Om te beginnen: noem bij dit soort vragen even expliciet over welke browser je het hebt.

Ik heb geen Windows en ik gebruik Firefox, met o.a. uMatrix. Als ik de browser afsluit en vanaf de commandline opstart met een URL als argument, dan wordt die website geopend zonder dat er dingen die ik blokkeer worden uitgevoerd (wat zich bijvoorbeeld uit in het niet verschijnen van een cookiewall - en ik weet zeker dat cookies bij mij geen herstart van de browser overleven, zelfs niet het afsluiten van een tab). Ik vermoed dat het opstarten van een browser via een www-snelkoppeling ook tot een URL op de commandoregel leidt, maar dat weet ik niet zeker. Je zou kunnen proberen hoe dat zich gedraagt. Als het op die manier wel goed gaat kan je je internetsnelkoppelingen vervangen door snelkoppelingen naar je webbrowser en in de snelkoppeling zelf de URL als argument voor de browser toevoegen.

Maar los van mogelijke workarounds, als een website geladen wordt voor de add-ons actief zijn en dingen laadt/uitvoert die geblokkeerd hadden moeten worden dan lijkt mij dat een bug, en bugs kan je melden bij de maker van je browser.

Dat lijkt me een bug in je browser, ik zou deze aanmelden zodat men dit kan fixen.

"De snelkoppeling zoekt namelijk meteen verbinding na starten van de browser"

Is dat zo? Welke browser is dat, dan kun je het beste daar een security-bug inschieten. Dat hoort natuurlijk niet.

@Phileas,

Bij Windows 10 helaas een risico zonder enhanced protection mode:
https://social.technet.microsoft.com/Forums/en-US/dc73eaa8-5c7e-4925-bff4-f9dc44a415a5/web-shortcuts-dont-open-from-desktop-since-anniversary-update-ie11
Zie ook: https://www.tenforums.com/tutorials/74358-create-desktop-shortcut-website-google-chrome.html

Check de geopende pagina ook via Ctrl+Shft+I en zie wat er werkt, alles naar ik hoop, ook extensies.

luntrus

Dat kan nog steeds, niet waar? Dat was al in (windows) '98 een slecht idee, en vooral bedacht als excuus om internet exploder altijd actief te ("moeten") hebben en zo net te doen of het er niet uitgesloopt kon worden. Want als serieus feature had het niets om het lijf, dat straalde er aan alle kanten vanaf.

Je zegt het zelf al: Als het laden eerst gedaan zonder al die extensies en je vindt het niet veilig om zonder die extensies te laden dan is het dus niet veilig.

Dat is net zoiets als een heel dom ("feature"-)telefoontje dat ik bezit. Als je dat uitzet in vliegtuig modus, gaat het bij aanzetten eerst verbinding maken met de toren en dan vragen of dat mischien wel een goed idee was ("vliegtuigmodus stond aan, weer aanzetten?"). Dat zijn van die dingen, hee {soft,firm}wareschrijver, denk eens na.

Je bedoelt een soort Browser <-> Addon race, waarbij de browser het altijd wint,
zodat de eerste seconden je geïnstalleerde addons die de veiligheid moeten opkrikken nog even worden genegeerd,
omdat ze nog bezig zijn met opstarten terwijl Firefox verder al draait?

Goed punt, want wat je in beeld ziet wekt soms wel die schijn. (het duurt enkele seconden voordat addon-iconen zich kleuren in hun ingestelde modus)

Ik heb de volgende proef gedaan: een homepage in de browser ingesteld waarvan ik het domein in een addon blokkeer.
Resultaat: hij wordt gewoon geblokkeerd.
Ik denk dat het niet veel anders is met een desktop weblink.

Ja anders zou verschillende tracking belemmerd worden en dat willen de propriety code owners niet.

#sockpuppet

Naast wat al in de eerdere reacties is aangegeven,
zou je onzeker zijn over wat je aangaf, en een dergelijk eventueel(?) risico willen vermijden, dan zou je deze simpele workaround kunnen gebruiken: open eerst je browser en geef die een paar seconden om helemaal goed te starten, en open pas daarna snelkoppelingen, zodat die openen in de dan reeds actieve browser.

Wat is dat nou weer voor kletsverhaal? Je kon altijd al snelkoppelingen maken naar pagina's geopend in
andere browsers hoor.

Wat je zou kunnen proberen is de webbrowser opstarten icm de URL. Dit zou mogelijk het probleem kunnen oplossen.

Hier de TS:

Het is zeker netjes dat u schrijft: "Met de nadruk op lijkt" want ik was gisteren niet in de gelegenheid nog iets anders uit te proberen, gesuggereerd door reacties hier, maar dan weer met als handicap: restricties m.b.t. of ik dat kan/mag gezien vanuit gebruiker, (ik) en beheerder (ons ICT bedrijf) bevoegdheid/heden.

Oorzaak: Ik had een vrije dag van mijn werk. Daar doet zich dit namelijk voor.
Vandaag, dinsdag 7-01-2020, hoop ik er hier weer op in te kunnen gaan.

Wil helemaal niet flauw doen maar kun je beter niet standaard een snelkoppeling op de bladwijzerbalk plaatsen?
Zie namelijk weinig tijdwinst met wat u doet.

Daarnaast is het wel een prima vraag.

Eindelijk kan ik wat informatie toevoegen.

De gebruikte browser is Firefox v71.0 (64bits) deze wordt ondersteund door Microsoft Server 2012 R2
In tegenstelling tot wat ik in mijn opneningspost schreef - excuses - het is niet uMatrix als extensie maar het betreft uBlock Origin en Noscript. Versies respectievelijk: 1.24.2 en 11.0.11

Ik zie het kort opflitsen van een door scripts ondersteunde Gmail pagina - ik vermoed zo'n 1/4 seconde - waarna Noscript de pagina herlaadt niet alleen gebeuren als ik de browser start m.b.v die bureaubladsnelkoppeling URL. Als Firefox actief is ook, maar slechts vaag en heel kort zie ik dan de door scripts ondersteunde inlogpagina waarschijnlijk omdat ik die heel goed ken omdat het wel voorkomt dat ik google moet toestaan voor andere webpagina's die voorheen zijn geladen en dan Gmail wil openen.

Ik heb ook getest met - hoe voor de hand liggend - Security.nl als bureabladstarter en deze URL start zonder eerst scripts te laden. Natuurlijk ...want die zijn er bijna niet. Als ik kijk in Noscript. zie ik alleen Google.analytics.

Ik ben geneigd, zoals in posts al wordt gesuggereerd/geanalyseerd, en dan aangevuld met mijn ervaring te stellen - zeker weten doe ik het dus niet! - dat Google héél véél op de achtergrond tracht te laden aan scripts omdat, indien gestart vanuit het niets, de extensie Noscript nog niet actief is, maar zelfs indien de browser actief is (nu personificeer ik het) Noscript als een gek moet werken om al die scripts tegen te houden. Dat kost milliseconden naargelang de procesoorsnelheid vermoed ik.
Daarom lijkt het mij een beveiligingsrisico in deze tijd waarin digitale bedreigingen een toenemende bron van zorg zijn, om nog een bureabladsnelkoppeling, of -starter te gebruiken omdat je het risico loopt in de milliseconden vooraf aan het initialiseren van scriptblockers toch een kwaadaardig srcipt te activeren, dat soms aan miliseconden genoeg heeft om zijn verderfelijke werk te doen(*)

Wat is een bladwijzerbalk nou weer?

Je kunt alle snelkoppelingen gewoon opslaan in een tekstbestandje. Gewoon een lijstje met allemaal internetadressen. Dan verwijder je alle snelkoppelingen (niet meer nodig) en in het vervolg start je eerst de browser en vervolgens open je het tekstbestandje. Wel zo veilig. Kopiëren en plakken kan iedereen wel.

Een balk met bladwijzers.

Ja, maar waarom zou dat veiliger zijn dan bladwijzers van dezelfde URLs?

Ok maar dat is dan een vette BUG in Firefox!
Ik zou het melden via het mechanisme wat daar voor is.
Of aan iemand anders hier overlaten als die genoeg gegevens heeft en het kan reproduceren.
Het zou zo moeten zijn dat de browser pas aan het openen van pagina's begint als alle extensies geinitialiseerd zijn,
of minstens zou daar een optie voor moeten zijn die default aan staat. Synchroon vs Asynchroon starten ofzo.

Het wordt misschien wat technisch, maar ik heb het volgende gedaan in Firefox (71.0 op Linux) en dat kan je naspelen:

• Open een lege tab.
• Druk daar op F12. Dat opent hulpmiddelen voor ontwikkelaars in de onderste helft van het scherm.
• Klik daar in het menu boven de hulpmiddelen op "Netwerk".
• Rechtsboven zie je een paar aanvinkvakjes. Vink "Registraties aanhouden" aan. Dat stelt je in staat "redirects" te volgen (wat dat is wordt zo duidelijk).
• Typ nu in de adresbalk in: https://gmail.com/ en druk op ENTER.
• Je ziet een aantal regels verschijnen, die bij mij beginnen met:

301 GET
302 GET
302 GET
200 GET
200 GET

De getallen vooraan zijn HTTP-responsecodes. Daarvan zijn 301 en 302 twee varianten van de mededeling dat de browser de gevraagde pagina ergens anders op moet halen, een zogenaamde "redirect". De code 200 betekent dat de gevraagde pagina gevonden is en als onderdeel van de response wordt teruggegeven. Het eigenaardige is dat die twee keer voorkomt.

• Klik op de laatste regel (de 2e "200") en klik in boven de rechterhelft van de ontwikkelhulpmiddelen op "Antwoord". Je ziet een afbeelding van het aanlogscherm.
• Klik nu op de voorlaatste regel (de 1e "200") en dan verschijnt rechts geen afbeelding maar een rode balk met de tekst: "Antwoord is afgekapt". Als je daaronder "Voorbeeld" openklapt krijg je een berg HTML-code te zien, die kennelijk een onvolledige pagina vertegenwoordigt.

Ik heb (enigzins lastig om te doen) die volledige HTML gekopieerd en in een teksteditor geplakt, en daarin vervolgens gezocht naar het woordje "nojavascript", dat onderdeel is van de uiteindelijk getoonde pagina. Dat stond erin, en het relevante stukje HTML ziet er zo uit:


En dat geeft de verklaring van wat je ziet gebeuren. Het hele fragment staat tussen "<noscript>" en "</noscript>", wat betekent dat het een stukje HTML-code is dat alleen wordt geïnterpreteerd als JavaScript uitstaat. Wat erin staat is een tag die het equivalent van een HTTP-responscode bevat die hier "refresh" wordt genoemd, die overeenkomt met die 301- en 302-codes. Het is een opdracht om direct door te schakelen naar de URL die erin staat, een met "nojavascript=1".

Je krijgt inderdaad in een flits de aanlogpagina voor met JavaScript te zien, maar die wordt niet eens volledig opgebouwd omdat die opdracht erinzit om door te schakelen naar de aanlogpagina voor zonder JavaScript. En die doorverwijzing wordt gevolgd precies omdat JavaScript uitstaat. Dat betekent dat je add-ons al keurig actief zijn voordat de pagina geladen wordt.

Ik weet niet 100% zeker of het echt zo is dat Firefox aanvankelijk even zonder addons werkt totdat ze zijn opgestart,
(wat je op het scherm ziet, zou bijv. ook voort kunnen komen uit html (dus geen scripts die NoScript blokkeert)?

Maar zo niet dan kan je proberen de "snelle acties" van Firefox te beteugelen voor zover dit nog niet zo in je browser is ingesteld. Informatie van Mozilla hierover:
https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections

En dan zou ik in elk geval eens de volgende instellingen in about:config uitproberen (om te beginnen allemaal tegelijk):
(en noteer voor de zekerheid de originele instellingen voor het geval het niet werkt, en je deze instellingen later terug wilt zetten naar hun oorspronkelijke waarde)

- network.prefetch-next --> false
- network.dns.disablePrefetch --> true
- network.http.speculative-parallel-limit --> 0
- blank page instellen als homepage
- media.peerconnection.enabled --> false
- network.tcp.tcp_fastopen_enable --> false

Mocht dit verbetering geven dan kun je vervolgens evt. proefondervindelijk vaststellen welke van deze instellingen nu eigenlijk het verschil maken.

Een alternatief is eerst Firefox opstarten, en als deze goed en wel is opgestart pas op de weblink klikken,
maar gebruiksvriendelijk is dit uiteraard niet)

Even toelichten:
de reactie van Anoniem 15:02 was nog niet gemodereerd toen ik mijn bericht van 15:12 schreef.

Ik heb ook aan F12 gedacht, maar dan staat Firefox dus al opgestart klaar als je de internetsnelkoppeling aanklikt en dat is niet helemaal eerlijk. Want mocht er een soort van raceprobleem bestaan (waarbij de browser al zijn gang gaat voordat de addons goed en wel zijn opgestart) dan haal je dit dus niet met zekerheid eruit met zo'n F12 test.

(overigens zijn we het eens dat wat er in beeld verschijnt evt. gewoon html zou kunnen zijn)

Anoniem 15:02 hier.

Philias nam aan dat add-ons die JavaScript onderdrukken bij opstarten niet functioneren omdat de versie van de inlogpagina voor met JavaScript langsflitst. Dat blijkt ook te gebeuren als JavaScript geblokkeerd wordt, en zelfs omdat JavaScript geblokkeerd wordt.

Laat even doordringen wat dat impliceert: het doorschakelen is afhankelijk van het inactief zijn van JavaScript, dus als JavaScript op het moment suprême actief was geweest dan had die hele redirect niet plaatsgevonden, en dan had Philias het hele verschijnsel niet meegemaakt dat hem deed vermoeden dat add-ons nog niet actief waren. Maar het gebeurt wel, dus JavaScript moet geblokkeerd zijn op het moment van de redirect, en de add-on die dat blokkeert moet dus actief zijn.

De hele reden om aan te laat in werking tredende add-ons te denken is daarmee weggevallen.

Paradoxaal genoeg is een verschijnsel dat de indruk werkt dat iets niet werkt in dit geval het bewijs dat het wel werkt. Ik kan behoorlijk van dat soort schijnbare tegenstrijdigeden genieten ;-)

Philias, ik hoop dat je het allemaal kan volgen en dat je gerustgesteld bent over de veiligheid van het opstarten van de browser via snelkoppelingen.

Je hebt gelijk in redenering, niets mis mee.
Nu even terug naar de vraag:
De addons zullen helpen om wat rommel er buiten te houden. Een goede overwogen keuze.
Het zal niet veel helpen tegen echte opzettelijke aanvallen, als je daar bang voor bent moet je niet op de addons vertrouwen.

Beste lezer,

Er is geen veiligheidsrisio als je een gmail snelkoppeling op je bureaublad hebt staan.