NoScript + Adblock + Java Plugin deaktiviert: Wie sicher ist man dadurch?

[Jack159]

Ich bin mit NoScript, Adblock, deaktiviertem Java Plugin per Firefox im Internet unterwegs.
Mich würde mal intressieren (im Hinblick auf Attacken die ausgelöst werden, wenn man bereits eine entsprechende Webseite besucht), wie sicher man mit dem Setup ist. Kann man damit gefahrenlos jede Seite aufrufen?

Oder kann man selbst mit dem Setup noch Pech haben und sich durch bloßes aufrufen einer Webseite etwas einfangen?
Denn die Angriffe, von denen man so hört, welche durch bloßes aufrufen einer Webseite geschehen, basieren ja eigentlich nur auf JavaScript, Flash, Werbebanner oder Java Applets. Dies ist bei mir aber alles deaktiviert.

 

[Emer]

vergiss adblock und donotrackme nicht

 

[Jack159]

vergiss adblock und donotrackme nicht

Adblock habe ich drinnen. Sowas wie donotrackme ist mir zuviel und unnötig. Daten werden eh über mich gesammelt.
Mir gehts hier mehr um Sicherheit im Sinne von Viren und Co.

 

[mattsavvy]

Java Applets und Flash kann ich ja noch nachvollziehen. Aber Java Script? Auf ein Großteil der Funktionalitäten im Web zu verzichten - viele Seiten lassen sich ohne Java Script gar nicht betrachten - nur um vor dem einen Fall in Millionen sicher zu sein, dass ist doch etwas Overkill.

 

[Trefoil80]

Die Basis-Säulen eines sicheren Systems sind:

- Aktuell gehaltener Virenscanner
- Zeitnahe Windows-Updates
- Zeitnahe Updates für Flash, Adobe Reader, Java, Browser, Mailclient
- Brain.exe

 

[empaty]

100% Sicher ist man nirgends mehr,gibt es nicht und wird es auch nie geben .

Nicht einmal mehr unter Linux gibt es diese gut geglaubte Sicherheit,zumal dieses auch noch weniger verbreitet und unbeliebter ist wie ein Windows.


Eigentlich ist es völlig sinnfrei dieses Diskussion hier,weil jeder wird dir was anderes erzählen und jeder was anderes vorschlagen, auch im Bezug auf Virenprogramme ,weil jeder seines gut findet und am Ende wird diese Diskussion hier aufglöst ,in dem es geschlossen wird .

Weil es hier bestimmt auch schon hunderte andere Anfragen gibt, so oder so ähnlich und man dazu einfach nur mal die Sufu betätigen müsste .

Ende der Geschichte ...

 

[xxMuahdibxx]

Diskussion Nr. 265471 über das gleiche und immer gleiche ...

Wenn Brain.Exe ausfällt ist der Rest total egal .

 

[Cr4y]

Die Basis-Säulen eines sicheren Systems sind:

- Aktuell gehaltener Virenscanner
- Zeitnahe Windows-Updates
- Zeitnahe Updates für Flash, Adobe Reader, Java, Browser, Mailclient
- Brain.exe

Eh ne sry, in Zeiten in denen Zero-Day-Exploits in dunklen Börsen für ziemlich viel Geld den Besitzer "wechseln", sind deine Tipps nicht mehr, als dem Geschehen hinter her zu rennen. Das Ausführen von Java Script generell zu unterbinden und nur Fallweise zu erlauben (Whitelisting) ist wesentlich effektiver.

Ergänzung (3. Oktober 2013)

Java Applets und Flash kann ich ja noch nachvollziehen. Aber Java Script? Auf ein Großteil der Funktionalitäten im Web zu verzichten - viele Seiten lassen sich ohne Java Script gar nicht betrachten - nur um vor dem einen Fall in Millionen sicher zu sein, dass ist doch etwas Overkill.

Man kann seriöse Seiten ja erlauben. Ist anfänglich evtl. etwas mühsam, aber dann hast du auf den Seiten auf denen du 95% deiner INternetzeit verbringst keinerlei einbußen in der Funktionalität. Es ist außerdem sehr interessant, per NoScript und Ghostery herauszufinden, was noch so alles für Seiten und Dienste aufgerufen werden, wenn man z.B. Spiegel.de aufruft.

 

[simpsonsfan]

Eben, man schaltet ja JavaScript nicht komplett ab, sonst könnte man sich ja auch das Addon sparen und über die hauseigenen Einstellungen gehen.
Und auch auf Seiten, auf denen ich den AdBlocker deaktiviert habe, muss ich trotzdem nicht jedes x-beliebige Werbescript laden.
NoScript ist jedenfalls ne schöne Sache, dass die Sicherheit zumindest erhöht und gleichzeitig auch aufdringliche Werbung abhält. Wer es nutzen will, soll es nutzen und wer es nicht braucht, soll's halt lassen. Wo ist das Problem?

Und das Javaplugin im Browser braucht man doch heutzutage kaum noch, ein paar Seiten verwenden es vielleicht noch, ich persönlich brauche es nicht. Ehrlich gesagt habe ich gar kein Java aufm Rechner und komme damit gut zurecht.

Zur Fragestellung: Du bist sicherer als wenn du jedes beliebige JavaScript ausführst und das Java-Plugin aktiviert hast. 100% Sicherheit gibt es nie, es kann ja z.B. auch mal auf einer gehackten Seite ein Script, das du erlaubt hast, Schadcode ausführen und es gibt mit Sicherheit auch noch andere Wege.

 

[Jack159]

Man kann seriöse Seiten ja erlauben. Ist anfänglich evtl. etwas mühsam, aber dann hast du auf den Seiten auf denen du 95% deiner INternetzeit verbringst keinerlei einbußen in der Funktionalität. Es ist außerdem sehr interessant, per NoScript und Ghostery herauszufinden, was noch so alles für Seiten und Dienste aufgerufen werden, wenn man z.B. Spiegel.de aufruft.

!

 

[Daaron]

Man kann seriöse Seiten ja erlauben. Ist anfänglich evtl. etwas mühsam, aber dann hast du auf den Seiten auf denen du 95% deiner INternetzeit verbringst keinerlei einbußen in der Funktionalität.

Das schützt dich vor Seiten, die von Anfang an Schadcode enthalten... und das auch nur, wenn du den komprimierten JS-Code tatsächlich Zeile für Zeile durchliest. Aber wie bitte willst du das machen? Gute Entwickler schicken ihren noch lesbaren JS-Code durch Tools wie YUI-Compressor, um einige Kilobyte zu sparen, was allen Usern zu Gute kommt. DAfür kannst du den YUI-Code kaum noch lesen.

Aber was ist mit dem anderen Fall: Eine eigentlich komplett seriöse und vertrauenswürdige Seite, z.B CB, wird gehackt. Die Hacker schleusen jetzt ihren eigenen schadhaften JS-Code mit ein. Was machst du jetzt? Das Zeug rauscht ungefiltert durch dein NoScript durch, weil du CB ja einen Freibrief erteilt hast.
Selten? Unwahrscheinlich? Keineswegs. Ich erinnere da nur an den Computec Media - Hack. Ein Leser des PCG-Forums wäre also durch NoScript keinesfalls geschützt gewesen.

Es ist außerdem sehr interessant, per NoScript und Ghostery herauszufinden, was noch so alles für Seiten und Dienste aufgerufen werden, wenn man z.B. Spiegel.de aufruft.

Dafür braucht man solchen Tinnef nicht. Jeder anständige Browser hat einen Netzwerk-Inspektor, bei dem man jeden Aufruf sowie dessen Timings glasklar ablesen kann.
Ich seh da übrigens nichts ungewöhnliches... ein paar Ad-Server, Google Analytics sowie Spiegel-eigene Content Delivery Networks.

Gerade der Einsatz von CDNs bringt enorm viel. Einerseits verteilt man die Serverlast, andererseits werden Ressourcen signifikant schneller beim Kunden geladen. Das liegt daran, dass Browser nur eine sehr begrenzte Zahl HTTP-Requests simultan an eine einzelne Domain senden. Bietet man seine Inhalte von mehreren Domains an (eben einem CDN), wird diese Begrenzung umgangen -> Seitenladezeit beim Kunden sinkt beträchtlich.
Deshalb braucht man sich auch nicht die Augen auszuweinen, wenn mal wieder Bibliotheken wie Mootools oder jQuery sowie Web-Schriften direkt vom bösen bösen Google geladen werden. Tatsächlich wäre das Netz ohne CDNs viel langsamer.

 

[nurso]

Füge noch Ghostery und TrackMeNot hinzu und du bist ein kleines bischen sicherer.
Außerdem wäre es auch nicht schlecht Drittanbieter Cookies abzustellen.

 

[kammerjaeger1]

Java Applets und Flash kann ich ja noch nachvollziehen. Aber Java Script? Auf ein Großteil der Funktionalitäten im Web zu verzichten - viele Seiten lassen sich ohne Java Script gar nicht betrachten - nur um vor dem einen Fall in Millionen sicher zu sein, dass ist doch etwas Overkill.

Du kannst aber auswählen, wann und welches Script auf der Seite ausgeführt wird. Wenn es z.b. nur um ein Video geht, muss ich nicht den ganzen Werbemüll aktivieren...

 

[entropie88]

http://www.heise.de/newsticker/meldung/Neues-von-der-NSA-Tor-stinkt-1972983.html

Kommt natürlich immer darauf an wo man mit seinem FF unterwegs ist. Zero-Day Protection hast du bisher keine.

 

[emlyn d.]

Selten? Unwahrscheinlich? Keineswegs. Ich erinnere da nur an den Computec Media - Hack. Ein Leser des PCG-Forums wäre also durch NoScript keinesfalls geschützt gewesen.

Doch, da hast du dir einen äußerst ungewöhnlichen Fall herausgesucht(was soll NoScript auch bei manipulierten Downloads machen?).

Typisch dagegen sind eigentlich legitime, aber kompromittierte Seiten wie z. B. z. Zt.

xttp://www.footballmatch.de/
xttp://totulpentrucopii.com/
xttp://www.alternativ-therapien.eu/
xttp://www.djnewneo.at/
xttp://www.a-schmidtco.de/index.php
xttp://www.peterrasch.de/rasch/
xttp://www.depag.gr/
xttp://gatgos.com/zc/index.php?main_page=index&cPath=51_1_9_31
xttp://aeescariz.com/
xttp://www.gebhardt-stiftung.de/

und das hier
https://www.computerbase.de/forum/t...n-oracle-java-7.1160639/page-10#post-13320508
https://www.computerbase.de/forum/threads/pcwelt-seite-verseucht.1166967/#post-13405241
beschriebene.

Alles Beispiele, die für den Einsatz von NoScript sprechen.

 

[Randy89]

No Script macht bei mir auch die Browser-Ransom-Seiten völlig nutzlos, was ein weiterer Pluspunkt für No Script ist.
Allerdings bleibt dann auch immer die Gefahr, dass whitlisted Sites kompriminiert werden könnnen und dann durch das offene Tor im Browser hindurch gelangen.
Wenn sich jemand bei unbekannten Websiten unsicher ist, würde ich eine virtuelle Maschine/reiner Surfpc, am besten mit einer Linuxdistribution benutzen oder zumindest vorher einen Blick auf urlvoid.com und/oder virustotal.com werfen.

 

[DeinToaster]

NoScript, Adblock und kein Java (am besten gar nicht erst installieren und ggf. in den chrome://plugins deaktivieren), so fährst du, wenn's um's reine surfen geht, sehr gut.

Natürlich bringt das nichts, wenn du dir ne Virenverseuchte Datei downloadest, aber die Sicherheit beim surfen wird wie gesagt sehr stark erhöht. Werbung kann schädlich sein (also wortwörtlich) und Skripte sowieso, und beides ist sehr nervig (ersteres ist es immer, die Werbung). Und mit Chrome, der ja auch noch mal in der Sandbox läuft, joa, ich denke da fährt man gut.

Adblock, NoScript und nochmal extra "Click-to-Play" im Browser einstellen, ist immer das aller erste, was ich mache, nachdem ich Chrome auf nem neuen System installiert habe.