Seite 1 von 1
Verfasst: Montag 17. September 2007, 07:02
von apollo13
Wer verwendet schon NoScript? Scnr
Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast
) tun kann
Verfasst: Montag 17. September 2007, 07:16
von jens
Verfasst: Montag 17. September 2007, 07:23
von veers
apollo13 hat geschrieben:Wer verwendet schon NoScript? Scnr
Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast
) tun kann
Tun können sollte.
Verfasst: Montag 17. September 2007, 07:34
von mitsuhiko
Ich seh da eine Lücke in Opera, wo dir noscript nicht hilft, und eine in WordPress, wo allerdings auch ohne JavaScript ein noch größeres Loch drin ist.
Verfasst: Montag 17. September 2007, 08:56
von jens
OK, dann suche ich mal schnell ein paar passendere raus:
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
Ich glaube das reicht. Es finden sich sicher noch ein paar Beispiele. Sicherlich sind die Lücken relativ schnell wieder geschlossen.
Ich finde es aber generell besser, JavaScript allgemein zu unterbinden und nur gezielt für einige Seiten frei zu schalten.
Dumm ist halt immer wieder, das einige Seiten keinen Hinweis liefern, das eine benutztung ohne JavaScript praktisch nicht möglich ist. Wie in dem Falle bei der neuen Python Doku...
Verfasst: Montag 17. September 2007, 09:39
von mitsuhiko
Irrelevant. HttpOnly Cookies werden momentan sowieso nur vom IE und Firefox verstanden. Wenn du natürlich das als einzige Lösung siehst deine vor CSRF/XSS Anwendungen vor Attacken zu schützen... Na dann gute Nacht...
Das Problem hast du auch ohne JavaScript. CSS reicht aus. Braucht halt ein wenig mehr Social Hacking Skills. Und generell sind Browser Passwortmanager unsicher.
Jaja. Die URL Lücke. Nur blöd, dass man für die mittlerweile gar keinen Firefox mehr braucht. Und selbst zu dem Zeitpunkt konnte man Anwendungen auch ohne JavaScript starten.
Das ist QuickTime, nicht JavaScript. Und warum NoScript da was blockt ist wohl keinem wirklich klar.
Wer keine Ahnung vor Sicherheit hat soll keine Webanwendungen schreiben. So einfach ist das. Probleme auf der falschen Seite zu lösen ist nicht nur Blödsinn, sondern könnte auch noch andere Entwickler dazu bringen Probleme in ihren Webanwendungen ganz einfach nicht zu lösen.
Das ist mal eine tatsächliche Lücke. Aber das tolle ist, selbst da kann dir keiner den Computer kaputt machen, maximal an deine Blödheit stoßen und dir Bankdaten abluchsen.
Zu JavaScript ist einfach nur eine Menge FUD im Umlauf. Dabei ist glaube ich JavaScript in einer der sichersten Sandkästen, die du finden kannst. Versuch mal was vergleichbares aufzutreiben.
Verfasst: Montag 17. September 2007, 10:19
von veers
Der Java Sandkasten scheint auch relativ stabil zu sein. Mir sind zumindest nur 2-3 Probleme in den letzten Jahren bekannt
Verfasst: Montag 17. September 2007, 10:43
von Y0Gi
Zumindest der Einwand, dass man eine JS-gestützte Funktionalität kennzeichnen sollte, wenn kein JS aktiviert ist, halte ich für berechtigt.
Ich habe mir den konkreten Bezug jetzt nicht angesehen, aber wenn da bspw. ein Suchfeld für eine AJAX-Live-Suche auftaucht, dann sollte ohne JS entweder ein Fallback-Modus benutzt oder die Suchfunktion mit einem Hinweis auf erforderliches JS ausgeblendet/deaktiviert werden.
JS ist nachwievor eine doofe Voraussetzung, die man für gewisse Features eben eingehen muss, um ihren Komfort anbieten zu können. Ein Tradeoff, der unschön, aber doch hinnehmbar ist. Dann klickt man halt einmal in der Firefox-NoScript-Extension auf "allow python.org" und fertig - als bewusste Entscheidung ist das IMHO besser als global überall JS bewusst oder unbewusst zu erlauben und auch besser als der Verzicht auf *einige* sehr gute Beispiele für die Vorteile des Einsatzes von JS.
Verfasst: Montag 17. September 2007, 13:54
von lunar
apollo13 hat geschrieben:Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast
) tun kann
Ich, und sei es nur, um Popups zu verhindern. Ansonsten halte ich auch generell nicht viel davon, jeder x-beliebigen Seite das Recht einzuräumen, auf meinem PC Code auszuführen. Mag man auch sagen, die Javascript-Sandbox sei "sicher"... Sicherheit ist eine Illusion. Ich habe lieber die Kontrolle und erlaube Javascript nur wenigen, vertrauenswürdigen Seiten.
Verfasst: Montag 17. September 2007, 15:05
von EnTeQuAk
Ich, und sei es nur, um Popups zu verhindern. Ansonsten halte ich auch generell nicht viel davon, jeder x-beliebigen Seite das Recht einzuräumen, auf meinem PC Code auszuführen. Mag man auch sagen, die Javascript-Sandbox sei "sicher"... Sicherheit ist eine Illusion. Ich habe lieber die Kontrolle und erlaube Javascript nur wenigen, vertrauenswürdigen Seiten.
Also ich muss grundlegend sagen: Ich benutze dieses AdOn nicht.
Die Seiten, die ich besuche, kann man an einer Hand abzählen und bei den meißten kenne ich die Ansprechpartner direkt (ein paar wenige interessante Blogs).
Bei den anderen, würde es mich stark wundern, wenn die bei mir irgentwelchen Blödsinn anstellen. Währe dem so, währe ich einfach enttäuscht und würde die Freunschaft kündigen (heise, golem, python-forum, python.org*).
Das wars auch schon. Ist doch das gleiche wie mit dem "Virus-Wahn". Einfach nur mal ordentlich im Internet verhalten und (fast) gut ist...
MfG EnTeQuAk
Verfasst: Montag 17. September 2007, 15:08
von birkenfeld
Paranoiker würden natürlich jetzt entgegenhalten, jede Seite kann mal defaced werden - und DANN????ß
Verfasst: Montag 17. September 2007, 15:45
von BlackVivi
birkenfeld hat geschrieben:Paranoiker würden natürlich jetzt entgegenhalten, jede Seite kann mal defaced werden - und DANN????ß
Der Fall flutscht einfach durch den Warscheinlichkeitsfilter
Alleine schon für Accesibility sollte man an eine JS freie Version hinzufügen oder zumindest klar kennzeichnen!
Verfasst: Montag 17. September 2007, 19:45
von Leonidas
Ich muss auch sagen, dass ich das ziemlich ähnlich wie blackbird sehe. Über JS ist vergleichsweise viel FUD im Umlauf.
Schade, weil JS seit jQuery richtig Spaß macht und man damit einige Dinge echt elegant lösen kann. So ist bei mir die JS-freie-Fallbacklösung in Django oft wesentlich länger als ein paar Queries absetzen und ein paar Widgets an- oder abschalten.
Natürlich muss man das alles sowieso nochmal serverseitig validieren...
