Früher waren Webseiten in HTML codiert und animierte Gifs haben für ein bisschen Bewegung gesorgt. Ein paar besonders tolle Entwickler konnten per JavaScript Bilder austauschen, wenn sich der Mauszeiger darüber bewegt hat. Daten wurden in ein Formular eingegeben und per Submit an den Server übertragen. Damals war alles aus heutiger Sicht überschaubar.

Das Web 2.0 hat uns AJAX und damit den nach Hause telefonierenden, per JavaScript programmierten Browser gebracht. Damit erstellte Webanwendungen stehen in ihrer Funktionalität in manchen Bereichen Desktop Applikationen in nicht mehr nach. Aber ohne JavaScript geht auf diesen Seiten gar nichts mehr.

Gleichzeitig können fast alle neueren Browser-Schwachstellen mit deaktiviertem JavaScript umgangen werden. Also ohne JavaScript ist man sicherer, aber es funktioniert nicht mehr sehr viel. Was tun?

NoScript ist ein Firefox Add-on, dass es ermöglicht JavaScript in Abhängigkeit der besuchten Webseite an- und abzuschalten. Bei der ersten Installation ist JavaScript auf allen Webseiten verboten. Besucht man vertrauenswürdige Seite, die JavaScript benötigt, kann man die Ausführung von JavaScript erlauben und NoScript merkt sich diese Einstellung. Im Laufe der Zeit erstellt man sich damit eine eigene Whitelist der erlaubten Seiten und bemerkt NoScript dann eigentlich nicht mehr.

NoScript ermöglicht es auch, JavaScript generell wieder zu aktivieren. Dieser Versuchung sollte man aber widerstehen.

Inzwischen sind noch ein paar weitere Funktionen für ein sichereres Browsen in NoScript implementiert worden. Es können Java, Flash und andere Plug-ins von nicht vertrauenswürdigen Seiten blockiert werden. Auch gegen Cross-Site Scripting (XSS) Angriffe versucht NoScript zu schützen.

Ich selbst verwende seit einiger Zeit NoScript und würde nicht mehr ohne diese zusätzliche Sicherheit surfen. Diese Woche hat hier bei CPTec ein Kollege einen Virus in Quarantäne geschickt. In den eher dubiosen Ecken des WWW hat unser Virenscanner in seinem HTTP Traffic den Bösewicht entdeckt. Noch mal Glück gehabt. Aber selbst bei täglichen Updates der Patterns ist die Scan Engine potentiell immer zu langsam für den jeweils neuesten Schädling. Jetzt wird bei uns NoScript zur Pflichtinstallation.