch die Subdomain «store.richarddawkins.net». Auf der Seite eingebunden ist offenbar zudem ein Onlineshop von shopify.com - ebenfalls inklusive einer Subdomain («cdn.»). Und dann noch die obligaten doubleclick.net-Domains und -Subdomains für die Werbebanner.
Beim ersten Besuch - und wenn Sie in NoScript nichts auswählen - ist jegliches Scripting verboten. Das erkennen Sie am komplett durchgestrichenen NoScript-Icon in der Symbolleiste. Betrachten Sie den Screenshot oder ihr eigenes NoScript-Menü genauer. Sie bemerken selbst: Für jede auf der aktuell geöffneten Seite involvierte Domain und Subdomain gibt es im NoScript-Menü je einen Befehl, nämlich «erlauben» und «temporär erlauben». Da ist alles logisch aufgebaut: Wenn wir im Beispiel den Befehl «richarddawkins.net erlauben» wählen, werden damit automatisch und dauerhaft auch alle Subdomains von richarddawkins.net für Scripting, Flash usw. zugelassen. Das ist bei vertrauenswürdigen Webseiten die Empfehlung. Temporär erlauben hiesse, dass beim nächsten Besuch das Scripting wieder verboten ist.
Damit sind aber etwa die eingebetteten Inhalte von anderen Domains (z.B. YouTube.com) noch nicht zugelassen. Jene, die Sie brauchen, legen Sie übers vorhin erwähnte NoScript-Menü nach und nach als dauerhaft gespeicherte Ausnahmen fest. Die meisten Anwender besuchen regelmässig nur ca. ein Dutzend verschiedene Webseiten bzw. Domains. Die erforderlichen Ausnahmen sind deshalb meistens schon nach ein paar Tagen eingetragen.
Das alles braucht etwas Übung, erhöht aber die Sicherheit erheblich. Natürlich kann NoScript auch nichts dagegen ausrichten, wenn der Anwender einer böswilligen Domain das Scripting erlaubt. Aber die Hürde ist mit NoScript zumindest etwas höher. (PCtipp-Forum)



Kommentare
Es sind keine Kommentare vorhanden.