NoScript richtig konfigurieren und nutzen

NoScript ist ein nützlichen Addon für den Firefox (und dessen Derivate), um gezielt JavaScript, Flash und Vergleichbares zu erlauben bzw. zu blockieren. Bei richtiger Einstellung und Nutzung kann dadurch die Sicherheit sowie der Komfort beim Surfen deutlich erhöht werden.

Etwas verallgemeinernd kann man sagen, dass Webseiten i.d.R. erst durch Skripte "gefährlich" werden und im unangenehmsten Fall das genutzte Gerät mit Schadsoftware infizieren können. Dazu werden häufig Sicherheitslücken in den Browsern oder in aktiven Plugins (z.B. Flash) ausgenutzt. Eine weitere Angriffsmethode wäre, via JavaScript Userdialoge anzuzeigen und den User darüber dazu zu bringen Schadsoftware oder manipulierte Addons zu installieren oder andere verseuchte Dokumente - PDFs, Worddokumente etc. - zu öffnen.

Viele Webseiten laden neben funktionalem JavaScript auch diverse externe Skripte, die z.B. dem Usertracking oder dem Schalten von Werbung dienen. Diese Skripte liegen dann nicht unter Kontrolle des Seitenbetreibers. Hier sind gerade Werbenetzwerke sind für Verbrecher interessant, da darüber über viele seriöse Webseiten gleichzeitig User angegriffen werden können. Eine Suche nach "Malware Werbenetzwerke" liefert zahlreiche Artikel, wie Werbenetzwerke gehakt worden sind und darauf hin Schadsoftware verbreitet wurde. Daneben versuchen Werbeskripte i.d.R. auch, das Verhalten des Users über unterschiedliche Webseiten hinweg zu verfolgen.
Ein netter Nebeneffekt von geblockter Werbung ist, dass die Webseiten schneller laden und beim Surfen weniger Ressourcen verbraucht werden.

Ein detailliertes Tracking des Userverhaltens im Internet erfolgt ebenfalls über Skripte. Ein prominentes Beispiel ist Google Analytics, dessen Trackingfunktionalität über JavaScript gesteuert wird. Wird das Script geblockt, kann Google das Userverhalten nicht mehr vollständig und im Details verfolgen.

Zusammengefasst hilft NoScript dabei sicherer und zumindest etwas anonymer zu surfen.

Folgende Elemente können erlaubt oder geblockt werden:

• script: klassisches JavaScript, z.B. zu Darstellung von Menüs oder Slidern
• object: Objekte wie Flash u.ä.
• media: Mediendateien
• frame: ifames
• font: Webfont stellen individuellere Schriftarten zur Verfügung, z.T. werden auch Icons via Webfonts dargestellt.
• webgl: zur Darstellung von 3D Grafiken ohne zusätzliche Plugins.
• fetch: bezieht sich auf Anfragen, die von Skripten mit Hilfe der APIs XmlHttpRequest oder Fetch gestellt werden (nachladen)
• other: alles andere...

Beachte: in den Standardeinstellung sind Skripte bei Default erlaubt, was auch Sinn machen kann, da die meisten Webseiten ohne JavaScript nicht nutzbar sind. Im Fall der Fälle scheint es aber besser erst mal alles zu blocken und nur das Benötigte freizuschalten (siehe unten).

Unter Punkt "4" kann man sehen, welche Webseiten mit welchen Einstellungen versehen worden sind.

• 5: Zeigt an, wie viele Elemente (script, object, media... zählen jeweils als Element) die Webseite laden will. Nachdem Elemente erlaubt worden sind, kann sich die Zahl erhöhen, da ggf. weitere Scripte o.ä. nachgeladen werden.
• 6: Unser Hauptwerkzeug! Von links nach rechts: default (Standardeinstellung), temporär vertrauen, dauerhaft vertrauen, custom (individuelle Einstellungen).
  Die ersten vier Punkte werden über die allgemeinen Einstellungen definiert (vgl. oben), d.h. diese müssen lediglich angeklickt werden. Die getroffene Einstellung bleibt erhalten, Ausnahme stellt "temporär vertrauen" dar, in dem Fall wechselt die Einstellung beim nächsten Besuch der Webseite wieder auf "default" zurück.
  Bei custom können manuell die erlaubten Element definiert werden. Die getroffenen Einstellung bleiben ebenfalls erhalten (siehe aber 7.).
• 7: Wird das kleine Uhricon geklickt, so gelten die custom-Einstellungen nur temporär und werden nicht gespeichert.
• 8: Zeigt an, welche Element die Webseite laden will. In dem Bespiel lediglich ein Script (rot hinterlegt). Die Anzeige macht es sehr einfach, herauszufinden, was die Seite am Ende wirklich benötigt und was freigegeben werden sollte. Wird nur für die custom-Einstellungen benötigt.
• 9: Linkes Icon: alle temporär zugelassenen Element werden wieder geblockt. Rechts Icon: Erlaubt temporär alle Elemente auf der Seite, Ausnahme: als "untrusted" eingestufte Seiten.

Wie angedeutet wird das Surfen am Anfang mit NoScript ungewohnt sein. Doch nach einiger Zeit sind zum einen alle vertrauenswürdigen Seiten entsprechend eingestellt und zum anderen entwickelt sich ein gewisses Gespür dafür, welche Elemente benötigt werden uns welche nicht. Um Seiten wie z.B. apis.google.com, cloudflare.com oder code.jquery.com wird man nur schwer herumkommen, was eigentlich schade ist, denn Webseiten ließen sich auch ohne diese Elemente bauen und auch harmlos daherkommende Scripte (v.a. von Google) werden im Zweifelsfall zu Zwecken des Usertrackings eingesetzt.

Andere Tracking- und Werbenetzwerke - z.B.  ioam.de, etracker.de oder google-analytics.com - können dagegen bedenkenlos gelockt werden, die Webseiten werden dennoch ohne Schwierigkeiten funktionieren.

Werbung blocken - gut oder schlecht?

Werbung und Tracking zu blocken erhöht die Sicherheit des Users und vermindert die Verfolgung der Netzaktivitäten enorm. Dennoch sei darauf hingewiesen, dass sich viele Angebote im Internet überwiegend über Werbung finanzieren, seien es kleine Webseiten oder große Medienangebote. Wer Werbung durchgehend blockt, sollte sich überlegen andere (sofern vorhanden) Finanzierungsmethoden wie direkte Spenden oder den Kauf von Merchandiese zu nutzen und dadurch sinnvolle Projekte und Informationsangebote zu unterstützen. Auch dem Entwickler von NoScript kann über die Webseite https://noscript.net/ ein keines Dankeschön übermittelt werden.