Zitat von
Lerran
Bzgl. dem Skripte blockieren habe ich noch ein paar Fragen.
uBlock zeigt
hier ja einiges an mit Ressourcen aus Drittquellen, Inline-Skripte, Skripte und Frames aus Drittquellen.
Du hast dir wohl den "medium mode" freigeschaltet.
Ich denke mit „Ressourcen aus Drittquellen“ wird dann komplett alles rausgeschmissen was aus Drittquellen kommt, also z. B. auch ein verlinktes Video oder Bild, richtig?
So sollte es normalerweise sein - wobei natürlich nicht reine Links unterdrückt werden, sondern Einbettungen (erwähnt, um Missverständnissen vorbeugen). Das Wörtchen "kommt" in deinem Satz ist schon ein Hinweis darauf, worauf es ankommt.
Nun müsste man noch klären, was unter "Drittquellen" zu verstehen sein soll. Strengenommen könnten bereits Subdomains als Drittquellen verstanden werden, ist hier aber aus Vereinfachungsgründen wohl nicht so. Die gehen wohl munter alle in einen Topf hinein.
Skripte dieser Domain dürften dann nur die Skripte sein, die für die Funktionalität der jeweiligen Webseite tatsächlich benötigt werden.
Leider werden häufig doch Skripte aus Drittquellen benötigt (siehe dazu auch die Antwort von Homerclon). Ich mag das gar nicht. Man besucht die Website von jemandem, bei dem man geneigt ist, ihm zu vertrauen, dass da alles aus seiner Hand kommt, aber nein, seine Website sagt mir, dass ich diesen oder jenen Code von fremden Servern abholen möge und dazu denen meine Daten anvertrauen möge und das auch noch, ohne mir zu sagen, was das soll. Ich bin in solchen Fällen durchaus geneigt, einfach zu ignorieren, was da ohne die fremden Skripte nicht funktioniert. Hin und wieder mache ich eine Ausnahme, aber eher nicht, falls zu persönliche Daten involviert sind. Die muss ich nicht machen, solange ich noch gar nicht weiß, ob die Website mir das liefert, was ich suche.
Durch das Blockieren von Drittanbieter-JavaScript fällt neben denkbarem Ausnutzen von Sicherheitslücken viel vom webseitenübergreifenden Tracking mittels Browser-Fingerprinting weg. Tracking über das Laden anderer Ressourcen, sofern diese nicht blockiert werden, verbleibt dabei natürlich, ist aber weniger mächtig und liefert eher nicht so zuverlässige Ergebnisse wie JavaScript, da die anfallenden Daten weniger spezifisch sind und sich leichter anonymisieren lassen.
Warum das so ist, müsste wohl etwas ausgeführt werden, denn eigentlich könnte der Browser doch die vielen Infos, die sich per JavaScript auslesen lassen, allgemein und unpräzise machen, falls der User nichts dagegen hat:
Firefox verwendet absichtlich halbherzige Methoden zum Anonymisieren, um den wichtigen Geldgeber Google nicht zu verärgern, z.B. indem per JavaScript doch viele unverschleierte Informationen auslesbar sind (als ob sich das nicht am einfachsten und besten direkt im Quelltext des Browsers ändern ließe, hahaha...). Mozilla verwendet eine Salamitaktik, indem gerade so viel Privacy eingebaut wird, dass es Google nicht stört. Mit zunehmender Verbesserung der Techniken von Google darf Mozilla (scheibchenweise) etwas mehr Privacy wagen, immer so, dass es Google gerade noch nicht stört. In der Reklame erweckt Mozilla einen unterschwelligen Eindruck, als täte Mozilla alles für Privacy und stünde an der Seite der User. Wenn es wirklich so wäre, dann würde Mozilla es auch so direkt sagen, anstatt per vagen Aussagen mit Begriffen zu jonglieren, die das den User selber hineineinterpretieren lassen. Es ist auch die etablierte Methode einer gewissen Vierbuchstabenzeitung.
NoScript hat schon einige auswählbare Deaktivierungen dabei, die Fingerprinting (teils auch Ausnutzen bestimmter Sicherheitslücken, z.B. bei WebGL) zusätzlich erschweren, selbst wenn man JavaScript an sich zulässt (vorausgesetzt, man nutzt die detaillierteren Einstellungen). Aber NoScript nervt damit, dass es bei websitespezifischen Einstellungen umständlich zu bedienen ist und nicht genügend zu speichern erlaubt. Diesbezüglich ist uMatrix (vom selben Autor wie uBlock Origin) weit überlegen, aber dafür wird es nicht mehr weiterentwickelt, und es fehlen einige sinnvolle Optionen zum Deaktivieren von missbrauchbarem Gedöns, die NoScript hat. Nicht dass uMatrix so etwas nicht hätte, aber etwas fehlt, und bei NoScript fehlt auch etwas. Alles zusammen ist wohl nicht zu bekommen. Die Performance und die Konsistenz, die man bekommt, wenn man uBlock Origin alleine für alles benutzt, ist bei Kombinationen schwer zu bekommen, aber dafür fehlen Features.
Manche benutzen daher einfach NoScript und sonst nichts. Ich habe zwar nichts grundsätzlich dagegen, zumal NoScript inzwischen besser als damals ist und die allermeiste störende Werbung schon alleine mit NoScript verschwindet. Aber alle Probleme löst es nicht. Wenn man z.B. auf eine grundsätzlich fragwürdige Site kommt oder wenn man per NoScript herumexperimentiert, wäre man sonst, zumindest vorübergehend, wieder ungeschützt. Daher halte ich persönlich nichts davon, jemandem zu empfehlen, ausschließlich NoScript zu verwenden. In Filterlisten steckt doch viel wertvolle Erfahrung. Auch sonst merkt man im Vergleich zwischen uBlock Origin und NoScript sehr deutlich, wo jeweils die Grenzen sind, z.B. indem sich mit den Listen, da sie differenziertere Aktionen erlauben, etwas nutzen lässt, was sich mit einfachem Abschalten von JavaScript nicht nutzen lässt.
Man könnte jetzt dagegenhalten, dass die Websites es dann nicht wert sind, dass man sie besucht. Manchmal ist etwas dran. Aber bei solchem Philosophieren passiert es manchmal, dass die Realität davon abweichende Anforderungen stellt und man selber manchmal der Beschissene ist, wenn man Idealismus vor alles stellt, z.B. indem man sich von etwas aussperrt, wozu alle anderen Leute Zugang haben. Man kommt doch um ein Abwägen nicht ganz herum, und manchmal ist es so, dass die idealistische Sicht doch kontraproduktiv ist, z.B. indem es einer reichen Betreiberfirma noch die Effizienz erhöht, z.B. indem es ihr Traffic erspart. Dann freut man sich, wenn man das Tool nutzen kann. Was soll die aufdringliche Werbung bringen, wenn man den Kram doch nicht kauft und doch nur genervt ist. Da lügen sich doch welche in die Tasche. Zur Zielgruppe gehören andere Leute, nicht die Nerds, die sparen müssen.
NoScript zusammen mit uBlock Origin im normalen Modus zu verwenden, ist ziemlich gängig. Aber ich finde es nicht verkehrt, auch mal auszuprobieren, was uBlock Origin selber schon kann. Vielleicht wird das doch mal irgendwann so weit ausgebaut, dass es genügt. Vielleicht geschieht es erst bei einem Fork, wer weiß. Das könnte ziemlich schnell passieren, sobald einer mit genügend Freizeit den bisher entgangenen Nutzen versteht.
Sollte man hier etwas blocken, z. B. die Skripte aus Drittquellen?
Das kann ich sehr empfehlen. Irgendwann hast du so viel Erfahrung, das du schon erraten kannst, welche Drittquellen man braucht. Gibt man diese frei, so verbleiben ja immer noch die Filterlisten als zusätzliche Schutzschicht, wenn ich die (etwas dürftig strukturierte und formulierte) Doku nicht missverstanden habe.
Das müssten doch welche sein, die auf der Homepage für den eigentlichen Betrieb nicht relevant sind oder?
Es wird sich leider nicht vermeiden lassen, dass du hin und wieder Skripte aus bestimmten Drittquellen wirst freigeben müssen (was bedeutet, dass Regeln hinzukommen). Weil man am Anfang leicht Chaos anrichten kann, richtet sich der Modus an Fortgeschrittene. Aber ich sehe es entspannt, da die Filterlisten immer noch verbleiben und man die Regeln zurücksetzen kann, wobei man die permanent gespeicherten auch entfernen kann, nachdem man es einmal kapiert hat.
Ich sehe viel mehr Probleme darin, wenn sich jemand nicht mit solchen Sachen befasst und nichts lernt, als wenn er mal etwas durcheinanderbringt.
Bestimmte Websites, bei denen nichts durcheinandergebracht werden darf - z.B. damit alle Angebote und Optionen angezeigt werden oder damit eine Transaktion vollständig abläuft - kann man mit einem anderen Browserprofil nutzen. Zumindest bei Firefox funktioniert das gut. Dann muss man nicht extra die Add-ons, bei denen man sich nicht sicher ist, ob sie nicht doch wichtige Sachen blockieren, deaktivieren oder mühsam überprüfen und umkonfigurieren. Ein separates Profil hat auch den Vorteil, dass man die vertraulichen Informationen nicht mit einem allgemeinen Profil teilt.
Für was werden dann noch die Inline-Skripte und Frames benötigt?
Mit Frames können mehrere HTML-Dokumente auf einer Website angezeigt werden. Früher wurde das gerne benutzt, um beim Seitenwechsel das kunterbunten Drumherum mitsamt Navigation, welches sich selten ändert, nicht neu laden zu müssen. Bei den damaligen Übertragungsgeschwindigkeiten und Kosten war das sinnvoll. Inzwischen ist diese Art von Aufbau wegen diverser Nachteile aus der Mode gekommen. Aber wo es um unkompliziertes Einbinden von fremden Inhalten geht, sind sie häufig anzutreffen, und zwar in ihrer modernen Variante, als sog. Inlineframes. Der Websitebetreiber möchte etwas verdienen und kopiert sich vom Werbetreibenden ein Stück Markup in seine Website hinein und gibt ihm damit einen Bereich, mit dem er weitgehend tun und lassen kann, was er will. Wie Werbetreibende so sind, untervermieten sie solche Plätze gerne. Und schwups, wird da plötzlich von irgendeinem Mieter irgendein dubioser Mist angestellt, z.B. das Ausführen von Schadcode oder das Unterbreiten von schädlichen Tools, die erstaunlich präzise zum Thema des Artikels passen. Knapp darüber oder darunter ist z.B. das harmlose Tool, um das sich der Artikel dreht, verlinkt. Aber der Button zum Download des schädlichen Tools ist viel leichter zu finden. Oft ist der Websitebetreiber selber der Betrüger, aber das ist nicht immer so.
Inline-Skripte sind Skripte, die ins HTML eingebettet sind, vereinfacht gesagt. Die können sehr gefährlich werden, z.B. wenn sie jemand postet (so wie wir hier posten) und sie dann vom Server als Bestandteil der aktualisierten Website anderen Nutzern ausgeliefert werden, indem sie persönliche Informationen abgreifen (z.B. beim Absenden eines Formulars) oder Irreführungen oder anderweitigen Schadcode einbauen. Es betrifft also das dynamische Generieren von Websites. Deswegen muss z.B. eine Forensoftware wie diese die Beiträge zuverlässig filtern und von allem befreien, was die Darstellung verunstalten oder Code (z.B. Inline-JavaScript) einschleusen könnte. Noch besser ist es, wenn die Site (zusätzlich zum Filtern) ohne Inline-JavaScript auskommt und das Ausführen von Inline-Skripten verbietet (bei modernen Browsern per Content Security Policy). Leider kommen immer noch viele Websites nicht ohne Inline-Skripte aus. Die Methode ist jedoch, für sich genommen, nicht wasserdicht, sondern eine zusätzliche Schutzschicht.
Auch mal hier lesen, da kann einem schon schlecht werden:
https://de.wikipedia.org/wiki/Cross-Site-Scripting
Dass Server sich etwas unterjubeln lassen und dadurch u.U. Schädliches, ausliefern, funktioniert also auch schon ohne JavaScript. Das heißt aber nicht, dass es nichts brächte, JavaScript abzuschalten, z.B. um gewieftere Kniffe auszuschalten. Mehrere Schutzschichten sollen die Lücken abdecken, indem man sie kombiniert. Sozusagen als "verseucht" bekannte Server bzw. Websites ohne großen Mehrwert lassen sich durch Filterlisten exkludieren, um andere Benutzer vor Schaden zu bewahren. Es ist natürlich Glückssache, ob ein solcher Eintrag existiert. Daher: Mehrere Schutzschichten nutzen, der gesunde Menschenverstand ist eine davon. Manchen Websites gibt man nur erfundene Daten. Niemand hindert einen daran, sie sich aufzuschreiben.