So gehts: NoScript für Firefox

NoScript ist eine auch in Sicherheitskreisen sehr beliebte Erweiterung für den Webbrowser Firefox. So ist es zum Beispiel Bestandteil des sicheren Tor-Browsers. Das Add-on gibt dem sicherheitsbewussten Anwender ein Werkzeug in die Hand, mit dem er steuern kann, welche Websites potenziell heikles JavaScript und andere aktive Inhalte ausführen dürfen – und welche nicht.

Der Hintergrund: Es kommt vor, dass Webseiten oder darauf verwendete Module von Angreifern dazu missbraucht werden, auf den PCs der Webbesucher Schädlinge einzuschleusen. Die Angreifer benutzen meistens Sicherheitslücken in Scriptsprachen wie z.B. JavaScript. Oder sie benutzen JavaScript, um irreführende Dialoge anzuzeigen, die der Benutzer leichtgläubig anklickt und die Installation von Schadsoftware ermöglicht.

Es ist jedoch meist nicht so einfach, eine seriöse Webseite zu «hacken». Die Angreifer können also nicht einfach ein komplettes Schadprogramm darauf abspeichern. Wenn eine seriöse Webseite «gehackt» wird, um Schädlinge zu verbreiten, liegen die eigentlichen schädlichen Scripts nicht auf dem Server der seriösen Webseite selbst. Stattdessen liegen die schädlichen Scripts auf anderen (von den Angreifern komplett kontrollierten) Servern und werden durch die Angreifer über spezielle Verweise auf der seriösen Webseite eingebunden.

Darum zeigt die Erfahrung: Solange man sich auf seriösen Websites bewegt, ist es normalerweise sicher, diesen das Ausführen von Scripts zu erlauben, während darauf eingebettete Scripts, die auf anderen Servern liegen, vielleicht eher blockiert gehören. Und genau hierbei hilft NoScript – und zwar seit vielen Jahren. Die Bedienung war früher recht kompliziert. Seit dem Upgrade auf ein neues Erweiterungsformat des Typs «WebExtension» ist das etwas einfacher geworden. Darum kommt NoScript vielleicht für einige weitere Anwender infrage, die sich vorher nicht an NoScript herangetraut oder dieses schnell wieder deinstalliert haben.

Öffnen Sie im Firefox die Add-on-Seite https://addons.mozilla.org/de/firefox/addon/noscript. Klicken Sie auf Zu Firefox hinzufügen, anschliessend nochmals auf Hinzufügen und auf OK. In der Firefox-Symbolleiste oben rechts taucht ein «S»-Icon mit rotem Fragezeichen auf; das ist das Icon von NoScript. Folgendes jetzt nur zur Information – Sie müssen nicht wirklich etwas verändern: Klicken Sie aufs NoScript-Icon, klappt ein Menü auf. Zunächst zu den drei grossen Icons oben links: Das erste schliesst das Menü wieder; Sie könnten hierfür aber auch einfach nochmals aufs NoScript-Icon klicken. Das zweite lädt die aktuell geladene Seite neu (dasselbe wie das Drücken von Ctrl+R bzw. Strg+R). Das dritte Icon zeigt die Optionen an. Jene sind in drei Kategorien unterteilt, nämlich Default (Standard), Trusted (Vertrauenswürdig) und Untrusted (nicht vertrauenswürdig). Lassen Sie sich nicht dadurch verwirren, dass bei Default und Trusted schon so viele Einträge vorhanden sind.

Hier nimmt Ihnen der NoScript-Entwickler viel Arbeit ab. Denn viele Websites verwenden seriöse Module, die auf anderen Domains liegen. Ein Beispiel: Wenn Sie auf der PCtipp-Webseite auf ein Video klicken, dann sollte dieses abspielen. Da es aber ein YouTube-Video ist, muss nicht nur pctipp.ch, sondern auch YouTube in den zugelassenen Domains enthalten sein. Deshalb sind alle Domains (z.B. ytimg.com, youtube.com), die YouTube hierfür braucht, bereits eingetragen. Das ist gut, denn dann müssen Sie das nicht tun. Genauso mit wichtigen Domains von Google, Microsoft und anderen Anbietern. Wenn Sie einem der vorhandenen Einträge wirklich nicht über den Weg trauen, könnten Sie unter Trusted einen Eintrag auf Default ändern, indem Sie in seiner Seite das erste Icon (das durchgestrichene «S») anklicken.

Schliessen Sie vorerst mal den Reiter mit den «NoScript-Options». Die meisten Anwender werden in diesem gar nichts mehr machen müssen, mal von einem Backup abgesehen; hierzu aber später. Surfen Sie nun einfach weiter.