1. JavaScript
Im Begleitartikel zum vorliegenden Beitrag hatte ich euch die (dringende) Notwendigkeit für einen JavaScript-Blocker aufgezeigt. Der ursprüngliche Zweck von JavaScript (die dynamische Inhaltsveränderung) spielt heute nur noch eine untergeordnete Rolle auf Webseiten. Hauptsächlich wird JavaScript von vielen Protagonisten für Zwecke »missbraucht«, die unkalkulierbare Folgen für die Sicherheit und die Privatsphäre eines (Webseiten-)Besuchers haben können.
Insbesondere für die Werbe- und Trackingbranche ist JavaScript so etwas wie der heilige Gral, um den Nutzer seitenübergreifend zu tracken und anhand von diversen Merkmalen wiederzuerkennen. Für jeden sicherheits- und datenschutzbewussten Anwender ist es daher essentiell, der Web-Ressource JavaScript mit Skepsis zu begegnen.
Im vorliegenden Beitrag der Serie »Firefox-Kompendium« möchte ich euch das Addon NoScript vorstellen, mit dem sich das Risiko für Sicherheit und Privatsphäre minimieren lässt, das mit der leichtsinnigen Einbindung von JavaScript in den Kontext einer Webseite einhergeht.
- Firefox: Ein Browser für Datenschutzbewusste – Firefox-Kompendium Teil1
- Firefox: uBlock Origin – Firefox-Kompendium Teil2
- Firefox: Decentraleyes – Firefox-Kompendium Teil3
- Firefox: First Party Isolation – Firefox-Kompendium Teil4
- Begleitartikel: Firefox-Kompendium: Warum ein JavaScript-Blocker notwendig ist
- Firefox: NoScript – Firefox-Kompendium Teil5
- Firefox: Smart Referer – Firefox-Kompendium Teil6
- Firefox: Neat URL – Firefox-Kompendium Teil7
- Firefox: Skip Redirect – Firefox-Kompendium Teil8
- Firefox: uMatrix – Firefox-Kompendium Teil9
- Firefox: about:config | user.js – Firefox-Kompendium Teil10
2. NoScript: Anfänger
Bevor wir mit der Installation und Konfiguration von NoScript beginnen, möchte ich euch noch ein paar Hinweise mit auf den Weg geben:
- Grüne Wiese: Im Idealfall habt ihr euren Firefox neu installiert (oder ein neues Profil angelegt) und habt bisher lediglich den ersten, zweiten, dritten und vierten Teil der Artikelserie umgesetzt.
- Ausmisten: Wer hingegen sein bestehendes Firefox-Profil als Ausgangspunkt nimmt, der sollte vor der Installation von NoScript zunächst ausmisten und andere JavaScript-Blocker deinstallieren.
Grundsätzlich ist NoScript eher für fortgeschrittene Nutzer geeignet. Ich bin allerdings der Meinung, dass Anfänger, die Wert auf Sicherheit und Privatsphäre legen, den Umgang mit NoScript in jedem Fall erlernen sollten. Ein JavaScript-Blocker ist mindestens genauso essentiell geworden, wie ein guter Adblocker (uBlock Origin).
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Installation
Wie bei Firefox üblich wird NoScript am besten direkt über die Addon-Seite von Mozilla installiert. Folgt einfach diesem Link und klickt auf »+ Zu Firefox hinzufügen«.
Anschließend muss die Installation mit einem Klick auf »Hinzufügen« bestätigt werden:
Nach einer erfolgreichen Installation wird das Icon von NoScript in der Symbolleiste (rechts oben im Eck) auftauchen:
Die Installation ist damit abgeschlossen und NoScript arbeitet mit den Standardeinstellungen, die wir allerdings anpassen werden. Die nachfolgenden Anpassungen (Ziffer 2.2) sind nicht zwingend erforderlich, erhöhen allerdings die Chance, dass insbesondere Anfänger eher mit NoScript zurechtkommen.
2.2 Konfiguration
Was wollen wir ändern? NoScript ist genau genommen ein Content-Blocker, der nicht nur JavaScript, sondern eben auch die Einbindung weiterer Ressourcen (bspw. Schriftarten, Plugins) auf einer Webseite unterbinden kann. Für Anfänger ist das zunächst verwirrend, weshalb wir NoScript einzig für den Zweck einsetzen, die Ausführung von JavaScript zu kontrollieren. Aufgrund dieser »Vereinfachung« ist es notwendig, die Standardeinstellungen von NoScript anzupassen.
Dazu öffnen wir über das NoScript-Symbol in der Symbolleiste die Optionen:
Unter »General« passen wir die Voreinstellung (Preset) von »DEFAULT« an. Außer bei »script« werden alle Häkchen gesetzt.
Beim Aufruf einer Webseite wird nun lediglich JavaScript blockiert und muss bei Bedarf manuell freigegeben werden. Bevor wir uns ein Praxisbeispiel anschauen, werfen wir zunächst einen Blick auf NoScript und die Trust-Zones.
2.3 Vertrauensstufen (Trust-Zones)
Jeder Domain in NoScript wird eine Vertrauensstufe (Trust-Zone) zugeteilt. Standardmäßig befindet sich jede Domain zunächst unter der Standard-Vertrauensebene (DEFAULT), die wir unter Ziffer 2.2 gerade angepasst haben. Rufen wir eine Webseite auf, wird jede JavaScript-Ressource der Webseite (bspw. heise.de) zunächst durch NoScript blockiert:
Aus dem Screenshot lässt sich entnehmen, dass heise.de demnach von sieben unterschiedlichen Quellen JavaScript in die eigene Webseite einbindet. Einmal wird JavaScript von »heise.de« selbst eingebunden und anschließend wird JavaScript von sechs Drittanbietern wie »googletagservices.com« oder »ioam.de« nachgeladen. Insbesondere das Nachladen von JavaScript von externen Drittquellen geht mit unkalkulierbaren Risiken für die Sicherheit und Privatsphäre eines Besuchers einher.
Um das Nachladen von JavaScript nun zu erlauben, unterscheidet NoScript zwischen verschiedenen Vertrauensstufen (Trust-Zones):
Die Vertrauensstufen im Detail:
- Default: Die Vertrauensstufe »Default« gilt standardmäßig für alle Webseiten / Domains. Die Vertrauensstufe gilt so lange, bis wir eine andere Vertrauensstufe definieren. Tun wir das nicht, gilt die Vertrauensstufe »Default« auch beim nächsten Besuch auf einer Webseite.
- Temp. Trusted: Die Vertrauensstufe »Temp. Trusted« erlaubt das Nachladen von JavaScript (bzw. anderer Ressourcen) temporär. Wird der Browser geschlossen oder innerhalb von NoScript die Funktion »Revoke Temporary Permissions« gewählt, werden alle temporären Freigaben wieder zurückgesetzt / verworfen.
- Trusted: Unter der Vertrauensstufe »Trusted« wird das Nachladen von JavaScript (bzw. weiterer Ressourcen) dauerhaft erlaubt. NoScript merkt sich diese Einstellung also permanent.
- Untrusted: Wer einer Webseite / Domain überhaupt nicht vertraut und dort neben JavaScript auch weitere Ressourcen wie Schriftarten oder HTML5-Elemente (Videos, Audio) dauerhaft blockieren möchte, der kann die Vertrauenszone »Untrusted« wählen.
- Custom: Die Vertrauensstufe »Custom« erlaubt das Nachladen von Ressourcen einzeln zu steuern. Diese Vertrauensstufe ist insbesondere für fortgeschrittene Nutzer von Interesse.
Fassen wir zusammen: NoScript unterscheidet zwischen fünf unterschiedlichen Vertrauensstufen, wobei die Vertrauensstufe »Default« die Voreinstellung ist. Als Anfänger werdet ihr vermutlich hauptsächlich mit den Vertrauensstufen »Temp. Trusted« und »Trusted« arbeiten.
2.4 NoScript in Aktion
Im Gegensatz zu den bisher vorgestellten Firefox-Addons arbeitet NoScript nicht »geräuschlos« im Hintergrund, sondern macht euer Mitwirken erforderlich. Viele Webseiten erfordern nun mal JavaScript, damit sie (überhaupt) funktionieren und ihr die gewünschten Aktionen ausführen könnt. Eure Aufgabe besteht nun darin, nur jene JavaScripts zuzulassen, die für die aufgerufene Webseite zwingend erforderlich sind. Dies herauszufinden ist nicht immer einfach und oftmals mit Ausprobieren verbunden. Im Folgenden ein Beispiel aus der Praxis:
Online-Banking: ING-DiBa
Ihr möchtet bspw. Online-Banking betreiben, was eine Anmeldung mit eurem Benutzernamen und korrekten Passwort erfordert. Nach dem Aufruf der Bank-Webseite werden alle JavaScript-Ressourcen zunächst von NoScript blockiert. Erst eine Freischaltung bzw. das Nachladen von JavaScript macht eine Authentifizierung überhaupt möglich – die ING-DiBa weist euch beim Log-In zum Online Banking direkt darauf hin:
Javascript ist nicht aktiviert!
Bitte überprüfen Sie die Browsereinstellungen und aktivieren Sie Javascript. Einen Hinweis zu den technischen Voraussetzungen erhalten Sie hier.
Damit wir uns also beim Online-Banking der ING-DiBa einloggen können, müssen wir zunächst JavaScript erlauben. Das machen wir für die (Top-Level-)Domain »…ing-diba.de« zunächst temporär erlauben und prüfen, ob anschließend alles wie gewünscht funktioniert:
Funktioniert die Webseite anschließend wie gewünscht, dann könnt ihr die Vertrauensstufe auf »Trusted« setzen und so permanent speichern – also auch für den nächsten Besuch:
Hinweis
Das grüne Schlosssymbol signalisiert euch übrigens, dass die JavaScript-Ressource(n) über eine TLS-verschlüsselte Verbindung nachgeladen wird. Wenn das Symbol rot ist, dann vertraut die Domain auch unverschlüsselten Verbindungen. Dies stellt ein Risiko dar, da unverschlüsselte Verbindungen anfällig für sogenannte Man-in-the-Middle-Angriffe (MITM) sind und euch dadurch jemand ein fremdes / schadhaftes JavaScript unterjubeln könnte. Achtet also darauf, dass das Schlosssymbol grün ist, bevor ihr einer Domain vertraut.- Webseite aufrufen: Zunächst ruft ihr eure gewünschte Webseite / URL über Firefox auf.
- Webseite prüfen: Funktioniert die Webseite ohne JavaScript bzw. wenn alle von euch benötigten Aktionen durchführbar sind, müsst ihr nichts weiter tun. Das ist der Idealfall: Eine Webseite verzichtet vollständig auf JavaScript bzw. funktioniert auch ohne weitere NoScript-Freigabe.
- Temporär Erlauben: Wird JavaScript hingegen benötigt, dann arbeitet ihr mit den temporären Freigaben (Temp. Trusted). Eure Aufgabe besteht nun darin, nur jene JavaScripts zuzulassen, die für die aufgerufene Webseite zwingend benötigt werden. Dies herauszufinden ist nicht immer einfach und oftmals mit Ausprobieren verbunden.
- Permanent speichern: Wenn alles wie gewünscht funktioniert UND ihr die Seite häufig besucht, dann können wir die Vertrauensstufe von »Temp. Trusted« auf »Trusted« setzen – NoScript merkt sich die getroffene Entscheidung für die Webseite dann permanent.
Im Grunde genommen ist die Nutzung / Bedienung von NoScript gar nicht so schwierig. Es ist lediglich Geduld erforderlich, um herauszufinden, welche JavaScript-Ressourcen auf einer Webseite zwingend freigegeben werden müssen, damit alles wie gewünscht funktioniert. Meist sind das höchstens ein bis zwei JavaScripts – aber Ausnahmen bestätigen bekanntlich die Regel.
3. NoScript: Fortgeschrittene
Für fortgeschrittene Nutzer ist eine Kombination aus uBlock Origin und uMatrix vermutlich die bessere Wahl – diese Addon-Kombination bietet insgesamt eine ausgefeiltere / übersichtlichere Kontrolle über das Nachladen von (externen) Ressourcen als bspw. uBlock Origin und NoScript. Im Folgenden werde ich dennoch auf die Kombination von uBlock Origin mit NoScript eingehen.
Hinweis
uMatrix wird in einem späteren Teil der Artikelserie vorgestellt und wird ausschließlich fortgeschrittene Nutzer adressieren.3.1 Vertrauensstufen (Trust-Zones) anpassen
Wie bereits unter Ziffer 2.2 aufgezeigt wird jeder Domain in NoScript eine Vertrauensstufe (Trust-Zone) zugeteilt. Diese Vertrauensstufe beeinflusst das Nachladen von diversen Ressourcen auf einer Webseite. Bevor wir die Standardeinstellung von NoScript anpassen, werfen wir zunächst einen Blick auf die Ressourcen, die NoScript verwalten / kontrollieren kann:
- script: Dabei handelt es sich um JavaScript, also alles was mit dem <script> Tag ummantelt wird.
- object: Plugin-Objekte die in einer Seite eingebettet sind wie Flash- (SWF) oder Java-Inhalte.
- media: Dabei handelt es sich um HTML5-Audio- / Video-Elemente, die in den Kontext einer Seite eingebunden sind – also alles was mit einem Tag <audio> oder <video> ummantelt wird.
- frame: Frames sind Relikte aus den frühen Anfängen des Internets, die kaum noch benutzt werden. Im Quellcode einer Seite erkennbar an den Tags <frame> und <iframe>.
- font: Webseiten binden häufig (Remote-)Schriftarten oder Icons in den Kontext einer Webseite ein.
- webgl: WebGL ist eine Schnittstelle, mit deren Hilfe 3D-Grafiken hardwarebeschleunigt im Webbrowser ohne zusätzliche Erweiterungen dargestellt werden können.
- fetch: Eine HTML5-Schnittstelle zum Einbinden von Inhalten wie Text oder XML, die dann via JavaScript (XMLHttpRequest) bspw. als JSON- oder Binary-Blob-Ressource in die Seite eingebunden werden.
- other: Ressourcen bzw. HTTP-Anfragen, die Firefox nicht zuordnen kann.
Auf Basis dieses Wissens ist es nun einfacher, die Voreinstellung für die Vertrauensstufe »Default« an unsere Bedürfnisse anzupassen. Zunächst öffnen wir über das NoScript-Symbol in der Symbolleiste die Optionen:
Unter »General« passen wir die Voreinstellung (Preset) von »DEFAULT« folgendermaßen an:
Beim Aufruf einer Webseite werden nun ausschließlich media-, font- und fetch-Ressourcen zugelassen. Schriftarten (Fonts) lassen wir deshalb zu, weil wir diese bereits mit uBlock Origin kontrollieren – es wäre also überflüssig, dies doppelt zu tun.
Unter »General« passen wir die Voreinstellung (Preset) von »TRUSTED« folgendermaßen an:
Vertrauenswürdige Webseiten dürfen nun zusätzlich JavaScript ausführen. Sollte eine Webseite unbedingt Ressourcen wie object, frame oder webgl benötigen, dann sollte dies über die Vertrauensstufe »Custom« individuell definiert werden.
3.2 Standard-Whitelist muss angepasst werden
Standardmäßig wird NoScript mit einigen Ausnahmen ausgeliefert. Darunter befinden sich Ausnahmen für JavaScript-Ressourcen von Google, Microsoft, Yahoo und anderen »Datensammlern«. Fortgeschrittene Nutzer sollten die Standardeinstellung über den Reiter »Per-site Permissions« unbedingt anpassen und die vordefinierten Ausnahmen auf »Untrusted« setzen:
Wer sich das aufwändige Anklicken ersparen möchte, der kann den Reiter »Advanced« auswählen und dort zunächst das Häkchen bei Debug setzen. Anschließend markiert ihr (wie auf dem Bild dargestellt) alles zwischen den beiden eckigen Klammern [ ] unter „trusted“ und löscht es:
Wechselt anschließend wieder zum Reiter »Per-site Permissions« und es sollten sich darin keine erlaubten Domains befinden.
Hinweis
Ihr solltet die Zeilen allerdings nur dann löschen, wenn ihr selbst noch keine Ausnahmen definiert habt, ansonsten löscht ihr diese gleich mit.Ihr entscheidet nun selbst, ob JavaScript-Ressourcen von Google und Co. in den Kontext einer Seite nachgeladen werden dürfen.
3.3 Zusammenwirken mit uBlock Origin
Wenn ihr uBlock Origin in Kombination mit NoScript nutzen wollt, dann solltet ihr innerhalb von uBlock Origin eine Ausnahme für NoScript definieren. Ein Rückblick: In der Anleitung für Fortgeschrittene haben wir bei uBlock Origin die Option »CSP-Berichte blockieren« aktiviert. Für NoScript gilt es nun innerhalb von uBlock Origin unter »Meine Regeln« eine Ausnahme zu definieren – ansonsten können bei der Nutzung von NoScript Probleme auftreten.
Ergänzt rechts (Temporäre Regeln) folgende Zeile:
no-csp-reports: noscript-csp.invalid false
Anschließend klickt ihr zunächst auf »Speichern« und zum Schluss auf »<-Dauerhaft speichern«. Auf der linken Seite (Permanente Regeln) sollte es dann folgendermaßen aussehen:
Damit ist es allerdings noch nicht getan, denn wir sollten (bei Bedarf) ebenfalls eine Regel wieder rückgängig machen, die wir innerhalb von uBlock Origin angelegt haben. Nochmal zur Erinnerung: Durch die Verwendung der Regel (* * 3p-script block) wird JavaScript von Drittseiten nicht mehr geladen. Wer das Nachladen von JavaScript-Ressourcen von Drittseiten zukünftig allerdings via NoScript kontrollieren möchte, der muss die folgende (permanente) Regel wieder entfernen:
* * 3p-script block
4. Fazit
Gerade für Nutzer, die Wert auf Sicherheit und Privatsphäre legen, ist NoScript auch in der neuen WebExtensions-Fassung ein wertvolles Addon, um JavaScript und andere Ressourcen vor der »unkontrollierten« Ausführung zu hindern. Das ist insbesondere am Anfang zunächst unbequem, bis die erforderlichen Ausnahmen auf den häufig besuchten Webseiten definiert sind – aber auch Anfänger sollten sich davon nicht abschrecken lassen. Mit ein wenig Übung und Geduld lässt sich die Bedienung von NoScript vergleichsweise schnell erlernen.
In den nachfolgenden Teilen der Serie »Firefox-Kompendium« werde ich euch weitere Firefox-Addons und Einstellungen vorstellen und diese (weiter) aufeinander abstimmen.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Firefox: uBlock Origin – Firefox-Kompendium Teil2
Firefox: Decentraleyes – Firefox-Kompendium Teil3
Firefox: uMatrix – Firefox-Kompendium Teil9
Firefox: about:config | user.js – Firefox-Kompendium Teil10
Firefox-Kompendium: Warum ein JavaScript-Blocker notwendig ist
22 Ergänzungen zu “Firefox: NoScript – Firefox-Kompendium Teil5”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Danke!
Dennoch mal eine kurze Verständnisfrage:
Wenn ich ublock origin nutze und dadurch z.B das Einbinden einer Drittquelle (z.B. irgendeiner Werbung) verhindert wird, welchen Mehrwert genau für diese Werbedomain xyz hätte ich dann mit noScript? Welches Skript könnte denn blockiert werden, wenn durch ublock origin sowieso alles blockiert wird? Oder ist dem nicht so?
Damit könntest du jene Scripts erfassen bzw. blockieren, die uBlock Origin nicht in seiner Filterliste hat. Sozuagen eine zusätzliche »Versicherung« gegen diverse (JavaScript-)Tracker.
Noscript soll doch XSS verhindern, das tut uBlock Origin nicht.
Endlich eine verständliche Anleitung für Doofe wie mich. Vielen Dank!
Hab vor Wochen NoScript ausprobiert und war damit völlig überfordert, was dazu führte, dass ich für manche Seiten Edge benutzt habe. Wohl nicht ganz im Sinne des Erfinders ;)
Kommt auch noch ein Tutorial mit uMatix in Kombination mit uBlock?
Deine Frage wird bereits im Beitrag beantwortet. Vielleicht überlesen?
Auch diese Erweiterung kann man sich sparen, wenn man uBlock Origin richtig installiert hat. (wie Du selber schreibst)
Kann man. Aber gerade für Anfänger ist die Bedienung von NoScript dann doch einfacher als uBlock Origin oder uMatrix.
Vielen Dank für die gute Anleitung und das Firefox-Kompendium! Wirklich toll erklärt und hilfreich!
Um an die Frage von thlk anzuschließen: Gilt deine Antwort auf seine Frage auch, wenn uBlock Origin mit deiner Anleitung für Fortgeschrittene kofiguriert wurde? Wenn ich das richig verstanden habe, dann wird da doch sowieso erst einmal alles von Drittseiten blockiert, also auch von Trackern?
Könnte man bei Noscript dann nicht auch alle Frames erlauben, wenn die von uBlock durch die Fortgeschrittenen-Konfiguration ebenfalls von sämtlichen Drittanbietern gefiltert werden?
Wenn ich mit NoScript jetzt z.B. diese ajaxgoogleapis blockiere, wie verhält es sich dann mit dem Zusammenspiel von NoScript und Decentraleyes? Das Addon kann doch so klasse eben diese durch NoScript blockierten APIs nachladen.
Vorgehen ist wie folgt: Wenn eine Seite JavaScript benötigt dann gibst du den Zugriff via NoScript frei. Im Idealfall wird das Script anschließend von Decentraleyes lokal nachgeladen.
Ich weiß es widerspricht dem Minimalismus, aber ich sehe kein wirkliches Risiko, alle Resourcen die DecentralEyes bereitstellt einfach immer zu erlauben.
Mit Glück sollte es dann doch genügen falls nötig nur noch das Javascript der aktuellen Seite freizugeben, was ein paar Klicks sparen sollte.
Irre ich mich da?
Hi,
ich finde den Satz „Der ursprüngliche Zweck von JavaScript (die dynamische Inhaltsveränderung) spielt heute nur noch eine untergeordnete Rolle auf Webseiten“ etwas salopp dahergesagt.
Als Web-Entwickler nutze ich JavaScript durchaus für legitime Zwecke und obwohl einige Websites darauf verzichten können, weil sie reine Informationsseiten sind, profitieren komplexere Websites davon, auch ohne den Nutzer auszuspähen o.ä. (z.B. WebMail und komplexere Management-Oberflächen).
Also generell stimme ich dir zu. Man muss vorsichtig sein und ich habe auch uMatrix im Einsatz + PiHole usw.. Aber JavaScript eine untergeordnete Rolle zuzuweisen finde ich etwas zu hart.
Mit der Aussage wollte ich keinen Web-Entwickler diffamieren.
JavaScript wird von vielen Seiten genau für die von dir beschriebenen Zwecke benutzt – aber nach meiner Beobachtung (auf vielen Webseiten) eben nur am Rande. Viele Webseiten binden haufenweise zusätzlich externes JavaScript ein, ohne dass dies in irgendeiner Form für die eigentliche Diensterbringung notwendig wäre. Daher stehe ich auch zu meiner Aussage.
Danke für den/die tollen Beiträge!
Leider kann ich mit No-Script einige Video Streams nicht mehr sehen. Auch wenn ich alles auf trusted stelle wird häufig nicht zum Video/stream weitergeleitet.
Gibt es dort vielleicht einen Trick den ich übersehen habe? Streamingportal – ich drücke den link – Seite lädt und zeigt einen 00×0134 error an – setze alles auf trusted – lädt nicht – erst das deaktivieren von No-Script führt dazu das es funktioniert.
Herzlichen Dank für die Hilfe!
Mir passiert das manchmal auf amazon, wenn ich prime video anschauen möchte. NoScript lädt o. zeigt -aus welchen Gründen auch immer- die benötigten Scripts nicht an. Eine Kollision mit Ublock Origin könnte ebenfalls der Grund sein. Am Einfachsten ist es, die benötigten Scripts für die Streamingseite mit NoScript auf Trusted zu setzen (wenns mal klappt). Für alle anderen Seiten, kann man diese Scripts bei Bedarf mit UBlock Origin blockieren.
Die Lösung findet sich unter dem Absatz 3.1:
Ein Häkchen bei frame für die entsprechende Webseite sollte die Videos zum Abspielen bringen.
NoScript hat jetzt zwei neue Piktogramme, um schnell global oder lokal alle Restriktionen aufzuheben. Kann ja evtl. im Beitrag aktualisiert werden.
Für alle, die auf Firefox ESR warten, laut dieser Seite erscheint er am 09.05.2018.
Vielen Dank für die sehr guten Artikel.
OK, aber um welche Version von NoScript geht es in dem Artikel? Die 5.x oder die 10.x Versionen?
Im NoScript Forum ist es ähnlich. 97% aller Post behandeln Version 5, aber nirgendwo wird darauf hingewiesen. Es gibt nicht einmal ein Unterforum für die 10.
10.x – Die 5.x Version hat doch ein ganz an deres Interface.
Hallo zusammen was ich mich schon seit einer Weile frage ist, wenn ich uMatrix verwende sollte ich trozdem NoScript verwenden wegen dem Schutz vor XSS u.ä oder reicht uMatrix?