NoScript ist ein mächtiges Werkzeug, mit dem JavaScript komplett oder nur teilweise deaktiviert werden kann und eine „Security Suite“, die vor allerlei Betrugsversuchen und sonstigen Bosheiten schützen kann. Ich kann NoScript jedem User empfehlen, der zumindest ein wenig Ahnung vom Nutzen von JavaScript hat und versteht, warum man es unter welchen Umständen und Bedingungen brauchen kann. Wer nach einer One-fits-all-Lösung sucht, kann (sollte aber nicht) die hier angeratenen Konfigurationseinstellungen übernehmen.
Das Deaktivieren von JavaScript führt aber zu zwei nicht unerheblichen Problemen. Einerseits verwendet praktisch jede moderne Website JavaScript, weshalb ein User jede einzelne, von ihm besuchte Website manuell freischalten müsste, was ein nahezu nicht zumutbarer Aufwand ist. Andererseits ist selektiv deaktiviertes JavaScript ein passives Trackingmerkmal; Tracker erkennen, welche Websites zur Ausführung von JavaScript freigegeben sind – und bilden aus dieser Information ein eindeutig identifizierbares Merkmal. (Selbst das Tor Project argumentiert genauso.) Ob die Vorteile die Nachteile aufwiegen, kann ich nicht beurteilen.
Ich persönlich habe NoScript in Verwendung und aktualisiere meine Konfiguration häufig. Soweit es Sinn macht, veröffentliche ich diese Aktualisierungen ohnedies auf genau dieser Seite.
Download NoScript.
Allgemein
Da die meisten Websites JavaScript benötigen, empfehle ich hier das Erlauben von JavaScript, das unter der eigenen Domain der Website gehostet ist.
Positivliste
In diesem Einstellungsfeld markieren wir alle aufgelisteten Websites und klicken auf „Ausgewählte Websites entfernen“. Keine Sorge, ausgegraute, also für den Betrieb von Firefox notwendige Adressen werden ohnehin nicht gelöscht.
Hier werden zukünftig berechtigte oder temporär berechtigte URLs aufscheinen.
Eingebettete Objekte
Unter „Eingebettete Objekte“ habe ich Java, Flash, Silverlight verboten, da ich es ohnhin nie benötigt habe. Welche Plugins es sind, die mit „andere Plugins“ gemeint sind, weiß ich nicht, das Setzen des Häkchens ist mir aber noch nie negativ aufgefallen.
Aussehen
In diesem Menüpunkt geht es um Bedienelemente, nicht um Funktionalität. Die Einstellungen hier sind also mehr oder weniger nach freiem Ermessen zu setzen. Ich komme mit folgenden Einstellungen gut zurecht.
Benachrichtigungen
Auch hier geht es mehr ums Belieben, ich habe dennoch den Punkt „Informationsleiste anzeigen, wenn Skripte blockiert werden“ deaktiviert.
Erweitert
Hier habe ich den KonfigurationsGAU, den Giorgio Maone den Usern in seinem Plugin zumutet, vereinfacht dargestellt. Die genannten Optionen sind aktiv, alle anderen nicht.
- Nicht vertrauenswürdig
- Klick-Verfolgung über das PING-Attribut für Links verbieten
XSLT verbieten
Versuchen, JavaScript-Links in normale Links umzuwandeln - Vertrauenswürdig
- NOSCRIPT-Element, das einem blockierten SCRIPT folgt, anzeigen
- Cross-Site Scripting (XSS)
- Anfragen bei Verdacht auf Cross-Site Scripting bereinigen
Cross-Site-POST-Anfragen in datenlose GET-Anfragen umwandeln - HTTPS
- Verhalten: leer
Cookies: leer
Berechtigungen: niemals - ABE
- ABE (Application Boundaries Enforcer) aktivieren
WAN-IP - ClearClick
- nicht vertrauenswürdigen
vertrauenswürdigen Seiten
Ein Klick auf „Okay“ speichert die Einstellungen. Wir sind mit NoScript fertig.