News 30.09.2009, 11:08 Uhr

Firefox-Add-Ons: Fluch oder Segen?

Harte Fronten an der VB2009-Konferenz. Für die einen ist Firefox mit dem NoScript-Add-On unverzichtbar. Die anderen sehen im Add-On-Konzept erhebliche Gefahren.
JavaScript ist brandgefährlich. Das erläuterte John Graham-Cumming in seinem Vortrag am letzten Freitag anlässlich der VB2009 anschaulich anhand mehrerer Angriffsbeispiele. Der Programmierer und Antispam-Experte bezeichnete das JavaScript-Sicherheitsmodell in seiner Rede sogar unverblümt als «a total mess» («eine totale Sauerei»). In den Grundzügen stamme es aus dem Jahr 1995 und schütze längst nicht mehr vor den tatsächlich existierenden Bedrohungen.
Früher diente JS hauptsächlich der hübscheren Darstellung; man musste es im Browser nicht zwingend einschalten, um eine Webseite zu benutzen. Heute verwenden es manche Webentwickler für grundlegende Funktionen ihrer Online-Auftritte. JavaScript wird darüber hinaus auch für Werbebanner eingesetzt, für den Umgang mit Cookies sowie diversen interaktiven Inhalten, wie z.B. Flash. Bei deaktiviertem JavaScript sieht man auf vielen Seiten nichts anderes als die Aufforderung, JavaScript im Browser zu aktivieren. Die bittere Aussage von Graham-Cumming nach der Schilderung der Angriffsszenarien: «Und - hoppla - JavaScript ist ja nur die wichtigste Programmiersprache im Web».
Die beste Lösung für Anwender - ausser JavaScript zu missbilligen - sei Firefox und das Add-On NoScript. Mit diesem Werkzeug kann der Anwender genau festlegen, auf welchen Webseiten Scripts erlaubt oder verboten sein sollen. Es schützt auch gegen schädliche Cross-Site-Scripting-Angriffe. Er bedauerte einzig, dass nur fortgeschrittene Anwender damit wirklich klarkommen. Seine Ansicht teilten auch andere Experten, mit denen wir zwischen den Vorträgen sprachen. Doch längst nicht alle.
Firefox-Add-Ons: des Teufels?
Das Erweiterungen-Fenster im Firefox
Candid Wüest (Symantec) und Elia Florio (ital. Datenschutzbehörde) legten am selben Tag die Risiken von Firefox-Erweiterungen dar - zu denen auch NoScript gehört. Es habe in der Vergangenheit bereits schädliche Firefox-Add-Ons gegeben, ähnlich wie schädliche Browser Helper Objects (BHO) im Internet Explorer. Theoretisch kann ein Add-On jegliche Art von Programmcode mitbringen. Einmal installiert, läuft es mit denselben Rechten, die auch der Browser hat.
Die Angriffspunkte: Firefox Add-Ons können im Prinzip ab jeder Webseite installiert werden. Ausserdem ist auch eine anderweitig aufgelesene Malware in der Lage, Erweiterungsdateien zu platzieren. Es gibt sogar Möglichkeiten, Erweiterungen zu verstecken, sodass der Anwender sie im Menü Extras/Add-Ons nicht entdeckt. Einige der Angriffsszenarien funktionieren jedoch nicht, wenn der Anwender mit eingeschränkten Benutzerrechten arbeitet.
Ein gutartiges Add-On kann durch ein Update zu einem bösartigen mutieren. Ob dieses vom Add-On-Autor selbst stammt oder von jemandem, der seine Seite oder seinen DNS-Eintrag gekapert hat, spielt dabei keine Rolle. Letztere Gefahr wurde allerdings gemindert, seit die meisten Add-Ons ihre Updates über die zentrale addons.mozilla.org-Webseite verteilen. In neueren Firefox-Versionen ist fürs Update eine verschlüsselte HTTPS-Verbindung oder ein öffentlicher Schlüssel erforderlich. Doch diese Massnahmen reichen nicht immer. Ausgerechnet das im ersten Teil dieses Artikels als wichtiges Werkzeug betrachtete NoScript-Add-On lieferte Candid Wüest einige Munition gegen Firefox-Erweiterungen.
Im vergangenen April und Mai verstrickten sich die Programmautoren der Add-Ons NoScript und AdBlock Plus in eine Art Kleinkrieg (siehe «Der NoScript/AdBlockPlus-Vorfall»). Die Vorkommnisse zeigten, dass hinter Firefox-Erweiterungen auch Menschen stecken, die Fehler machen.
Was jetzt? Firefox/NoScript: ja oder nein?
Ja, warum denn nicht? Gegen Sicherheitslücken ist keine Software gefeit - auch kein Webbrowser. Oft stecken die Löcher nicht im Browser selbst, sondern in Plug-Ins wie Flash, PDF oder QuickTime. Adobe und Apple haben sich nicht mit Ruhm bekleckert, was zeitnahe Updates dieser Plug-Ins betrifft. Beim sicherheitstechnischen Dinosaurier namens JavaScript kochen die Browser-Hersteller alle mit Wasser. Keiner ist alleine imstande, zuverlässig vor schädlichen Scripts zu schützen, die zum Beispiel für die meisten Drive-by-Download-Infektionen verantwortlich sind.
Mit NoScript lassen Sie Scripts gezielt zu
Das einzige Werkzeug, mit dem der Anwender JavaScript gezielt ausführen oder sperren kann, ist das NoScript-Add-On, das es nur für Mozilla Firefox gibt. Der Umgang mit NoScript braucht allerdings etwas Erfahrung und Hintergrundwissen.
Die meisten Gefahren lassen sich durch die üblichen Sicherheitsmassnahmen beseitigen oder zumindest erheblich mildern. Sieben Tipps zu mehr Sicherheit lesen Sie in «Kurztipps: Sicher surfen».



Kommentare
Avatar
Gaby Salvisberg
30.09.2009
Wenn aber Berichterstattungen darüber zu einer Verunsicherung der Endanwender führt, betrachte ich dies als eine gezielte Irreführung der Endanwender. Genau dieser Irreführung bzw. Verunsicherung hätte eigentlich der letzte Abschnitt im Artikel Einhalt gebieten sollen. Er trug den Titel "Was jetzt? Firefox/NoScript: ja oder nein?". War das ungenügend? Gruss Gaby

Avatar
Giovanni Schoweiss
30.09.2009
Paparlapapp... Das einzige Werkzeug, mit dem der Anwender JavaScript gezielt ausführen oder sperren kann, ist das NoScript-Add-On, das es nur für Mozilla Firefox gibt. Der Umgang mit NoScript braucht allerdings etwas Erfahrung und Hintergrundwissen. Eine glatte Lüge! :mad: Dann ist also die Seitenspezifische Skript-Einstellung, die bei Opera schon zur standardausstattung gehörte noch bevor es das FF-plugin überhaupt gab, nur eine illusion!?

Avatar
oceco
30.09.2009
Genau dieser Irreführung bzw. Verunsicherung hätte eigentlich der letzte Abschnitt im Artikel Einhalt gebieten sollen. Er trug den Titel "Was jetzt? Firefox/NoScript: ja oder nein?". War das ungenügend? Gruss Gaby Nein sicher nicht. Der Artikel ist insgesammt sehr informativ - für Eingeweite. Euer Anriss fordert implizit dazu auf den gesamten Artikel zu lesen (ob das auch verstanden wird und auch zu Ende gelesen wird, lasse ich mal offen). Ich habe mal dazu nur ein Gegengewicht gesetzt. Die Lösung steht am Anfang fett gedruckt, die Details folgen danach. Ich finde es zudem toll, dass ihr diese beiden Plug-ins nicht todschweigt, denn sie müssen Euch verständlicherweise ein Dorn im Auge sein. Und nach diesem Artikel gestehe ich Euch die wemfbox.ch wieder uneingeschränkt zu, denn gute Artikel wie diesen hier gehören belohnt! BTW: Ich kommentiere Artikel vor allem dann, wenn sie lesenswert sind und ich auch eine kontroverse oder ergänzende Ansicht / Aussage dazu habe. Belanglose Artikel kommentiere ich nicht, es sei denn sie sind schlecht redigiert: Dann wird man die Kritik auch deutlich erkennen. Macht weiter so/oceco

Avatar
oceco
30.09.2009
NoScript Add-on für andere Browser @govanni Schweiss Das NoScript Add-on gibt es tatsächlich nur für den Firefox, ist also somit keine Lüge! Auch im IE kann ich JavaScript sperren, nur nicht so flexibel wie mit NoSript und FF. Opera ist ein toller Browser, der Seiten auch CSS konform darstellen kann. Mit einem Marktanteil von <3% ist er aber für mich nicht relevant. Geschockt hat er mich aber kürzlich, als er ein 3-spaltiges Layout in einem Mediawiki fast so schlecht darstellte wie der IE8. Safari, Chrome, FF hatten es aber wie designed dargestellten. Und wenn mir ein Browser zeitweilig die Adresszeile wegklappt, dann ist er für mich einfach gestorben!!! Darüber diskutier ich nicht mal!

Avatar
Giovanni Schoweiss
06.10.2009
@govanni Schweiss [...] Und wenn mir ein Browser zeitweilig die Adresszeile wegklappt, dann ist er für mich einfach gestorben!!! Darüber diskutier ich nicht mal! --> Rechtklick auf die Adresszeile --> Anpassen... Haken: Nur zeigen, wenn benötigt rausnehmen! Das liebe ich so an Opera: Es lässt sich ALLES einstellen. :D @oceco Das es ff-plugins nur für den ff gibt, ist mir schon bewusst.