Nieuws

Expert: NoScript misschien wel beste Firefoxbeveiliging

dinsdag 3 februari 2015, 11:43 door Redactie, 11 reacties

De NoScript-uitbreiding is misschien wel de beste manier voor Firefoxgebruikers om de browser te beveiligen, hoewel de extensie ten koste van de surfervaring kan gaan. Dat stelt Jean Taggart van anti-virusbedrijf Malwarebytes. Taggart bespreekt verschillende maatregelen die gebruikers van Firefox kunnen nemen om zowel de veiligheid als privacy op te schroeven. Zo worden verschillende extensies en instellingen besproken. Het is echter NoScript dat de meeste bescherming kan opleveren.

De populaire extensie blokkeert actieve content op websites, zoals trackers, plug-ins en JavaScript. Daarnaast biedt het bescherming tegen Cross Site Scripting en andere webaanvallen. Volgens Taggart hebben doorsnee gebruikers geen idee hoeveel actieve content er op websites actief is en hoeveel er in de achtergrond plaatsvindt. "Het installeren en gebruiken van NoScript is een eye opener", aldus de beveiligingsexpert. Het installeren van NoScript kan er wel voor zorgen dat websites, doordat allerlei scripts worden geblokkeerd, niet meer helemaal werken.

Gebruikers moeten dan ook zelf bepalen welke scripts worden toegestaan en welke niet. Taggart maakt de vergelijking met autorijden. Normaal internetten is te vergelijken met het rijden van een automaat, terwijl NoScript een auto met een versnellingspook is. "Als je niet weet hoe je de koppeling moet bedienen aan het begin van een heuvel kom je vast te staan." Daarnaast vereist het gebruik van NoScript de nodige zelfdiscipline. Gebruikers die continu allerlei scripts inschakelen ondermijnen daarmee het doel van de uitbreiding.

Adblock Plus

In het overzicht van Taggart wordt de populairste Firefoxuitbreiding, Adblock Plus, niet genoemd. De beveiligingsexpert merkt op dat veel websites van advertentie-inkomsten afhankelijk zijn. Advertenties zijn echter ook een veel gebruikte aanvalsvector. Het gebruik van NoScript voorkomt echter dat besmette advertenties worden geladen en voorkomt daarmee ook de discussie of Adblock Plus wel of niet moet worden gebruikt, besluit Taggart.

D-Link routers kwetsbaar voor DNS-kaping

Symantec adviseert tijdelijk uitschakelen van Flash Player

Reacties (11)

03-02-2015, 11:59 door Anoniem

O, Ironie

This slideshow requires JavaScript.

03-02-2015, 13:22 door Anoniem

"Het installeren en gebruiken van NoScript is een eye opener", aldus de beveiligingsexpert. Het installeren van NoScript kan er wel voor zorgen dat websites, doordat allerlei scripts worden geblokkeerd, niet meer helemaal werken. Gebruikers moeten dan ook zelf bepalen welke scripts worden toegestaan en welke niet.

Bij gebrek aan kennis, kan dit juist leiden tot irritatie en daardoor ontstaat weer de verleiding om NoScript uit te schakelen. Ik zie dit in mijn omgeving geregeld gebeuren. Het ergste daarvan vind ik dat deze mensen met de illusie leven dat ze extra beschermd zijn. Maar iedere keer dat NoScript zegt dat er scripts geblokkeerd zijn activeren deze mensen we de scripts zonder dat ze eigenlijk echt weten wat ze activeren.

Taggart maakt de vergelijking met autorijden. Normaal internetten is te vergelijken met het rijden van een automaat, terwijl NoScript een auto met een versnellingspook is."

Vind deze vergelijking niet helemaal opgaan. Naar mijn inziens kun je het beter vergelijken met het spreken van een andere taal. Als je de taal niet machtig bent, ben je ook niet instaat om in alle situaties correct in te schatten. Om zijn voorbeeld aan te houden: als er langs de weg een informatiebord staat, met daarop een geschreven waarschuwing, maar je kunt niet lezen wat er staat, dan beschik je nog steeds niet over de informatie waarmee je een veilige/goede keuze kunt maken.

Het komt dus uiteindelijk neer op de vaardigheden van de gebruiker en ik denk niet dat je dat redelijkerwijs van iedereen kunt verwachten. Daarbij komt dat velen van ons juist kiezen voor gemak, bewust of onbewust (zeker de gewone man kiest voor de automaat) en dat ondermijnt ook weer de veiligheid die NoScript bied.

Dus mijn stelling blijft dat NoScript uiteindelijk (zeker de gewone man) niet gaat helpen.

03-02-2015, 13:29 door Anoniem

Ik heb een tijdje NoScript gebruikt en werd hoorndol van alle vragen om toestemming. Er zijn vrijwel geen webpagina's meer zonder JavaScript. Vaak is de vraag om toestemming alleen maar voor de uitvoering van een klein Google Analytics programmaatje (het tellen van bezoeken). Adblock Plus is een goede tussenoplossing, geeft bescherming tegen malafide
advertenties en stoort niet of nauwelijks bij het browsen.

03-02-2015, 13:55 door Anoniem

Het installeren van NoScript kan er wel voor zorgen dat websites, doordat allerlei scripts worden geblokkeerd, niet meer helemaal werken.

Als de navigatie naar de hoofdonderdelen blijft werken en de layout geen puinhoop wordt dan blijven websites gewoonlijk heel behoorlijk bruikbaar. Pas bij iets geavanceerdere componenten (formulieren, diavoorstellingen, video's) krijg je 'last' van NoScript en moet je even iets aanzetten.

Helaas is de werkelijkheid ook weer niet altijd zo mooi. Wat kan je zoal tegenkomen:
• Websites die sommige of alle hyperlinks via JavaScript laten lopen. Alsof HTML dat van begin af aan al niet aankon.
• Websites die de layout via JavaScript regelen en zonder JavaScript terugvallen op een brakke stylesheet die teksten door elkaar laat lopen en de zaak op andere manieren onleesbaar maakt.
• Websites waarin één keer JavaScript activeren niet genoeg is: die laden via JavaScript componenten die hun eigen JavaScript uit nog niet (tijdelijk) toegestane bronnen laden, en dat blijft zich soms schijnbaar eindeloos herhalen.
• Verwant aan het vorige punt: websites die niet al hun spullen van één eigen domein halen. als bijvoorbeeld example.com een dynamische website is haalt het de statische elementen opvallend vaak niet van static.example.com maar van example-static.com of zoiets. Maak er een subdomein van en je kan het in een keer activeren, waarbij ook nog eens veel duidelijker is dat het ook echt bij example.com hoort. Om de een of andere reden wordt zelden voor zoiets voor de hand liggends gekozen.

Helaas reageren veel mensen hierop door te concluderen dat NoScript defect is. Ze komen niet op het idee dat het wel eens die websites kunnen zijn die defect zijn, maar dat dat defect pas opvalt als je JavaScript uitschakelt (al dan niet via NoScript). Als een combinatie van zaken of omstandigheden niet goed werkt wordt het probleem vaak blind aan de laatste verandering toegeschreven, en dat is lang niet altijd terecht.

03-02-2015, 15:41 door Anoniem

Nadat mensen zich al zo'n TIEN jaar met NoScript beschermd hebben en zelfs Snowden het aanbeveelt ("Edward Snowden endorses NoScript as a countermeasure against state Surveillance State.") komt er nu iemand aan die zegt dat ze misschien wel eens gelijk zouden kunnen hebben. No shit Sherlock.

03-02-2015, 16:30 door Anoniem

Ik gebruik zelf noscript steeds meer. Het is even opbouwen van wat vertrouwde sites en wennen aan dingen, maar daarna wordt het een stuk minder irri. Nou moet ik wel zeggen dat dit geldt voor de gemiddelde "hacker" die desnoods de broncode even leest om iets te vinden ;). Voor de gewone gebruiker is het lastiger.

Overigens sluit ik me aan bij anon hierboven. Het niet kunnen gebruiken van je site zonder java, zie ik meer en meer als een defect aan jouw site. Ik ga gewoon door naar de concurent, goedenmiddag ;).

03-02-2015, 21:45 door choi - Bijgewerkt: 03-02-2015, 21:46

Door Anoniem: O, Ironie

This slideshow requires JavaScript.

Waarom ironie? NoScript is bedoeld om JavaScript selectief toe te laten (in dit geval voor de slideshow); d.w.z alleen wanneer daar waar nodig zodat eventueel kwaadaardige code niet kan worden uitgevoerd.

03-02-2015, 22:38 door Anoniem

Door Anoniem:Overigens sluit ik me aan bij anon hierboven. Het niet kunnen gebruiken van je site zonder java, zie ik meer en meer als een defect aan jouw site. Ik ga gewoon door naar de concurent, goedenmiddag ;).

Dank voor de bijval, maar noem JavaScript alsjeblieft niet Java, dat is echt wat anders.

04-02-2015, 21:00 door Anoniem

Door Anoniem: Ik heb een tijdje NoScript gebruikt en werd hoorndol van alle vragen om toestemming. Er zijn vrijwel geen webpagina's meer zonder JavaScript. Vaak is de vraag om toestemming alleen maar voor de uitvoering van een klein Google Analytics programmaatje (het tellen van bezoeken). Adblock Plus is een goede tussenoplossing, geeft bescherming tegen malafide
advertenties en stoort niet of nauwelijks bij het browsen.

Je kunt ook het vinkje zetten bij "Standaard Top-Level sites tijdelijk toestaan", dan hoef je niet meteen alle pagina's elke keer toestemming te geven bij het bezoeken van een nieuwe website.
Verder kun je ook nog en vinkje zetten bij: "Via een bladwijzer geopende sites toestaan."

Google Analytics is nou juist één van de dingen die ik standaard overal blokkeer. Zowel in No-Script als in Ghostery. GA doet echt wel iets meer dan het tellen van bezoekers... ;-)
Adblock Plus heeft overigens een heel ander doel dan No-Script, dus dat is geen vergelijking.

05-02-2015, 10:15 door Anoniem

Ik ben het er mee eens dat NoScript een stevige beveiligingslaag biedt in je browser. Ik ben helaas ook al sites tegengekomen die het niet doen met NoScript, zelf niet als je tijdelijk scripts globaal toestaat. De hele extensie uitzetten hielp wel. Sindsdien ben ik het zat en gebruik ik geen NoScript meer. Helaas, maar het geeft mij teveel gedonder.

Naast Adblock Plus gebruik ik ook een anti-tracker extensie. Die vermindert ook de hoeveelheid JS shit die je voor je kiezen krijgt (en je wordt minder gevolgd, natuurlijk). Ik heb Ghostery en Disconnect gebruikt, ik vind ze allebei bruikbaar.

06-02-2015, 00:05 door Anoniem

Door Anoniem: Ik ben het er mee eens dat NoScript een stevige beveiligingslaag biedt in je browser. Ik ben helaas ook al sites tegengekomen die het niet doen met NoScript, zelf niet als je tijdelijk scripts globaal toestaat. De hele extensie uitzetten hielp wel. Sindsdien ben ik het zat en gebruik ik geen NoScript meer. Helaas,

Geef eens een voorbeeld van zo'n site, dan 'kijk ik met je mee'.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer