Awareness

NoScript Plugin – Auf Nummer sicher gehen!

Aktualisiert am

NoScript ist ein Plugin für den Firefox Browser von Mozilla. Mithilfe dieses Plugins wird das Laden von aktiven Inhalten auf Websites verhindert. Dies hat jedoch entscheidende Vor- und Nachteile. Viele Websites bestehen größtenteils aus aktiven Inhalten. Hat man das Plugin installiert, spürt man vorerst nur Nachteile. Das Prinzip des Plugins funktioniert nämlich nach dem Whitelisting Prinzip:

Zuerst alles verbieten – außer das erlauben, was der Nutzer gestattet.

Aber die Arbeit lohnt sich. Die Sicherheit beim surfen steigt enorm, da feindselige Skripte unterbunden werden. So kann verhindert werden, dass das Skript Code nachladen kann, der Schaden anrichtet.

Warum sind Skripte und JavaScript so verbreitet?

JavaScript ist eine beliebte Skriptsprache. Mittlerweile hat sie sich stark im Web verbreitet und findet auf so gut wie jeder Internetseite Anwendung. Und genau das macht sie zur optimalen Sprache für das Verteilen von Malware und damit interessant für Kriminelle.

Denn wer deaktiviert schon die Sprache, die das Web so interaktiv, dynamisch und vielleicht sogar spannend macht? Die Sprache ist mittlerweile so beliebt, dass sie Anwendung auf Servern und Microcontrollern findet.

Welche Gefahren gehen von Skripten und Javascript aus?

Ein besonders kritisches Beispiel, welches in den vergangenen Monaten zweifelhaften Ruf erlangt hat, ist die sogenannte Ransomware. Durch das ausnutzen von Sicherheitslücken4 und der geschickten Code Obfuskation, also der bewussten Verwirrung von Code, ist es möglich den Computer so zu kompromittieren dass das komplette System anschließend verschlüsselt ist.

Davon betroffen sind meistens Windows Systeme. Die Ransomware ist ein besonders schwerwiegendes Problem. Wenn die Verschlüsselungsalgorithmen korrekt implementiert sind, kann es u.U. Jahre dauern das System zu entschlüsseln. Andere Malware findet aber auch ihren Weg über JavaScript.

Warum steigert NoScript die Sicherheit beim surfen?

NoScript5 verbietet die Ausführung aller Skripte und stuft sie erst einmal als unseriös ein! Hier findet das sogenannte Whitelisting Prinzip Anwendung. Alles ist verboten – außer das was explizit erlaubt ist. Das führt auch dazu, dass das surfen im Internet vorerst unbequem ist:

  • kaum etwas wird geladen
  • viel wird unterbunden
  • nicht alles ist ausführbar

Will der Benutzer also ein Skript zum ausführen bringen, muss er das erst explizit erlauben.

Liste von blockierten Skripten mithilfe von NoScript
Die Liste von blockierten Skripten mithilfe von NoScript

Zuerst die Arbeit, dann das Vergnügen!

Das macht das Verwenden von NoScript auch etwas unbequem. Denn auf jeder Website, jedes Skript muss explizit erlaubt werden! Das ist der Nachteil – die Arbeit die man in Kauf nehmen muss, um die Sicherheit beim surfen zu steigern. In der Regel ist es aber so dass man nicht ständig neue Websites besucht. Normalerweise surft man auf den gleichen Seiten, oder hat zumindest seine Bookmarks die man regelmäßig besucht. Fremden Seiten sollte man daher erstmal kritisch gegenüber stehen.

Das blockieren von Skripten ist also angebracht! Der Zeitpunkt, wenn man die Seriosität einer Website beurteilen will, ist in dem Augenblick vorbei in dem man sie besucht. Das verhindern von Skripten ermöglicht es, sich einen Eindruck zu machen und die meisten der Gefahren auszuschalten.

JavaScript Gefahr meiden? NoScript benutzen! – Das Fazit

So wie wir uns im Alltag verhalten, sollten wir uns auch im Internet verhalten. Wir öffnen weder die Haustür ohne Grund oder Nachfragen wer dort ist, wir öffnen nicht jeden Anhang einer Email automatisch, vertrauen nicht jeder Person die wir treffen. Warum sollten wir uns bei Websites anders verhalten? Blockiert man mithilfe von NoScript das Laden von Skripten, senkt man die Chance sich Malware einzufangen beachtlich! Zusätzlich leistet NoScript einen Beitrag der zeigt, wie viele Skripte auf einer Website eigentlich geladen werden.

Weitere Informationen und Quellen

[1] Mozilla.org – Firefox Addon NoScript
[2] Website von NoScript
[3] blog.botfrei.de – JavaScript Ransomware für alle Plattformen möglich
[4] Heise.de – JavaScript-Entwicklerboard fürs “Internet der Dinge”
[5] Heise.de –  JavaScript für Microcontroller
[6][Video] SemperVideo – NoScript – Das wichtigste Addon

You are currently viewing a placeholder content from Default. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

More Information

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.