Sicherheit von JavaScript

Alles, was nicht direkt mit Python-Problemen zu tun hat. Dies ist auch der perfekte Platz für Jobangebote.
Antworten
apollo13
User
Beiträge: 827
Registriert: Samstag 5. Februar 2005, 17:53

Montag 17. September 2007, 07:02

Wer verwendet schon NoScript? Scnr

Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast ;)) tun kann
Benutzeravatar
jens
Moderator
Beiträge: 8483
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Montag 17. September 2007, 07:16


CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Montag 17. September 2007, 07:23

apollo13 hat geschrieben:Wer verwendet schon NoScript? Scnr

Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast ;)) tun kann
Tun können sollte.
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
mitsuhiko
User
Beiträge: 1790
Registriert: Donnerstag 28. Oktober 2004, 16:33
Wohnort: Graz, Steiermark - Österreich
Kontaktdaten:

Montag 17. September 2007, 07:34

jens hat geschrieben:Das sehe ich ein wenig anders: http://www.heise.de/security/suche.shtm ... Suchen=los
Ich seh da eine Lücke in Opera, wo dir noscript nicht hilft, und eine in WordPress, wo allerdings auch ohne JavaScript ein noch größeres Loch drin ist.
TUFKAB – the user formerly known as blackbird
Benutzeravatar
jens
Moderator
Beiträge: 8483
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Montag 17. September 2007, 08:56

OK, dann suche ich mal schnell ein paar passendere raus:
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... JavaScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript
http://www.heise.de/security/result.xht ... T=NoScript

Ich glaube das reicht. Es finden sich sicher noch ein paar Beispiele. Sicherlich sind die Lücken relativ schnell wieder geschlossen.
Ich finde es aber generell besser, JavaScript allgemein zu unterbinden und nur gezielt für einige Seiten frei zu schalten.

Dumm ist halt immer wieder, das einige Seiten keinen Hinweis liefern, das eine benutztung ohne JavaScript praktisch nicht möglich ist. Wie in dem Falle bei der neuen Python Doku...

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
mitsuhiko
User
Beiträge: 1790
Registriert: Donnerstag 28. Oktober 2004, 16:33
Wohnort: Graz, Steiermark - Österreich
Kontaktdaten:

Montag 17. September 2007, 09:39

Irrelevant. HttpOnly Cookies werden momentan sowieso nur vom IE und Firefox verstanden. Wenn du natürlich das als einzige Lösung siehst deine vor CSRF/XSS Anwendungen vor Attacken zu schützen... Na dann gute Nacht...
Das Problem hast du auch ohne JavaScript. CSS reicht aus. Braucht halt ein wenig mehr Social Hacking Skills. Und generell sind Browser Passwortmanager unsicher.
Jaja. Die URL Lücke. Nur blöd, dass man für die mittlerweile gar keinen Firefox mehr braucht. Und selbst zu dem Zeitpunkt konnte man Anwendungen auch ohne JavaScript starten.
Das ist QuickTime, nicht JavaScript. Und warum NoScript da was blockt ist wohl keinem wirklich klar.
Wer keine Ahnung vor Sicherheit hat soll keine Webanwendungen schreiben. So einfach ist das. Probleme auf der falschen Seite zu lösen ist nicht nur Blödsinn, sondern könnte auch noch andere Entwickler dazu bringen Probleme in ihren Webanwendungen ganz einfach nicht zu lösen.
Das ist mal eine tatsächliche Lücke. Aber das tolle ist, selbst da kann dir keiner den Computer kaputt machen, maximal an deine Blödheit stoßen und dir Bankdaten abluchsen.

Zu JavaScript ist einfach nur eine Menge FUD im Umlauf. Dabei ist glaube ich JavaScript in einer der sichersten Sandkästen, die du finden kannst. Versuch mal was vergleichbares aufzutreiben.
TUFKAB – the user formerly known as blackbird
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Montag 17. September 2007, 10:19

Der Java Sandkasten scheint auch relativ stabil zu sein. Mir sind zumindest nur 2-3 Probleme in den letzten Jahren bekannt :)
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Montag 17. September 2007, 10:43

Zumindest der Einwand, dass man eine JS-gestützte Funktionalität kennzeichnen sollte, wenn kein JS aktiviert ist, halte ich für berechtigt.

Ich habe mir den konkreten Bezug jetzt nicht angesehen, aber wenn da bspw. ein Suchfeld für eine AJAX-Live-Suche auftaucht, dann sollte ohne JS entweder ein Fallback-Modus benutzt oder die Suchfunktion mit einem Hinweis auf erforderliches JS ausgeblendet/deaktiviert werden.

JS ist nachwievor eine doofe Voraussetzung, die man für gewisse Features eben eingehen muss, um ihren Komfort anbieten zu können. Ein Tradeoff, der unschön, aber doch hinnehmbar ist. Dann klickt man halt einmal in der Firefox-NoScript-Extension auf "allow python.org" und fertig - als bewusste Entscheidung ist das IMHO besser als global überall JS bewusst oder unbewusst zu erlauben und auch besser als der Verzicht auf *einige* sehr gute Beispiele für die Vorteile des Einsatzes von JS.
lunar

Montag 17. September 2007, 13:54

apollo13 hat geschrieben:Nö ehrlich find ich umsonst, vor allem wo javascript nichts schädliches (fast ;)) tun kann
Ich, und sei es nur, um Popups zu verhindern. Ansonsten halte ich auch generell nicht viel davon, jeder x-beliebigen Seite das Recht einzuräumen, auf meinem PC Code auszuführen. Mag man auch sagen, die Javascript-Sandbox sei "sicher"... Sicherheit ist eine Illusion. Ich habe lieber die Kontrolle und erlaube Javascript nur wenigen, vertrauenswürdigen Seiten.
EnTeQuAk
User
Beiträge: 986
Registriert: Freitag 21. Juli 2006, 15:03
Wohnort: Berlin
Kontaktdaten:

Montag 17. September 2007, 15:05

Ich, und sei es nur, um Popups zu verhindern. Ansonsten halte ich auch generell nicht viel davon, jeder x-beliebigen Seite das Recht einzuräumen, auf meinem PC Code auszuführen. Mag man auch sagen, die Javascript-Sandbox sei "sicher"... Sicherheit ist eine Illusion. Ich habe lieber die Kontrolle und erlaube Javascript nur wenigen, vertrauenswürdigen Seiten.
Also ich muss grundlegend sagen: Ich benutze dieses AdOn nicht.

Die Seiten, die ich besuche, kann man an einer Hand abzählen und bei den meißten kenne ich die Ansprechpartner direkt (ein paar wenige interessante Blogs).
Bei den anderen, würde es mich stark wundern, wenn die bei mir irgentwelchen Blödsinn anstellen. Währe dem so, währe ich einfach enttäuscht und würde die Freunschaft kündigen (heise, golem, python-forum, python.org*).

Das wars auch schon. Ist doch das gleiche wie mit dem "Virus-Wahn". Einfach nur mal ordentlich im Internet verhalten und (fast) gut ist... :D


MfG EnTeQuAk
Benutzeravatar
birkenfeld
Python-Forum Veteran
Beiträge: 1603
Registriert: Montag 20. März 2006, 15:29
Wohnort: Die aufstrebende Universitätsstadt bei München

Montag 17. September 2007, 15:08

Paranoiker würden natürlich jetzt entgegenhalten, jede Seite kann mal defaced werden - und DANN????ß
Dann lieber noch Vim 7 als Windows 7.

http://pythonic.pocoo.org/
Benutzeravatar
BlackVivi
User
Beiträge: 762
Registriert: Samstag 9. Dezember 2006, 14:29
Kontaktdaten:

Montag 17. September 2007, 15:45

birkenfeld hat geschrieben:Paranoiker würden natürlich jetzt entgegenhalten, jede Seite kann mal defaced werden - und DANN????ß
Der Fall flutscht einfach durch den Warscheinlichkeitsfilter :)

Alleine schon für Accesibility sollte man an eine JS freie Version hinzufügen oder zumindest klar kennzeichnen!
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Montag 17. September 2007, 19:45

Ich muss auch sagen, dass ich das ziemlich ähnlich wie blackbird sehe. Über JS ist vergleichsweise viel FUD im Umlauf.
Schade, weil JS seit jQuery richtig Spaß macht und man damit einige Dinge echt elegant lösen kann. So ist bei mir die JS-freie-Fallbacklösung in Django oft wesentlich länger als ein paar Queries absetzen und ein paar Widgets an- oder abschalten.
Natürlich muss man das alles sowieso nochmal serverseitig validieren... :roll:
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Antworten