/dev/null - Overig

Pale Moon NoScript 'crisis'

12-05-2018, 03:04 door [Account Verwijderd], 13 reacties
Laatst bijgewerkt: 12-05-2018, 03:09
Scripts of kortweg JS zijn een dankbaar geëxploiteerde mogelijkheid om functionaliteiten zoals bijvoorbeeld keuzemenu's te inplementeren in websites. Dat zij eveneens 'dankbaar' worden gebruikt om malware te injecteren, soms zelfs al bij uitsluitend bezoeken van een URL, is de keerzijde van de medaille.
Websites - ook de bonafide - blijven nogaleens zwaar steunen op de via JS geprogrammeerde functionaliteiten. En soms zodanig dat websites breken (missen van essentiële functies) of in een uiterste geval vastlopen in een srcript als het wordt geweerd door een script-blocker.

Hier wringt nu de schoen. In Pale Moon
Maone's No-Script is in de extensions.blocklist (about:config) opgenomen omdat het indien onzorgvuldig gebruikt websites doet breken.

Maar gedoe door het zeer functionele script blocken komt niet voor de eerste keer in de spotlights.

Een stukje geschiedenis:
Het mogelijke probleem door scripts weren maar dan meestal nog via browser voorkeuren was er ook al in Firefox.
Tot versie 15, voor zover ik me kan herinneren, kon je hierin scripts selectief blokkeren in de opties/voorkeuren.
M.i.v. Firefox16 werd het een kwestie van alleen 'ja-scripts' of 'neen-scripts' en kwam het vreemde advies van Mozilla... (daarover zodadelijk) dat je voorheen uitgebreidere selectieve scriptblocking kon terughalen door de extensie No-Script te gaan gebruiken.

Mozilla worstelde dus in een spagaat. Omdat zij klachten ontving van gebruikers die met slecht functionerende misschien sterk innoverende websites opgescheept zaten als zij 'rommelden' met de JS opties - waar Firefox dus onterecht de schuld van kreeg - besloot Mozilla de uitgebreide opties voor JS in Firefox 16 helemaal uit te faseren tot een aan- en uit knop.
De donkere zijde van deze beslissing was dat Mozilla (LIEVER NIET!) de deur wagenwijd openzette voor 'a proportional security issue' als gebruikers gretig kozen om 'klikkerdeklik' al dat moois op elke website maar te kunnen zien gebeuren door de keuzeknop voor JS te activeren.

Wat kon Mozilla hier anders/beter hebben gedaan indertijd? Feitelijk niets denk ik.
En de spagaat is sinds die tijd alleen maar wijder geworden. Terwijl Flash langzaam uitgefaseerd wordt (Terzijde: in 2020 zal Microsoft de embedded Flash in Windows hebben uitgeschakeld) blijft JS als voorheen uitermate essentieel voor een 'expressieve beleving van het www'.
Persoonlijk boeit dat mij niet zo. Bij mij blokkeert No-script default àlles.
Ik gebruik alleen tijdelijke toestemmingen. Maar dat vergt geduld... veel geduld en soms moet je een boel ergernis kunnen accepteren als keer op keer toestemmen van telkens andere scripts en maar weer een pagina herladen (F5) keer op keer nog niet de 'expressieve beleving van het WWW' teweegbrengt.
Maar wat krijg je daarvoor terug? Onmiskenbaar een behoorlijke extra bescherming tegen de troep op het www.

Nu, 6 jaar verder In Pale Moon is hetzelfde dilemma gaande in dezelfde toonzetting of zeg maar hetzelfde liedje...Scripts blokkeren veroorzaakt disfunctionaliteit, scripts toestaan veroorzaakt bedreigings risico's.
Moonchild Productions kwam blijkbaar in ademnood door onredelijke discussies over een slecht functionerende Pale Moon, die secundair wordt veroorzaakt door 'onhandig gebruik' van No-script, en trekt figuurlijk de stekker uit No-script door het op de lijst van onbetrouwbare extensies te plaatsen.

http://blocklist.palemoon.org/info/?id=pm112
https://forum.palemoon.org/viewtopic.php?f=46&t=17619

Secundair?
Ja, want in essentie zijn de hoofdschuldigen aan deze toestand niet (omgekeerd chronologisch) Moonchild Productions, Pale Moon of Georgio Maone's No-script, Mozilla en al de bouwers van soms prachtige websites en hun bonafide gebruikers/bezoekers, maar..... primair het malafide schorriemorrie dat misbruik maakt van de JS functionalitieit.

Epiloog:

Is deze rigoureuze beslissing van Moonchild Productions handig?
Neen.
Een volwaardig alternatief voor NoScript biedt zij (tot nu) niet.

Is het begrijpelijk?
Ja.
Moonchild productions is een brouwserdevelopper in de marge - een kleintje - dus het ontbreekt aan voldoende 'Human Resources om het gebruik van NoScript vs. Pale Moon te ondersteunen.

Mijn prognose is dat Pale Moon door deze beslissing in zwaar weer terecht gaat komen.
Reacties (13)
12-05-2018, 04:13 door Bitwiper
Ik gebruik bij voorkeur Firefox als web browser, zowel op Android, IOS als Windows (FF ESR). Helaas ondersteunt Firefox voor IOS geen NoScript, maar onder Android en Windows werkt NoScript prima. D.w.z in de zin van dat ik geen toestemming geef om third party scripts uit te laten voeren, tenzij noodzakelijk voor de werking van een site.

Los van mijn (off topic) redenen om NoScript zo in te zetten: onder Firefox (behalve de IOS versie) werkt NoScript gewoon. Met Pale Moon heb ik (nog) geen ervaring, maar wat is precies jouw probleem met NoScript onder Firefox?

En als NoScript onder Firefox gewoon blijkt te werken, waarom zou het dan stoppen met werken onder Pale Moon?
12-05-2018, 04:20 door Krakatau
De implementatie van websites gaat richting Single Page Applications. Onder andere omdat dit meer de gebruikservaring van een mobiele app geeft. JavaScript geheel uitschakelen breekt een dergelijke site en is dus geen optie.
12-05-2018, 10:14 door [Account Verwijderd] - Bijgewerkt: 12-05-2018, 10:38
Door Bitwiper: Ik gebruik bij voorkeur Firefox als web browser, zowel op Android, IOS als Windows (FF ESR). Helaas ondersteunt Firefox voor IOS geen NoScript, maar onder Android en Windows werkt NoScript prima. D.w.z in de zin van dat ik geen toestemming geef om third party scripts uit te laten voeren, tenzij noodzakelijk voor de werking van een site.

Los van mijn (off topic) redenen om NoScript zo in te zetten: onder Firefox (behalve de IOS versie) werkt NoScript gewoon. Met Pale Moon heb ik (nog) geen ervaring, maar wat is precies jouw probleem met NoScript onder Firefox?

Problemen heb ik niet met NoScript. Integendeel ik ben blij dat het bestaat. Georgio Maone is wat dat betreft mijn held.
Maar anderen hebben volgens Pale Moon/Moonchild Productions wel problemen, waarbij onterecht Pale Moon als de schuldige wordt aangezien als websites niet meer goed functioneren.
En omdat deze groep gebruikers blijkbaar niet goed met NoScript kan omgaan, bekogelden zij Moonchild Productions maar met landurige discussies.
Pale Moon was dit blijkbaar beu en kon de kar mèt NoScript niet meer trekken op deze manier en heeft NoScript op de lijst van ongewenste extensies geplaatst.

Wat ik nog niet meldde i.v.m. de lengte van het topic is wat er nu gebeurt als je momnteel NoScript actief hebt in Pale Moon.
Je ziet een generiek pop up venster (van Pale Moon) waarin wordt gewaarschuwd voor het gebruik van NoScript.
In dat venster kun je NoScript uitschakelen en je kunt herhalingen van de waarschuwing uitvinken.

Op het Forum werd deze soep weer juist zo heet gegeten als hij opgediend werd (zie je op Sec.nl ook nogaleens, overigens) en veroorzaakte het 'locken' van de betreffende post en verwijderen van nieuwe gerelateerde topics van boze? gebruikers door de moderators. Dat laatste zag ik vannacht dus gebeuren.

En als NoScript onder Firefox gewoon blijkt te werken, waarom zou het dan stoppen met werken onder Pale Moon?

Het stopt dus niet vanzelf met werken. Je moet daar duidelijk voor kiezen. De functionaliteit is nog zoals voorheen. Maar er wordt door Pale Moon dringend geadviseerd er mee op te houden.
Bovendien kun je het niet meer installeren in Pale Moon want het staat nu dus op de Extensie.blocklist
(Het staat dus nog wel in de extensie repository van Pale Moon http://addons.palemoon.org/addon/noscript/ maar ik vermoed dat het daar binnenkort wel zal verdwijnen.)

En daar wringt dus de schoen: Pale Moon kapt met een hele goede extensie om dezelfde reden als dat Firefox ooit kapte met gedifferentieerd scripts toekennen....enfin dat schreef ik allemaal al heel uitgebreid in het topic.
12-05-2018, 10:18 door Anoniem
Voor het bezoeken van een hedendaagse website heb je een browser nodig met een bepaalde functionaliteit.
Je kiest er voor om een deel van die functionaliteit uit te (willen) schakelen en je komt in de problemen.
Dat zijn problemen die je jezelf aandoet. Weinig nuttig om er over te klagen.

En dan nog, "malware te injecteren", dat lukt echt niet zomaar als de rest van je operating system goed geconfigureerd is.
12-05-2018, 10:49 door [Account Verwijderd]
Door Anoniem: Voor het bezoeken van een hedendaagse website heb je een browser nodig met een bepaalde functionaliteit.
Je kiest er voor om een deel van die functionaliteit uit te (willen) schakelen en je komt in de problemen.
Dat zijn problemen die je jezelf aandoet. Weinig nuttig om er over te klagen.

Precies. Dat weten jij en ik dus

Maar velen die NoScript installeren en het niet actief op de juiste manier gebruiken of laten dutten in zijn default mode zonder er nadien naar om te kijken, blijkbaar niet.
12-05-2018, 11:13 door Anoniem
Overwinning van M.Z's dumb f*cks over de technisch
onderlegden. Overwinning voor tracking, monitoren, advertentie geweld. Computer gelijk aan android en smart tv. Droevig als je het doorziet.
luntrus
12-05-2018, 12:39 door Anoniem
@ Aha van 10:49

Ik lees mee op https://forum.palemoon.org/viewtopic.php?t=17619

Concessies aan degenen, die nooit op de hoogte zullen raken van de finesses van script blocking.
Wie van de "gewone"gebruikers kijkt er eens "onder de browser motorkap a.k.a. in de browser developer's console" om te zien wat er gebeurt, wat er geblokkeerd wordt en waardoor?

Waarom worden al van te voren onveilige jQuery scripts niet door developers afgevoerd. Omdat deze echt heel vaak in beveiligingsopzicht niet weten wat ze doen.

Ze zijn er slechts mondjesmaat voor opgeleid, de grote meute interesseert het geen z*k en wat ook een grote rol meespeelt is dat bepaalde krachten (Big Tech Silicon Valey ad- en monitoring-trackers en algo-scripts, Deep State surveillance en geallieerden, etc.) de boel constant zitten te frustreren om hun "achtergrond circusvertoning" waar wij als gewone gebruikers allemaal de dupe van lijken te worden, continue voor te kunnen zetten. En meestal krijgen ze beslissers hierin mee.

Giorgio Maone was daarentegen langere tijd een aardige luis in de pels, maar dat schijnt hem zelfs via development van single page apps en het gelijkschakelen van de android en laptop ervaring niet meer gegund te zijn. De gelijkschakeling van de engine in de drie grote browsers vormde m.i. de doodsteek voor Maone's concept.

Niet voor niets werd de ontwerper van de android browser Brave uit de gelederen van Mozilla verbannen, officiële reden was zijn alt right opvatting, maar of dat een drogreden was?

In ieder geval: "The going gets narrow" voor de op scriptveiligheid gestelde bladeraar met minder op de server en steeds meer op onveilige(re) browsers laten aflopen zijn we van de regen in de drup belandt en voorlopig zijn er geen tegenbewegingen te zien, dan die van ons selecte clubje hier.

We zullen net als het altijd is geweest onszelf moeten zien te redden. AV heeft geen zin meer in de nieuwe cyberhack omgeving. Overleefd en volkomen irrelevant geworden.

Genoeg leuke oplossingen zijn de prut ingeholpen en de drang en dwang zal nog wel erger worden (overal onzichtbare bewegingen op https non-public in the Cloud), WHOIS ten grave gedragen met de GDPR, AVR die je smartphone camera bij overbodig maakt, als je tenminste na 25 mei niet van een ieder op de plaat vastgelegde personen uitdrukkelijke schriftelijke toestemming hebt (op straffe van forse EU boetes, leuk voor de toeristen overigens).

Het wordt een beetje eng de laatste tijd online, mensen. Gaat men nu ook de tor-browser op zo'n manier frustreren. Klik dom door, hier valt niets te zien, is de boodschap. U hebt echt geen e2e encryptie, script- en adware beveiliging nodig hoor,
gelooft u ons, klik gewoon rustig verder! (iron.).

Jodocus Oyevaer
12-05-2018, 18:28 door Anoniem
Browserbouwers moeten eens hun poot stijf houden. Als een website niet werkt omdat er allemaal rommel en clutter in zit dan heeft de eigenaar van de site gewoon pech en moet ie maar eens leren hoe hij de informatie minimalistisch kan presenteren.

In de tijd van Netscape en HTML only kon je ook perfect iets als een Wikipedia raadplegen of informatie in een formulier verzenden.

Als je nu bekijk van hoeveel externe domeinen een website items moet laden dan is het niet vreemd dat de internet ervaring over de jaren heen irritanter er trager is geworden.

Terug naar de basis dus static HTML only vanaf max 1 domein en alleen PHP als het echt absoluut niet anders kan. Sterker nog als webbrowsen vanuit een text only omgeving de standaard wordt, graag zelfs. Alle andere troep is irrelevant en irritant.
12-05-2018, 23:09 door Anoniem
Het blijkt dus dat er meerdere gebruikers (ook browserontwikkelaars) zijn, die moeite hebben met de settings van NoScript goed in te stellen. Globaal scripts toe staan in de tor browser bij voorbeeld is gevaarlijk. Blijft een feit dat NoScript minder geschikt is voor de niet technisch bekwame (eind) gebruiker. Daarom wordt het nu afgevoerd, het is te complex in handen van de massa.

Er is ook wat opzoekfunctionaliteit aan NoScript toegevoegd wat "spek voor het bekkie" is voor malcreanten (de info opzoekfunctie bij voorbeeld). Lees erover bij news.ycombinator.com , maar de idee achter ABE en SABER application boundaries enforcer is goed.

Maone's concept is in zoverre goed, dat het nooit achter de feiten aanloopt, dat het ook werkt voor denkbare scenario's van scriptbedreigingen in de toekomst. Misschien zal ik het ooit via Tampermonkey gebruiken voor een andere browser, je weet maar nooit.

Gebruikmaken van Libre.js is ook een optie om javascipt wat veiliger te maken. Maar er zal op veiligheidsgebied in de browser en verder op de infrastructuur (server) nog veel dienen te gebeuren, anders blijft alles 'per default' "completely holed" als het is.

luntrus
12-05-2018, 23:45 door Anoniem
Aha, is uMatrix niet wat als vervanging? https://addons.mozilla.org/en-US/firefox/addon/umatrix/
13-05-2018, 09:46 door Anoniem
Ik ken mensen die van palemoon zijn overgestapt naar waterfox sinds dit noscript crisis. In feite is waterfox beter omdat het moderne addons ondersteunt.
13-05-2018, 10:51 door [Account Verwijderd]
En de soep is door mij ook veel te heet gegeten door de nogal emotionele Amerikaans-Engelse reacties in een wildgroei aan nieuwe topics aangaande het onderwerp NoScript op https://forum.palemoon.org

NoScript kun je gewoon blijven gebruiken. In het waarschuwingsvenster haal je rechtsboven het vinkje weg bij 'Disable' en dat is alles om NoScript actief te houden.

Waar ik wel nieuwsgierig naar blijf is het antwoord op de vraag: Hoe NoScript weer te activeren als je het weer wil gaan gebruiken?
Ik heb niet eerder te maken gehad met een actieve extensie die op de zwarte lijst kwam in Pale Moon of Firefox en het antwoord kan ik niet zo 1,2,3 vinden op het Pale Moon Forum.

Als antwoord op de vraag of uMatrix als alternatief gebruikt kan worden i.p.v. NoScript: Ja dat kan.
Gebruik in Pale Moon dan wel v. 0.9.3.6 of v. 1.0
Dat zijn de hoogste versies nog geschikt voor Pale Moon.
Zie: https://addons.mozilla.org/en-US/firefox/addon/umatrix/versions/ (naar beneden scrollen)

Let er wel op dat m.b.t. installeren van Legacy Add-Ons vanuit de Mozilla Add-On repository de tijd dringt.
Ondersteuning van de oude Add-Ons in Firefox ESR 52 stopt aanstaande augustus (2018) dus het aanbod van de Legacy Add-Ons zal rond die tijd ook gaan verdwijnen.

Via Pale Moon kun je overigens sinds kort niet meer terechtkomen op de Add-On URL van Mozilla.
Het is: https://addons.mozilla.org/nl/firefox/
13-05-2018, 15:07 door Anoniem
@ Beste Aha,

De soep zal nooit zo heet gegeten worden als ie wordt opgediend, dat ben ik wel met je eens.

Goed, dat je een en ander nog eens aankaartte rond deze "onverslaanbare" add-on.

Vaak is Tampermonkey ook nog een uitweg om langer over bestaande functionaliteit te beschikken.

Ik was vaak vroeger erg blij met Malware Script Detector versie 1.1
(de alerts kunnen ook tegelijkertijd nog komen via de Netcraft extensie,
als deze bijvoorbeeld een XSS aanval uri ingevoerd ziet worden),

Maar op een bepaald moment verdween de extensie uit firefox en van google chrome etc.

Gelukkig kon ik deze verder laten lopen via Tampermonkey
en toch de alerts blijven krijgen voor een toegevoegde kwaadaardige string.

Dus blijven er altijd manieren over om een konijn te villen zogezegd.

Wat me laatst opvalt als ik Nir Sofer's DNSQuerySniffer draai, dat er zowel op AWS niet direct oplost,
zoals 249.226.77.40.in-addr.arpa voor de primairy server van Admin: msnhst.microsoft.com,
Voor 253.211.92.13.in-addr.arpa krijg ik een name error, PTR verzoek voor 29.220.184.93.in-addr.arpa eveneens.

Is dit doordat het AWS serverless draait wellicht? Ook via de volgende global DNS propagation scan
wordt het niet altijd duidelijk: https://www.whatsmydns.net/#A/technology%20on%20that%20website%20scan

Voor het blokkeren ook blij nu met Privacy Possum en Blockade extensies, waarvan akte,

m.vr.gr.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.