So gehts: NoScript für Firefox

NoScript ist eine auch in Sicherheitskreisen sehr beliebte Erweiterung für den Webbrowser Firefox. So ist es zum Beispiel Bestandteil des sicheren Tor-Browsers. Das Add-on gibt dem sicherheitsbewussten Anwender ein Werkzeug in die Hand, mit dem er steuern kann, welche Websites potenziell heikles JavaScript und andere aktive Inhalte ausführen dürfen – und welche nicht.

Der Hintergrund: Es kommt vor, dass Webseiten oder darauf verwendete Module von Angreifern dazu missbraucht werden, auf den PCs der Webbesucher Schädlinge einzuschleusen. Die Angreifer benutzen meistens Sicherheitslücken in Scriptsprachen wie z.B. JavaScript. Oder sie benutzen JavaScript, um irreführende Dialoge anzuzeigen, die der Benutzer leichtgläubig anklickt und die Installation von Schadsoftware ermöglicht.

Es ist jedoch meist nicht so einfach, eine seriöse Webseite zu «hacken». Die Angreifer können also nicht einfach ein komplettes Schadprogramm darauf abspeichern. Wenn eine seriöse Webseite «gehackt» wird, um Schädlinge zu verbreiten, liegen die eigentlichen schädlichen Scripts nicht auf dem Server der seriösen Webseite selbst. Stattdessen liegen die schädlichen Scripts auf anderen (von den Angreifern komplett kontrollierten) Servern und werden durch die Angreifer über spezielle Verweise auf der seriösen Webseite eingebunden.

Darum zeigt die Erfahrung: Solange man sich auf seriösen Websites bewegt, ist es normalerweise sicher, diesen das Ausführen von Scripts zu erlauben, während darauf eingebettete Scripts, die auf anderen Servern liegen, vielleicht eher blockiert gehören. Und genau hierbei hilft NoScript – und zwar seit vielen Jahren. Die Bedienung war früher recht kompliziert. Seit dem Upgrade auf ein neues Erweiterungsformat des Typs «WebExtension» ist das etwas einfacher geworden. Darum kommt NoScript vielleicht für einige weitere Anwender infrage, die sich vorher nicht an NoScript herangetraut oder dieses schnell wieder deinstalliert haben.

Öffnen Sie im Firefox die Add-on-Seite https://addons.mozilla.org/de/firefox/addon/noscript. Klicken Sie auf Zu Firefox hinzufügen, anschliessend nochmals auf Hinzufügen und auf OK. In der Firefox-Symbolleiste oben rechts taucht ein «S»-Icon mit rotem Fragezeichen auf; das ist das Icon von NoScript. Folgendes jetzt nur zur Information – Sie müssen nicht wirklich etwas verändern: Klicken Sie aufs NoScript-Icon, klappt ein Menü auf. Zunächst zu den drei grossen Icons oben links: Das erste schliesst das Menü wieder; Sie könnten hierfür aber auch einfach nochmals aufs NoScript-Icon klicken. Das zweite lädt die aktuell geladene Seite neu (dasselbe wie das Drücken von Ctrl+R bzw. Strg+R). Das dritte Icon zeigt die Optionen an. Jene sind in drei Kategorien unterteilt, nämlich Default (Standard), Trusted (Vertrauenswürdig) und Untrusted (nicht vertrauenswürdig). Lassen Sie sich nicht dadurch verwirren, dass bei Default und Trusted schon so viele Einträge vorhanden sind. 

Hier nimmt Ihnen der NoScript-Entwickler viel Arbeit ab. Denn viele Websites verwenden seriöse Module, die auf anderen Domains liegen. Ein Beispiel: Wenn Sie auf der PCtipp-Webseite auf ein Video klicken, dann sollte dieses abspielen. Da es aber ein YouTube-Video ist, muss nicht nur pctipp.ch, sondern auch YouTube in den zugelassenen Domains enthalten sein. Deshalb sind alle Domains (z.B. ytimg.com, youtube.com), die YouTube hierfür braucht, bereits eingetragen. Das ist gut, denn dann müssen Sie das nicht tun. Genauso mit wichtigen Domains von Google, Microsoft und anderen Anbietern. Wenn Sie einem der vorhandenen Einträge wirklich nicht über den Weg trauen, könnten Sie unter Trusted einen Eintrag auf Default ändern, indem Sie in seiner Seite das erste Icon (das durchgestrichene «S») anklicken.

Schliessen Sie vorerst mal den Reiter mit den «NoScript-Options». Die meisten Anwender werden in diesem gar nichts mehr machen müssen, mal von einem Backup abgesehen; hierzu aber später. Surfen Sie nun einfach weiter. 

Der Surf-Alltag mit NoScript

Angenommen, Sie treffen auf eine seriöse Seite wie z.B. pctipp.ch oder jene unserer Kollegen computerworld.ch. Vielleicht stellen Sie fest, dass auf dieser Webseite nicht alles funktioniert, wie es sollte. Dann wird es Zeit, die Scripts der Domain zuzulassen. Klicken Sie oben aufs NoScript-Icon. Zuoberst in der Liste sehen Sie die Einträge der aktuell besuchten Domain (z.B. computerworld.com). Darunter jene von eingebetteten Modulen (meist: Statistik-Tools, Anzeigenkanäle, Bezahldienste). In jeder Domainzeile finden Sie direkt die Steuerelemente. Die bedeuten dies: Das erste Icon von links (das durchgestrichene «S») bedeutet «Standardeinstellung». Hiermit würden nur sichere, ungefährliche Inhalte erlaubt. Das zweite Symbol (ein «S» mit einer kleinen Uhr) steht für «temporär erlauben». Das heisst: Die Scripts würden genau dieser Domain jetzt erlaubt werden. Beim nächsten Besuch aber nicht mehr. Bei Sites, die Sie öfter besuchen wollen, klicken Sie aufs dritte Symbol, das blaue «S» für «Trusted». Das vierte hingegen hiesse «untrusted», also «nicht vertrauenswürdig». Hiermit könnten Sie alle aktiven Inhalte jener Domain komplett sperren. Das hinterste Icon ist ein «S» mit Werkzeugen. Dieses steht für «Custom», also für «Benutzerdefiniert». Fortgeschrittene Benutzer könnten hier noch einstellen, welche Kategorien von aktiven Inhalten die Domain ausführen dürfte und welche nicht.

Websites, auf denen Sie sich einloggen, sollten Sie generell auf «Trusted» stellen.

Stellen Sie also fortlaufend alle Websites auf «Trusted», die Sie für vertrauenswürdig halten, bei denen Sie sich einloggen und auf denen Sie z.B. Suchwerkzeuge oder andere Elemente benutzen, die den Einsatz von Scripts erfordern. NoScript merkt sich diese Einstellungen. 

Das Backup: Falls Sie eines Tages einen zweiten Firefox in Betrieb nehmen und dort nicht wieder bei «Adam und Eva» beginnen wollen – oder wenn Sie einfach einmal ein Backup Ihrer NoScript-Einstellungen erzeugen möchten, dann geht es so: Klicken Sie im Firefox oben aufs NoScript-Symbol zum Öffnen des Menüs. Klicken Sie oben aufs dritte grosse Symbol für Options. Klicken Sie auf Export, dann können Sie aus Ihrem Firefox die Einstellungen in Form einer TXT-Datei «herunterladen». Speichern Sie die Datei in einem Backup-Ordner. Falls Sie die Einstellungen eines Tages wieder einspielen wollen, öffnen Sie wieder die Options, verwenden aber stattdessen den Knopf Import. Navigieren Sie zur gesicherten Datei und lassen Sie diese wieder importieren.