Es gibt viele Plugins für Firefox die sehr nützlich und sinnvoll sind. Für mich gehören dazu z.B. so feine kleine Tools wie ColorZilla, Foxmarks oder auch mein aktueller RSS-Reader Brief.
Auf der anderen Seite gibt es aber auch so manches Plugin das uns Webentwicklern dank seiner Sinnlosigkeit ab und an übel aufstößt. Nachdem ich nun schon oft über das Firefox-Addon NoScript gestolpert bin wollte ich doch nun auch mal wissen was sich dahinter überhaupt versteckt.
Zusammengefasst kann man sagen das NoScript erstmal alle möglichen Plugins in der Standardkonfiguration blockiert. Also keine JavaApplets, keine JavaScripts, kein Flash…. nichts also, pures HTML und CSS. Ok, Java wird auch aus meiner Sicht zu oft auf alten, mit Katzencontent gefüllten Webseiten für sinnlose Effekte missbraucht, das sehe ich ein. Doch JavaScript von vornherein für alle Webseiten zu sperren ist aus meiner Sicht totaler Quatsch. Ich hatte mit Firefox und JavaScript noch nie Probleme in Punkto Sicherheit, und auch der integrierte Popup-Filter funktioniert bis auf wenige Ausnahmen tadellos. Warum also von vornherein alle Scripte aussperren und dann auf Wunsch für einzelne Seiten freizuschalten?
Ich freue mich wirklich über jeden weiteren Nutzer der sich für JavaScript entscheidet (sofern er das denn selber bestimmen kann), solch ein Plugin wie NoScript hingegen arbeitet irgendwie rückschrittlich.
Zugegeben, man kann das Prinzip des Plugins auch umkehren: Die Ausführung von Scripten wird also generell erlaubt und dann für die aktuelle Seite explizit gesperrt. So und nicht anders macht das Plugin für mich noch Sinn. Stört einen etwas an einer Seite kann man diese auf die Blacklist setzen. Leider wird diese Funktion im Menü jedoch mit dem Hinweis “nicht empfohlen” angegeben und dürfte den unwissenden User daher erstmal abschrecken. Von vornherein allen Webseiten zu misstrauen ist doch aber irgendwo der falsche Weg, oder?
Kommentare zum Thema Das NoScript-Plugin für Firefox:
ich sehe das ähnlich wie du (christian)… der “sicherheitswahn” kennt nicht zuletzt dank windows bei einigen keine grenzen. ich verbaue allerdings selber kein javascript im großen stil. finde aber ein paar dezente scripte für bildergallerien oder formulare weder schlecht noch gefährlich.
mit cookies ist es ähnlich, sie gehören seit “geschäfte” über das internet abgewickelt werden nunmal dazu. missbrauchen kann man sie auch nicht (ich kann sie ja jederzeit wieder entfernen).
das plugin hatte ich mal eine weile verwendet und dabei habe ich mich immer geärgert, dass ich javascript erlauben muß und so eine riesige liste zusammen kam im gegensatz zu denen die ich verbieten wollte. letzendlich tuts ein guter popup-blocker auch schon oder die browserfunktion: scripts dürfen diese und jenes nicht tun…
aber zum glück kann in diesem fall jeder machen was er will…
@supeermario Sehe ich genauso. JavaScript gehört einfach dazu, und alles hat natürlich einen Nachteil im Aspekt der Sicherheit, aber man kann halt nicht einfach alles abschalten nur weil man Angst hat es könnte böser Code bei einem ausgeführt werden, was mir zumindest im Firefox noch NIE (und ich bin der absolute Vielsurfer) passiert ist.
@florian Dann frage ich mal so: Welche Vorteile hattest du denn bisher durch NoScript? Hast du weniger Viren? Mehr “Sicherheit”? Ich schätze einfach du hast weniger Useability und viele Klicks mehr für die ganze Whitelist. Sicherlich, ich schreibe mein JS auch meist so das es die Funktionalität nur etwas erweitert, aber nicht unbedingt notwendig ist… allerdings eher für die Leute die z.B. dirigiert bekommen ob ihr Browser JavaScript kann oder nicht. Warum sich jemand selber dem Fortschritt gegenüber beschneidet will ich nicht so ganz kapieren. Wie gesagt, wenn JavaScript bei mir schonmal Schaden angerichtet hätte würde ich es ja verstehen, hat es aber einfach nicht und wird es wohl auch nie.
Das ist ja genauso als würde man am PC des Sohnemanns generell alle Bilder im Browser sperren weil ja irgendeines der Bilder Nazipropaganda beinhalten könnte…
Selbstverständlich ist es schön wenn man für einzelne Seiten Scripts ausschalten kann, z.B. wenn der integrierte Popup-Filter nicht greift oder irgendwelche nervigen Einblendungen eingesetzt werden, doch da ist eine Whitelist doch viel sinnvoller, denn bei mir zumindest überwiegt die Zahl der Seiten die JavaScript gekonnt einsetzten gegenüber derer die damit Schindluder treiben.
Sicherheit schön und gut, aber nicht auf kosten der zusätzlichen Useability…
Naja so ganz Unrecht hat der Florian aber nicht wie ich finde.
Gerade in Zeiten ständiger XSS-Attacken werden per JS mal eben ganz schnell deine Passwörter und Usernamen “gesnifft” und landen beim Angreifer, ganz easy per XMLHttpRequest.
So ist ja z.b. beim uns allen bekannten tollen Studi.VZ geschehen. Und wer JS auschalten, kann eben auch nicht von XSS-Attacken betroffen werden.
Ist halt ne Gratwanderung zwischen Useability und Sicherheit.
Ich finde das Plugin auch gut und nutze es öfter. Wenn ich eine Seite wirklich mag und man dort Javascript braucht, dann schalte ich sie auch frei. Allerdings stehe ich eher auf dem Standpunkt, dass eine Seite prinzipiell auch ohne Javascript nutzbar sein sollte – zumindest soweit, bis ich erkannt habe, dass sich eine Freischaltung lohnt. Und auch, bis ich erkannt habe, dass eine Freischaltung für mich keine Risiken birgt. Schliesslich gibt’s genügend Angriffe, die auf Javascript basieren und einigen Schaden anrichten.
Ausserdem finde ich es auch praktisch, dass mich NoScript erstmal von allen seltsamen Java/Flash/Irgendwas-Teilen in Webseiten befreit, bis ich entschieden habe, ob ich diese Sachen wirklich, wirklich sehen will.
Es gibt doch noch mehr Möglichkeiten, als alle Skripte zu blocken oder alle zuzulassen. Ich lasse gründsätzlich alle Skripte laufen, die von der gleichen Domain (“NoScript”-Einstellung: “2nd level Domain”) geladen werden. Das sind meist genau die Skripte, die für die Seitendarstellung verwendet werden. Somit werden 99% der Seiten korrekt angezeigt. Extern geladene Skripte, die meistens nur für Werbung und ähnliches genutzt werden, werden blockiert. Es gibt keine Einschränkung beim surfen, aber es ist doch manchmal erschreckend, wieviele externe Skripte NoScript trotzdem noch blockt!
So ähnlich bei den Cookies: Ich lasse Cookies generell zu und lasse sie beim Schließen des Firefox direkt löschen. Es kann also niemand über längere Zeit Daten auf meinem Rechner sichern, aber alles funktioniert. Die paar Cookies, die ich wirklich für sinnvoll halte, habe ich explizit freigeschaltet.
Ich verwende das NoScript-Plugin schon seit sehr langer Zeit und bin total zufrieden damit. Meine Philosophie spiegelt sich mit den Kommentaren von Florian und Carsten. Ich sehe somit nicht wirklich eine Verminderung der Usability, wenn ich mit 2 Klicks JavaScript erlauben lassen kann.
JavaScript ist eine mächtige Sprache, dennoch verwende ich sie so gut wie nie. Wie schon Patrick mit den XSS-Attacken angemerkt hat, kann damit viel Unfug betrieben werden. Da mich unter anderem das Thema Webapplicationsecurity interessiert, habe ich schon sehr viel über “die dunkle Seite von JavaScript” gelesen (und bin dementsprechend überdurchschnittlich paranoid ;).
@Christian: “Wie gesagt, wenn JavaScript bei mir schonmal Schaden angerichtet hätte würde ich es ja verstehen, hat es aber einfach nicht und wird es wohl auch nie.”
Woher willst du wissen, ob JavaScript bei dir noch keinen Schaden angerichtet hat? Viele Attacken bekommt man als User überhaupt nicht mit.
Weiters würde ich mich interessieren wofür du JavaScript in deinen Webseiten einsetzt.
mfg mailo
Ich kann jedem empfehlen, der nicht durch spezielle Software als “Lebendes Objekt” ausgewertet werden möchte Flash und JS abzuschalten, denn durch Flash ist es auch möglich Flash-Cookies ohne expliziete Zustimmung des Users zu setzen. JS ist spätestens seit XSS o.Ä. gefährlich, weshalb es sinnvoll ist nur ausgewählten Seiten Zugriff darauf zu geben. Ich kann die Problematik also nicht ganz verstehen, zumal das Web, definiert auf dem HTTP-Protokoll sowieso nie für “Verfolgung” ausgelegt war. Also gestalltet Websiten so, dass sie ohne JS auskommen, Gimmicks sind wie immer optional und für den Rest brauch man kein JS, wenn doch kann man den User lieb über das noscript-Element aufmerksam machen.
Ich nutze das Add-on auch, aber ich habe es zu 90% ausgeschaltet, ich schalte es manuell ein wenn ich glaube das es notwendig ist, hauptsächlich benutze ich es zum Debuggen, einfach js deaktivieren, und dann schauen ob alles funzt, oder wenn ich eine Formularprüfung auf JS Basis überspringen möchte.
lg>Gery
Sicherlich kann doch jeder das Plugin so nutzen wie man es möchte. Ich finde die Anwendung wie Tobi oder Gery es beschreiben allerdings einfach sinnvoller als die Whitelist-Methode. Klar kann man für die jeweilige Seite einen Eintrag setzen… aber es fängt ja schon damit an das simple Sifr-Effekte nicht gesetzt werden. Ja klar springt man dann zu einer Systemschrift zurück, aber das vom Designer veranschlagte Gesamtbild wird einfach zerstört. Für uns Vielsurfer bzw. Entwickler mag das nicht so schlimm sein, aber ich kann z.B. nicht verstehen wie Leute dieses Plugin zum Firefox-Standard erklären wollen. Ein Dau würde voraussichtlich seine Whitelist nicht pflegen, was letztendlich darauf hinauslaufen würde das man JS nicht mehr als Semi-Standard ansehen könnte sondern es eher die Ausnahme darstellt das jemand mal JavaScript aktiviert hat.
Und nochmal: Ich setze bei den von mir erstellten Webseiten kein JS voraus, doch wenn ich z.B. eine Liste von Hauptpunkten habe welche man durch einen Klick um die jeweiligen Unterpunkte erweitern kann, dann würde ein Nicht-JS-Browser dort eine eventuell 100 Seiten lange Auflistung aufbauen die dann einfach nicht mehr Useable wäre. So böse XSS auch ist, so selten ist jedoch auch der Fall das einem dadurch schonmal Schaden entstanden ist, zumal die Technik wie Tobi sie beschreibt hier wohl auch schon einiges abfangen dürfte. Und wenn man das ganze so sieht, dann überlegt euch auch was ihr alles so für kleine Firefox-Plugins installiert ohne genau zu wissen was diese eigentlich alles so treiben? Um XSS für den User aus dem Weg zu gehen wäre es doch im Prinzip sinnvoller ein Plugin einzusetzen das eine Whitelist verwaltet für Seiten die Formulardaten per JS versenden können, jetzt mal simpel ausgedrückt.
Ich für meinen Teil finde die zusätzliche Funktionalität die man mit JS erzeugen kann einfach zu nützlich, sowohl für mich selber als auch den Dau-User, als das ich Sie von vorherein für jede Seite die ich so Besuche deaktivieren würde. Ich denke da gibt es bessere Methoden um böse Scripte abzufangen, die Useability aber nicht zu schmälern.
@Christian: Und wieso kann man solche Listen nicht einfach per Server-Programmierung erzeugen??? Genau dafür ist Server-Programmierung da und die kann dann auch Usability gewährleisten ;)
Du schreibst: “Leider wird diese Funktion im Menü jedoch mit dem Hinweis ‘nicht empfohlen’ angegeben und dürfte den unwissenden User daher erstmal abschrecken.”
Der unwissende User, wenn er überhaupt Firefox verwendet, kennt das NoScript-Plugin wahrscheinlich nicht. Der wissende User, der es verwendet, weiß auch, dass ihm dadurch auf manchen Websites ein paar Funktionen – hoffentlich keine notwendigen – fehlen werden. Ich glaube daher nicht, dass ein solches Plugin für Web-Entwickler ein Problem darstellt.
@Hasch Ja, logischerweise werden die Listen Serverseitig erzeugt, ich wüsste aber gerade nicht was das damit zutun hat? Mit Javascript blende ich die Listen anfangs aus und die Unterpunkte werden aufgeklappt wenn der User den Hauptpunkt anklickt. Hat er kein Javascript werden die Listen halt gar nicht erst eingeklappt sondern man sieht direkt alle Unterpunkte… was bitte willst du daran denn Serverseitig anders machen? Es geht doch nur darum das ich hier ein Beispiel habe wo man ohne Javascript eben eine ellenlange Liste erhält wo man keinen guten Überblick hat.
Diese Listen kannst du doch problemlos, bsw. per CSS ausblenden und entweder durch Klick auf den entsprechenden Link anzeigen lassen (Serverbasiert), damit wollte ich sagen, dass es auch problemlos ohne JS geht :)
@Hasch Ja das könnte man machen, aber wenn ich mir überlege wie viel unnötiger Traffic und Serverperformance dabei verbraten werden würde denke ich da gar nicht weiter drüber nach :)
Mir ist einzig und allein wichtig das die Leute ohne JS alle Inhalte bekommen wie die Leute mit JS, alles andere ist mir da eigentlich egal, denn wegen ein paar Usern veranstalte ich da keinen Programmier-Affentanz… das würde auch kein Kunde zahlen. Wer ohne JS surft muss sich eben mit einigen Abstrichen in zusätzlicher Useability abfinden, kann sich bei mir aber darüber freuen das er zumindest die Inhalte bekommt die er braucht.
Hmm, NoScript kam mir in erster Linie als Alternative zu Tools à la AddBlock auf den Rechner. Das hat meine alte Kiste doch teilweise extrem ausgebremst. Wartezeiten von über zwei Sekunden, bis sich die zu betrachtende Website gezeigt hat, waren keine Seltenheit. NoScript arbeitet da doch wesentlich fixer =)
Mit dem Ansatz von Tobi #6, JS nur von 2nd-Level Domains zuzulassen bietet ja auch die Möglichkeit nicht auf den Komfort verzichten zu müssen, auf Werbung und Tracking aber schon :)
Kleiner Tipp: Ich habe mir einen NoScript-Button zwischen das Adressfeld und die Suchleiste gepackt, da reicht dann ein einfacher Klick um die Seite temporär zuzulassen.
Für Cookies gilt für mich im Prinzip das Gleiche: sehr nütliche kleine Dinger, auf die man als Programmierer nicht verzichten will, aber auf Tracking und Profiling, etc. kann man gut verzichten.
Erstmal geht für mich Sicherheit vor, d.h. ich will erstmal nicht zu viel erlauben.
Was nützt es mir, wenn ich eine Seite besuche die mit Javascript “bestückt” ist und ich mir dadurch etwas einfange? Erlaube ich kein Javascript, dann bin ich doch erstmal auf der sichereren Seite – ist wohl eher was für fortgeschrittenere User die sich im Web etwas besser mit den Gefahren auskennen.
Es kam schon oft genug vor, dass manche Url’s auf etwas ganz anderes verlinkt/verwiesen hatten als ursprünglich geplant!
Das NoScript ist so schon ganz gut wie es ist!
Links abzuändern ist ja nun nich unbedingt Javascriptabhängig, das kann auch später noch durch einen Redirect passieren. Es ist nur so das man sich doch in 99.99% der Seiten nichts einfängt, deswegen die 99.99% der vertrauenswürdigen Seiten zu verfluchen? Und überhaupt “Einfängt” ist da denke ich das falsche Wort, oder seit wann hat JavaScript bei dir mal irgendwas auf deinem System “installiert”?
Hallo,
@Christian
schön für Dich das Du ein Verfechter von JS bist!
Im allgemeinen allerdings kann, will und muss ich den jenigen beipflichten die NoScript als sinnvoll ansehen!
Von jeder Menge ungeliebtem (ich möchte bewusst nicht das Wort Müll verwenden) bleibe ich verschont und gewisse JS erfordernde Seiten zu erlauben ist nicht wirklich eine Last, es sei denn man ist in JS verliebt.
Hab noch etwas vergessen!
Ich stöbere sehr gerne und auch sicherlich auch oft in eBay um Teile für meine beiden ca. 30Jahre alten Motorräder in USA, GB, DE …. zu finden.
Was mich dabei immer wieder tierisch angenervt hat ist folgender Werbemüllaufruf beim ausloggen
http://pages.ebay.de/rtm
Lösung:
NoScript einschalten ein für allemal blocken und gut!
Anmerkung:
Habe x Wege versucht um diesen … zu unterbinden – NoScript war und ist die beste Lösung.
Keine Ahnung wo ihr euch alle so rumtreibt, aber JS-Scripte empfinde ich eigentlich eher selten als nervig. Für alle wirklich nervigen Werbegeschichten nutze ich hin und wieder ADBlock, wo eigentlich schon alles wirklich nervige ausgeblendet wird.
Gegen NoScript habe ich wie gesagt auch nichts, wenn man es gezielt für nervige Seiten einschaltet. Angenommen ihr findet dieses Weblog wirklich spitze, nur diese doofe Lightbox stört euch, dann wäre es doch das leichteste gerade nur dieses Script abzuknipsen anstatt direkt alles schlecht zu finden.
Also ich finde NoScript so wie es jetzt ist perfekt! Denn Javascript wird leider zu oft missbraucht! Aber du warst anscheinend noch nicht in so einer Situation, wo hunderte von Popups aufgehen, sobald man versucht eins zu schliessen!
Ich verwende noscript in Verbindung mit Adblock und ich habs hier schön ruhig. :-)
Kommentar-Feed für diesen Artikel
Vierter Webmontag in Hannover Textpattern-Plugin: htn_comment_count
Warum sollte ich es jeder wildfremden Seite erlauben, Code auf meinem Computer auszuführen? Es gibt mit Sicherheit sehr sinnvolle Anwendungen von Javascript, aber diese sind idr auf Seiten die ich öfter besuche und denen ich es also auch manuell erlauben kann. Aber meiner Meinung nach, brauchen die meisten Websites kein Javascript. Man kann damit zwar schöne Features implementieren, aber ich kann auch ohne diese Features leben. Es ist, finde ich, die Aufgabe des Webdesigners, wenn er Javascript einsetzt und die Seite nicht nur für Stammbesucher gedacht ist, bei denen davon ausgegangen werden kann, dass sie Javascript aktiviert haben, die Funktionalität der Seite auch ohne Javascript sicherzustellen. Mit Sicherheit lassen sich in der javascriptfreien Version nicht alle Features so schön implementieren, aber die Grundfunktionalität kann man auch ohne Javascript anbieten. Und wenn ich doch mal auf eine Website stoße, die nur mit Javascript funktioniert, dann sehe ich dass ja auch, wenn ich Javascript auseschaltet habe, und kann dann immernoch abwägen, ob ich für diese Seite Javascript aktivieren möchte.
Also ich finde das NoScript Plugin sehr nützlich und habe es, als ich noch Firefox benutzt habe, immer genutzt, gerade weil ich für einzelne Seiten mit nur zwei Klicks Javascript aktivieren kann. Der Nutzen von Javascript ist für mich persönlich nicht groß genug, um das Risiko in Kauf zu nehmen, wildfremden Code auf meinem Computer auszuführen. Genauso habe ich auch Cookies standartmäßig deaktiviert und kann sie immernoch für Seiten aktivieren, die ich öfter besuche und wo mir der Nutzen von Cookies einleuchtet. Aber genauso wie ich nicht will, dass fremder Code auf meinem Computer ausgeführt wird, möchte ich nicht, dass irgendwelche fremden Seiten, die ich womöglich nur einmal besuche, Daten auf meinem Computer speichern, auf die sie später wieder zugreifen können.