image

"Firefox met NoScript verplicht voor Windows"

woensdag 28 december 2011, 12:36 door Redactie, 23 reacties

Windows-gebruikers kunnen niet zonder Firefox en de uitbreiding NoScript, aldus beveiligingsonderzoeker Andrew Brandt. Hij is directeur van het Solera Networks Research Labs. "Als je nog geen Firefox met NoScript hebt geïnstalleerd, doe het dan meteen. Voor zover ik weet, is het de enige zekere methode die de infectie van een Windows pc via een besmette website voorkomt." Brandt doelt op drive-by downloads, waarbij gehackte of kwaadaardige pagina's kwetsbaarheden in de browser of plugins van bezoekers gebruiken om malware te installeren.

"Het begint met een berg zwaar geobfusceerde Javascript en eindigt na een paar minuten als de pc van het slachtoffer is gehackt en zijn wachtwoorden in handen van een Aziatische of Oost-Europese bende is," merkt Brandt op. NoScript is een uitbreiding voor Firefox die scripts en plugins blokkeert. Hierdoor kan de exploit, die vaak op een andere website draait, niet worden geladen.

Javascript
Naast het gebruik van Firefox en NoScript, adviseert de onderzoeker dan ook om software zoals Java, Adobe Reader en Adobe Flash Player te updaten, aangezien dat de oorzaak van het probleem is. Verder doen Windows-gebruikers er verstandig aan om de ondersteuning van JavaScript in hun PDF-lezer uit te schakelen. Veel PDF-exploits gebruiken namelijk Javascript om kwaadaardige code uit te voeren.

Reacties (23)
28-12-2011, 12:56 door DeliciouslyImperfect
"Als je nog geen Firefox met NoScript hebt geïnstalleerd, doe het dan meteen. Voor zover ik weet, is het de enige zekere methode die de infectie van een Windows pc via een besmette website voorkomt."
Weet je wat je ook kunt doen? Geen internet gebruiken! Geeft nog veel meer zekerheid.

NoScript is een prima tool voor mensen die daar van houden, maar aan ramp voor mensen die websites gewoon willen gebruiken zoals die bedoeld zijn. Ik zit hoe toevallig al een paar weken zonder flash en ik vind het prut.
28-12-2011, 13:08 door Anoniem
Apple producten ondersteunen helemaal geen flash.. kan je je voorstellen hoe hun zich voelen
28-12-2011, 13:37 door quikfit
Het zal vast niet slim zijn maar ik heb NoScript uitgeschakeld....werd het gewoon beu.
28-12-2011, 13:49 door Anoniem
adviseert de onderzoeker dan ook om software zoals Java, Adobe Reader en Adobe Flash Player te updaten, aangezien dat de oorzaak van het probleem is.
28-12-2011, 13:55 door Anoniem
Ik heb tld's die bezocht worden gewoon toegestaan.
Wat er op de achtergrond draait, mag dus geen scripts uitvoeren.
Anders ben je er na een tijdje echt helemaal klaar mee...
28-12-2011, 14:16 door Anoniem
"NoScript hebt geïnstalleerd, doe het dan meteen. Voor zover ik weet, is het de enige zekere methode die de infectie van een Windows pc via een besmette website voorkomt."

Hij weet ook niet veel.. Wat dacht je van je browser Sandboxen, SRP/AppLocker gebruiken, Policy based HIPS etc etc.
28-12-2011, 14:47 door Anoniem
Door Anoniem: Apple producten ondersteunen helemaal geen flash.. kan je je voorstellen hoe hun zich voelen
Alleen iphones\ipads niet en ik voel me prima, dank je. (hun=zij)
28-12-2011, 15:31 door Zipper306
Als "NoScript" echt in Firefox verplicht zou worden, dan is dit het einde, voor Firefox.
Ik heb nog nooit een zo gebruiks-onvriendelijke addon voor de Vuurvos gezien.
Je blijft tot in de eeuwigheid klikken op je wel of geen toestemming zult geven.
28-12-2011, 15:54 door Anoniem
Stelletje aanstellers. Ik gebruikte vroeger NoScript voor Firefox en tegenwoordig NotScript voor Chrome omdat ik liever eenmalig sites die ik bezoek aan een whitelist toevoeg dan dat ik met elke link die ik aanklik het risico loop om een zombie te worden.

Je moet helemaal op een knopje drukken. Straks krijg je nog rsi.

Vergelijk het met over de markt lopen met je portemonnee open om je nek hangend omdat je 'm anders steeds open moet doen. Dat doe je toch ook niet? Je doet je portemonnee dicht en bergt 'm op na elke keer dat je iets betaald hebt en dat is meer moeite dan per site eenmalig op een knopje drukken.

Als je No(t)Script gebruikt, zie je van hoeveel verschillende sites er scripts worden geladen. Daar heb ik helemaal niet om gevraagd en verreweg de meeste scripts heb je helemaal niet nodig voor de content en zelfs lang niet altijd voor de opmaak. En juist het feit dat je het zelf doet, geeft aanvallers niet eenvoudig aanvalsoppervlak (i.t.t. een centrale whitelist).
28-12-2011, 16:01 door Nietsnut
Al jaren Firefox .
Toen ik nog Windows gebruikte had ik inderdaad NoSript geinstalteert maar inderdaad vond het niet prettig werken.
28-12-2011, 17:25 door Bitwiper
NoScript beschermt inderdaad tegen de meeste drive-by downloads die ik ben tegengekomen, en doet dat ook prima als je permanente toegang geeft aan alle sites die je bezoekt en op aan alle vaak "geziene" secundaire sites (zoals googleapis.com, gstatic.com, ytimg.com etc). De meeste drive by malware downloadt javascript van vaak totaal onbekende (en soms nog maar net geregistreerde) hostnames. De kunst is om die niet aan je whitelist toe te voegen.

Overigens beschermt NoScript niet alleen tegen kwaadaardige Javascript.

Gelukkig is NoScript een dusdanig "irritant" product dat de meeste mensen, en met name zij die het minst security aware zijn, het niet willen gebruiken. Als iedereen het zou gebruiken zouden de malwaremakers de kwaadaardige scripts wel op de gehackte sites zelf installeren, en zouden NoScript gebruikers ook kwetsbaar zijn.

Dus, namens alle NoScript gebruikers, dank aan al diegenen die geen NoScript willen gebruiken!
28-12-2011, 18:53 door Anoniem
Ik ben een NoScipt-gebruiker, en ik ben er overwegend positief over, in tegenstelling tot velen hierboven.

Behalve de veiligheid heeft NoScript nog een heel prettig effect: bij de meeste topzware websites wordt een hoop visuele ruis via JavaScript geladen, en dus door NoScript geblokkeerd. Het resultaat is vaak een visueel rustige site die snel laadt en waarin de inhoud waar je voor komt een prominentere plaats inneemt dan wanneer die toegevoegde meuk overheerst.

Natuurlijk zijn er websites die een volledige puinhoop worden. De mensen die hierboven klagen kijken daar kennelijk NoScript op aan, maar is dat wel terecht? Als twee partijen niet goed samenwerken kan ook die andere partij iets fout doen, de website dus.

Ik vind dat de makers van zo'n website iets fout doen. Zelfs in tijden van Ajax en dergelijke is het mogelijk om een hyperlink nog ouderwets in HTML te implementeren, die kan "onder" de JavaScript-gebaseerde implementatie zitten zodat je erop terugvalt als JavaScript uitstaat. Je kan in ieder geval de basisnavigatie en primaire inhoud van de website toegankelijk houden, en dat is voor veel bezoekers al genoeg. Voor de volledige rijke interface mag JavaScript wel nodig zijn. Het is ook prima mogelijk om een redelijk goede stylesheet te maken die een bruikbare pagina oplevert, in plaats van alles over elkaar heen te kwakken en het daarna met JavaScript op de gewenste plaats te zetten. Herposioneren van elementen kan ook vanuit een leesbare basis.

De websites die problemen opleveren met NoScript zijn websites waar die basis niet goed van is. Dat NoScript het zichtbaar maakt betekent niet automatisch dat NoScript de oorzaak is, NoScript is wel een factor waar die websites niet tegen bestand zijn. Een website is, ook los van NoScript, domweg robuuster als hij op een basis gebouwd is die heel weinig eisen stelt om toch bruikbaar te zijn.

En vanuit die gedachtengang erger ik me niet aan NoScript maar aan de website ;-).
28-12-2011, 20:04 door golem
Ik vind NoScript geweldig, maar voor de "gewone gebruiker" is er eigenlijk
niet mee te werken. Misschien moeten ze een database bijhouden zodat de
meest geblockte scripts/sites standaard bij de niet-deskundige geblockt worden.
28-12-2011, 21:25 door 0101
@golem
Ze hebben een heel kort lijstje van websites die toegelaten zijn (http://noscript.net/faq#qa1_5), maar elke nieuwe site vormt weer een doelwit dat gehackt kan worden en dus een vergroting van het risico...
28-12-2011, 22:03 door Anoniem
Natuurljk klopt dit stukje totaal niet: Windows-gebruikers kunnen niet zonder Firefox en de uitbreiding NoScript.
Ik heb nog nooit FF gebruikt of die troep NoScript! Mijn systemen draaien geheel Windows en hebt nog nooit last van vervelende dingen gehad. Ik weet wel wat van beveiliging, dus ik zit echt niet te springen FF te gebruiken.

RjSeeker. c.c.
28-12-2011, 23:45 door Skizmo
Door quikfit: Het zal vast niet slim zijn maar ik heb NoScript uitgeschakeld....werd het gewoon beu.
noscript suckt. Ik werd er helemaal gek van. Het programma zorgt misschien voor veiligheid, maar het zorgt er ook voor dat je je browser niet meer wilt openen.
28-12-2011, 23:46 door Skizmo
Door golem: Ik vind NoScript geweldig, maar voor de "gewone gebruiker" is er eigenlijk
niet mee te werken. Misschien moeten ze een database bijhouden zodat de
meest geblockte scripts/sites standaard bij de niet-deskundige geblockt worden.
De gewone gebruiken kan het niet gebruiken, en de professional wil het niet gebruiken. Lekker programma dan...
29-12-2011, 01:36 door U4iA
Door Anoniem: Apple producten ondersteunen helemaal geen flash.. kan je je voorstellen hoe hun zich voelen
Raar, ik draai anders prima Firefox met Flash op mijn Apple product. Zelfs Adobe Reader en Java als het moet.
29-12-2011, 09:19 door spatieman
liever irritatie met firefox en no-script dan dat mijn machine een andere eigenaar heeft.
daarbij, ik ben niet anders gewent, boeie dus.
29-12-2011, 16:12 door Anoniem
Ik vind NoScript een prima add-on, het is echter wel iets voor gevorderde gebruikers, die handig zijn in de bediening. Je moet zo snel mogelijk al de vertrouwde sites toelaten en sites die je niet wil zien wegzetten onder "Untrusted" zodat je niet meer wordt lastig gevallen.
Eigenlijk zou NoScript gewoon in Firefox ingebouwd moeten zijn met een wat makkelijker bediening (bijv. standaard toelatingslijsten) zoals je bij sommige adblock add-ons hebt.
29-12-2011, 23:05 door Anoniem
Requestpolicy is een heel pak aangenamer en naar mijn mening even veilig.
30-12-2011, 15:27 door Rubbertje
Door quikfit: Het zal vast niet slim zijn maar ik heb NoScript uitgeschakeld....werd het gewoon beu.
Ik werd er ook schijtziek van. Je kunt je computer wel helemaal dichttimmeren en veilig zijn... Maar het moet wel een beetje leuk blijven. Antivirussoftwar, een firewall en gezond verstand lijkt me voldoende als thuisgebruiker.
01-01-2012, 10:14 door Anoniem
Beste addon die er is. Een bewuste keus om te gebruiken omdat veel sites meer en meer javascript van derden implementeren. En daar wordt een site alleen maar traag van. Verder is het nuttig om te weten welke scripts er draaien.
Gebruiksgemak is prima: gewoon whitelisten voor de vaak bezochte sites.
Ik ben blij dat ik via noscript een fucker als facebook volledig buiten de deur kan houden, geen irri 'like' button meer....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.