Avira Support Forum

Beschreibung:
"NoScript" ist eine Erweiterung für den Web-Browser Firefox, die dazu dient, sicherheitskritische Funktionen wie JavaScript, Java und Flash im Firefox seitenspezifisch temporär oder dauerhaft freizuschalten.


Download:
https://addons.mozilla.org/de/firefox/addon/722


Installation:
Die Installation erfolgt üblicherweise aus dem Firefox-Web-Browser heraus: Klick mit Firefox im oben genannten Link auf "Herunterladen"! Daraufhin startet die Installations-Routine. Siehe zur Installationsroutine von Firefox-Erweiterungen hier!
(Als Alternative kann man aber auch die NoScript-XPI-Datei von einem beliebigen Browser herunterladen und entweder einen Doppelklick auf die heruntergeladenen XPI-Datei machen und Firefox als jene Anwendung auswählen, die zum Öffnen der Datei verwendet werden soll, oder im Firefox über "Datei" -> "Öffnen..." die Datei öffnen.)







Konfiguration von NoScript:

1. Die Konfiguration startet man per Rechtsklick auf das NoScript-Icon, welches sich unten rechts im Firefox-Fenster befindet.
   
   
   
   Alternativ dazu kann man im Firefox-Browser per Rechtsklick auf eine beliebige Stelle der aktuellen Website klicken.
   
   
   
   
2. In der Registerkarte "Allgemein" setze einen Haken bei "Betroffene Seiten beim Ändern der Berechtigungen automatisch neu laden"!
   Alle anderen Haken entfernen!
   
   
   
3. In der Registerkarte "Positivliste" entferne alle Websites, die weder mit "about:..." anfangen, noch in hellgrauer Schrift geschrieben sind!
   Alle Websites in hellgrauer Schrift und alle Websites, die mit "about:..." anfangen, dürfen nicht entfernt werden!
   Im Laufe der Zeit werden möglicherweise von Dir selbst erstellte Ausnahmen sich auf dieser Ausnahmeliste sammeln. Das ist dann natürlich selbstverständlich ok.
   
   
4. In der Registerkarte "Plugins" setze die Haken exakt so, wie im folgenden Screenshot gezeigt!
   
   
   
5. In der Registerkarte "Aussehen" empfehle ich, die Haken bei "Informationstext in der Statusleiste", "Skripte allgemein erlauben (nicht empfohlen)" und "Alle Beschränkungen für diese Seite aufheben" zu entfernen und sonst überall Häkchen zu setzen!
   
   
   
6. In der Registerkarte "Benachrichtigungen" empfehle ich, die Haken bei "Informationsleiste anzeigen, wenn..." (*), "Klang ausgeben, wenn..." und "Display the Release Notes on Updates" (bzw. "Versionshinweise nach einem Update anzeigen") zu entfernen und sonst überall Häkchen zu setzen!
   
   
   
7. Die Registerkarte "Erweitert" ist wiederum in mehrere "Sub-Registerkarten" unterteilt. Im Folgenden spreche ich von diesen "Sub-Registerkarten".
   
   
   • I.
     In der Registerkarte "Nicht vertrauenswürdig" empfehle ich, die Haken bei "<NOSCRIPT>-Elemente ausblenden" und "META-Weiterleitungen innerhalb von <NOSCRIPT>-Elementen verbieten" zu entfernen und sonst überall Häkchen zu setzen!
     
     
     
   • II.
     In der Registerkarte "Vertrauenswürdig" empfehle ich, einen Haken bei "<NOSCRIPT>-Element, das einem blockierten Script folgt, anzeigen" zu setzen und sonst überall Häkchen zu entfernen!
     
     
     
   • III.
     Die Registerkarten bei "Cross-Site Scripting (XSS)", "JAR" und "ABE" würde ich unangetastet lassen!
     
     
   • IV.
     Die Registerkarte "HTTPS" ist wiederum in zwei "Sub-Registerkarten" unterteilt. Im Folgenden spreche ich von diesen beiden "Sub-Registerkarten".
     
     
     1. In der Registerkarte "Verhalten" sollte bei "Aktive Webinhalte verbieten, es sei denn, sie stammen aus einer verschlüsselten Verbindung (HTTPS):" die Option "Bei Verwendung eines Proxy (empfohlen bei Anonymisierungsdiensten wie Tor)" eingestellt werden.
        
        Bei "Verschlüsselte Verbindungen (HTTPS) für folgende Adressen erzwingen:" trägt man alle Websites oder Domains ein, bei denen man eine verschlüsselte Verbindung erzwingen will. Einige Domains unterstützen das aber nicht; sie lassen sich dann nicht ansurfen, solange sie sich auf dieser Liste befinden. Dies kann man aber schnell nach dem Try- and Error-Prinzip herausfinden.
        Man kann vollständige Website-Adressen wie z.B. www.virustotal.com/de/estadisticas.html aber auch ganze Domains mit Hilfe des Platzhalters * (z.B. *.virustotal.com) hinzufügen. Protokolle wie http:// oder https:// sollten beim Hinzufügen einer Adresse zur Liste weggelassen werden - also statt https://www.virustotal.com/de/ schreibt man www.virustotal.com/de/!
        
        Bei "Für folgende Adressen niemals die Verwendung verschlüsselter Verbindung (HTTPS) erzwingen:" kann man Ausnahmen definieren, die Vorrang vor jener Liste haben, die bei "Verschlüsselte Verbindungen (HTTPS) für folgende Adressen erzwingen:" eingetragen ist - die also die obere Liste einschränken.
        In der oberen Liste könnte also z.B. *.virustotal.com und in der unteren Liste z.B. www.virustotal.com/de/estadisticas.html stehen. In dem Fall würden für sämtliche virustotal.com-Websites außer für www.virustotal.com/de/estadisticas.html verschlüsselte Verbindungen erzwungen werden.
        
        
        
     2. In der Registerkarte "Cookies" empfehle ich, einen Haken bei "Automatisches sicheres Cookie-Management aktivieren" zu setzen!
        
        Bei "Überprüfung der Cookies über verschlüsselte Verbindungen..." trägt man alle Websites oder Domains ein, bei denen man eine verschlüsselte Übertragung von Cookies erzwingen will. Einige Domains unterstützen das aber nicht; sie können die gesetzten Cookies dann nicht auslesen, solange sie sich auf dieser Liste befinden, und es scheint so, als würde sich die Website die gemachten Einstellungen/Angaben nicht merken können. Dies kann man aber schnell nach dem Try- and Error-Prinzip herausfinden.
        Man kann vollständige Website-Adressen wie z.B. www.virustotal.com/de/estadisticas.html aber auch ganze Domains mit Hilfe des Platzhalters * (z.B. *.virustotal.com) hinzufügen. Protokolle wie http:// oder https:// sollten beim Hinzufügen einer Adresse zur Liste weggelassen werden - also statt https://www.virustotal.com/de/ schreibt manwww.virustotal.com/de/!
        
        Bei "unsichere Cookies bei verschlüsselter Verbindung..." kann man Ausnahmen definieren, die Vorrang vor jener Liste haben, die bei "Überprüfung der Cookies über verschlüsselte Verbindungen..." eingetragen ist - die also die obere Liste einschränken.
        In der oberen Liste könnte also z.B. *.virustotal.com und in der unteren Liste z.B. www.virustotal.com/de/estadisticas.html stehen. In dem Fall würde für sämtliche virustotal.com-Websites außer für www.virustotal.com/de/estadisticas.html eine verschlüsselte Übertragung von Cookies erzwungen werden.
        In seltenen Fällen funktioniert das Cookie-Managment bei https-Websites sogar dann nicht, wenn die betreffende Website/Domain gar nicht auf der oberen Liste stehen. In dem Fall sollte die betreffende Website einfach in die untere Ausnahmeliste eingetragen werden!

Für weitere Informationen zur Konfiguration von NoScript siehe hier!




Fußnote
(*): Optional könnte man bei Bedarf auch Firefox so konfigurieren, dass grundsätzlich bei geblockten Skripten/Objekten am unteren Rand des Browser-Fensters eine Informationsleiste eingeblendet wird, die darüber informiert, wieviele Skripte/Objekte auf der aktuellen Seite blockiert sind. Dazu müsste man in der Registerkarte "Benachrichtigungen" der NoScript-Einstellungen ein Häkchen bei "Informationsleiste anzeigen, wenn Skripte blockiert werden" setzen. Ggf. sollte man in dem Fall zusätzlich auch bei "Nach 5 Sekunden ausblenden" den Haken entfernen oder zumindest den Wert von 5 Sekunden entsprechend des eigenen Bedürfnisses erhöhen.
-->

Benutzung:
Warnung: Beachte bei der Benutzung von Firefox, dass selbst vertrauenswürdige Websites jederzeit gehackt werden können. Selbst die Webauftritte von renommierten Sicherheitsunternehmen bzw. Sicherheitsexperten sind davor nicht gefeit. (Siehe dazu z.B. auch hier!) Das bedeutet, dass auch bei Downloads von vertrauenswürdigen Websites Vorsicht geboten ist und dass auch schon allein das Ansurfen einer vertrauenswürdigen Website, die gehackt worden ist, über Browserexploits den Rechner des Surfenden infizieren könnte. Es gilt also, auch bei vertrauenswürdigen Websites die Browser-Sicherheitseinstellungen so restriktiv wie möglich zu konfigurieren - und möglichst selten Ausnahmen zu machen. (Ferner sollte man Dateien aus dem Internet grundsätzlich immer mit Vorsicht behandeln.)

Bei den Seiten, die man in NoScript temporär (oder dauerhaft) auf die Erlaubnisliste setzt, werden bei der oben genannten Konfiguration JavaScript, Java und Inline-Frames (- sogenannte "IFrames"), sowie diverse Plugins in einem Aufwasch erlaubt. (Man kann in NoScript nicht festlegen, dass beispielsweise nur Java seitenspezifisch erlaubt wird, aber nicht etwa JavaScript oder Flash.) (*)

• Das Freischalten einer Site bei NoScript geschieht per Rechtsklick auf das NoScript-Icon.
  
  
  
  Alternativ dazu kann man im Firefox-Browser per Rechtsklick auf eine beliebige Stelle der aktuellen Website klicken.
  
  
  
  
  
• In dem sich daraufhin öffnenden Kontextmenü sollten, wenn überhaupt, zunächst nur Einträge mit kursiver Schrift erlaubt werden - und das auch nur bei Problemen auf einer Seite und natürlich nur bei vertrauenswürdigen Sites..
  
  Die kursive Schrift bedeutet, dass der Eintrag nur temporär (bis zum Schließen des Web-Browsers) freigeschaltet wird, während die normale Schrift eine dauerhafte Freischaltung mit sich bringt. Daher sollten Einträge mit normaler Schrift nur in absoluten Ausnahmefällen freigeschaltet werden - und nur dann, wenn man sich sicher ist, dass die Seite überhaupt freigeschaltet werden muss und gefahrlos dauerhaft freigeschaltet werden kann!
  
  
  
  
• Man kann übrigens jede Erlaubnis - egal ob temporär oder dauerhaft - jederzeit wieder aufheben (- wobei eine temporäre Erlaubnis ja ohnehin automatisch beim Schließen des Browsers aufgehoben würde).
  
  
  
  
  
• Die eigentliche Web-Seite, auf der man gerade surft, ist mit fetter Schrift hervorgehoben.
  
  
  
  Nicht-fett-geschriebene Webadressen sind die Adressen eingebundener Server.
  
  
  
  
  
• Die Webadresse jeder Website und jedes Servers ist in drei verschiedenen Formen angegeben:
  Dem Domain-Namen (z.B. avira.com), dem Subdomain-Namen (z.B. forum.avira.com) und dem Subdomain-Namen zusammen mit Protokoll (z.B. http://forum.avira.com).
  
  Beim Freigeben gibt man am Besten zunächst den Subdomain-Namen zusammen mit Protokoll (z.B. http://forum.avira.com) frei, da hier in dem Fall nur das Nötigste freigegeben wird.
  Beim Beispiel http://forum.avira.com würde nur http://forum.avira.com, aber z.B. weder http://www.avira.com, noch z.B. ftp://forum.avira.com, freigegeben werden.
  
  Wer eine etwas globalere Freigabe einrichten will, würde beim Beispiel http://forum.avira.com die Subdomain forum.avira.com (ohne Protokoll) erlauben und somit z.B. auch ftp://forum.avira.com freigeben, aber nicht http://www.avira.com.
  
  Noch globaler wäre dann avira.com, bei dem nicht nur http://forum.avira.com, sondern z.B. auch ftp://www.avira.com freigeschaltet würde.
  
  
  
  
• Manchmal muss man auch weitere Server, die in eine Web-Seite eingebunden sind, ebenfalls erlauben. Doch das findet man schnell heraus.
  Nach jeder Freigabe einer Adresse lädt sich die betreffende Seite mit der geänderten Einstellung neu, so dass man umgehend feststellen kann, ob die vorgenommene Freigabe erfolgreich war.
  
  
  
  
• Mit "Temporär alle Beschränkungen für diese Seite aufheben" kann man alle Komponenten einer Seite in einem Rutsch freigeben, was aber aus Sicherheitsgründen i.d.R. nicht zu empfehlen ist.
  
  Mit "Temporäre Berechtigungen aufheben" kann man übrigens die temporär erteilten Berechtigungen jederzeit wieder freigeben.
  
  
  
  
• Wenn man mit dem Mauszeiger auf das rechts unten in Firefox befindliche NoScript-Symbol zeigt, ohne mit der Maus zu klicken, dann kann man sehen, wie viele Skripte und Objekte auf der aktuellen Seite geblockt werden.(*)
  
  
  
  
  
• Ein geblocktes Objekt einer Webseite kann man an einem Feld mit einem No-Script-Symbol erkennen.
  
  
  
  Klickt man auf das NoScript-Feld eines geblockten Objektes, so kann man explizit dieses Objekt gezielt temporär freischalten.
  
  
  
  Man kann geblockte Objekte aber auch per Rechtsklick auf das rechts unten in Firefox befindliche NoScript-Symbol und anschließendem Klick auf "Geblockte Objekte" gezielt temporär freischalten.
  
  
  
  Dieses gezielte Freischalten eines Objekts ist grundsätzlich gegenüber dem Freischalten der gesamten Web-Site vorzuziehen.
  
  
  
  
• Server, die man aller Voraussicht nach auch in Zukunft nicht freischalten will, z.B. Tracking-Cookie-Server, kann man mit der Schaltfläche "Nicht vertrauenswürdig" ausblenden.
  
  Über die selbe Schaltfläche "Nicht vertrauenswürdig" kann man jederzeit durch Klick auf "xyz temporär erlauben" ausgeblendete Seiten auch wieder einblenden. Die betreffende Site wird daraufhin temporär erlaubt und wieder eingeblendet.
  Klickt man daraufhin auf "xyz verbieten", so ist die Freischaltung wieder aufgehoben, die Site ist aber dennoch wieder eingeblendet.
  -->
  
  
  
  
• Zum Testen von NoScript und für erste, eigene Experimente empfehle ich folgende Links:
  • JavaScript-Test
    
  • Eingebettes Java-Objekt (Java muss installiert sein.)
    
  • Eingebettes Flash-Objekt (Flash-Player (z.B. Adobe-Flash-Player/VLC-Player) muss inkl. Firefox-FlashPlayer-Plugin installiert sein.)
    
  • Eingebettes PDF-Objekt (PDF-Reader (z.B. Adobe-Reader/Foxit-Reader) muss inkl. Firefox-PDF-Reader-Plugin installiert sein.)
    

Fußnoten
(*): Optional könnte man bei Bedarf auch Firefox so konfigurieren, dass grundsätzlich bei geblockten Skripten/Objekten am unteren Rand des Browser-Fensters eine Informationsleiste eingeblendet wird, die darüber informiert, wieviele Skripte/Objekte auf der aktuellen Seite blockiert sind. Dazu müsste man in der Registerkarte "Benachrichtigungen" der NoScript-Einstellungen ein Häkchen bei "Informationsleiste anzeigen, wenn Skripte blockiert werden" setzen. Ggf. sollte man in dem Fall zusätzlich auch bei "Nach 5 Sekunden ausblenden" den Haken entfernen oder zumindest den Wert von 5 Sekunden entsprechend des eigenen Bedürfnisses erhöhen.
-->





(*): Ich persönlich verwende in Firefox zusätzlich das Add-On QuickJava, welches eine Art Schnellstartleiste für Java & JavaScript herzaubert - ähnlich den Schnelleinstellungen bei Opera.



Ich verwende "QuickJava" zusätzlich zu NoScript. Per default sind bei mir in QuickJava sowohl JavaScript als auch Java deaktiviert. Bei Bedarf erlaube ich in NoScript temporär die betreffende Site bzw. das betreffende Java-Objekt und schalte zusätzlich die gewünschte Funktion (JavaScript/Java) in QuickJava frei, soweit erforderlich. Nach dem Surfen wird die betreffende Funktion von mir in der QuickJava-Schnellstart-Leiste wieder deaktiviert.

Fazit: Das Add-On QuickJava stellt eine gute und sinnvolle Ergänzung zu NoScript dar, da JavaScript-Code bzw. die Java-Objekte einer Web-Seite nun trotz Erlaubnis der Website (bzw. des Java-Objekts) in NoScript nicht mehr automatisch aktiv werden können, solange JavaScript bzw. Java in QuickJava verboten sind. Somit stellt QuickJava einen sinnvollen Beitrag zum Schutz vor Sicherheitslücken dar, die auf JavaScript/Java basieren.



Zusätzlich verwende ich in Firefox das Add-On FlashBlock, welches Flash-Objekte blockiert, auch wenn eine Website bereits pauschal in NoScript freigegeben worden ist. Das geblockte Flash-Objekt lässt sich leicht an einem Kreis mit einem f-Symbol erkennen. (Siehe dazu diesen Screenshot!)
Durch Klick auf dieses f-Symbol lässt sich dann das Flash-Objekt temporär freigeben, wie man es auch beim Freigeben von Objekten in NoScript kennt.

Fazit: Das Add-On FlashBlock stellt eine gute und sinnvolle Ergänzung zu NoScript und QuickJava dar, da die Flash-Elemente einer Web-Seite nun trotz Erlaubnis der Website in NoScript nicht mehr automatisch aktiv werden können. Somit stellt FlashBlock einen sinnvollen Beitrag zum Schutz vor Sicherheitslücken dar, die auf Flash basieren.






Diese Anleitung entstand unter Mitwirkung von Stefan Berka und der "Community-Mitglieder" Morgaine, Noy und Spaddel, denen ich hiermit meinen besonderen Dank für die zahlreichen Hinweise aussprechen will.