Sicherheitsmassnahmen

NoScript

Alle aktiven Webelemente, die der Browser auf dem lokalen Rechner ausführt, stellen ein potentielles Sicherheitsrisiko dar. Die bekannteste und am häufigsten verwendete Attacke namens Cross-Site-Scripting basiert auf JavaScript. Sie dient dazu, beispielsweise Cookies an den Rechner des Angreifers weiterzuleiten, damit sich dieser mit der Identität des Opfers z. B. bei Ebay oder Amazon anmelden kann, um dort seine Betrügereien fortzusetzen. Den besten Schutz vor solchen Attacken bietet das komplette Abschalten aller aktiven Webelemente, führt aber dazu, dass die meisten Seiten zum Teil erheblich in ihrer Funktion eingeschränkt werden.

Abhilfe schafft hier die Erweiterung NoScript [5]. Sie erlaubt Ihnen, genau festzulegen, welche Seite in welchem Umfang aktive Inhalte ausführen darf. Nach der Installation erscheint in der Informationsleiste ein durchgestrichenes "S" als Zeichen dafür, dass die Erweiterung aktiv ist. Betreten Sie eine Seite, erscheint am unteren Browserrand ein gelber Balken, der Sie darauf hinweist, dass Elemente auf der Seite blockiert wurden. Klicken Sie auf Einstellungen..., um zu sehen, welche es sind und von wo sie stammen (Abbildung 1).

Abbildung 1: Mit der Erweiterung NoScript verhindern Sie wirkungsvoll, dass Webseiten ungefragt Skripte auf Ihrem Rechner ausführen.

Ein Klick auf Domainname freigeben fügt die Seite der Liste den erlaubten Webseiten hinzu. Diese öffnen Sie, indem Sie im Menü auf den ersten Punkt Einstellungen... und darin auf den Reiter Positivliste klicken. Welche Elemente NoScript in welchem Umfang blockieren soll, legen Sie auf dem Reiter Plug-ins fest.

Controle de Scripts

JavaScript gilt im Web mit Abstand als höchstes Sicherheitsrisiko, da es wegen seiner Komplexität für Browserhersteller sehr schwierig ist, auf der einen Seite alle Möglichkeiten zu nutzen, aber auf der anderen Seite zu verhindern, dass Skripte unerlaubte Aktionen ausführen. Während NoScript den eher radikalen Weg geht und Skripte unbekannter Webseiten generell verbietet, verfolgt das Plug-in Controle de Scripts [6] (Abbildung 2) den Ansatz, deren Berechtigungen einzuschränken.

Abbildung 2: Mit "Controle de Scripts" schränken Sie die Rechte von JavaScript auf Ihrem Rechner ein.

Im Reiter Berechtigungen der Konfigurationsoberfläche stellen Sie ein, welche Verhaltensweisen Sie JavaScript generell verbieten. Dazu zählen beispielsweise das Deaktivieren oder Austauschen des Kontextmenüs oder das Ändern bzw. Austauschen des Statuszeilentextes. Vor allem Letzteres verwenden viele Trickbetrüger, um das wahre Ziel eines Links zu verschleiern.

Unter Pop-up-Fenster legen Sie fest, welche Ereignisse, z. B. das überfahren eines Links mit der Maus, ein Pop-up öffnen dürfen. Die richtige Konfiguration erfordert allerdings ebenso wie die Einstellungen der Rubrik Erweitert ein eingehendes Studium des Online-Manuals [7], das alle Optionen sehr genau erklärt.

Derzeit ermöglicht die Erweiterung lediglich das globale Setzen dieser Berechtigung. Seitenspezifische Einstellungen sind nicht möglich.