Wer verwendet schon NoScript? Scnr
Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast ) tun kann
Sicherheit von JavaScript
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Das sehe ich ein wenig anders: http://www.heise.de/security/suche.shtm ... Suchen=los
- veers
- User
- Beiträge: 1219
- Registriert: Mittwoch 28. Februar 2007, 20:01
- Wohnort: Zürich (CH)
- Kontaktdaten:
Tun können sollte.apollo13 hat geschrieben:Wer verwendet schon NoScript? Scnr
Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast ) tun kann
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
-
- User
- Beiträge: 1790
- Registriert: Donnerstag 28. Oktober 2004, 16:33
- Wohnort: Graz, Steiermark - Österreich
- Kontaktdaten:
Ich seh da eine Lücke in Opera, wo dir noscript nicht hilft, und eine in WordPress, wo allerdings auch ohne JavaScript ein noch größeres Loch drin ist.jens hat geschrieben:Das sehe ich ein wenig anders: http://www.heise.de/security/suche.shtm ... Suchen=los
TUFKAB – the user formerly known as blackbird
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
OK, dann suche ich mal schnell ein paar passendere raus:
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
Ich glaube das reicht. Es finden sich sicher noch ein paar Beispiele. Sicherlich sind die Lücken relativ schnell wieder geschlossen.
Ich finde es aber generell besser, JavaScript allgemein zu unterbinden und nur gezielt für einige Seiten frei zu schalten.
Dumm ist halt immer wieder, das einige Seiten keinen Hinweis liefern, das eine benutztung ohne JavaScript praktisch nicht möglich ist. Wie in dem Falle bei der neuen Python Doku...
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
Ich glaube das reicht. Es finden sich sicher noch ein paar Beispiele. Sicherlich sind die Lücken relativ schnell wieder geschlossen.
Ich finde es aber generell besser, JavaScript allgemein zu unterbinden und nur gezielt für einige Seiten frei zu schalten.
Dumm ist halt immer wieder, das einige Seiten keinen Hinweis liefern, das eine benutztung ohne JavaScript praktisch nicht möglich ist. Wie in dem Falle bei der neuen Python Doku...
-
- User
- Beiträge: 1790
- Registriert: Donnerstag 28. Oktober 2004, 16:33
- Wohnort: Graz, Steiermark - Österreich
- Kontaktdaten:
Irrelevant. HttpOnly Cookies werden momentan sowieso nur vom IE und Firefox verstanden. Wenn du natürlich das als einzige Lösung siehst deine vor CSRF/XSS Anwendungen vor Attacken zu schützen... Na dann gute Nacht...jens hat geschrieben:http://www.heise.de/security/result.xht ... JavaScript
Das Problem hast du auch ohne JavaScript. CSS reicht aus. Braucht halt ein wenig mehr Social Hacking Skills. Und generell sind Browser Passwortmanager unsicher.
Jaja. Die URL Lücke. Nur blöd, dass man für die mittlerweile gar keinen Firefox mehr braucht. Und selbst zu dem Zeitpunkt konnte man Anwendungen auch ohne JavaScript starten.
Das ist QuickTime, nicht JavaScript. Und warum NoScript da was blockt ist wohl keinem wirklich klar.
Wer keine Ahnung vor Sicherheit hat soll keine Webanwendungen schreiben. So einfach ist das. Probleme auf der falschen Seite zu lösen ist nicht nur Blödsinn, sondern könnte auch noch andere Entwickler dazu bringen Probleme in ihren Webanwendungen ganz einfach nicht zu lösen.
Das ist mal eine tatsächliche Lücke. Aber das tolle ist, selbst da kann dir keiner den Computer kaputt machen, maximal an deine Blödheit stoßen und dir Bankdaten abluchsen.
Zu JavaScript ist einfach nur eine Menge FUD im Umlauf. Dabei ist glaube ich JavaScript in einer der sichersten Sandkästen, die du finden kannst. Versuch mal was vergleichbares aufzutreiben.
TUFKAB – the user formerly known as blackbird
- veers
- User
- Beiträge: 1219
- Registriert: Mittwoch 28. Februar 2007, 20:01
- Wohnort: Zürich (CH)
- Kontaktdaten:
Der Java Sandkasten scheint auch relativ stabil zu sein. Mir sind zumindest nur 2-3 Probleme in den letzten Jahren bekannt
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Zumindest der Einwand, dass man eine JS-gestützte Funktionalität kennzeichnen sollte, wenn kein JS aktiviert ist, halte ich für berechtigt.
Ich habe mir den konkreten Bezug jetzt nicht angesehen, aber wenn da bspw. ein Suchfeld für eine AJAX-Live-Suche auftaucht, dann sollte ohne JS entweder ein Fallback-Modus benutzt oder die Suchfunktion mit einem Hinweis auf erforderliches JS ausgeblendet/deaktiviert werden.
JS ist nachwievor eine doofe Voraussetzung, die man für gewisse Features eben eingehen muss, um ihren Komfort anbieten zu können. Ein Tradeoff, der unschön, aber doch hinnehmbar ist. Dann klickt man halt einmal in der Firefox-NoScript-Extension auf "allow python.org" und fertig - als bewusste Entscheidung ist das IMHO besser als global überall JS bewusst oder unbewusst zu erlauben und auch besser als der Verzicht auf *einige* sehr gute Beispiele für die Vorteile des Einsatzes von JS.
Ich habe mir den konkreten Bezug jetzt nicht angesehen, aber wenn da bspw. ein Suchfeld für eine AJAX-Live-Suche auftaucht, dann sollte ohne JS entweder ein Fallback-Modus benutzt oder die Suchfunktion mit einem Hinweis auf erforderliches JS ausgeblendet/deaktiviert werden.
JS ist nachwievor eine doofe Voraussetzung, die man für gewisse Features eben eingehen muss, um ihren Komfort anbieten zu können. Ein Tradeoff, der unschön, aber doch hinnehmbar ist. Dann klickt man halt einmal in der Firefox-NoScript-Extension auf "allow python.org" und fertig - als bewusste Entscheidung ist das IMHO besser als global überall JS bewusst oder unbewusst zu erlauben und auch besser als der Verzicht auf *einige* sehr gute Beispiele für die Vorteile des Einsatzes von JS.
Ich, und sei es nur, um Popups zu verhindern. Ansonsten halte ich auch generell nicht viel davon, jeder x-beliebigen Seite das Recht einzuräumen, auf meinem PC Code auszuführen. Mag man auch sagen, die Javascript-Sandbox sei "sicher"... Sicherheit ist eine Illusion. Ich habe lieber die Kontrolle und erlaube Javascript nur wenigen, vertrauenswürdigen Seiten.apollo13 hat geschrieben:Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast ) tun kann
Also ich muss grundlegend sagen: Ich benutze dieses AdOn nicht.Ich, und sei es nur, um Popups zu verhindern. Ansonsten halte ich auch generell nicht viel davon, jeder x-beliebigen Seite das Recht einzuräumen, auf meinem PC Code auszuführen. Mag man auch sagen, die Javascript-Sandbox sei "sicher"... Sicherheit ist eine Illusion. Ich habe lieber die Kontrolle und erlaube Javascript nur wenigen, vertrauenswürdigen Seiten.
Die Seiten, die ich besuche, kann man an einer Hand abzählen und bei den meißten kenne ich die Ansprechpartner direkt (ein paar wenige interessante Blogs).
Bei den anderen, würde es mich stark wundern, wenn die bei mir irgentwelchen Blödsinn anstellen. Währe dem so, währe ich einfach enttäuscht und würde die Freunschaft kündigen (heise, golem, python-forum, python.org*).
Das wars auch schon. Ist doch das gleiche wie mit dem "Virus-Wahn". Einfach nur mal ordentlich im Internet verhalten und (fast) gut ist...
MfG EnTeQuAk
- birkenfeld
- Python-Forum Veteran
- Beiträge: 1603
- Registriert: Montag 20. März 2006, 15:29
- Wohnort: Die aufstrebende Universitätsstadt bei München
Paranoiker würden natürlich jetzt entgegenhalten, jede Seite kann mal defaced werden - und DANN????ß
Der Fall flutscht einfach durch den Warscheinlichkeitsfilterbirkenfeld hat geschrieben:Paranoiker würden natürlich jetzt entgegenhalten, jede Seite kann mal defaced werden - und DANN????ß
Alleine schon für Accesibility sollte man an eine JS freie Version hinzufügen oder zumindest klar kennzeichnen!
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Ich muss auch sagen, dass ich das ziemlich ähnlich wie blackbird sehe. Über JS ist vergleichsweise viel FUD im Umlauf.
Schade, weil JS seit jQuery richtig Spaß macht und man damit einige Dinge echt elegant lösen kann. So ist bei mir die JS-freie-Fallbacklösung in Django oft wesentlich länger als ein paar Queries absetzen und ein paar Widgets an- oder abschalten.
Natürlich muss man das alles sowieso nochmal serverseitig validieren...
Schade, weil JS seit jQuery richtig Spaß macht und man damit einige Dinge echt elegant lösen kann. So ist bei mir die JS-freie-Fallbacklösung in Django oft wesentlich länger als ein paar Queries absetzen und ein paar Widgets an- oder abschalten.
Natürlich muss man das alles sowieso nochmal serverseitig validieren...
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice