it-swarm.com.de

Soll ich No-Script verwenden?

Ich habe gehört, dass das Surfen im Internet heutzutage die wahrscheinlichste Ursache für Malware auf einem Computer ist. Ich höre auch, dass man sich unter Linux keine Sorgen um Viren machen muss. Soll ich also eine Browsererweiterung verwenden, mit der ich Javascript für bevorzugte Domänen wie No-Script oder Not-Script selektiv aktivieren kann?

10
daithib8

Bestimmt!

Angreifer können mithilfe bösartiger Skripts mehrere Angriffe wie XSS ausführen:

Cross-Site Scripting (XSS) ist eine Art von Sicherheitslücke in Webanwendungen, die es böswilligen Angreifern ermöglicht, clientseitige Skripts in Webseiten einzufügen, die von anderen Benutzern angezeigt werden.

Lesen Sie mehr in Wikipedia .

Kein Skript gibt Ihnen die Möglichkeit, alle Skripte auf einer Webseite (oder einer Website) und die von ihr verwendeten Plugins wie Flash, Java usw. zu steuern. Sie fügen einer Whitelist vertrauenswürdige Sites hinzu, und die anderen dürfen keine Skripte ausführen. es sei denn, Sie lassen sie (vorübergehend oder dauerhaft).


Eine Frage und ihre Antwort auf No-Script-Website ( FAQ ) kann einige Erklärungen liefern:

Warum sollte ich die Ausführung von JavaScript, Java, Flash und Plugins nur für vertrauenswürdige Sites zulassen?

JavaScript, Java und Flash, auch wenn es sich um sehr unterschiedliche Technologien handelt, haben eines gemeinsam: Sie werden auf Ihrem Computer ausgeführt, der von einem entfernten Standort stammt. Alle drei implementieren eine Art Sandbox-Modell, das die Aktivitäten einschränkt, die Remote-Code ausführen kann: Beispielsweise sollte Sandbox-Code Ihre lokale Festplatte nicht lesen/schreiben und auch nicht mit dem zugrunde liegenden Betriebssystem oder externen Anwendungen interagieren. Selbst wenn die Sandboxen kugelsicher waren (nicht der Fall, lesen Sie weiter unten) und selbst wenn Sie oder Ihr Betriebssystem den gesamten Browser mit einer anderen Sandbox umschließen (z. B. IE7 + unter Vista oder Sandboxie), kann die bloße Fähigkeit, Sandbox-Code im Browser auszuführen, dazu führen für böswillige Zwecke ausgenutzt werden, z um wichtige Informationen zu stehlen, die Sie im Internet speichern oder eingeben (Kreditkartennummern, E-Mail-Anmeldeinformationen usw.) oder um sich als Sie auszugeben, z. Starten Sie bei gefälschten Finanztransaktionen "Cloud" -Angriffe wie Cross Site Scripting (XSS) oder CSRF, ohne dass Sie Ihren Browser verlassen oder höhere Berechtigungen als auf einer normalen Webseite erlangen müssen. Dies allein ist Grund genug, Skripte nur auf vertrauenswürdigen Sites zuzulassen. Darüber hinaus zielen viele Sicherheits-Exploits darauf ab, eine "Privilegieneskalation" zu erreichen, d. H. Einen Implementierungsfehler der Sandbox auszunutzen, um größere Privilegien zu erlangen und böse Aufgaben wie das Installieren von Trojanern, Rootkits und Keyloggern auszuführen. Diese Art von Angriff kann auch auf JavaScript, Java, Flash und andere Plugins abzielen:

  1. JavaScript scheint ein sehr wertvolles Tool für Bösewichte zu sein: Die meisten der bisher entdeckten, vom Browser ausnutzbaren Sicherheitslücken waren ineffektiv, wenn JavaScript deaktiviert war. Vielleicht liegt es daran, dass Skripte einfacher zu testen und nach Löchern zu suchen sind, auch wenn Sie ein Neuling sind: Jeder und sein Bruder glauben, ein JavaScript-Programmierer zu sein: P

  2. Java hat eine bessere Geschichte, zumindest in seiner "Standard" -Inkarnation, der Sun-JVM. Stattdessen wurden Viren für die Microsoft-JVM geschrieben, wie die ByteVerifier.Trojan. Das Sicherheitsmodell Java ermöglicht es signierten Applets (Applets, deren Integrität und Herkunft durch ein digitales Zertifikat garantiert werden), mit lokalen Berechtigungen ausgeführt zu werden, d. H. Genau wie bei regulär installierten Anwendungen. Dies, zusammen mit der Tatsache, dass es immer Benutzer gibt, die vor einer Warnung wie "Dieses Applet ist mit einem ungültigen/gefälschten Zertifikat signiert. Sie möchten es NICHT ausführen! Sind Sie so verrückt, es stattdessen auszuführen?" Niemals!] [Nö] [Nein] [Vielleicht] ", wird suchen, finden und auf" Ja "klicken, hat sogar Firefox einen schlechten Ruf eingebracht (beachten Sie, dass der Artikel ziemlich lahm ist, aber wie Sie sich vorstellen können, viel Echo hatte ).

  3. Früher galt Flash als relativ sicher, doch seit seiner Verbreitung wurden immer häufiger schwerwiegende Sicherheitslücken festgestellt. Flash-Applets wurden auch ausgenutzt, um XSS-Angriffe auf die Websites zu starten, auf denen sie gehostet werden

  4. Andere Plugins sind schwerer auszunutzen, da die meisten von ihnen keine virtuelle Maschine wie Java und Flash hosten, aber dennoch Lücken wie Pufferüberläufe aufweisen können, die beliebigen Code ausführen können, wenn sie mit einem speziell gestalteten Plugin gespeist werden Inhalt. In letzter Zeit haben wir einige dieser Sicherheitslücken im Plugin festgestellt, die Acrobat Reader, Quicktime, RealPlayer und andere Multimedia-Hilfsprogramme betreffen.

Bitte beachten Sie, dass keine der oben genannten Technologien in der Regel (95% der Fälle) von öffentlich bekannten und noch nicht gepatchten ausnutzbaren Problemen betroffen ist. Der Punkt von NoScript ist jedoch genau dies: Verhindern der Ausnutzung selbst unbekannter Sicherheitslücken, denn wenn diese entdeckt werden Möglicherweise ist es zu spät. Der effektivste Weg ist die Deaktivierung der potenziellen Bedrohung für nicht vertrauenswürdige Sites.

13
Pedram

Theoretisch können Sie unter Linux und Mac OS Viren bekommen . Der Grund, warum die meisten Menschen dies nicht tun, ist, dass Linux und Mac OS keine großen Ziele sind. Die Malware-Autoren wollen mit minimalem Aufwand ein weites Netz werfen. Zweitens bieten Linux/Unix mehr Sicherheit und (allgemein) besser informierte Benutzer. Davon abgesehen verwende ich Flashblock und No Script immer unter Windows, Mac OS X und Ubuntu. Die Seiten werden schneller geladen, und die Online-Anonymität wird verbessert, da Flash-Cookies und alle anderen Probleme vermieden werden. Ich kann sie nur empfehlen, unabhängig von der Plattform. Zumindest machen sie Sie bewusster, was Seiten zu tun versuchen.

5
manyxcxi

Ich verwende NoScript regelmäßig in Firefox und empfehle es für den täglichen Gebrauch.

Anzeigen werden nicht blockiert, sodass Sie weiterhin die Website-Kosten für deren Administratoren tragen.

Es blockiert jedoch Flash-Anzeigen und reduziert die CPU-Auslastung beim Surfen erheblich (vorausgesetzt, Sie haben das Flash-Plugin installiert).

Sie können die Ausführung von Inhalten einzeln zulassen, sodass die meisten Websites für die gemeinsame Nutzung von Videos funktionieren, nachdem Sie die Skripts für die Videowiedergabe zugelassen haben. Die Berechtigungen, die Sie erteilen, können für die Sitzung vorübergehend oder dauerhaft sein, damit die Site funktioniert, sofern Sie sie nicht erneut blockieren.

Wenn Sie Formulare wie Site-Registrierungen ausfüllen, empfiehlt es sich, die Skripte vor dem Ausfüllen der Formulare zuzulassen, damit Sie Ihre Arbeit nicht wiederholen müssen. Das Zulassen eines Skripts auf einer Seite erzwingt ein erneutes Laden der Seite.

Der wichtigste Schutz, den Sie von NoScript erhalten, ist der Schutz vor böswilligen Websites, die versuchen, die Fenstergröße zu ändern, Inhalte auf sozialen Websites zu veröffentlichen oder andere unerwünschte Aktionen auszuführen. NoScript ändert die Standardaktion in Abgelehnt, und Sie können pro Site auswählen, ob die Skripte vertrauenswürdig sind.

Hier ist der Installationslink für Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/

4
Joni Nevalainen