NoScript, die Nuklearoption für sicheres Websurfen

NoScript ist ein mächtiges Werkzeug, mit dem JavaScript komplett oder nur teilweise deaktiviert werden kann und eine „Security Suite“, die vor allerlei Betrugsversuchen und sonstigen Bosheiten schützen kann. Ich kann NoScript jedem User empfehlen, der zumindest ein wenig Ahnung vom Nutzen von JavaScript hat und versteht, warum man es unter welchen Umständen und Bedingungen brauchen kann. Wer nach einer One-fits-all-Lösung sucht, kann (sollte aber nicht) die hier angeratenen Konfigurationseinstellungen übernehmen.

Das Deaktivieren von JavaScript führt aber zu zwei nicht unerheblichen Problemen. Einerseits verwendet praktisch jede moderne Website JavaScript, weshalb ein User jede einzelne, von ihm besuchte Website manuell freischalten müsste, was ein nahezu nicht zumutbarer Aufwand ist. Andererseits ist selektiv deaktiviertes JavaScript ein passives Trackingmerkmal; Tracker erkennen, welche Websites zur Ausführung von JavaScript freigegeben sind – und bilden aus dieser Information ein eindeutig identifizierbares Merkmal. (Selbst das Tor Project argumentiert genauso.) Ob die Vorteile die Nachteile aufwiegen, kann ich nicht beurteilen.

Ich persönlich habe NoScript in Verwendung und aktualisiere meine Konfiguration häufig. Soweit es Sinn macht, veröffentliche ich diese Aktualisierungen ohnedies auf genau dieser Seite.

Download NoScript.

Allgemein

Da die meisten Websites JavaScript benötigen, empfehle ich hier das Erlauben von JavaScript, das unter der eigenen Domain der Website gehostet ist.

noscript-1

Positivliste

In diesem Einstellungsfeld markieren wir alle aufgelisteten Websites und klicken auf „Ausgewählte Websites entfernen“. Keine Sorge, ausgegraute, also für den Betrieb von Firefox notwendige Adressen werden ohnehin nicht gelöscht.

Hier werden zukünftig berechtigte oder temporär berechtigte URLs aufscheinen.

Eingebettete Objekte

Unter „Eingebettete Objekte“ habe ich Java, Flash, Silverlight verboten, da ich es ohnhin nie benötigt habe. Welche Plugins es sind, die mit „andere Plugins“ gemeint sind, weiß ich nicht, das Setzen des Häkchens ist mir aber noch nie negativ aufgefallen.

noscript-2

Aussehen

In diesem Menüpunkt geht es um Bedienelemente, nicht um Funktionalität. Die Einstellungen hier sind also mehr oder weniger nach freiem Ermessen zu setzen. Ich komme mit folgenden Einstellungen gut zurecht.

noscript-3

Benachrichtigungen

Auch hier geht es mehr ums Belieben, ich habe dennoch den Punkt „Informationsleiste anzeigen, wenn Skripte blockiert werden“ deaktiviert.

Erweitert

Hier habe ich den KonfigurationsGAU, den Giorgio Maone den Usern in seinem Plugin zumutet, vereinfacht dargestellt. Die genannten Optionen sind aktiv, alle anderen nicht.

Nicht vertrauenswürdig
Klick-Verfolgung über das PING-Attribut für Links verbieten
XSLT verbieten
Versuchen, JavaScript-Links in normale Links umzuwandeln
Vertrauenswürdig
NOSCRIPT-Element, das einem blockierten SCRIPT folgt, anzeigen
Cross-Site Scripting (XSS)
Anfragen bei Verdacht auf Cross-Site Scripting bereinigen
Cross-Site-POST-Anfragen in datenlose GET-Anfragen umwandeln
HTTPS
Verhalten: leer
Cookies: leer
Berechtigungen: niemals
ABE
ABE (Application Boundaries Enforcer) aktivieren
WAN-IP
ClearClick
nicht vertrauenswürdigen
vertrauenswürdigen Seiten

Ein Klick auf „Okay“ speichert die Einstellungen. Wir sind mit NoScript fertig.

Do NOT follow this link or you will be banned from the site! Wo niemand klickt