Kommentar: NoScript - Zeit es endlich zu entfernen!

Bild: © Matthias Enter / Fotolia.com

Bild: © Matthias Enter / Fotolia.com

Firefox 57 ist veröffentlicht und NoScript nicht kompatibel. Endzeitstimmung bei manchen Anwendern. Die neueste Version steht zwar als WebExtension zur Verfügung, ist aber aktuell noch fehlerbehaftet und Funktionsparität ist ebenfalls nicht erreicht. Die gute Nachricht: Macht nichts, NoScript wird im Zweifelsfall sowieso nicht benötigt und sollte endlich von den Systemen entfernt werden.

NoScript ist die heilige Addon-Kuh in der Firefox-Glaubenslehre. Immer wenn es um das Für und Wider des Firefox-Browsers geht kommt irgendjemand um die Ecke und ruft "NoScript" um zu belegen, dass alle alternativen Browser nichts taugen. Irgendwann vor einigen Jahren ist NoScript auch auf den Top10 der allersuperbesten Browser-Addons bei den IT-"Qualitätsmedien" gelandet, weshalb noch mehr Leute glauben, dass man unbedingt NoScript benötigt um nicht sofort eine virenversuchte, ransomwarebelaste Trojanermaschine sein Eigen zu nennen.

Das ist Quatsch! Die meisten Anwender brauchen weder NoScript, noch haben sie es bisher effektiv eingesetzt. Ein viel leichter zu bedienender Werbeblocker dürfte den meisten reichen. Denn - und das wird einige jetzt schmerzen - JavaScript ist nicht böse!

Natürlich ist NoScript keine per Definition schlechte Software. NoScript war eine sehr mächtiges Addon, mit dem man einzelne Elemente auf Webseiten gezielt blockieren respektive freigeben konnte. In den Händen versierter Anwender ist das ein sinnvolles Werkzeug um sich ein bisschen sicherer im Internet zu bewegen.

Die meisten Anwender sind aber weder versiert, noch wussten sie was sie da benutzen! Das sieht man bis heute, wenn sich Anwender beschweren, dass bestimmte Elemente auf der Webseite nicht funktionieren oder wenn sie jetzt nach einem Ersatz für NoScript suchen und gar nicht genau wissen, was sie benötigen.

Faktisch benutzen heute die meisten Webseiten JavaScript für absolut sinnvolle Funktionen und viele Seiten lassen sich ohne JavaScript gar nicht mehr sinnvoll bedienen. Viele Anwender von NoScript haben daher großzügig Seiten auf die Whitelist gesetzt, weil ihnen das Wissen fehlte um zu entscheiden, was wirklich benötigt wird. Damit führten sie letztlich das gesamte Addon ad absurdum.

Es ist also Zeit das Addon endlich in die ewigen Jagdgründe zu entlassen. NoScript war in den Anfangszeiten von JavaScript und nervtötenden Animationen und PopUps mal ganz sinnvoll. Das ist aber lange her. Wer die erweiterten Funktionen von NoScript wirklich benötigt wird eine passende Alternative finden, wer jedoch NoScript nur verwendet hat weil es mal in irgendeinem Leitfaden für ein superduper sicheres Internet aufgeführt wurde, kann es nun endgültig weglassen.

(Fast) Niemand braucht NoScript!

Thomas
Schön zu lesen, dass ich mit meiner Meinung zu NoScript nicht alleine bin. Du sprichst mir da aus der Seele!
Svenja
NoScript ist mit dem Firefox 57 kompatibel. Steht auch auf der Homepage von NoScript, welche direkt am Anfang verlinkt wurde!

https://addons.mozilla.org/de/firefox/addon/noscript/

benediktg
Der Entwickler von Noscript arbeitet schon an einer Webextension-Variante (Version 10.x hier: https://noscript.net/changelog).

Aber ja, uBlock origin kann Noscript nahezu komplett ersetzen und getreu dem Motto „weniger ist mehr“ kann man deshalb auf letzteres gut und gerne verzichten. ;)

Horst
Selten so einen Schwachsinn gelesen. Danke, konnte ich mich am späten Abend noch einmal herzlich amüsieren.
Jörg
Horst sagte :
Selten so einen Schwachsinn gelesen. Danke, konnte ich mich am späten Abend noch einmal herzlich amüsieren.


Ich möchte mich auch gerne amüsieren, kannst Du das besser erklären, damit auch ich in diesen Genuss komme?

Dirk
NoScript ist SUPER!
Ich stimme zu das nicht Versierte Nutzer ein Problem damit haben. Diese werde es sich selten installieren und jeder der dies in Zeitschriften liest, ist schon ein Versierter Nutzer.

NoScript ist SUPER! Weil:
- Es meinen PC Schneller macht! Nicht nur weil es Werbung Blogt. Einfach auf die CPU last schauen.
- Viel Bling Bling hat keine Chance. Vor zwei Wochen hat ein Freund geschrieben: "Kennst du das an deinem Mauszeiger ein Auto klebt?" Ich: Ja, schlimm ist das! Wie ende der 90ger!
- Das ganze Tracken, Nachladen und Analysieren! Schlimm! Warum unterstützt Google die vielen JavaScript Frameworks usw.? Ist alles das gleiche wie der Google DNS 8.8.x.x

Cruiz
Punkt 1, 2 und 3 erfüllt ein normaler Werbeblocker auch und ist viel leichter zu konfigurieren.
Pitt
Hallo,

endlich mal jemand der das schreibt was ich denke, prima - bin da bei Dir!!

Martin V
Während diese " 1st party - Scripte " Blockiererei im Jahre 2017 wie hier angerissen tatsächlich nur noch absurdes Verhalten mit sich zieht und auch darstellt : " 3rd party - Inhalte " (u.a. eben auch " 3rd party - Scripte" ) sollten sehr wohl und in Zeiten wie diesen erst recht per default blockiert sein. In dieser Hinsicht ist natürlich uBO im " hard mode " zu empfehlen. Als umfassendere Alternative ( u.a. wichtiges Cookie - Management) dazu uMatrix im " hard 3rd party default deny " Modus. Siehe jeweilige Wikis dazu.
edik
Gerade heutzutage gibt es mit Seiten, die Besucher Bitcoins schuerfen lassen, und mit Websockets, die sich zu lokalen Services verbinden koennen, sogar eher noch mehr Gruende, Javascript standardmaessig auch auf 1st-Party-Ebene zu blockieren oder wenigstens einzuschraenken.

Denn ich hab kein Bock mich ausschliesslich auf Whitelisten zu verlassen, und ich will auch mal zwielichtige, kaum bekannte Seiten unverschluesselt besuchen koennen, ohne irgendwelche Probleme zu bekommen.

Dass die meisten Webseiten JS sinnvoll einsetzen, kann ich so ueberhaupt nicht unterschreiben. Dieses klassische Hamburger-Icon-Navigationsmenue zum Antouchen fuer Mobilgeraete: fast nie ohne Javascript! Oder wieso brauche ich meist JS, um mir Disqus-Kommentare anzeigen lassen zu koennen? Weil die JS-Loesung viel einfacher ist? Ja, auf Kosten der Nutzer. Es gaebe aber durchaus andere Wege.

Wenn eine Seite nicht mit Noscript kann, ist sie viel zu oft einfach nur schlecht gemacht.

Cruiz
Zitat :
Dass die meisten Webseiten JS sinnvoll einsetzen, kann ich so ueberhaupt nicht unterschreiben. Dieses klassische Hamburger-Icon-Navigationsmenue zum Antouchen fuer Mobilgeraete: fast nie ohne Javascript! Oder wieso brauche ich meist JS, um mir Disqus-Kommentare anzeigen lassen zu koennen? Weil die JS-Loesung viel einfacher ist? Ja, auf Kosten der Nutzer. Es gaebe aber durchaus andere Wege.


Was ist daran nicht sinnvoll bzw. anders gefragt: Wieso sollte man dafür kein JS verwenden? Dass du dann mit deinem Blocker Probleme bekommst ist kein Argument!

edik
Warum ist das kein Argument? Wie schon erwaehnt kann das Ausfuehren von JS Probleme mit Privatsphaere oder gar IT-Sicherheit mit sich bringen. Folglich sollte man den Einsatz von JS soweit wie moeglich optional machen. Kommentarfunktionen und Navigationsleisten lassen sich ohne JS umsetzen. Also waere es auch besser, sie ohne JS umzusetzen, und JS HOECHSTENS noch einmal "oben drauf" zu setzen.

Wenn ich eine Schachspiel-App auf meinem Android installieren will und sie nach Zugangsberechtigungen fuer die Kamera fragt, ist die App auch schlechter, als sie sein koennte. Wenn sich der Entwickler dann ueber "Berechtigungsblocker" beschweren wuerde, naja in manchen Kreisen wuerde das mindestens zu einigem Schmunzeln fuehren :D

Cruiz
Zitat :
Wie schon erwaehnt kann das Ausfuehren von JS Probleme mit Privatsphaere oder gar IT-Sicherheit mit sich bringen.

Alles kann die Sicherheit beeinträchtigen. Nach diesem Prinzip sollte man seinen Rechner am besten gar nicht ins Netzlassen.

Javascript ist nicht per se unsicher oder gar die einzige Möglichkeit zu tracken und Schadsoftware zu verbreiten. Die vermeintliche Unsicherheit von JS ist ein Mythos bzw. beruhte auf ganz frühen Implementierungen. Moderne Browser (die man als sicherheitsbewusster Mensch natürlich verwendet) unterbinden solche Auswüchse auch ohne Quatsch noch NoScript.

edik
[...] Nach diesem Prinzip sollte man seinen Rechner am besten gar nicht ins Netzlassen.Warum sollte hier ein "ganz oder gar nicht" gelten? Mit aktiviertem JS hat man mehr Angriffsflaeche, ohne JS somit weniger.

Zitat :
Moderne Browser (die man als sicherheitsbewusster Mensch natürlich verwendet) unterbinden solche Auswüchse auch ohne Quatsch noch NoScript.
Ich nenne mal ein paar Punkte:

Websocket-Verbindungen zu Services des eigenen Rechners unterbindet mein Firefox jedenfalls nicht immer. Wer mit TOR unterwegs ist, laesst sich via JS auch viel leichter deanonymisieren. Tracken ist mit aktiviertem JS eben deutlich leichter. Und wenn die JS-Implementierung eines Browser eine Sicherheitsluecke hat, ist man als Noscript-Nutzer ebenso besser dran.

Cruiz
Das Tor Browser Bundle enthält natürlich selbstredend NoScript. Davon war hier aber nicht die Rede.

Wer glaubt mit einem normalen Browser anonym unterwegs sein zu können irrt! NoScript hilft da auch nichts. Tracker sperrt man deutlich komfortabler mit einem der unzähligen darauf spezialisierten Blocker aus.

edik
Zitat :
Das Tor Browser Bundle enthält natürlich selbstredend NoScript. Davon war hier aber nicht die Rede.
Man sollte Tor bei der Diskussion aber nicht ausser Acht lassen. Dass Websites JS unnoetig oft voraussetzen, betrifft eben auch Tor-Nutzer.

Zitat :
Wer glaubt mit einem normalen Browser anonym unterwegs sein zu können irrt! NoScript hilft da auch nichts.
Doch, es hilft. Denn auch hier gibt es keine scharfe Trennung zwischen "anonym" und "nicht anonym". Wer beispielsweise regelmaessig Cookies loescht, hat es mit Noscript besser, als ohne. Denn mittels JS haben Tracker wesentlich mehr Moeglichkeiten, einzigartige oder "seltene" Benutzermerkmale zu sammeln und damit Nutzer wiederzuerkennen.

Tracker wiederum haben das Problem, dass sie mit von Menschen verwalteten Blacklisten arbeiten. Somit koennen Sie schon prinzipbedingt nicht alle Tracker blockieren. Und bei Webseiten, die ihre Nutzer selbst tracken, helfen die Blocker auch nicht.

Cruiz
Du lenkst die Diskussion ab. Das sind alles keine Argumente für den Einsatz von NoScript.

Einige deiner Punkte sind sogar kontraproduktiv. Geblocktes bzw. abgeschaltetes Javascript kann ein Identifikationselement sein, das dich aus der Masse herausstechen lässt.

edik
Zitat :
Geblocktes bzw. abgeschaltetes Javascript kann ein Identifikationselement sein, das dich aus der Masse herausstechen lässt.
Ok hast recht, darüber lässt sich streiten. Ich verweise mal auf die erste Studie, die ich diesbezüglich spontan gefunden habe: https://panopticlick.eff.org/static/browser-uniqueness.pdf ( Abschnitt 6.1 )

Siehe auch "Fingerprint Uniqueness" bei https://browserprint.info/statistics

Also scheint es durchaus wahrscheinlich zu sein, dass Noscript gegen Tracking im Schnitt eher hilft, als dass es schadet.

Zitat :
Du lenkst die Diskussion ab. Das sind alles keine Argumente für den Einsatz von NoScript.
Mir geht es hier nicht nur um den Einsatz von Noscript selbst, sondern auch darum, dass zu viele Websites JS aus unnötigen Gründen voraussetzen.

Aber warum ist mögliches 1st-Party-Tracking via JS kein Grund für den Einsatz von Noscript? Oder dass auf Listen basierende Blocker nicht alles unerwünschte Blocken können?

Smurfson
Das "lustige" ist ja, dass du mit jeder Sonderkonfiguration (AddOns etc) eindeutiger identifizierbar bist. Tracking läuft heute oft über Fingerprinting. Auch "NoScript" macht dich also besser identifizierbar :)
Kannst du gerne mal testen: https://amiunique.org/fp

Martin V
Ob man will oder nicht, wir befinden uns nicht mehr im Jahre 1999. Sinnvoll eingesetztes JS (das Wort "sinnvoll" ist im Kontext der im Blog genannten "Anfänge" zu setzen) ist mittlerweile ein erheblicher Bestandteil des Netzes. 1st party - JS zu blockieren, führt angesichts des massiven Einsatzes von JS & Co. zu mit der Zeit völlig absurdem Verhalten (außer man ist "Extremist"). Man sollte einmal eine Studie darüber machen.

Die goldene Mitte, jenseits von Irrsinn, Wunschdenken und Retrophilie, sei erst einmal die strikte Unterscheidung zwischen 1st p & 3rd party - Scripten. Dazu gorhills klare Aussage: https://twitter.com/thigles/status/936966978123784193

"The whole point of fingerprinting is 3rd-party vendors building database using your visits from many different websites"

Zum Rest wurde sich ja bereits geäußert. Inklusive der Tatsache, daß deaktiviertes JS ein tolles Erkennnungsmerkmal darstellt und schon (u.a.) primitiver CSS-Code Daten auszulesen vermag.

Fubar
Das alte NoScript hat ja ein paar Sinnvolle Einstellungen, wie z.b. JS auf Lesezeichen und/oder der jeweiligen Top-Level-Site zu erlauben.

Yggdrasil
NoScript ist wunderbar um schlechte Seiten gleich beim ersten Besuch auszusortieren. Wenn die Seite mit 1st-Party-Skripten und maximal 2 CDN-Domains nicht läuft, wird sie wieder verlassen.
Michael
"JavaScript ist nicht böse!" - Das ist falsch. Mit JavaScript sind tw. Dinge möglich, von denen die meisten bisher nur träumen. Unter anderem können interne Netze ausspioniert werden (mittels WebRTC). Mit asm.js und WebAssembly wird die Situation ungefähr Java bzw. ActiveX-ähnlich.

Wie die meisten anderen, die im IT-Sicherheitsumfeld aktiv sind, surfe ich grundsätzlich nur mit abgeschaltetem JavaScript. Es ist bei den meisten guten Seiten immer noch möglich zu erkennen, ob es sich lohnt oder nicht. Danach kann man sukzessive Domains zulassen.

Auch wenn dies immer noch nicht "fehlerfrei" ist, so ist man gegen gefälschte oder lückenbehaftete Frameworks geschützt. Dagegen helfen übrigens keine Werbe-Blocker oder Tracking-Schutz-AddOns. ...und auch kein Schlangenöl.

Cruiz
Bittte füge doch ein paar weiterführende Links an. Ich konnte deine Behauptungen per Internetsuche bisher nicht nachvollziehen.

Fakt ist natürlich, dass ab dem Moment in dem man die sprichwörtliche Hütte im Wald verlässt, die Möglichkeiten und Gefahren gleichermaßen steigen. Ein Internet aus purem HTML-Text ist natürlich sicherer als alles andere - weil die Möglichkeiten limitiert sind. Genau letzteres ist dann aber auch das Problem.

Michael
Zu WebAssembly: https://de.wikipedia.org/wiki/WebAssembly (Stichwort "Bytecode"), http://floooh.githhttps://github.com/beefproject/beef/wiki/Network-Discoveryub.io/2017/06/09/webassembly-demystified.html (Vergleich zu ActiveX, Java, "harmlos" aufgrund Sandbox ;-), Bzgl. Sicherheit der Sandbox reicht ein einfacher Verweis auf die zahllosen Sicherheitslücken von Java (Ausbrüche aus der Sandbox) sowie dem Pwn2Own-Wettbewerb verwiesen, der regelmäßig Ausbrüche dokumentiert. Zum Netzwerkscanner mittels WebRTC: https://github.com/beefproject/beef/wiki/Network-Discovery, es gibt noch ein paar andere Projekte. Zur Technik hilft das Buch "Tangled Web" von Zalewski.

Es ist sicherlich richtig, dass man mit "dem Verlassen des eigenen Hauses" ein Risiko eingeht. Dennoch ist es eben falsch zu behaupten, dass "JavaScript nicht böse ist." (wobei natürlich nie ein Tool "böse" ist sondern nur die Verwendung - aber da gibt es eben zuhauf Beispiele, wie die Technik ausgenutzt wird.)

1000 Buchstaben übrig


Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top