Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Belang van scriptblocking

22-06-2016, 18:57 door [Account Verwijderd], 22 reacties
Geen bootleg, geen porno, maar een simpel filmpje over een horloge, gewoon op YouTube en dan dit:

http://i.imgur.com/l4eHlOe.jpg

Het bewijst de waarde van een scriptblocker (dat is feitelijk de enige reden dat ik het hier meld) maar het wordt toch ècht flauw, omdat je het met zo'n filmpje niet verwacht.

....Ach we lachen maar verder. Het tij keren lukt toch niet. Alleen een steeds verdergaande bescherming tegen van alles dat op Internet sluimert.

p.s.

Wil je weten hoeveel snelheid we missen tijdens internetten door al die bescherming tegen het internetgespuis, Kortom, hoe razendsnel een hedendaagse Browser (in mijn geval FireFox) zonder al die noodzakelijke bescherming werkelijk is?
Start in beveiligde modus, en tuimel van je stoel van verbazing. Het duurt twee seconden (0-1-2) en je home page is volledig opgebouwd!
Reacties (22)
22-06-2016, 19:13 door Anoniem
Weet je wat helemaal veilig is? Heel je browser niet opstarten. Nog beter heel je computer niet starten of van
internet afkoppelen.

Serieus, script blocken is leuk voor puistenkoppen op hun zolderkamertje maar voor de gemiddelde internetter
is dat echt geen optie meer. Dat hoef je dus niet aan te raden, die paar mensen die er mee kunnen leven die
doen het vast al.
22-06-2016, 21:22 door Anoniem
Beste Aha, snap jij niet dat YouTube gebruik maakt van JavaScript om de video interface correct te laten werken met de muis wanneer deze full-screen is?
Dit heeft dan ook NIETS te maken met potentiële hacking, advertenties, of wat je ook denkt te beweren.
22-06-2016, 21:26 door Port Zero
Door Anoniem: Weet je wat helemaal veilig is? Heel je browser niet opstarten. Nog beter heel je computer niet starten of van
internet afkoppelen.

Serieus, script blocken is leuk voor puistenkoppen op hun zolderkamertje maar voor de gemiddelde internetter
is dat echt geen optie meer. Dat hoef je dus niet aan te raden, die paar mensen die er mee kunnen leven die
doen het vast al.

Ware het niet dat Aha de plank VOLLEDIG mis slaat omdat de "clickjacking" simpelweg een feature in de YouTube speler is om de interface correct te laten werken.

Ik wil niet een direct persoonlijke aanval doen, maar gezien de historie van de poster verbaasd mij deze gekkigheid niet. Er staan veel van zulke slecht onderbouwde -dan wel niet totaal verkeerde- informatie op de forums van deze gebruiker.
22-06-2016, 21:32 door [Account Verwijderd]
Door Anoniem: Weet je wat helemaal veilig is? Heel je browser niet opstarten. Nog beter heel je computer niet starten of van
internet afkoppelen.

Serieus, script blocken is leuk voor puistenkoppen op hun zolderkamertje maar voor de gemiddelde internetter
is dat echt geen optie meer. Dat hoef je dus niet aan te raden, die paar mensen die er mee kunnen leven die
doen het vast al.

...optie? heb je dan een substantiële bijdrage? want de puistenkop op zijn zolderkamertje heeft de toekomst, de gemiddelde internetter, zoals jij en ik niet.
Dus met alleen deze luie zinloze reactie van je kan hij/zij echt helemaal niks, zero nul.
22-06-2016, 21:33 door [Account Verwijderd]
Door Port Zero:
Door Anoniem: Weet je wat helemaal veilig is? Heel je browser niet opstarten. Nog beter heel je computer niet starten of van
internet afkoppelen.

Serieus, script blocken is leuk voor puistenkoppen op hun zolderkamertje maar voor de gemiddelde internetter
is dat echt geen optie meer. Dat hoef je dus niet aan te raden, die paar mensen die er mee kunnen leven die
doen het vast al.

Ware het niet dat Aha de plank VOLLEDIG mis slaat omdat de "clickjacking" simpelweg een feature in de YouTube speler is om de interface correct te laten werken.

Ik wil niet een direct persoonlijke aanval doen, maar gezien de historie van de poster verbaasd mij deze gekkigheid niet. Er staan veel van zulke slecht onderbouwde -dan wel niet totaal verkeerde- informatie op de forums van deze gebruiker.

...Zal ik je mijn naam en adres geven? Dan kun je de machete vast gaan slijpen.
23-06-2016, 13:37 door Ron625
En toch klopt er iets niet.
Volgens de webrichtlijnen mag een extensie als Javascript wel iets toevoegen, maar moet de website volledig te gebruiken zijn zonder deze extensie(s).
Verder vind ik het vreemd, dat iedere website bouwer (blijkbaar) een script en/of programma mag opstarten op mijn PC, zonder dat mijn toestemming daarvoor nodig is.
Standaard uitzetten en d.m.v. een whitelist het sommige websites toestaan, is veel veiliger.
Javascript is tenslotte een hele grote verspreider van gevaarlijke troep op internet.
23-06-2016, 13:54 door Anoniem
Door Ron625:
Javascript is tenslotte een hele grote verspreider van gevaarlijke troep op internet.

Ik denk dat jij net als veel mensen het verschil tussen Java en Javascript niet kent dan wel deze verwart.
Het was achteraf een buitengewoon domme beslissing om de naam van Livescript te veranderen in Javascript.
Men dacht toen mee te kunnen liften op de populariteit van Java maar achteraf heeft het de slechte naam van
Java ook aan Javascript gegeven.
23-06-2016, 16:42 door Anoniem
In tegenstelling tot de blije klikker, die alle gedachte vertraging door scriptblocking afdoet als "puistenkopperig" geneuzel, kan een goed afgestelde en geconfigureerde scriptblocker een computergebruiker een hoop narigheid schelen en juist snelheid bevorderen. Wat niet laadt, wat niet deert of vertraagt.

Doe eerst op een website eens een scannetje met http://retire.insecurity.today/ vervolgens voor de aftandse en verlaten scripttroep die het vindt een scannetje hier: http://www.domxssscanner.com/

Dan even kijken waar de fouten zitten en bij even doordenken word je wel blij met zo'n script blocker als die van Giorgio Maone en de andere, uMatrix, in Google Chrome, leuk te gebruiken naast de adblocker uBlock Origen.

Script wordt meestal aangeboden as "klaar voor gebruik", de developer heeft echt de tijd niet gehad deze goed door te spitten op fouten. Dan is er nog allerlei adware en derde partij tracking script dat je ook liever buiten de deur van de browser wil houden. Dan heeft script soms ook toegang waar het niet zou moeten, doe maar weer eens een scannetje met https://sritest.io/ naar wat niet "same origin" is. Ronden we hier af: https://securityheaders.io/ en dan zijn we nog minder vrolijk.

Als je dan nog weet wat voor amateur CMS configuraties allemaal oude plug-ins en verkeerde instellingen heeft, check met https://hackertarget.com/wordpress-security-scan/ of de Joomla variant, begint het langzaamaan te dagen. Als je de servers nog even doorneemt voor allerlei onveiligheid (DROWn, Poodle, Logjam etc.), excessieve server header info proliferatie etc. weet je dat een scriptblocker geen luxe is, maar een noodzakelijk kwaad.

Wie echter van de prins geen kwaad weet/wil weten en nog denkt dat het hele Internet niet wat meer lijkt op een Zwitserse gatenkaas, mag rustig de scriptblockers onder ons voor gek verslijten.

Weet dat we waar het gaat om de stand van website onveiligheid vaak op een enorme manier in de maling genomen worden en veel gebruikers beseffen het niet of willen het niet eens weten. Laden die onveilige hap in zoveel miliseconden, geen blockers, geen beveiligingstoos, het leven is voor hen een soort van Russische roulette. Succes met je misvattingen, zou ik zeggen.
23-06-2016, 18:11 door Rolfieo
War is nu de bedoeling van dit topic?

Het is leuk als iemand met noscript wil surfen. Als er dan echter iets niet werkt, ga dan ook niet zeuren....
23-06-2016, 21:58 door [Account Verwijderd]
@ anoniem, 23-06, 16:42 uur,

Dank dat je de moeite neemt om een opbouwende reactie te geven met relevante informatie waar de gemiddelde computergebruiker, waar ik me toe reken, iets mee kan!
Het enige wat je misschien voor je eigen rust had kunnen laten is inhoudelijk ingaan op enkele van de, nou ja... eh... 'reacties' hier op mijn post. Je zou die moeite gewoon nog niet moeten willen nemen. Laat zoiets liggen bij de topic starter. Jij leeft er een stuk prettiger door. (dit is geen dwingende tip hoor)

Security.nl wordt in toenemende mate met betrekking tot reacties bestookt met losse flodders van gefustreerde would-be specialisten die het dagelijkse leven niet meer aankunnen o.i.d. en hier hun frustraties lucht komen geven. Dus als zij hier een kapstok vinden om hun verwrongen mensbeeld aan op te hangen, grijpen zij dat met beide klamme handjes aan. In de psychiatrie zijn zij allang als verloren voor de mensheid de deur gewezen, dus waar kunnen zij nog anders terecht? In de digitale wereld; onder andere hier.

p.s.
Wat ik schrijf in de voorgaande alinea is dus deels ook een veronderstelling, net als 'zeuren', dus ik behoud voor mezelf het recht om dienaangaande ook kortdurend te zwetsen, ofwel kletspraat te verkopen, wel met dat verschil dat ik me er bewust van ben dàt ik voor een deel zwetspraat verkoop, dus mezelf kan relativeren ;)
23-06-2016, 22:39 door Port Zero - Bijgewerkt: 23-06-2016, 22:39
Door Aha:Security.nl wordt in toenemende mate met betrekking tot reacties bestookt met losse flodders van gefustreerde would-be specialisten die het dagelijkse leven niet meer aankunnen o.i.d. en hier hun frustraties lucht komen geven. Dus als zij hier een kapstok vinden om hun verwrongen mensbeeld aan op te hangen, grijpen zij dat met beide klamme handjes aan. In de psychiatrie zijn zij allang als verloren voor de mensheid de deur gewezen, dus waar kunnen zij nog anders terecht? In de digitale wereld; onder andere hier.

Als iemand je (terecht) op je nonsens wijst betekent dit niet dat dit "losse flodders zijn van would-be specialisten die het dagelijks leven niet meer aankunnen en hun frustraties luchten".

Je kunt je er ook bij neerleggen (of, indien je wilt, zeggen "nou, ik vind dat niet, want {onderbouwing}) in plaats van de thread een hele andere draai te geven en vele bezoekers van dit forum belachelijk te maken en te melden dat deze psychische problemen hebben, etc.

Maar goed, zoals ik eerder al aangaf: "gezien de historie van de poster verbaasd mij deze gekkigheid niet."
23-06-2016, 23:09 door Anoniem
@Aha reageert op 21:58,

Ik neem heus wel afstand van zulke reacties en mijn reactie is voor het merendeel opbouwend en aan jou gericht. Het is gewoon fijn om te weten dat mensen script blokkeer beveiliging op juiste waarde weten te schatten. Er is mijns inziens tot op heden nog niets beters verzonnen. Om frustratie bij het gebruik te voorkomen, moet men ook een script blokker juist weten of leren te hanteren, daar is echt geen rakettechnologie voor nodig. Een beetje je erin verdiepen wat je moet toestaan voor de door jou gewenste (veilige) functionaliteit op de website die je bezoekt en vertrouwt, zonder het goed functioneren te frustreren, daar is geen hogere script kennis voor nodig. Bij firefox NoScript is dat wat meer aanleren en aanvoelen en bij uMatrix voor de Chrome-achtige browsers is het zelfs relatief eenvoudig te doen. Het gevaar van met name javascript ligt daarin, waar zulk mogelijk kwaadaardig of potentieel onveilig script toegang heeft of niet heeft, dus third party adtracking and user-profiling scripts komen het eerst aan de beurt om de toegang te ontzeggen, als de adblocker al niet lang heeft "aangeslagen". Dit zeker als er SRI tags ontbreken voor dergelijke scripts op een website, en zeker voorzichtiger zijn als je die site voor de eerste keer bezoekt. Maar al ken je websites als je broekzak, soms worden ze ineens aangevallen via een SE campagne of wordt er een hack geplaatst. Een hoster, die het alleen maar om snel cashen en niet om het bieden van de nodige primaire beveiliging is te doen, kan al funest zijn, Hou daarom je client (browser) zo veilig mogelijk. Voor ongegeneerd lukraak klikken geldt: "Curiosity killed the cat"...maar een ander soort van leergierigheid is nooit verkeerd. Ieder staat immers op de schouders van de ander, waar het website script beveiliging betreft. Surf Safe!

groetjes van de verzender van de anoniem reactie van 23-06, 16:42 uur hierboven.
23-06-2016, 23:52 door Anoniem
Even over de mogelijke "functionele" clickjacking "feature" (zoals boven genoemd) op youtube, waar NoScript melding van maakt.

Waarschuwingen voor clickjacking moet men niet negeren, maar NoScript kon in dit geval ook niet weten dat op YouTube de zaken goed geregeld zijn wat dit betreft, en wel via de security header instellingen. Hier had Maone de clickjacking check resultaten op groen moeten zetten. Wat leert namelijk een scan voor Clickjacking voor de youtube site.

Goed nieuws — een X-Frame-Options header met de waarde "SAMEORIGIN" werd door de server verzonden.

Goed gegenereerd YouTube, goed geanticipeerd en derhalve geen sprake van clickjacking gevaar.

Was dit op een andere site niet gebeurd (ontbreken van genoemde header), dan was de blokkering door NoScript terecht en noodzakelijk geweest, in dat geval is er echt sprake van een zeker clickjacking gevaar, namelijk als er content wordt toegestaan dat binnen een frame is ingebed.

Misschien moet Maone bovenstaande casus nog eens overdenken of gaat iemand erover posten op zijn forum: https://forums.informaction.com/viewforum.php?f=3

Dit alles even voor de volledigheid. Maone moet dus website header info meenemen in zijn NoScript extensie.
Nu snappen we het hopelijk allemaal.
24-06-2016, 07:47 door [Account Verwijderd]
@ Port Zero,

Bij deze betreur ik voor je de dwangmatige introspectie die je naar aanleiding van mijn veronderstelling projecteert. Oorzaak is, èn wat mij vooral frappeert, is de wijze waarop je bovendien de functie aanneemt van de security.nl moraalridder door iedereen die deze thread leest feitelijk te wijzen op je eigen 'gekkigheid' - zoals ik al aangeef geprojecteerd - en die hier voor de tweede maal te eataleren.

Misschien toch maar weer opnieuw je zorgverzekering aanspreken in plaats van hier doelloos en zinloos je 'dwangneurose' te recapituleren?
25-06-2016, 12:54 door Anoniem
Waarom zo afdwalen in deze draad? Lekker een leuke draad opzetten over de voor en nadelen van script blokken. Moet kunnen toch? Hebben we allemaal wat aan. NoScript en uMatrix vergelijken en de gebruikers duidelijk maken waar het over gaat. Nee, onderling "mot" uitmeten en flink "bashen", daar worden we allemaal wijzer van.

Ik vind bijvoorbeeld uMatrix een fijne manier van blokken, want er is van alles en nog wat mee te toggelen. Cookies, css, afbeeldingen, plug-in, script, XHR, frame, overig. Met name voor onveilige externe links goed af te stellen. Goed te hanteren voor en door de gemiddelde gebruiker. Je kunt net dat toelaten wat voor een goed functioneren van de site toegelaten moet worden.

Ga je voor de eerste keer op een link klikken, dan hou je wat gevaarlijk kan zijn mis. Stel dat een site verdacht is volgens DrWeb url checker, volgens Bitdefender's TrafficLight enz. of er een rapportje over gepost is op WOT, dan ga je daar niet heen voor je weet of het veilig is bepaald script te laten lopen. Een heleboel ad- en andere tracking hou ik op zo'n manier tegen. En je bent veel veiliger voor infecties.

Ik wil terug naar de tijd waar de cliënt (browser gebruiker) bepaalde wat ie van de server wilde zien en niet van de server moest afwachten wat die van de cliënt wilde "profilen" en stiekem achter de rug als content door wil versjacheren. Het begint al een beetje op een clown van commerciële TV te lijken de hele Internet-ervaring. Wie dat niet wil, moet ook een kans krijgen. We willen ons vrije Internet terug! Commercie en marketing en graaier, luisteren jullie?
25-06-2016, 21:46 door Erik van Straten - Bijgewerkt: 25-06-2016, 22:59
25-06-2016, 12:54 door Anoniem: Waarom zo afdwalen in deze draad? Lekker een leuke draad opzetten over de voor en nadelen van script blokken.
Geheel mee eens!

In mijn ervaring komt het zelden voor dat bekende (en als betrouwbaar bekend staande) websites zelf malware verspreiden. Als aan jouw browser (en eventuele plugins) malware wordt aangeboden door het bezoeken van een bekende website, kan dat in elk geval op de volgende manieren:

A) Gehackte primaire site
Als de site die je bezoekt zelf gehacked is, is het denkbaar dat exploits of social engineering popups vanaf die site zelf worden aangeboden - maar dit komt in de praktijk (voor zover ik die ken) niet zo vaak voor. Meestal laten de cybercriminelen dan Javascript van een andere site downloaden en uitvoeren, dit om:
- het aantal wijzigingen op de primaire site zoveel mogelijk te beperken en zo snelle ontdekking te vermijden;
- doordat ze een domainname (geen IP-adres) specificeren kunnen ze de malware aanbiedende server snel "verplaatsen" (door slechts de DNS entry ervan te wijzigen);
- ze kunnen bezoekers, o.a. op basis van IP-adressen, "schone" content voorschotelen. Als de beheerder van de website, na te zijn gebeld en gemaild, zijn site opent, krijgt hij natuurlijk geen malware aangeboden.

Voordeel als je NoScript gebruikt en wel Javascript toestaat van de primaire site, maar niet van onbekende andere sites, is dat jij de malware "misloopt".

B) Kwaadaardige advertentie
Code (kan HTML zijn en/of Javascript) op de bekende website laat jouw browser, vanaf/via een site van een adverteerder (een third party site dus), kwaadaardige "reclame" (met een exploit en/of "human interaction" vereist) downloaden en uitvoeren. Vaak maken de cybercriminelen hierbij gebruik van Javascript - die dus afkomstig is van een third party site (niet van de website waarvan je de URL ziet in jouw webbrowser).

C) Gecompromitteerde third-party site
Iedereen die plugins als NoScript gebruikt, weet dat als je een specifieke URL opent, vaak van idioot veel servers allerlei content wordt opgehaald door jouw browser.

Voorbeeld: als ik bijv. http://nu.nl/ opent met mijn smartphone, wordt er, om te beginnen (da's logisch) content opgehaald vanaf nu.nl. Echter in de code van de "root" pagina op
(0) nu.nl
wordt jouw browser gevraagd om ook Javascript te downloaden van
(1) snmmd.nl
en uit te voeren natuurlijk. Als je NoScript gebruikt kun je ervoor kiezen om het uitvoeren van Javascript vanaf nu.nl, snmmd.nl of beide sites (of geen van beide) toe te staan.

Als je het uitvoeren van Javascript op (0) nu.nl toestaat, zal daardoor Javascript van de volgende sites worden gedownload (waarbij je, per stuk, weer aan kunt geven of je Javascript afkomstig van die sites wilt uitvoeren):
(2) google-analytics.com
(3) newrelic.com
(4) optimizely.com
(5) sanomaservices.nl

Als ik daarnaast toesta dat Javascript vanaf newrelic.com wordt uitgevoerd, wordt mijn browser door die Javascript gevraagd om Javascript te downloaden en uit te voeren vanaf:
(6) nr-data.net

En als ik toesta dat Javascript vanaf (5) sanomaservices.nl wordt uitgevoerd, wordt mijn browser door die Javascript gevraagd om Javascript te downloaden en uit te voeren vanaf:
(7) gigya.net

Als ik alle NoScript permissies intrek en vervolgens Javascript van zowel (0) nu.nl als (1) snmmd.nl toesta, wil mijn browser Javascript uitvoeren en downloaden vanaf:
(2) google-analytics.com
(3) newrelic.com
(4) optimizely.com
(5) sanomaservices.nl
maar ook:
(8) criteo.com
(9) googletagservices.com
(10) ilsemexia.nl
(11) krxd.net
(12) sanona.fi
(13) scorecardresearch.com

Als ik van alle sites Javascript toesta, kijk welke sites er daardoor bijkomen, en ook die allemaal toesta totdat er niks meer bijkomt, zijn de volgende sites (waarvandaan Javascript wordt gedownload en uitgevoerd) aan de lijst toegevoegd:
(14) 360yield.com
(15) doubleclick.net
(16) facebook.com
(17) facebook.net
(18) googleadservices.com
(19) googlesyndication.com
(20) meetrics.com
(21) moatads.com
(22) mxcdn.com

Met andere woorden, zonder NoScript wordt er van 22 verschillende sites Javascript gedownload en uitgevoerd als ik met Firefox op mijn smartphone nu.nl open. Gevolg:
- Als 1 van die sites gehacked is, loop ik risico's op malware;
- Ik word uitgebreid door diverse partijen bespioneerd;
- De site laadt veel trager dan nodig;
- Daarbij verspil ik ook nog een veel meer bandbreedte dan nodig.

En dat terwijl nu.nl prima werkt (om even nieuws te lezen) als ik uitsluitend Javascript uitvoeren op (0) nu.nl toesta! Door geen Javascript uit te voeren van 22 andere sites, verlaag ik dus de risico's die ik loop, aanzienlijk (naast de andere genoemde voordelen die ik noemde).

Kortom, door Javascript in te schakelen voor de sites waarvan je de domainname ziet in je URL-balk, loop je een risico. Maar dat risico is een stuk kleiner dan als je "de hele wereld" toestaat.

Een absoluut nadeel, zeker voor leken, is dat je "primaire" sites moet whitelisten als je ze voor het eerst bezoekt, en het regelmatig voorkomt dat je moet experimenteren met het toestaan van het uitvoeren van Javascript vanaf sommige third-party sites. Maar je bouwt er, zo is mijn ervaring, al snel ervaring mee op welke third party sites daadwerkelijk iets "toevoegen" aan een primaire site - in jouw voordeel, wel te verstaan.

Let wel: het whitelisten van Javascript van een zo beperkt mogelijk aantal sites garandeert niet dat je geen geen malware krijgt aangeboden; patchen is iets dat je sowieso moet doen om dat te helpen voorkomen. Maar NoScript is wel een prima risicoverlager.
26-06-2016, 02:04 door [Account Verwijderd] - Bijgewerkt: 26-06-2016, 02:15
In het toepassen van No-script ben ik vrij rigoureus. Inderdaad whitelist ik een nog onbekende primaire site pas als deze na een eerste bezoek bevalt.
Maar als zo'n site al ge-whitelist moet worden (tjezus wat een Anglicisme's) om de relevante informatie te tonen die ik zoek, haal ik er mijn neus voor op en gaat deze url - misschien paranoide - ook op de blacklist van een andere extensie: Block Site. https://addons.mozilla.org/nl/firefox/addon/blocksite
Ik kan er dan ook niet veel meer van bakken als voor mij persoonlijk een gezond wantrouwen met als uitgangspunt: Ze (betreffende site) wil meer door de pijplijn duwen als waarin ik geinteresseerd ben en misschien zit daar wel MalWare tussen.

En inderdaad, met betrekking tot:
Erik van Straten, 25-06, 21:46 uur Let wel: het whitelisten van Javascript van een zo beperkt mogelijk aantal sites garandeert niet dat je geen geen malware krijgt aangeboden

...het blacklisten in No-script van zo'n primaire site heeft dan soms weer het bijeffect dat ik wel eens (weer) op andere site's kom - soms zijn dat gebookmarkte sites* - die ik voorheen ge-whitelist heb in No-script en waarbij rechtsonder in beeld de waarschuwing komt: This website, or elements thereof, are on the BlockSite blacklist and have not been loaded waarbij je dan weer - nieuw - wantrouwen moet hebben/krijgen tegen zo'n in het verleden primair gewhiteliste site?

En hier is het waar volgens mij veel gebruikers van add-blockers, script-blockers en site-blockers er - begrijpelijkerwijze - de brui aan geven want je hebt er een behoorlijke dosis strakke discipline naast goede kennis van het hoe- en waardoor van het functioneren van Internet, en/of goed geheugen voor nodig.

Gevolg:

Alles gaat maar in de passeerstand, want het vergald het zorgeloos surfen (of dàt nog bestaat!?) met een lekker kopje koffie of een glaasje wijn.

Het is feitelijk net zoals anoniem op 25-06, 12:54 uur verzucht :
Ik wil terug naar de tijd waar de cliënt (browser gebruiker) bepaalde wat ie van de server wilde zien en niet van de server moest afwachten wat die van de cliënt wilde "profilen" en stiekem achter de rug als content door wil versjacheren.

*Zo'n site was bijvoorbeeld die welke ik als voorbeeld gebruikte in het topic https://www.security.nl/posting/473868/Bookmarks+potentieel+veiligheidsrisico echter hier ging nog voor No-script of BlockSite al het alarm af van FireFox.

(edit: clickable URL m.b.t. Block Site toegevoegd)
26-06-2016, 10:46 door Anoniem
Door Erik van Straten:
Een absoluut nadeel, zeker voor leken, is dat je "primaire" sites moet whitelisten als je ze voor het eerst bezoekt, en het regelmatig voorkomt dat je moet experimenteren met het toestaan van het uitvoeren van Javascript vanaf sommige third-party sites. Maar je bouwt er, zo is mijn ervaring, al snel ervaring mee op welke third party sites daadwerkelijk iets "toevoegen" aan een primaire site - in jouw voordeel, wel te verstaan.

Let wel: het whitelisten van Javascript van een zo beperkt mogelijk aantal sites garandeert niet dat je geen geen malware krijgt aangeboden; patchen is iets dat je sowieso moet doen om dat te helpen voorkomen. Maar NoScript is wel een prima risicoverlager.

En dat heb je ook bij je moeder geinstalleerd en ze gebruikt het dagelijks? Nee?
Dan geldt nog onverminderd het gestelde in de eerste reactie.
26-06-2016, 14:44 door Anoniem
Er zijn een paar fundamentele oorzaken aan te wijzen waarom we de situatie hebben waarbij de eindgebruikservaring van zorgeloos surfen steeds meer onder druk komt te staan. De langzamerhand steeds meer allesoverheersende en door niets meer ingetoomde rol van commercie en marketing (en de daaraan onderworpen superstaat krachten binnen de overheid via globale lobbyisten) en de steeds verder uitgeholde rol van de "beschermers en experts" en het dweilen met de kraan open tegen de firma's list en bedrog, die wel alle info uitwisselen en je vol proberen te pompen met scam en spam en se redirects.
De mensen, die de beslissingen moeten nemen, vaak die met het minste inzicht, hebben het meest te vertellen. En daar moet je dan met behulp van NoScript en uMatrix een beetje tegen in proberen te roeien.

Lees maar eens waarom IP cloaking een steeds groter risco en gevaar wordt:
http://www.itworld.com/article/2738687/security/malware-danger-rises-from-stealth-sites-cloaked-to-be-invisible-to-scanners.html
De scanner om dit eventueel aan te tonen: http://isithacked.com/
Gevaren als de website die security headers niet heeft of niet juist heeft geimplementeerd: https://securityheaders.io/
Gevaren als de SRI hashes niet zijn gegenereerd: https://sritest.io/
jQuery script dat klaar is om afgevoerd te worden: http://retire.insecurity.today/
Nog meer ellende door niet up te daten en te patchen, brakke plug-ins, server kwetsbaarheden en masse.

Ik zie regelmatig wat de studenten van de Hoge School IT Studies aan beveiligingseducatie mee krijgen en geloof mij, het is ver onder de maat. Technische IT en degenen die reguliere expressies leren hanteren, daar gaat het nog wel, maar de rest klaargestoomd als "dumbed down sheeple". Je zou bijna denken dat men liever te maken heeft met standaard opgeleiden, die de bestaande inkomensstructuren niet in gevaar gaan brengen, dan de slimmerikjes, die weten wat er aan de hand is en voor ons eindgebruiker het verschil kunnen maken tussen zich voortduren ergeren en een fijne opbouwende en leerzame Internetervaring. "Het moet weer leuk worden op het Internet. Wij hier weten nog hoe het kan zijn!".

Natuurlijk is het niet fijn om steeds op je hoede te moeten zijn en NoScript te gebruiken als laatste verdedigingslinie, maar men laat ons geen andere keus toch? Als je lekker veilig ongestoord door trackers en advertentie-graaiers wil surfen, moet je in een goed beveiligde browser steeds captchaatjes gaan zitten invullen. Compleet gestoord wordt je daarvan. Steeds wordt de vraag gesteld, via een pop-up: "Are you a human being", want daarvan wordt inmiddels verondersteld dat ze niet meer denken, zich niet meer kunnen verdedigen en zich allemaal houden aan wat gezien wordt als correct, namelijk zich gedragen als een goed "product" betaamt. En daarom blokkeer ik verder, want ik gun het ze niet.
26-06-2016, 14:44 door Anoniem
Door Ron625: En toch klopt er iets niet.
Volgens de webrichtlijnen mag een extensie als Javascript wel iets toevoegen, maar moet de website volledig te gebruiken zijn zonder deze extensie(s).
Ooit bevatten de richtlijnen van W3C voor toegankelijkheid (Web Content Accessibility Guidelines) het advies (het was geen wet waar iedereen zich aan te houden heeft) om geen JavaScript te gebruiken. Helaas heeft men dat al vele jaren geleden losgelaten, bij de overgang van versie 1 naar versie 2 van de richtlijnen. Nu kan een website die afhankelijk is van JavaScript, Flash en de hele meuk toch voldoen aan de richtlijnen.

Ik vond en vind dat een teleurstelling. Het is namelijk zo dat vanuit JavaScript met het Document Object Model of nieuwere mogelijkheden de getoonde webpagina volledig verbouwd kan worden. In plaats van een kreupele pagina met JavaScript om te bouwen in de werkende, dynamische pagina die de webontwikkelaar beoogt kan ook een pagina met een leesbare vormgeving en inhoud en met werkende hyperlinks tot hetzelfde eindresultaat worden omgevormd. In het laatste geval heeft iemand die scripts blokkeert een werkende basis. Een webwinkel waarin je nog steeds kan navigeren maar waarin je JavaScript pas hoeft te activeren als je daadwerkelijk een bestelling doet, bijvoorbeeld. Dat zou wat mij betreft een veel toegankelijker web opleveren dan we nu hebben.

Ik ben het dus met je eens dat er iets niet klopt, alleen zit het probleem al in de WCAG 2.0 zelf.
27-06-2016, 06:39 door Anoniem
Maar we gebruiken javascript en blijven het onveilig gebruiken. Inline scripten, "same origin" regel verontachtzamen, geen security headers gebruiken, geen sri hashes genereren, brakke of oveilige code gebruiken, niet checken op het ontbreken van "braces", functies niet op tijd gedefinieerd en ga zo maar door. Dan wordt NoScript bijna een must. En developers staan onder enorme tijddruk en debuggers en testers daar zijn er te weinig van en de advertentieboer en profiler moet zijn zin krijgen, anders is de vaak waardeloze content zogenaamd niet meer te betalen. Een ltanie van onveilige zooi, snappen we het al?
27-06-2016, 10:38 door Ron625
Door Anoniem 14:44:Ooit bevatten de richtlijnen van W3C voor toegankelijkheid (Web Content Accessibility Guidelines) het advies (het was geen wet waar iedereen zich aan te houden heeft) om geen JavaScript te gebruiken.
[knip]
Ik ben het dus met je eens dat er iets niet klopt, alleen zit het probleem al in de WCAG 2.0 zelf.
De richtlijnen die ik bedoelde, zijn de Nederlandse richtlijnen voor overheden, voor zover ik weet, vallen deze ook onder de "pas-toe-of-leg-uit" regel.
Door Anoniem 06:39: Maar we gebruiken javascript en blijven het onveilig gebruiken.
Waar ik mij aan erger, is dat een script soms op een hele andere server staat, wat niet alleen vertraging oplevert, maar ook een grote onzekerheid.
Laat de verwijzing gehackt zijn, je merkt er niets van ..............
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.