Wat wil je bereiken? Security of gebruiksgemak? Ublock Origin is een goed alternatief (easy mode). En gebruik Sandboxie Plus voor het browsen.

Waarom gebruik je een plug-in als je uberhaubt nog niet weet waar het voor bedoeld is? Dat is vragen om problemen. Je hebt gelukkig een plug-in gebruikt die tot nu toe als betrouwbaar bekend staat maar mijn advies lees je echt eerst in voor je een plug-in in je browser gooit want je kan een helehoop ellende naar je toe trekken anders.

Sites bestaan uit scripts die op elkaar volgend gelanceerd kunnen worden echter sommige hebben voorwaarden voor ze actief worden. Dus daarom moet NoScript of welke andere plug-in die je gebruikt zoals uBlock Origin, ScriptSafe etc de pagina herladen om vanaf begin de scripts nog een keer te doorlopen om te kijken of er nieuwe activatie bronnen plaatsvinden lokaal of extern.

Met de tijd bouw je dan per website een lijst op hoe de site opereert en zo probeer je onnodige scripts te voorkomen. Site bouwers zijn echter ook niet gek en proberen dus diensten die commercieel zijn te koppelen aan de functionele zodat je genoodzaakt bent informatie toch door te laten.

En omdat meeste sites gebruik maken van content distribution networks (CDN) bij tussen diensten of hunzelf krijg je constant nieuwe resultaten ertussen totdat je wildcards gaat gebruiken in plaats van elke afzonderlijke url te blokkeren. Dus niet blokkeren van bijvoorbeeld voor nos.nl streaming service nl-ams-p10-am3.cdn.streamgate.nl en nl-ams-p13-am3.cdn.streamgate.nl etc maar blokkeren van nl-*.cdn.streamgate.nl waarmeer je alle varianten tegelijk blokkeert. En dit geldt ook voor exceptions uiteraard.

Enkel NoScript heeft maar beperkte invloed. Zie hier hoe ik security.nl bijvoorbeeld lees na correcte finetuning voor mijn browser middels combi van filters element verwijdering en CSS aanpassingen. hxxps://i.imgur.com/UWwpZ5c.png
Het ligt ook heel erg aan of je elke tracking erg vind. Ik heb er weinig tegen maar waar ik niet tegen kan is onzin tussen mijn nieuws dus geen afleidende advertienties geen lollig bedoelde maar volstrekt voor mij nutteloze polls geen redundant navigatie knoppen en geen contact informatie of zoekvelden als ik er toch geen gebruik van maak.

Daarin tegen blokkeer ik bijvoorbeeld weer niet google analytics omdat ik bepaalde diensten heb waar ik sowieso Google moet gebruiken dus waarom zou ik mijn tijd daar in gaan verspillen elke keer opnieuw per site?

Heel kort gezegd dus afweging voor je zelf maken hoeveel tijd wil ik investeren in een bepaalde ergenis weg te halen. Dus of iets toegevoegde waarde heeft dat moet je toch echt zelf bepalen.

Ik zou voor de websites die ik regelmatig bezoek (en vertrouw) voor "permanent toestaan" kiezen. Javascript van advertentienetwerken permanent blokkeren.

In aanvulling op wat Mathfox schrijft: zelfs als je Javascript van alle sites van derde partijen toestaat (naast van de site zelf) waarvan Javascript nodig is om een site goed te laten werken, bescherm je jezelf als als later één van die sites gehacked wordt en daarbij kwaadaardige Javascript vanaf een nog niet eerder geziene site wordt opgehaald.

Aanvallers brengen bij voorkeur minimale wijzigingen aan op veel bezochte (inclusief third party) websites om de kans op ontdekking zo klein mogelijk te maken, en laten hun kwaadaardige Javascript vaak van weer een andere site ophalen (gehuurd door henzelf of een gehackte en zelden bezochte server waar geen virusscanner op draait). Dat soort aanvallen blokkeert NoScript dus, zelfs als je Javascript toetstaat afkomstig van alle analytics- en advertentiesites. Ben je daarmee 100% safe? Nee, maar alle beetjes helpen.

Zelf gebruik ik NoScript als volgt:

- Als ik een site voor de eerste keer bezoek en niet of zelden verwacht terug te komen, en die site niet goed werkt zonder, sta ik Javascript tijdelijk toe. Als ik (toch) vaak terugkom, geef ik die site zelf permanent toestemming;

- Sites van derde partijen die vaak nodig zijn voor de werking van sites. Dergelijke sites die ik redelijk vertrouw (deels op basis van een niet-objectief onderbuikgevoel - zie onderaan deze bijdrage), geef ik permanent toestemming;

- De rest: als Javascript toestaan van die site noodzakelijk is, krijgen ze tijdelijk toestemming; wat nooit nodig is blokkeer ik (zoals bijvoorbeeld cloudflareinsights.com).

Sites zoals https://cdn.jsdelivr.net/ (info: https://www.jsdelivr.com/) vertrouw ik op zich wel, maar vind ze toch riskant omdat ze zeer veel handige Javascript-routines leveren waar ook aanvallers gebruik van zouden kunnen maken, dus die geef ik tijdelijk toestemming (en sluit + heropen Firefox na het bezoeken van een site die Javascript van zo'n JS-leverancier nodig heeft, zodat de toestemming "vergeten" wordt door NoScript).

No Script heeft zich als scriptblocker in tor browser al meermaals bewezen. uMatrix is een goed alternatief. Werkt ook tegen script kwetsbaarheden van de toekomst.
luntrus

uMatrix is nog altijd geweldig. Helemaal dat je daar jouw voorkeuren globaal en per website kunt installeren. Bij NoScript kan het enkel globaal.
Zo blokkeer je met 'n paar muisklikken dat bijvoorbeeld facebook ooit nog verbinding maakt met ook maar één website.
En de echte diehard (lees: iemand die om zijn privacy geeft) stelt uMatrix zo in dat css en afbeeldingen toegestaan zijn en al het overige standaard geblokkeerd wordt. Ook wel de double-dutch-methode genoemd ;-).

Jammer dat in de ook geweldige extensie uBlock Origin het niet mogelijk is om websites volledig te blokkeren. Als derden blokkeren werkt, maar dan kun je de website zelf nog wel bezoeken, lijkt mij persoonlijk niet gewenst.

Voor twijfelaars over het nut van NoScript, zie bijv. onder "Prevention&mitigation" in https://imp0rtp3.wordpress.com/2021/08/12/tetris/amp/. Tetris is hier overigens niet het bekende spel maar de naam van een kwaadaardige JavaScript kit; een analyse daarvan en nog meer onaardig spul lees je in de rest van die pagina.

Saillant detail: onder Firefox op Android zag ik, ook met Javascript vanaf wordpress.com toegestaan, de meeste plaatjes in die Wordpress pagina niet :-(

Pas nadat ik NoScript uitzette, zag ik (in NoScript) dat er ook Javascript gebruikt wordt vanaf https://cdn.ampproject.org/. Nadat ik (tijdelijk) Javascript vanaf die site had toegestaan en NoScript weer aanzette, laadde de Wordpress pagina wel zoals verwacht.

Nb. als je NoScript (tijdelijk) uitzet omdat een pagina niet goed laadt, zorg dan dat je geen tabs met andere websites open hebt staan (en doe dit niet bij een website die je niet vertrouwt).

Aanvulling: zojuist zie ik dat als je https://imp0rtp3.wordpress.com/2021/08/12/tetris/ opent (dus "amp/" eraf gehaald) er geen Javascript nodig is vanaf ampproject.org.

Hier de topic starter.

Dank voor de opmerkingen en informatie.
Het is duidelijk dat de goed ingevoerde mensen vinden dat NoScript gebruikt moet worden.

Het klopt dat ik me niet van de diepere details van NoScript en van alle al of niet te blokkeren items op de hoogte stel. Dat lijkt mij een ondoenlijke zaak, dan ben je met elke te bezoeken nieuwe site lang bezig.

Ik denk begrepen te hebben dat NoScript bij Firefox meer doet dan bij Chrome/Edge. Protectie tegen cross site scripting (XSS) lijkt bij Chrome/Edge niet mogelijk te zijn.
Dan zou je bij Firefox alles kunnen toestaan en toch enige bescherming hebben.
Bij Chrome/Edge is dit niet het geval, en zou dan dus bij alles toestaan NoScript nutteloos zijn.

Gek genoeg is er een extensie, Netcraft Toolbar, die voor zowel Firefox als Chrome/Edge claimt XSS bescherming te hebben. Het kan dus wel bij Chrome/Edge.
Als je NoScript op alles toestaan zou willen zetten, zou je dus beter de Netcraft Toolbar voor zowel Firefox als Chrome/Edge kunnen gebruiken ??

Overigens heb ik de gewoonte om in NoScript alle Toegestane Sites (de White List) op Standaard te zetten. Vroeger kon je dat in 1 klap. Nu moet je de dat van die hele lijst stuk voor stuk doen, even een frustratie-klusje. Vermoedelijk met opzet, ik vind dit niet pleiten voor de goede bedoelingen van de auteur van NoScript.

Ook vind ik dat bijvoorbeeld een site als NPO-Live maar 1x klikken op tijdelijk toestaan nodig zou moeten hebben. Het is toch duidelijk dat als ik de 1-ste keer op Tijdelijk-Toestaan klik, dat ik die site werkend wil zien? Ik vraag mij af of dit een bewust ingebouwd frustratie-punt is (net als die White-List toestand) ?

Groeten

Hier de topic starter nog eens.

Ik heb die link naar tetris (van Erik van Straten) eens geopend. En inderdaad, NoScript lijkt hier zijn nut te bewijzen (is dit voor Firefox en Chrome/Edge van gelijkwaardige kwaliteit?).

Het is wel ongelofelijk hoe ver de boosaardigheid gaat.
En dit is dan een gevonden inbreuk. De vraag is wat er nog verder aan stiekemheid rond zwerft.

Bij gebruik van internet zijn je privacy en security waarschijnlijk altijd een illusie.

Groeten

De compilers van dat maligne script hadden wel historisch bewustzijn, tenminste als zij er de naam Tetris aan gaven.

Tetris was ook een computerspelletje - zoals Erik van Straten al meldde - en was zo populair dat allerhande afgeleiden daarvan soms kruiwagens waren voor de nu nagenoeg uitgestorven computervirussen.

Wat je precies bedoelt weet ik niet, maar -voor zover ik weet- is er niks boosaardigs aan het feit dat https://imp0rtp3.wordpress.com/2021/08/12/tetris/amp/ Javascript nodig heeft van ampproject.org: het lijkt mij een bugje in NoScript dat deze dit niet laat zien, in elk geval in Firefox op Android (ik heb nu geen tijd om uit te zoeken wat hier de oorzaak precies van is).

Bescherming tegen XSS aanvallen en dergelijke (zonder dat websites volledig gehacked zijn) zijn een mooie bijkomstigheid, maar het engst vind ik kwaadaardige meekijkende Javascript, meegestuurd doordat een website (primair of third party) is gehacked, als ik vertrouwelijke gegevens invoer (zoals wachtwoorden en 2FA codes) en/of die session-cookies kaapt, effectief een MitB- (Man in the Browser) of AitB- (Attacker-). Van hoe meer third party sites er content (met name Javascript) geladen wordt bij het bezoeken van een website, hoe groter jouw risico.

Als je ziet hoeveel fake "lijkt op" jquery, Google Analytics etc. domeinnamen op internet zwerven (zie bijvoorbeeld https://raw.githubusercontent.com/stamparm/maltrail/master/trails/static/malicious/magentocore.txt), in de eerste plaats bedoeld om over het hoofd gezien te worden door websitebeheerders die een seintje kregen dat er iets aan hun webpagina('s) gewijzigd is, wordt duidelijk dat NoScript je beschermt tegen Javascript van dat soort sites - zolang jij die nepsites niet in jouw "allowed" lijst opneemt natuurlijk.

Script monitoren, af te voeren script afvoeren en script, waar het functioneel kan, blokkeren, is een must. Ook vanwege tracking en profilering issues. Mijn ding is JavaScript error hunting op websites. Retire.JS van Erlend Oftedal. Actief op het forum van Giorgio Maone, de bouwer van NoScript. Heb Erik van Straten hier ook hoog zitten en mijn inspiratie gaat terug naar de dagen van de veel te vroeg ons ontvallen FRAVIA. Naast uBlock en NoScript laat ik ook scripts lokaal herschrijven door extensies. Maar ik geef je gelijk we krijgen een browser als eindgebruiker nooit meer volledig terug in handen. Big Tech etc. gebruikt ons als product. Alles voor Blackrock en die andere super global investeerder/stakeholder.
luntrus

Is het om voornoemde reden voor leken tot gemiddelde computergebruikers - de laatste waar ik mij toe reken - van belang om NoScript met regelmaat te herinitialiseren? Ik doe dat eens per maand.

Jammer is dan weer dat je met de herinitialisering permanent geweigerde scripthosts wist in de toestemmingenlijst. Bij mij is dat bijvoorbeeld: facebook.com en facebook.net (1)
Ik heb veel te weinig kennis van hoe je dat kenbaar zou kunnen maken, maar het zou denk ik een goede update van NoScript zijn dat door jezelf ingestelde permanente denials van scripthosts behouden blijven bij herinitialisatie, of er de keuze toe krijgt om ze al of niet te behouden.

(1)
Het valt mij nu op omdat ik naar aanleiding van dit draadje weer eens wat uitvoeriger kijk in de toestemmingenlijst dat Facebook niet meer in de standaard toestemmingenlijst voorkomt. Persoonlijk vind ik dat een goede ontwikkeling.

Ik ben wat minder pessimistisch: steeds meer internetters zijn zich ervan bewust dat zij voortdurend worden bespioneerd en dat dit uiteindelijk in hun nadeel is. Dat vergroot de druk op overheden om hier tegen op te treden. Notabene zelfs China grijpt de laatste tijd in (niet dat daar niet gespioneerd mag worden, maar niet door iedereen natuurlijk). Ook zie ik een trend, waarschijnlijk door de strengere privacywetgeving en wellicht door aangescherpte regels van browserfabrikanten en/of allerlei blokkerende plug-ins, dat veel websites jouw browser minder zooi van third party sites laten verwerken.

Mogelijk is het verstandig als ik dat ook zou doen, maar dat doe ik nooit - anders dan dat ik soms, vanwege een major upgrade of nieuw device, van de grond af aan opnieuw begin - zoals bij een nieuwe versie van Windows (dat levert ook risico's op, want bijv. een HSTS-lijst is dan leeg).

Met de -relatief- kleine lijst van domeinen waarvandaan altijd Javascript uitgevoerd mag worden in mijn Firefox, schat ik de kans dat er zeer kwaadaardige Javascript in mijn browser kan draaien als zo enorm veel kleiner in dan als ik zonder NoScript zou surfen, dat ik geen zin heb om daar wakker van te liggen of er veel tijd aan te besteden.

Nogmaals: zelfs als je alle third-party sites permanent whitelist die kennelijk nodig zijn om een site te laten werken, helpt NoScript al (zie mijn bijdrage van gisteren 14:25). En alleen dat is al een leerzaam proces: je ontdekt welke derde partijen bijna op elke site meekijken zonder dat hun, vaak analytische (= spionerende) en/of (gerichte) advertenties leverende, Javascript nodig is voor de werking van websites.

Overigens gebruik ik NoScript niet om persé reclame op websites te weren; ik ben niet tegen advertenties als die een (noodzakelijke) bron van inkomsten vormen voor een website. Wel gebruik ik NoScript als beveiligingsmaatregel; daarbij gaat het mij te ver om Javascripts van reclamesites toe te staan die inhoudelijk niets toevoegen aan de site die ik bezoek. Dus als websites mij advertenties willen laten zien, moet daarbij geen gebruik gemaakt worden van actieve content vanaf third party sites.

@Erik van Straten,
Hoe sta je dan t.o.v. lokaal in browser laten herschrijven van scripts, bijvoorbeeld tracking- en profileringscripts met behulp van reguliere expressies. Mogen we de Big Snooper niet een beetje dwarszitten of zijn we dan meteen een defender met aluhoedje? Ik kom uit de anti-smut en anti-ad stal van o.a. FRAVIA.
luntrus

Ik vermoed, mogelijk totaal onterecht, dat de nadelen (waaronder gespendeerde tijd om tot zoekstrings te komen en aan onderzoek als een site niet goed lijkt te werken, door mij gemaakte fouten in totaal onleesbare regexen, het risico dat die plug-ins -nu of na een update- gebackdoored blijken, interfereren met andere plug-ins, zoekstrings nu of later anders/onvolledig blijken te werken na wijzigingen serverside) voor mij groter zijn dan de voordelen - voor zover die er aantoonbaar zouden zijn in mijn situatie.

Welke plug-ins gebruik je en voor welke doelen precies?

We zijn m.i. allemaal BOEB (Baas Over Eigen Browser ;-)

Als anderen jouw (of mijn) wijze van filteren e.d. overdreven of zelfs paranoïde vinden, is het waarschijnlijk dat zij niet weten wat jij (of ik) weet en/of ooit hebt meegemaakt. Aan de andere kant kun je niet leven (laat staan internetten) zonder risico's te nemen.

Lastig aan elke risicoafweging is dat de uitkomst enorm kan verschillen afhankelijk van wie je ze laat maken. Vooral het inschatten van kans gaat vaak fout als je iets zelf nog nooit hebt meegemaakt (en relevant nieuws onvoldoende volgt).

Daar komt het fundamentele probleem bij dat natuurlijk ook voor mij geldt (waar ik mij in elk geval bewust van ben): ik heb er geen idee van wat ik allemaal (nog) niet weet en welk belangrijk nieuws ik gemist heb. Ik weet dus nooit of ik "genoeg" doe. Of juist teveel en mijzelf het leven onnodig moeilijk maak - en wellicht ook dat van anderen die mijn adviezen, al dan niet blindelings, overnemen.

Ik bedoel dit ,https://whotracks.me/trackers/amazon_cloudfront.html

Canvas blocker fingerprint protect & Antibrowserspy Tracking blocker extensies. Hebben die toegevoegde waarde? Net als Disconnect etc.?
luntrus

NoScript heeft anti fingerprint ingebouwd zitten maar doet zover ik weet niet aan per page randomizing enkel aan blokkade. Ik prefereer daarvoor Canvas Fingerprint Defender omdat het elke refresh een variatie maakt op de fingerprint en het conflicteert niet met andere plug-ins die ook fingerprint blocking of randomizing hebben. Zie het als tweede muur maar wel een one trick pony.

Antibrowserspy tracking geen ervaring mee maar het bedrijf Abelssoft GmbH maakt discutabele software en het geeft geen info vrij over wat het met de data doet in de plug-in.

Disconnect is commercieel deze moet je niet standaard aan hebben staan. Waar het handig voor is is hun spiderweb functie om te zien als een site tracking doet met wie het het deelt. Maar gebruik je die functie hou dan ernstig rekening ermee dat disconnect de informatie ontvangt. Voor blokkeringen is het niet beter dan de gemiddelde plug-in en daar zou ik het ook niet voor gebruiken.

Zelf gebruik ik in plaats van Noscript de plug-in Script-safe in combi met uBlock Origin. Deze is echter wel gevoeliger voor verkeerde configuratie maar biedt iets diepere filtering.

Dat gezegd ik gebruik geen Chrome of Firefox maar Iridium wat een barebones versie is van Chromium (ja Chromium heeft ingebouwde Google tracking) en zowat alle functies uitgesloopt zijn inclusief regulier gebruik van de plugin-store, profielen auto-update, background services etc.

Zeker met het oog op implementatie van Federated Learning of Cohorts (FLoC) wat Chromium ook straks standaard gaat krijgen is dat een steeds minder serieus optie aan het worden voor privacy gericht browser gebruik. Mozilla gaat geen FLoC gebruiken maar daarintegen hebben hun niet bepaald ook een goed track record als het op privacy beslissingen aankomt.


Bottomline je plug-ins kunnen wel bescherming bieden maar als je browser toch elke keer naar huis belt heb je er bar weinig aan en nog Google, Mozzila, Microsoft, Apple zijn te vertrouwen op dat gebied.

@ anoniem van 16:27,
Dank voor jouw info en inzichten. Het is dus moeilijk je te isoleren van data geslurp.
Basis idee. Deel niet met je browser wat je niet aan data kwijt wil.
Of gebruik tor of tor modus of VPN-gate, een van oorsprong Japanse oplossing.
Wat zijn jullie ervaringen met VPN-gate service gebruik?
luntrus

16:27 hier. graag gedaan.
Zeer sceptisch als het om regulier publiekelijk VPN gebruik in general gaat. Voor omzeilen van een geoblock en aanbod netflix lijkt me het geen issue. Voor zaken die voor jouw gevoelig liggen zou ik nooit vertrouwen op iets waar je niet exact van weet wie erachter zit of admin over bent.

Dat gezegd de meeste mensen hebben geen echte zaken waar je zover voor je privacy hoeft te gaan en als dat wel zo is dan werk je met meerdere beveiliging lagen en zo lowtech als mogelijk is.

Tor is ook iets om niet blind op te staren helpt het tegen reguliere tracking in zekere zin ja mits de gebruiker ten alle tijden verdere precautions treft. En combi met een VPN dienst kan het privacy effect aanzienlijk aantasten. Voornamelijk als je moet registreren of nog erger betalen voor de VPN dienst in kwestie.


Onderstaand mijn volstrekt abseurde wijze hoe ik met redelijke privacy navigeer als ik dat wil. Just voor the heck of it.
Omdat ik zelf al jaren in de beheer wereld zit en verantwoordelijk ben voor opschaling strategie in onze bedrijven heb ik in mijn contract laten vastleggen dat ik een colocation server voor eigen gebruik mocht inkopen binnen een van onze private cages.

Dus inplaats van een auto van de zaak heb ik een eigen spot in een van onze datacenters op naam van het bedrijf. Daarop run ik custom VPN, proxy waar geen actieve logging op gebeurd en heb ik tegenwoordig mijn eigen gecompileerde meta search engine waar al mijn browser opdrachten overgaan. (SearX) Dat verkeer word vervolgens in ons eigen CDN cluster gegooit en komt basicaly als een zandkorrel in een zandbak terecht qua data hoeveelheid waar de oorsprong van tenzij je echt specifiek traceert heel lastig wordt.

Mind you in mijn geval is het voornamelijk als training en up to date blijven met ontwikkelingen. Geen illusie dat ik nu ineens totaal onzichtbaar ben. Het helpt echter wel aanzienlijk met het het verkleinen van de digitale footprint en er is geen money trail naar prive omtrent de infra gezien die op naam van een van de bedrijven staat. En sinds het al jaren geleden is dat ik die afspraak heb gemaakt is het op niemands netvlies dat ik nog steeds die server spot bezit. Just one of those uitgefaseerde productie servers die idle is of niet meer bestaat.

Zie het als het opzetten van een shell company constructie maar dan in plaats van fake bedrijven gebruik je een CDN en een echt bedrijf met terrabytes aan echte maar ongerelateerde data. Duurste methode ooit om legaal kijken van katten videos af te schermen van pyring eyes maar hey het zijn niet mijn kosten. :)

Een leuk experiment in deze was mijn eigen dhcp server inkloppen en inrichten.
Script is m.i. the royal way in voor ellende. Ook de connectie veiligheid is heel belangrijk en voorkomen van downgrade toestanden. Kijk alleen maar hoe vaak CSP nog niet volgens best policies is ingericht. Gaat het niet om preying eyes dan gaat het om getrainde aapjes met hun onbenul. De rekening zit altoos onder in de zak. Darpa zit al in ieders nek te hijgen.
Het 'de globalist volgt u thans overal' kan niet meer ontkend worden.
Slimmerikjes zorgen dus voor zichzelf, zoals de gewaardeerde anoniem van 16:27. Laten we op elkanders schouders staan!
Een fijne nieuwe privacy veilige week gewenst door luntrus.

Probeert u eens uMatrix, daarmee heeft u meer controlle. Als u beseft dat letterlijk alles gescript is op de site van de NPO via JS. Het alternatief is de App installeren.


~
Bastiaan (nobod-y)

Het gaat erom dat je zoveel toestaat, dat het een goed functioneren van de website in kwestie mogelijk maakt of niet in de weg zit, zo ver als je zelf vindt, dat je script nodig hebt.
Dat geldt voor websites die voor jou al als veilig bekend staan (maar dat is ook geen wet van Meden en Perzen. De site in kwestie kan net gehackt of gespoofed zijn). uMatrix is in dat opzicht gemakkelijker te toggelen. Dan natuurlijk tracking e.d. niet aanvinken. Soms ook geen 3rd party content. Voorzichtigheid is de moeder van de porseleinkast.

Kijk het mooie is als NoScript waarschuwt voor een xss exploit, net als de Netcraft extensie dat zou doen. Dan is dat daar wegblijven geblazen en zeker de onveiligheid in kwestie blijvend blokkeren.

luntrus

Hier de topic starter.

Alle reakties overziend, blijf ik toch maar bij mijn oude gebruik van NoSript.
Dus geen enkele site met permanente toestemming, en net zolang herhaaldelijk op Tijdelijk-Vertrouwd klikken tot de site aanzienlijk/leesbaar/streambaar is.

Er zijn ook adviezen voor wat ingewikkelder gebruik (o.a. uMatrix, die echter niet meer onderhouden wordt).
Ik heb uMatrix ooit geprobeerd, het leek een tijd-spender van jewelste te worden, en uiteindelijk was ik het zat en ben ermee gestopt.

Ik heb overigens geen reaktie/oordeel gevonden of NoScript bij Chrome/Edge net zo'n toegevoegde waarde heeft als bij Firefox.
En of dan bij Chrome/Edge de extensie Netcraft-toolbar voldoende is.

Ik heb overigens de indruk dat het gebruik van NoScript bewust gefrustreerd en moeizaam wordt.

Groeten

In https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-upscom-xss-vuln-to-distribute-malware/ wordt een voorbeeld van een XSS (Cross Site Scripting) aanval beschreven, ontdekt door Daniel Gallagher. Ik probeer deze aanval (en het nut van NoScript) ook voor minder ervaren lezers uit te leggen.

Bij deze aanval ontvangen potentiële slachtoffers een e-mail zogenaamd van UPS.com over een te ontvangen postpakket. De e-mail ontvanger wordt verzocht op een link te klikken, die begint met https://www.ups.com/dropoff/invoice?id= gevolgd door (de gebruikelijke) wartaal. De link verwijst dus daadwerkelijk naar www.ups.com, dus echt van UPS.

Echter, verderop in die link -uit de e-mail dus- zit (grotendeels geobfusceerd) Javascript code. Als je op die link klikte, werd die Javascript code uitgevoerd "in de context van www.ups.com", d.w.z. als ware deze afkomstig van www.ups.com. Dat www.ups.com dit niet blokkeerde was een fout van de websitebouwer: je hoort hier maatregelen tegen te nemen (naar verluidt is dat ondertussen gebeurd). Nb. zelf ben ik absoluut geen expert op dit gebied, Luntrus kan vast meer vertellen over XSS attacks en hoe websitebouwers deze kunnen voorkomen (of zie https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html).

Als het korte stukje Javascript in de URL werd uitgevoerd, werd aanvullende Javascript gedownload vanaf hxxps://m.media-amazon.workers.dev/ (die hxxps was https, ik heb dat hier gewijzigd om per ongeluk openen door lezers te voorkomen) en uitgevoerd (eveneens in de context van www.ups.com). Genoemd workers.dev subdomein heeft (waarschijnlijk) niets met Amazon te maken: *.workers.dev zijn domeinen van Cloudflare waar derden gratis of voordelig content kunnen stallen (zie https://workers.cloudflare.com/).

Die laatste Javascript code downloadt een MS Word bestand met een macro erin naar jouw PC (d.w.z. als je surfde vanaf jouw PC). Daarin wordt geprobeerd om je, met de gebruikelijke misleidende tactieken, over te halen om macro's toe te staan. Als je dat doet wordt de feitelijke kwaadaardige code gedownload en uitgevoerd.

Of NoScript deze XSS-aanval had gedetecteerd, weet ik niet (niet getest). Wel had NoScript bij mij het uitvoeren van Javascript vanaf hxxps://m.media-amazon.workers.dev/ verhinderd, omdat deze site, noch *.workers.dev sites, in mijn NoScript lijst met toegestane sites staan.

En dat brengt mij op een aanvullend aandachtspunt voor NoScript: als het noodzakelijk lijkt om Javascript toe te staan vanaf een domein zoals workers.dev (of cloudflare.com, sharepoint.com etc.) en je hebt de keuze om alles onder dat domein of een specifieke subsite onder dat domein (zoals https://cdnjs.cloudflare.com/) toe te staan, kies dan voor zo'n specifieke subsite; daarmee voorkom je dat je een (onbekend aantal) sites van derden ook toestemming geeft.

En natuurlijk is het verstandig om voor de https variant (i.p.v. http) te kiezen - tenzij het echt niet anders kan.

Goede samenvatting hoe NoScript te gebruiken:
https://proprivacy.com/adblocker/guides/noscript-extension-gain-privacy-security gebruik hiernaar Retire.JS als extensie en/of vulners.
luntus

Phishingaanval gebruikte XSS-lek op UPS.com om malware te verspreiden
dinsdag 24 augustus 2021, 10:51 door Redactie

https://www.security.nl/posting/717524/Phishingaanval+gebruikte+XSS-lek+op+UPS_com+om+malware+te+verspreiden

Het herkennen van bijvoorbeeld.XSS-DOM kwetsbaarheden is een vast onderdeel van derde jaars toetsen voor technische IT studenten aan de HS. Net die ene extra er uithalen is vaak de game.
Later werden deze luitjes of back-end of front-end specialisten.
Golden boys, echt. Ja ook met JavaScript en bijvoorbeeld node.js specialisatie. De besten hadden al veld en netwerk ervaring.
Maar ook niet verkeerd om zelf je in te verdiepen.
luntrus

Interessante discussie hier:https://www.linuxquestions.org/questions/linux-security-4/firekeeper-for-firefox-638447/
Maar niet iedereen maakt gebruik van Snort regels en het vertrouwen dat je hierin kunt hebben.
luntrus

Hier een nieuw extension die tegen JS-misbruik moet beschermen.

https://jshelter.org/

Zitten grote namen achter (o.a. de auteur van NoScript), dus niet van een geniale nerd die er na een tijdje de brui aan geeft of die de extensie stiekem verkoopt aan oplichters..

Mogelijk een vervanging voor NoScript, waarbij je een lamme finger/muis krijgt van het klikken op Tijdelijk Toegestaan ?

Iemand al ervaring mee en/of een mening over?

Ik ga deze extensie eens uittesten. Zie tevens ook de interessante draad hier: https://www.security.nl/posting/749229/Fingerprinting+%28nog+maar+eens%29.
In bovenstaande draad kwam JShelter nog niet aan de orde.

Ook de extensie, gemaakt met steun van de Indiase regering, JSGuard is veelbelovend en wat te denken van de punkspider extensie die je waarschuwt voor bijvoorbeeld 11 exploiteerbare DOM-XSS exploits op een bepaalde Aziatische website.

De enige extensie die het tot nu toe gehaald heeft als een default binnen de tor browser is toch weer NoScript van Giorgio Maone gweest. uMatrix samen met uBlock Origin is voor de niet zo bedreven toggelaars ook een fijne combinatie.
En ik geeft de browser graag het drievingerig saluut naar Ctrl+Shift+I of gebruik de Quick Source Viewer.

Oh, dit zie ik op deze site:
Daarnaast herschreef Clear URLs Add-on op deze site 21 keer verschillende logging. Oh en vergeet SNYK niet.

m.vr.gr.
luntrus

Oh en nog even wat, lieve security dot NL vrienden,

Met script blokkeren moeten we ook eens onze aandacht gaan richten op het grote gevaar voor onze privacy (data),
dat de "Cloud" inhoudt. Soms simpel door niet schuldigen te blokkeren (via dDos-protectie en Tor- & proxy-blokkering etc.) en ook vanwege activiteiten onder de browser motorkap. De Cloud is niet jouw vriend maar de vriend van de hoogste bieders, die op jouw data zijn belust (Big Corp en Big Guv). Security.nl heeft daarom weggestuurd van Cloudflare en ik ben ze nog steeds daar dankbaar voor in mijn Epic browser met versleutelde Digital Ocean proxy.

Wie redt ons straks van onze overlevering (zeg maar gerust uitlevering) aan de EU-Cloud, die al je aktiviteiten op Interwebz gaat controleren via een onvervreemdbare digitale identiteit? Wordt eind dit jaar verwacht in dit theater, als ze het erdoor kunnen jassen.

luntrus

Iemand met ideeën? https://www.huffpost.com/entry/data-and-goliath-digital-surveillance_b_6898162

Men zou om te beginnen Schneiers boek kunnen aanschaffen en lezen, om daaruit te halen wat men zelf kan uitrichten.

https://www.schneier.com/books/data-and-goliath


hint. Van de meeste hoofdstukken van dat boek staan ook goede uittreksels -- excerpts -- online. Veel leesplezier :-)

Heeft Noscript in combi met Umatrix zin??

"Heeft NoScript i.c.m. uMatrix zin?? Hoedt u voor extensie overkill. Weet hoe u in moet regelen.

Ga de duvel niet uitdrijven met Beelzebub. FloC is alweer verlaten door Google. We zitten in een achterhoedegevecht en ook Big Tech en Big Guv zijn er niet voor ons eindgebruikers. Eerder andersom.

Het is de eerste extensie die ik uit de Tor-browser gooi. Niet alleen omdat je onwerkbare sites krijgt, maar ook omdat de uitdenker van deze extensie leugens zit te verkondigen over bepaalde gelovigen. Zulke mensen krijgen van mij daarom al helemaal geen crediet meer.

Dat is bijzonder stupide, want dat kun je Tor Browser net zo goed helemaal niet gebruiken.

Draadje ontregelen? Welke leugens verkondigt wie? Als je ergens mee komt, maak dat dan concreet en vervuil anders geen interessante draadjes.
luntrus

In
https://news.ycombinator.com/item?id=28736113
wordt vermeld dat JShelter een aanvulling is voor NoScript, geen vervanging.

JShelter heeft een recente versie, dus er is onderhoud.
Andere initiatieven m.b.t. JS zijn van de grond getrokken, en daarna niet meer geupdated/onderhouden.

Maar het JShelter onderhoud lijkt o.a. door ICT-afstudeerders gedaan te worden, wel gebackuped door solide organisaties. Het is toch even de vraag of er continuïteit zal blijven.

Er zijn enkele sites, met inloggen, die alleen werken als NoScript disabled is (dus alles Tijdelijk-Toestaan is niet voldoende).
Echter er zijn ook sites die NoScript, met alles disabled/verboden, nodig hebben.

Al met al blijft het in toenemende mate klooien.

Dank voor de feedback. Inloggen op bepaalde forum accounts lukt slechts zonder JShelter. Je onderbreekt dus zekere tracking en monitoring die men denkt nodig te hebben. De meeste sites en developers liggen dus om den brode in bed met de grote trackers en monitoring instanties van Big Corp en Big Guv. Wat doet JShelter op de tor browser? Additionele extensies worden daar echter om begrijpelijke redenen sterk afgereden. Het Nieuwe Jeruzalem is nog mijlenver weg ;)!
luntrus

En de 'klooiers', die ze tegen moeten houden, stoppen ze niet.
Al rapporteer ik er nog zoveel met IP en aard van abuse
Overal zitten de 'lurers', (hengelaars). Zij hebben aan een klein werkend gaatje genoeg; jij moet over de hele linie de boel in de gaten houden. Ongelijk verdeeld in de digitale ruimte. Infrastructuur merk gatenkaas ook nog vaak. Goed weekend. Mazzal.
luntrus

Ins en outs van JShelter: https://arxiv.org/pdf/2204.01392.pdf

luntrus

Hr Lunrus,

Dank voor de inhoudelijke opmerkingen en de info.

De home page van JShelter zelf bevestigt dat het iets wezenlijk anders doet dan NoScript:
Het blokkeert dus geen JavaScripts door te zeggen: dit script wordt geblokkeerd en dat script wordt wel uitgevoerd, het gaat hier alleen om scripts die wél uitgevoerd worden. De add-on zet filters tussen die scripts en de Application Programming Interfaces (API's) waarmee die scripts allerlei faciliteiten van de browser gebruiken. Die filters doen aanpassingen in de resultaten die fingerprinting verstoren, misbruik van Meltdown en Spectre proberen te blokkeren, en meer. Het valt op in de beschrijvingen ervan dat die nog diverse onvolkomenheden noemen. Dit is dus een heel interessante benadering die zo te zien nog niet helemaal af is.

Het menu op de website van JShelter gaf me even de indruk dat je als gebruiker met een hoop low-level technische zaken geconfronteerd wordt die behoorlijk diepgaande kennis van hoe browsers werken vergt. Ik heb het geïnstalleerd om te kijken hoe de instellingen eruit zien, en die blijken juist behoorlijk overzichtelijk gehouden te zijn.

Het ziet er dus zeer interessant en veelbelovend uit.

Maar als je het gaat gebruiken, houdt er dan wel rekening mee dat het project nog niet versie 1.0 heeft bereikt, wat gewoonlijk een indicatie is dat het nog niet als stabiel wordt beschouwd. Dat wordt bevestigd als je naar de source-repository kijkt: er wordt intensief aan ontwikkeld, met meerdere commits (wijzigingen) per dag (dat is wat anders dan releases die in je browser belanden), en ook behoorlijk veel parallel uitgevoerde ontwikkeling. Er zijn verschillende bugreports van dingen die niet goed werken. Ook viel me op dat de Addons-website van mozilla op het moment dat ik het installeerde 655 gebruikers aangaf. Da's nog niet veel.

Het duidt er allemaal op dat je met een nog onaf product te maken hebt, dat je een van de early adopters bent als je het gaat gebruiken, en dat je er rekening mee moet houden dat je tegen de nodige hobbels aan kan gaan lopen en dat het wel eens van je eigen bugreports kan afhangen of die vlot worden opgelost. Wees je bewust van dit prille stadium als je besluit het te gaan gebruiken. Als je zelf niet iemand bent die in staat en bereid is om zonodig als tester op te treden dan zou het kunnen dat het voor jou nog te vroeg is om nu al in te stappen.

https://jshelter.org/
https://pagure.io/JShelter/webextension

JShelter geeft ook de mogelijkheid aan dat je op een bepaalde site gefingerprint wordt.
Cy-Dec Ant-FP doet dat ook.
Hier pinged o.a. [ff00::]
oftewel multicast FF00:0000:0000:0000:0000:0000:0000:0000.

Wat ik vervelend vind is dat ik kennelijk niet kan inloggen op een bepaald gebruikersforum met zowel uMatrix als JShelter actief. Moet ik wel zeggen dat ik dan achter een versleutelde ge-encrypte proxy zit, die ik whitelist eventueel. Kennelijk is de tango tussen uMatrix (of NoScript) en het additionele JShelter nog niet zo vlekkeloos, dat er goed te toggelen valt. Kijk eens hier: https://whotracks.me/websites/avast.com.html 28% van de site met 35 trackers. Ga je lekker? Is het Anti-virus of Advertentie-Virus?

Beste lezers in deze draad, voor jullie allemaal een goede nieuwe week toegewenst.

Zou een ge-encrypte proxy in de epic browser via Digital Ocean niet meer tracking kwaad kunnen doen dan goed?
Zie eens hier wat er allemaal kan tracken daar ->: https://whotracks.me/websites/digitalocean.com.html

Kan ik dan niet beter via Psiphon3 aan de gang? Van vragen wordt je wijzer, toch? Ik heb hier al zoveel interessante info vergaard en dank allen hier, die mij mee "digitaal opgevoed" hebben. Nooit te oud om iets bij te leren.

luntrus

07:43 door Anoniem

Duidelijk, dank voor uw uitleg.

Ik had JShelter te berde gebracht omdat ik de hoop had van NoScript af te komen, en dan toch nog enige bescherming tegen kwaadaardige scripts te hebben (zoals eerder vermeld krijg ik een lamme vinger/muis van het op Tijdelijk-Toestaan klikken, terwijl voor sommige sites inloggen NoScript op Disabled gezet moet worden).
NoScript is voor een eenvoudige gebruiker niet te doen.

Vooralsnog ben ik toch maar weer terug naar NoScript (+ JShelter als proef).
Het helpt tegen de recent toegenomen cookies-manie (cookies-popup na cookies-popup na cookies-popup na etcetera). Hier blijkt I-don't-care-about-cookies niet altijd voldoende te helpen.

Dan raad ik de combinatie uMatrix samen met uBlock aan. Dan blijft NoScript voorbehouden als standaard ingebouwd in de tor browser of als geïnstalleerde extensie in de vuurvos browser.
luntrus

Nu we het toch over anti-tracking/monitoring beveiligsextensies hebben, nog het volgende.

Ik heb hier ook weinig gehoord over script herschrijven via bijvoorbeeld de Clear URLs extensie.
met de volgende configuratie:

JShelter zou ook gebaat kunnen zijn bij het gebruik van polyfill.min.js voor aanpassingen.
luntrus