NoScript und uBlock Origin

Hallo, liebes Forum,
ich bin ein 72-jähriger Rentner aus dem Raum Frankfurt und sehr an Technik interessiert, aber halt eben kein Computer-Experte. Vor ca. 6 Monaten habe ich dieses Forum entdeckt und das hat mich doch sehr begeistert! Um mich geistig fit zu halten, habe ich diverse Szenarien mit unter anderem NoScript und mit uBlock Origin mal durchgespielt und habe diesbezüglich einige Fragen. Ich hoffe, ihr habt ein wenig Verständnis für einen alten Mann, der sich sehr für diesen Themenbereich interessiert?

Bei meiner ersten Frage geht es um NoScript.
Ich habe das NoScript – Firefox-Kompendium Teil 5 (hoffe ich) sehr aufmerksam gelesen, verstehe aber einige Punkte nicht. Kann man sich nicht die ganze Anhakerei sparen, indem man die NoScript-Voreinstellungen so wie auf diesem Bild einstellt?

Bild 011995×839 124 KB

Hier findet kein connect statt, kann aber trotzdem alles ohne Einschränkungen auf den Webseiten sehen. Sollte es Probleme bei irgendeinem Login geben, wird Java temporär freigegeben. Damit fahre ich jetzt schon seit einiger Zeit ganz gut. Warum sollte ich diese Domains/Urls blocken? Oder gibt es irgendetwas, was mir bisher noch nicht untergekommen ist oder ich vielleicht nicht bedacht habe?

Bild 022224×2450 725 KB

Meine nächste Frage dreht sich um uBlock und da muss ich sagen, habe ich ein Verständnisproblem. Ich verstehe laut uBlock-Wiki (https://github.com/gorhill/uBlock/wiki/Dynamic-filtering:-quick-guide), das in der ersten Spalte eine globale Regel erstellt wird, die dann seitenübergreifend für das ganze Internet gilt.

Ich habe doch richtig verstanden, dass die fettgeschriebenen URLs die Top-Level Domains sind und wenn ich diese blocke diese Regeln seitenübergreifend für das ganze Internet gelten?

Bild 032224×2450 570 KB

Die Zellen in der zweiten Spalte geben einen Überblick darüber, wie viele Anfragen blockiert/zugelassen wurden:

• -oder + = zwischen 1-9 Netzwerkanfragen wurden blockiert bzw. zugelassen
• – oder ++ = zwischen 10-99 Netzwerkanfragen wurden blockiert bzw. zugelassen
• — oder +++ = 100 oder mehr Netzwerkanfragen wurden blockiert bzw. zugelassen

leere Zelle = für den betreffenden Hostnamen wurden keine Netzwerkanfragen gestellt
Es gibt also globale Regeln für die dynamische Filterung und lokale Regeln für die dynamische Filterung.

Mein Problem ist die zweite Spalte, das mit dem + und dem -. Mir ist es doch vollkommen wurscht, wie viele Netzwerkanfragen kommen, wenn ich eine Domain blocke. Vielmehr würde mich interessieren, ob es einen Strikteren Level für die entsprechende Domain mit einem + oder einem - gibt, wenn ich diese (in der zweiten Spalte) zusätzlich auch noch blocke und auf Rot stelle, so das zwei Rote Felder nebeneinanderstehen? Bring mir das in irgendeiner weise mehr Schutz?

Bild 044000×1284 802 KB

Ich würde mich sehr freuen, wenn mir mal jemand genauer erklärt.

Mit den besten Grüßen und einen schönen Sonntag.
Hermann

@Hermann : 72 und so Computer-affin, Hut ab!

Die (richtige) Anwendung von NoScript ist nicht trivial!
https://www.kuketz-blog.de/?s=noscript

Bei uBlock Origin (uBO) ist die linke Spalte als „permanent“ und die rechte Spalte als „temporär“ zu verstehen.
https://www.kuketz-blog.de/?s=ublock

Das sehe ich aber völlig anders…temporär heißt ich drücke nicht das Schloss links oben vom blauen Powerknopf, jede Änderung an den Regeln wird wieder zurückgesetzt…drücke ich das Schloss, was dann anschließend verschwindet, sind die gerade gesetzten Regeln gespeichert und somit permanent gesetzt.
Zu den Spalten:
Die linke spalte gilt für alle Webseiten und die rechte Spalte gilt nur für die aufgerufene Webseite.
Sprich machst Du links rot (zum Beispiel googleanalytics) ist diese domain auf allen Seiten die Du aufrufst gesperrt, aktivierst Du das Schloss ist diese Regel permanent und googleanalytics hat nie wieder Zugriff. Mit der Zeit lernst Du was Tracking Verbindungen sind und kannst diese permanent sperren.
Für Seiten die man öfters besucht, sollte man wenn diese korrekt eingestellt wurde das Schloss aktivieren, beim nächsten Besuch hat man die „Arbeit“ dann nicht mehr.
Die angelegten Regeln können dann unter den Einstellungen eingesehen werden, hier kann man sagen rechte Spalte temporär und linke permanent.
Ob Du eine Regel global oder nur für die aktuell besuchte Seite setzen willst kannst Du entscheiden, Du kannst auch Global sperren und für eine bestimmte Seite zulassen, dann ist links rot und rechts grau.

Für no script hast du 3 bzw 4 Stufen…Für Default kann man bedenkenlos media frame noscript und others aktivieren. Untrusted hat gar keine Hacken und Trusted gibt neben script noch font und fetch frei.
Hier arbeite ich aber viel mit custom Einstellungen und die top-level domain bekommt bei mir temporär immer Trusted. Sollte eine Seite nicht funktionieren, schalte ich die einzelnen Domains auf custom und dort zeigt er an welche Freigabe benötigt wird, roter Glow Effekt um die Hakenbox… und ich kann zusätzlich hier auswählen, ob diese Freigabe auf jeder Seite gilt oder wieder nur für die besuchte Seite. Die custom und Untrusted Regeln werden dann auch in den Einstellungen angezeigt.

Mit Deiner Default Einstellung blockst Du ja jede Domain bis auf die noscript Freigabe.
Bei Dir bekommt die besuchte auch eine Default Einstellung.

Wenn Du für die fettgeschrieben URL eine Regel setzt, werden die dazugehörigen Domains darunter ebenfalls rot, wenn Du das als globale Regel seitenübergreifend setzten willst, benutze die linke Spalte und aktiviere das Schloss für eine permanente Regel.

Wenn ich falsch liege bitte korrigieren…

Die Antwort von @anon83163390 kann Ich eigentlich so voll und ganz unterschreiben.

Wenn Ich das aber im zweiten Bild im Beitrag richtig erkenne, wird das Tor Browser Bundle verwendet, korrekt?

In diesen Fall möchte Ich darauf hinweisen, dass dringlichst davon abgeraten wird, selber AddOns in diesem zu installieren, oder mit den NoScript Einstellungen zu hantieren.
In erster Linie sollen die Optionen der „Sicherheitsstufe“ verwendet werden, das sind jene hinter dem Schild-Symbol in der Symbolleiste des Browsers.
Falls „Am sichersten“ bzw. Stufe 3 zu restriktiv ist (weil wenige Webseiten wirklich funktionieren), sollte man eher „sicherer“ bzw. Stufe 2 verwenden, als selber an den Einstellungen etwas zu ändern.
Darauf fußt nämlich, neben anderen Dingen, die Anonymität, die einem das Tor Browser Bundle bietet.

In anderen Browsern sieht das anders aus.

Falls man unbedingt nicht von der dritten, höchsten Sicherheitsstufe weg möchte, sollte man höchstens mit NoScript eine benötigte Domain in den „custom“ Zustand setzen, und dort „script“, „object“ und/oder „fetch“ erlauben, mehr aber nicht verändern.
„Die Sicherheitsstufe des Tor-Browsers übersteuern“/„Override Tor Browsers’s Security Level preset“ sollte niemals angehakt sein.

Freigaben müsste man aber bei jeden Neustart erneut einrichten, und das ganze ist höchstens für ganz wenige Seiten, in seltenen Fällen, tolerierbar.
Wenn das inakzeptabel für einen ist, oder man regelmäßig/„überall“ solche Freigaben macht, sollte man sich mit Stufe 2 abfinden.
So weicht man nämlich nur Stufe 3 auf, und ist im Kern auf Stufe 2, außer man macht etwas falsch, dann ist der Schutz noch geringer.
Stufe 3 ist für völlig andere Sicherheitsbedürfnisse, bei denen absolut kein JavaScript erwünscht ist, das schließt Ausnahmen per Definition eigentlich aus.

Als kleiner „Workaround“: Manche Artikel/Webseiten kannst du trotzdem in Stufe 3 lesen, wenn du den „Reader Mode“ aktivierst.
Das ist das Dokumentensymbol in der URL-Leiste. Hilft manchmal auch gegen dumme Consent-Dialoge, die man so weder akzeptieren noch ablehnen muss.

Theoretisch, wenn es absolut sein muss, könnte man uBlock Origin verwenden, da das häufiger getan wird, und meines Wissens nach momentan keine Leaks durch Fehler darin existieren (die aber, wenn Ich mich richtig erinnere, schonmal in dieser Kombination existierten).
Sollte es dann aber in den Standardeinstellungen belassen, keine zusätzlichen Filterlisten hinzufügen/aktivieren, und kein „dynamic filtering“ damit nutzen.
Es wird trotzdem stark davon abgeraten, und man sollte wirklich keine AddOns im Tor Browser Bundle hinzufügen.

Nein, es steuert ansich beides die exakt gleiche Funktion.
Der Grund, warum beide Spalten existieren, ist der, dass du auf manchen Seiten eine Freigabe benötigst, die sonst generell nicht nötig (oder erwünscht) ist.
Beispielsweise möchtest du vermutlich Google global blockieren.
Falls du jedoch unbedingt eine Seite nutzen möchtest, für deren Funktionen ein „reCaptcha“ gelöst werden muss, „musst“ du google.com und gstatic.com für diese Seite entsperren.
Dafür käme die rechte Spalte zur Anwendung.

Nur wegen der Terminologie:
Die Top-Level-Domain ist so etwas wie „.de“ oder „.com“, am „höchsten Punkt“ der Domain.
Die Domain der Seite, im Beispielbild, wird in uBlock Origin fett markiert, und ist „faz.net“.
Deren Subdomains werden darunter aufgelistet: „static.faz.net“, etc.

Nein, das ist falsch. Siehe dazu die Anmerkungen von @anon83163390 und mein uBO Tutorial.

Ganz große Klasse!!!
Das nenne ich doch mal eine perfekte Erklärung von euch beiden.
Besten dank an: M-u-m-p-i-t-z und D299 sowie seeket, für das exzellente uBlock Tutorial.

Ihr habt mir alle sehr, sehr geholfen.

Blockzitat D299:
In diesen Fall möchte Ich darauf hinweisen, dass dringlichst davon abgeraten wird, selber AddOns in diesem zu installieren …

Blockzitat D299:
Es wird trotzdem stark davon abgeraten, und man sollte wirklich keine AddOns im Tor Browser Bundle hinzufügen.

Habe ich sofort geändert.

Aber verwunderlich ist, dass (zumindest in älteren Versionen von) Tails diese AddOns verwendet.

Ich habe die AddOns jedenfalls rausgenommen, da ich denke, dass es besser ist, hier auf die Empfehlungen der Entwickler zu hören.

Noch mal vielen Dank an alle Beteiligte, bin begeistert!

Ich wünsche, euch eine schöne Woche.
Hermann

Best Practice für NoScript beim Tor Browser ist immer über die safe, safer, safest settings zu arbeiten. NoScript wird so im Hintergrund idiotensicher konfiguriert.
Der Tor Browser wird von tails mit uBlock ausgeliefert. Jeder hat die gleichen filterlisten und die filterlisten bekommen auch keine updates. Ist ein Extra Layer für die, die JavaScript aktivieren.
1.Layer NoScript
2. Layer uBlock
3. Layer RFP
4. Layer Tails

Das hier der Tor Browser Fingerprint verändert wird ist nicht schlimm, da selbst wenn sich ein Script durch alle Schichten bohrt, sich nur festellen lässt das Tails verwendet wird.