Ist Firefox bei der Ausführung von NoScript weniger anfällig für Exploits?

1344
PP.

Der Artikel mit dem Titel "iPhone, IE, Firefox, Safari wird beim Hacker-Wettbewerb gestampft" auf der Website The Register bespricht, dass Firefox ausgenutzt werden kann.

Ich frage mich, ob NoScript vor den beschriebenen Exploits schützt. oder ob der Browser unabhängig vom Laden der Erweiterung genutzt werden kann.

Irgendwelche Meinungen? Könnte dies zu einem Community-Wiki machen, da es kein einfaches Problem / Lösungspost ist.

2

2 Antworten auf die Frage

4
Simon P Stevens

Auf der Site wird nicht genau beschrieben, welche Exploits verwendet wurden. Daher ist es unmöglich zu sagen, ob NoScripts sie daran gehindert hätten.

NoScripts blockiert die Ausführung sämtlicher JavaScript- und Drittanbieter-Skripts (wie Flash / Sliverlight), so dass Sie nur mit einfachem HTML-Code arbeiten können. Zwar ist es durchaus möglich, dass ein Rendering-Fehler in einem Browser eine Sicherheitsanfälligkeit in reinem HTML-Code aufdeckt, aber es ist weniger wahrscheinlich, dass kein Code genau wie bei einer JavaScript-Engine ausgeführt wird. Die Angriffsfläche wird drastisch reduziert, sodass die Wahrscheinlichkeit, einen erfolgreichen Angriff zu finden, geringer ist.

Der andere zu berücksichtigende Bereich ist natürlich, dass der Angriff auf NoScripts selbst gerichtet sein könnte. Es besteht durchaus die Möglichkeit, dass NoScripts Fehler enthält, die die Codeausführung von Remotestandorten aus ermöglichen.

Schließlich müssen Sie die Benutzeraktionen berücksichtigen. Wie streng überprüfen Benutzer, ob eine Website vertrauenswürdig ist, bevor sie auf die Positivliste gesetzt werden. Führen Sie eine ausführliche Codeüberprüfung einer Website und aller zugehörigen Skripts durch, bevor Sie sie auf die Positivliste setzen, oder klicken Sie einfach auf "Erlauben", wenn "Diese Website erfordert Javascript" angezeigt wird. Ich vermute, es ist wahrscheinlich nicht schwer, die meisten Benutzer dazu zu bringen, Ihre Website auf die Positivliste zu setzen. Sobald dies geschehen ist, können Sie auch NoScripts nicht ausführen.

2
CesarB

Ich habe einen kurzen Blick auf die Sicherheitshinweise für Firefox 3.6 geworfen . Obwohl ich einige hätte vermissen können, könnten 6 der 13 Hinweise auf dieser Seite durch Deaktivieren von JavaScript vermieden werden. Eine der übrigen hängt auch von herunterladbaren Schriftarten ab, die NoScript standardmäßig auch blockiert (dies ist die Option "Forbid @ font-face" im Konfigurationsdialogfeld).

Die anderen Male, die ich mir angeschaut habe, war es ungefähr der gleiche Anteil: Rund 50% der Schwachstellen in Firefox waren von JavaScript abhängig.

Das Deaktivieren von JavaScript kann auch die Ausnutzung der anderen Sicherheitsanfälligkeiten erschweren, da der Angreifer einen Angriff erstellen muss, für den kein JavaScript erforderlich ist. Es ist auch ziemlich wahrscheinlich, dass der Angreifer JavaScript einfach nicht beachtet und verwendet, auch wenn er nicht benötigt wird. Benutzer, die NoScript verwenden, sind in der Regel der sicherheitsbewusste Typ und aktualisieren den Browser, sobald eine Sicherheitslücke bekannt gemacht wird.

Mit NoScript können Sie schließlich JavaScript von einer Website zulassen, während deaktivierte Skripts von anderen darin enthaltenen Domänen beibehalten werden. Dazu gehören Ad-Server von Drittanbietern, Tracking-Code von Drittanbietern und das Ausnutzen von JavaScript in einem verborgenen Iframe am unteren Rand der Seite, der von einer anderen Domain stammt (letzteres ist ein üblicher Vorgang für gefährdete Websites).