Door tur88: Ik begrijp de logica achter de vaak aangeraden Firefox add-on Noscript niet helemaal.
Ik heb Noscript nu een maand in gebruik en alle websites die ik vaak bezoek (en opgeslagen staan als bladwijzer) staan ondertussen op de whitelist van Noscript. Dit vanwege het feit dat veruit de meeste sites niet goed functioneren wanneer Noscript scripts e.d. blokeert.
Uiteindelijk zijn er 2 soorten websites:
- websites die ik regelmatig bezoek en daarom op de whitelist staan
- websites die ik voor het eerst bezoek waarop in eerste instantie scripts e.d. worden geblokeerd
Eerst de 'Options' van NoScript goed instellen!
Stel nu dat ik een website bezoek die op de whitelist staat (bijvoorbeeld nu.nl) en deze site is besmet (via javascript) dan helpt Noscript daar dus niet meer tegen.
Nee, niet per sé.
Dat ligt aan je overige NoScript instellingen.
Mogelijke javascript besmettings factoren :- iFrames / Frames
NoScript Options, tab 'Embeddings' : "Forbid <iFrame> / <Frame> , aanvinken- Redirects
NoScript Options, tab 'Notifications' : "Show message about blocked META redirections", aanvinken- Javascripts binnen het site domein die van andere domeinen / sites afkomstig zijn
NoScript Options, tab 'Appearance' : "Untrusted", aanvinken- Gebruik van diverse plugins, wel of niet standaard toe staan, unblock instelling met wel of geen confirmation.
NoScript Options, tab 'Embeddings' : kies maar uit welke allemaal, of allemaal , aanvinken- Objects gebruik
NoScript Options, tab 'Embeddings' : "Block every object coming from a site marked as untrusted" , aanvinken- XSS / ABE (?)
NoScript Options, tab 'Notifications' : "XSS, ABE, CLearClick Warning", aanvinken- Etc etc.
En nog een lijst aan 'zaakjes' te vinden onder NoScript, Options, tab Advanced, tab Untrusted
Als; .. kijk zelf maar, probeer eens met alles aangevinkt behalve "
Hide <NoScript> elements"
Maar… stel nu dat ik deze site niet op de whitelist heb staan. De site is dus besmet maar HOE kan ik dat zien, hoe kan ik dat weten?
Dat weet je niet (altijd), NoScript is geen virus/malware detector.
Pak dan een plugin als WOT (Web of Trust) erbij, geen ervaring mee.
Je browser kan je ook waarschuwen, afhankelijk van het feit of het bijvoorbeeld gebruik maakt van de Google Safe Browsing functionaliteit gebruik maakt.
Als de website als besmet gerapporteerd staat krijgt je een melding in beeld.
En dus whitelist ik de site om deze goed te kunnen laten fuctioneren, en dus... is de Noscript bescherming niet meer van toepassing en wordt mijn systeem besmet.
Nee, want je NoScript biedt je de mogelijkheid van een gelaagde bescherming :
- Toestemming geven / javascript toestaan betekent nog steeds dat alles wat je onder Options /embeddings hebt aangevinkt geblokkeerd wordt!
- Alles wat je onder andere onder
Notifications hebt aangevinkt geeft nog steeds een waarschuwing af mits je ook onder
"NoScript, Options, tab Advanced, tab ClearClick"
zowel "untrusted" (en eventueel erbij als "trusted") hebt aangevinkt.
Etc etc, loop goed alle opties door, het is een beetje uitzoeken en experimenteren.Het hele punt is: je moet zo vaak een site whitelisten omdat de site anders niet goed functioneert maar op basis waarvan neem je de beslissing of de site wel of niet betrouwbaar is? Dat kun je toch simpelweg gewoon niet weten?
Klopt
Dat kan je nog managen met andere plugins erbij en misschien doen sommige virusscanners er ook nog een functioneel schepje bovenop :
- WOT, website reputatie checken.
- AdBlockPlus voor het blokkeren van advertenties, dus ook besmette advertenties.
- Je FlashPlayer plugin op "Click to Play" zetten in plaats van altijd direct geactiveerd helpt ook.
- Zelfs het laden van je afbeeldingen nog managen met een addon.
Als je dan maar altijd klakkeloos alles whitelist dan valt de Noscript bescherming (grotendeels) weg. Wat heeft deze add-on dan nog voor zin?
Nogmaals,
NoScript heeft een gelaagde beveiliging die maakt dat je in geval van whitelisting niet meteen onbeschermd bent.
Voorbeeld,
wanneer je ook de "Untrusted" weergave in je menu hebt geactiveerd (
NoScript Options, tab 'Appearance' : "Untrusted", aanvinken), kun je naast de "Whitelist" ook een "BLACKLIST" van javascripts aanleggen door door de tijd heen bepaalde scripts als "Untrusted" aan te merken.
Deze als "Untrusted" javascripts worden dan automatisch en standaard geblokkeerd totdat je ze weer toestaat.
Voorbeeld, wanneer je van een krant van het merk 'X' toestaat kan het zijn dat je daarna in de verversing van het NoScript menu ineens nieuwe domeinen ziet staan met javascripts, bijvoorbeeld :
"brightcove.com"
"ajax.googleapis.com"
"dimmi.io"
"weeronline.nl"
en meerJe hebt dus na het toestaan / whitelisten van het hoofddomein nog de keuze om allerlei andere scripts al dan niet toe te staan.
Ingewikkeld, want wat betekenen die allemaal??- Soms zijn ze wel bekend en sta je ze niet (of juist wel) toe.
- Andere javascripts laten zich raden; geen behoefte aan het weer? Sta je dat niet toe.
Geen behoefte aan Social media? Sta je dat niet toe.
- Soms laadt een site niet goed en zul je er stapje voor stapje achter moeten komen wat nu de essentiële scripts zijn voor die site.
Vervelend klusje, kost tijd.
!! Maar als je die site elke dag bezoekt misschien qua tijd een nuttige investering !!
Vergelijken met de tracker resultaten van Ghostery addon kan je een heel eind op weg helpen!
Sommige scripts worden verschillend ingezet en hebben per site een andere functie, googleusercontent bijvoorbeeld / of de apis, hou me ten goede; de ene keer is het voor extra voorgeschotelde reclame bedoeld, de andere keer is het integraal onderdeel van de site opmaak en zal de site niet behoorlijk laden als je het niet toestaat.
Immer verwarrende scripts zijn ook altijd die van de wp en blog/bloggers functionaliteit, zeker ook met afbeeldingen (betreft een andere addon)Ook wanneer je nooit websites permanent whitelist en elke keer weer handmatig tijdelijk toestemming geeft om scripts te draaien dan nog geldt de vraag: op basis waarvan geef je dan die tijdelijke toestemming?
Dat doe je op basis van kennis die je opbouwt of te vergelijken met de resultaten van geblokkeerde trackers via Ghostery bijvoorbeeld.
Overeenkomstige namen kan je dan op je "Untrusted" javascripts lijst zetten.
NoScript is een best ingewikkelde Addon.Veel termen zijn ingewikkeld of lastig te snappen vanwege de techniek die erachter zit.
Je hoeft niet alles te begrijpen, als je maar komt tot een instellingsprofiel dat je een beetje ligt en werkbaar is.
Mijn belangrijkste tips voor je op een rijtje :>> NoScript Options goed doornemen en instellen (de meeste opties goed doornemen)
>> Speciale aandacht voor de opties onder de diverse Tabs :
*
General : "Automatically reload affected pages when permissions change"
*
Whitelist : eventueel handmatig leegmaken en een eigen lijst aanleggen
*
Embeddings is een heel belangrijke!
Veel keuze mogelijkheden. Vink je allerlei media opties aan, hou er dan rekening mee dat je vaker op een site moet klikken voordat je een video te zien krijgt, bijvoorbeeld.
*
Appearance.
Ook belangrijk want dat zie je in je menu.
Oppassen met"Allow scripts Globally (dangerous)"
"Allow all this page"
"Make page permissions permanent"
Handig / noodzakelijk"Mark [..] as Untrusted (voor je blacklist)
"Revoke Temporary permissions"
"Recently blocked sites" (voor het resetten/heroverwegen/inzage wat je snel had ..-geklikt)
"Untrusted" (voor eventueel alsnog toestaan)
*
NotificationsFuncties en betekenis/uitleg voor gevorderden, je kan ze ook direct aanvinken"ClearCLick Warning"
"XSS"
"ABE"
"SHow message about blocked META redirections"
*
AdvancedAanvinken is het advies"Untrusted"
"CLearClick"
(met warning te vinden onder de "Embeddings, "Ask for confirmation….")Hopelijk heb ik je een beetje op weg geholpen met dit antwoord
Succes!
Correcties en toevoegingen op deze uitleg altijd welkom