NoScript: Ausnahmeregeln als Einfallstor für Angreifer
Eigentlich soll NoScript vermeintlich gefährliche Elemente auf Webseiten blocken. Doch bis vor Kurzem hätten Angreifer über die als vertrauenswürdig eingestufte Google Cloud Malware auf Computer schmuggeln können.
Die beliebte Firefox-Erweiterung NoScript soll den Webbrowser schützen, doch das Tool vertraute bis vor ein paar Tagen noch allen Dateien, die in der Cloud von Google lagen. In diesem Fall hätten Angreifer Malware hochladen können und NoScript hätte die Ausführung nicht verhindert.
Das fand ein Sicherheitsforscher heraus, als er in der Whitelist von NoScript den Eintrag googleapis.com fand, der auf die Google Cloud verweist. In dieser Liste finden sich Domains wieder, denen NoScript von Werk aus vertraut – dabei werden gleichzeitig auch alle jeweiligen Subdomains als vertrauenswürdig eingestuft.
Der Sicherheitsforscher setzte sich mit dem NoScript-Entwicklern in Verbindung, welche innerhalb weniger Stunden eine gepatchte Version nachreichten. In dieser haben sie den entsprechenden Eintrag auf ajax.googleapis.com geändert. An dieser Stelle finden sich ausschließlich von Google geprüfte Daten.
Noch sicherer, aber mit Konfigurations-Aufwand
Im Grunde ist NoScript eine geniale Erweiterung, die die Sicherheit von Firefox erhöht. Doch gerade am Anfang kann NoScript auch Probleme bereiten, denn man muss einige Zeit mit dem Konfigurieren verbringen, bis alle Sachen freigeschaltet sind, die man braucht.
Unter Umständen funktionieren manche Webseiten mit den Standardeinstellungen von NoScript gar nicht, was vor allem Computer-Laien verwirren kann. Manchmal ist es auch gar nicht trivial, geblockte Elemente zu finden, denn der Zusammenhang zwischen einem Problem und NoScript ist nicht offensichtlch. Und gelegentlich schießt NoScript über das Ziel hinaus.
Als Alternative kann man die Click-to-Play-Funktion von Webbrowsern, wie etwa Firefox und Chrome, nutzen, die nicht ganz so rabiat vorgeht. (des)
