Viren, Spyware, Datenschutz 11.257 Themen, 94.802 Beiträge

Warum Ad-Block und Noscript ein "must have" ist.

gelöscht_137978 / 17 Antworten / Baumansicht Nickles

Mahlzeit

Da mich die Diskussionen darüber, ob Adblock plus nun installiert / eingeschaltet werden soll oder nicht, ehrlichgesagt annerven, möchte ich mal aus meiner Sicht die Dinge erklären.
Insbesondere die Kritik an jenen, die ihren ABP NICHT abschalten und darauf rumgeritten wird, sie würden das "nur" wegen Werbung machen, und sie wären ja Schmarotzer, möchte ich entkräften!

Zuerst aber mal zum Ablauf.
Nehmen wir an, es wurde kein Adblock installiert, sondern nur Scriptblock.

Es wird eine Seite, meinetwegen Nickles.de angesurft. Da Nickles das ein oder andere Script braucht, werden wir per Scriptblock nun Script für Nickles.de erlauben. Da wir Sicherheitsbewußt sind (räusper) und Cookies auf nachfragen gestellt und Drittanbieter verboten haben, werden wir gefragt, ob wir Cookies zulassen wollen. Ja das tun wir, weil wir Nickles ja bis ins Grab vertrauen. Da einige Funktionen aber inickles.de nutzen, geben wir auch dort Script frei. Im idealfall bleiben Fremdscripts ausgeschlossen. Nun kann Nickles.de jedes Script ausführen, wie es ihm beliebt.

Das wäre erstmal ein höheres Sicherheitslevel, wie man es sonst bei nutzung eines Browsers ohne Addons haben würde, stimmts?

Was aber, wenn besagte Seite auch Scripts laufen läßt, die gelinde gesagt böses im Sinn haben, und die Privatsphäre gefährden? Oder diese berühmten Fenster, die sich angeblich nicht schliesen lassen oder immer neue Fenster bzw. Popups nachladen / öffnen?

Tja, dann haben wir ein Problem. Scriptblock läßt garnicht zu, einzelne Scripts von einem sonst zugelassenen Server zu blocken.

Kommen wir zu einem Teil der Funktionen, die ABP zu bieten hat.
Das ABP Werbung blocken kann, sei unbestritten und soll nicht weiter Thema sein.
ABP kann aber eben viel mehr und steigert die Sicherheit insbesondere hinsichtlich Datenschutz ernorm. ABP kann einzelne Scripts (und auch Frames und einiges mehr) blocken. Das bedeutet, das Sinnvoll angewandt, in gewissem Maße gesteuert werden kann, wer was darf und was nicht.

Andersrum tut sich nun ein Problem auf.
Für jemand wie mich kann es garnicht Kontrolle genug geben. Ich lebe das Motto, soviel wie gerade unbedingt nötig, so wenig wie möglich. Nun tu ich mich aber leicht, solche Addons zu bedienen und für mich Sinnvoll einzurichten.

Was aber, wenn interessierte aber "Ahnungslose" anfangen, Content auszuknipsen oder nicht in der Lage sind, die Addons ordentlich einzustellen? Richtig, das wird Bruch geben. Auch für den Seitenbetreiber ist das ein Problem. Es kommt eine Meldung, dies und das geht nicht. Da wird der Programmierer irgendwann ganz wuschelig.
Außerdem ist die Gefahr groß, das dann für jedes Element gefragt wird "kann ich das blocken oder nicht" (Machen wir dafür ein neues Brett auf? ;))

Ich selbst habe hier auf Nickles natürlich nicht nur Werbung geblockt (mir ist die Diskussion bewußt, bin aber letztenendes auch aus technischer Sicht gezwungen, radikal einzustellen), sondern auch sämtliche Bilder. Selbst Logos wie "Vip" sehe ich nicht.
Ich hab einen DSL Anschluß, der seit Mai so eklatant gestört ist, das ich Einbrüche bis runter auf 300kbits und Latenzen dauerhaft zwischen 60 und 100ms habe. Selbst im Idealfall ist mein Anschluß auf 768kbits begrenzt. Ich muss also das System so effizient nutzen, wie ich es einrichten kann. Kurz, wenn mein Nachbar hustet, bleibt bei mir das Internet stehen.

Fazit:
Plugins, insbesondere ABP sind für die, die klar kontrollieren wollen, wer was wann darf, absolute Pflicht. Es ist Sache des einzelnen, in wie weit er ABP als Werbeblocker nutzt, aber als Teil der Sicherheit nicht wegzudenken.




bei Antwort benachrichtigen
mi~we gelöscht_137978 „Warum Ad-Block und Noscript ein "must have" ist.“
Optionen
Was aber, wenn besagte Seite auch Scripts laufen läßt, die gelinde gesagt böses im Sinn haben, und die Privatsphäre gefährden?
Die Möglichkeit besteht natürlich immer. JEDES Script, das du erlaubst, kann potentiell gefährlich sein. Woher weißt du, welche ungefährlich sind? So gesehen, müsstest du dann im Browser JavaScript gleich ganz deaktivieren. Ein Restrisiko bleibt immer.
"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
gelöscht_137978 mi~we „Die Möglichkeit besteht natürlich immer. JEDES Script, ...“
Optionen

Bei Seiten, die ich sowieso regelmäsig besuche, öffne ich ein Script mit ABP im neuen Fenster und kann im Reintext lesen, was es tut.

Mache mal folgendes:

Rechtsklick auf Button ABP

Blockierbare Elemente öffnen

im Listenfenster z.b. http://inickles.de/js/nickles-1-0-1/legacy.js Rechtsklick und im neuen Fenster öffnen und anschauen.

Taucht was mit Tracking auf oder Fingerprint wirds geblockt = Böse

bei Antwort benachrichtigen
mi~we gelöscht_137978 „Bei Seiten, die ich sowieso regelmäsig besuche, öffne ich ...“
Optionen

Das klingt aber nach einer ziemlichen Sysiphos-Arbeit.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
gelöscht_137978 mi~we „Das klingt aber nach einer ziemlichen Sysiphos-Arbeit.“
Optionen

manchmal schon.

Ich mache das sicherlich auch nicht jeden Tag und allen Seiten. Meist beschränke ich das erstmal auf Stammseiten. Hat sich aber da schon gelohnt.

Das ist halt ein abschätzen zwischen wichtigkeit der Seite und wie oft ich dort aufpralle.

Bei einer Seite, die ich nur mal ansurfe und dann wahrscheinlich die nächsten 3 Jahre nicht mehr, mach ich mir diese Mühe auch nicht bezüglich sichtung des Scripts. Ich schaue lediglich an, was geladen wurde und knipste immer Fremdscripts aus die auf Tracking oder Fingerprinting schliesen lassen, aus.


bei Antwort benachrichtigen
aldebuedel gelöscht_137978 „manchmal schon. Ich mache das sicherlich auch nicht jeden ...“
Optionen

Ist nicht erst mal "alles Verbieten" und dann "temporär erlauben" die elegantere Lösung? Lasse mich gerne eines Besseren belehren.

bei Antwort benachrichtigen
gelöscht_137978 aldebuedel „Ist nicht erst mal alles Verbieten und dann temporär ...“
Optionen

nein sorry, das funktioniert so nicht. Wenn du meinen Artikel nochmal liest, geht es um selektive blockierung von Scripts von einem Server.
Was du meinst, ist nichts anderes, was ich ja auch mache, allerdings bekommst du damit einzelne Scripts nicht in den Griff, sondern nur den Server ansich ;)

bei Antwort benachrichtigen
aldebuedel gelöscht_137978 „nein sorry, das funktioniert so nicht. Wenn du meinen ...“
Optionen

Würde ich einzelne Scripts mit dem ABP-Element Hiding Helper in den Griff bekommen?

bei Antwort benachrichtigen
gelöscht_137978 aldebuedel „Würde ich einzelne Scripts mit dem ABP-Element Hiding ...“
Optionen

braucht du garnicht. ABP gibt dir die möglichkeit, Scripts zu blocken. Name.js (JS = Javascript). Aber wie oben gesagt, wenn man falsche Scripts blockt, dann gibt das Bruch.

Button ABP anklicken >> Blockierbare Elemente auswählen

Dann sollte ein Fenster am unteren Rand des Bildschirms auftauchen, in dem alles gelistet wird, was geladen wird.

Es geht mir, auch wenn nun Fragen hochkochen erstmal um das Gesamtthema und Sicherheit.

bei Antwort benachrichtigen
Borlander gelöscht_137978 „braucht du garnicht. ABP gibt dir die möglichkeit, Scripts ...“
Optionen
ABP gibt dir die möglichkeit, Scripts zu blocken. Name.js (JS = Javascript)
D.h.: Du filterst nur Scripte deren URL mit .js endet?
bei Antwort benachrichtigen
gelöscht_137978 Borlander „D.h.: Du filterst nur Scripte deren URL mit .js endet“
Optionen

ich filtere u.a. Scripte, die mit *.js enden, nicht ausschlieslich Javascript. Es gibt noch andere Elemente, die man Filtern kann, die nicht auf Javascript bezogen sind. Es war allerdings für mein Ursprungsposting nicht das Hauptthema.

ABP gibt dir die möglichkeit, Scripts zu blocken. Name.js (JS = Javascript)
DAS war eine kurze Antwort für aldebuedel auf seine Frage, ohne da ein Roman schreiben zu wollen.
bei Antwort benachrichtigen
Borlander gelöscht_137978 „Bei Seiten, die ich sowieso regelmäsig besuche, öffne ich ...“
Optionen
im Listenfenster z.b. http://inickles.de/js/nickles-1-0-1/legacy.js Rechtsklick und im neuen Fenster öffnen und anschauen. Taucht was mit Tracking auf oder Fingerprint wirds geblockt = Böse
Wie erkennst Du dann eine spätere Änderung des Scripts? Das würde ja mindestens ein Hinterlegen und prüfen von Hashwerten der Scripte erfordern…
bei Antwort benachrichtigen
gelöscht_137978 Borlander „Wie erkennst Du dann eine spätere Änderung des Scripts ...“
Optionen

In dem Moment, wenn ein Script etwas tut, was nicht erwünscht ist, kann es mir doch erstmal egal sein, ob was geändert wurde?!

Es kann natürlich sein, das ein ehemals böses Script zu einem guten wird, also zum Beispiel Tracking.js plötzlich zum Loginscript wird, ohne umbenannt zu werden, was dann erstmal zu einer Fehlfunktion führen und mich veranlassen würde, nachzuschauen, was das Problem ist.
Wie groß ist die Chance, das jemand soetwas tut?

Wenn also z.B. ein Script Track oder auch (auf einem anderen Forum wird das so tatsächlich gemacht, was mir sauer aufsties) Fingerprint.js geladen wird, kann man davon ausgehen, dass dieses Script nicht in meinem Interesse ist. Ob sie im nachhinein etwas ändern, kann dann egal sein.

bei Antwort benachrichtigen
Borlander gelöscht_137978 „In dem Moment, wenn ein Script etwas tut, was nicht ...“
Optionen
Es kann natürlich sein, das ein ehemals böses Script zu einem guten wird
Ich dachte eher an den umgekehrten Fall. Also wenn das Script nachdem Du es als unproblematisch erkannt hast böse wird…
bei Antwort benachrichtigen
gelöscht_137978 Borlander „Ich dachte eher an den umgekehrten Fall. Also wenn das ...“
Optionen

Das wäre auch möglich, aber dann bin ich genauso schlecht dran, wie der, der pauschal alle Scripts für den Server sowieso zuläßt. Also bei der Gesammtschau sehe ich immernoch keinen Nachteil, wenn ich selektiv freigebe oder nicht.

Wenn aber ein gutes Script zum bösen wird und es in meiner Ignore Liste steht, weil es als unwichtig erachtet und keine Funktionbeeinträchtigung ergeben hatte, hab ich immernoch ein breites Grinsen und andere evtl. nicht.

Ich wollte aber mit dem Begriff böse eigentlich nicht in die Richtung aktiv schädigend, sondern eher Datenschutz und verhindern von Fingerprint bzw. Tracking.
Hier wäre keine direkte Schädigung zu vermuten, sondern eher still und leise das ausspähen von Computerdaten zum Zwecke der Profilbildung.
Desweiteren vermute ich, das auf einer Seite Javascript mit schlechtem Code nicht einfach zu gutem umgeändert wird und auch nicht andersrum gutem zu schlechtem. So eine Mühe wird sich eine sonst unschädliche Seite nicht machen.



bei Antwort benachrichtigen
Borlander gelöscht_137978 „Das wäre auch möglich, aber dann bin ich genauso schlecht ...“
Optionen

Natürlich hast Du damit aus Sicht von Sicherheit und Datenschutz keinen Nachteil gegenüber jemanden der nicht Filtert. Sofern man sich der Grenzen des Vorgehens bewusst ist. Darauf zielte mein Hinweis ab.

Mit dem Filtern auf Dateibasis kannst Du natürlich auch keine eingebetteten Scripte filtern.

Um Fingerprinting/Tracking zu erschwerden wäre es eigentlich auch Interessent die nach außen vom Browser präsentierten Informationen je nach Seite zu unterscheiden. Sofern es sowas nicht schon gibt…

bei Antwort benachrichtigen
shrek3 gelöscht_137978 „Warum Ad-Block und Noscript ein "must have" ist.“
Optionen

Entscheidend ist doch, wie schütze ich mich vor Schädlingsbefall - Addons aktuell halten reicht nahezu immer aus (Ausnahme: Java, was man aber mit deutlich weniger Aufwand als es dein Ansatz ist, seitenbezogen aktivieren/deaktivieren kann).

Das Restrisiko sichere ich durch Images ab.

Da ich seit über 10 Jahren keine Schädlinge auf meine Rechner habe - wozu also einen immensen Aufwand betreiben, der mich vor allem Zeit kostet, kein messbares Mehr an Sicherheit bringt und durch den ich auch noch Seitenbetreiber, auf deren Webseiten ich mich gerne herumtreibe, schädige?

Nein, surfen soll auch Spaß machen - den habe ich nicht mehr, wenn ich nahezu permanent einer Sicherheit hinterherjage, die sich in ihren Auswirkungen nicht von meiner jetzigen Sicherheit unterscheidet.

Etwas polemisch ausgedrückt:
So etwas zur Lebensaufgabe zu machen - dafür ist mir meine Zeit zu schade.

Ein "Must Have" -sicher nicht.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
gelöscht_137978 shrek3 „Entscheidend ist doch, wie schütze ich mich vor ...“
Optionen
Entscheidend ist doch, wie schütze ich mich vor Schädlingsbefall
nein, darum ging es MIR nicht in erster Linie.
Addons aktuell halten reicht nahezu immer aus (Ausnahme: Java, was man aber mit deutlich weniger Aufwand als es dein Ansatz ist, seitenbezogen aktivieren/deaktivieren kann).
Das tue ich jeden Tag.
Ich prüfe immer, ob es updates gibt und installiere diese auch und kontrolliere, ob sich was an den Optionen geändert hat.
Das Restrisiko sichere ich durch Images ab.
Ich ziehe auch Images und mache Backups, aber mein Hauptanliegen ist dadurch nicht gelöst.

Es geht mir NICHT um Datensicherheit danach, sondern um Surfen (in Realtime) und das verhindern von Tracking und Fingerprintmaßnamen.
Ich meine in meinem Artikel nicht scripts, die tatsächlich eine beschädigung des Rechners auslösen könnten, also auch nicht scripts, die per injection durch Gauner eingebracht werden.
Ich meine Scripts, die regulär eingebunden sind, aber keine steuernde Wirkung, sondern lediglich zum abfischen und auslesen von Daten vorhanden sind.

Ich verlinke hier mal einen Link, auf dessen Basis meine Gedanken basieren.

http://www.nickles.de/forum/contra-nepp/2012/e-mail-adresse-herausfinden-kein-problem-538962663.html

Es gibt eine Art Sicherheit, die erstmal nicht direkt messbar und fühlbar ist, aber dennoch eine Wirkung hat.

Oder anders, wenn du mal surfst und dann auf dem Bildschirm eine meldung erscheint, das der Dienst aufgrund Tracking, Fingerprinting und einer schlechten Reputation für dich nicht in Frage kommt, spätestens da wirst du dich wundern.
Oder aber, du kommst auf eine Seite, die dich mit Emailadresse und ggf. schon mit Name begrüßt, obwohl du vorher keinerlei verbindung mit dieser Seite hattest.
Wenn dann die Frage nach Datenschutz aufkommt, sorry, dann ist es zu spät.
bei Antwort benachrichtigen