XSS-Schutz in uBlock (ohne NoScript)?

Manteuf · 10. Mai 2023 um 20:14

Hallo zusammen,

laut arkenfox soll NoScript mit uBlock Origin redundant sein.
Aber ich finde die Option bzgl. dem XSS-Schutz in uBlock nicht. Ist der Schutz etwa automatisch per Default immer aktiviert oder ist das die Option mit „Deaktiviere JavaScript“?
Oder benötige ich dafür eine extra Regel (oder Liste, etc.)?

Danke euch mal wieder!

D299 · 11. Mai 2023 um 21:03

uBlock Origin hat diese Funktion nicht.
Der „XSS-Schutz“ von NoScript ist imho unnütz, eigentlich sind Webseiten selbst dafür verantwortlich, dass sie nicht per XSS angreifbar sind. Zusätzlich wirft NoScripts XSS-Schutz häufiger false-positives, als dass es einen tatsächlich mal vor einen XSS-Angriff schützt.

Ich empfehle einfach, bei gesunder Paranoia, ein eigenes Browserprofil für kritische Webseiten (Banking, Shopping, … jenachdem bezüglich welcher Seiten du dir bei XSS-Angriffen sorgen machst), die einen höheren Schutz benötigen, zu verwenden, oder andernfalls einfach während Tätigkeiten auf solchen Seiten keine weiteren Webseiten aufzurufen/möglichst keine offen zu haben, und sich hinterher aus den Accounts auszuloggen.
Falls man sowieso keine Chronik vom Browser anlegen lässt (Cookies, Cache, …) ist das Ideal ein einfacher Neustart des Browsers, dann wären XSS Angriffe normalerweise irrelevant, da sie dann meist zu nichts führen können (außer ggf. bei Aufrufen von angreifbarer Webserversoftware im Heimnetz - unwahrscheinlich).

Nachtrag: Container für kritische Seiten reichen auch, als „ultimativer Schutz“ vor XSS auf Login-Webseiten, wenn ein Login nicht auch außerhalb dieser gilt.

Bit · 11. Mai 2023 um 21:18

Wer verantwortlich ist, nützt mir doch gar nichts, wenn ich das Opfer bin: meine Eingabe wird entführt.
Ich verzichte doch auch nicht auf Malwareschutz, nur weil manche Seiten selbst für ihre Verseuchung verantwortlich sind.

Ark · 12. Mai 2023 um 09:41

Ublock im Medium Mode wehrt die meisten Angriffe ab.
Es ist viel schwieriger, eine Website vollständig zu übernehmen und First Party Scripte auszuführen. Als Schwachstellen in JavaScript-Bibliotheken zu nutzen, um auf eine andere Website umzuleiten.

Manteuf · 12. Mai 2023 um 15:36

Vielen Dank euch für eure Hinweise
Dann werde ich uBlock mal in den Medium-Modus stellen.

Bzgl. NoScript. Ich dachte immer, dass ich das Tool hier bei Mikes Empfehlungen gelesen hätte, aber finde es nicht mehr.
Ist das Tool also überhaupt noch notwendig/empfohlen?

Ark · 12. Mai 2023 um 15:54

Dass der XSS Schutz unütz ist, erkennt man daran das er

nicht standardmäßig aktiviert ist.
an den vielen fixen/workarounds im Changelog.
dass er selbst nach 10 Jahren Entwicklung immer noch nicht richtig funktioniert

Bit · 12. Mai 2023 um 16:38

Also bei NoScript

ist er standardmäßig aktiviert (und die allgemeine Javascript-Blockade, die man als Einziges deaktivieren muss, wenn man es nur für den XSS-Schutz benutzen will).
(Ich hätte ihn nicht in der FF-Konfiguration gesucht)
funktioniert er solange, wie ich es kenne.

Manteuf · 12. Mai 2023 um 20:28

Okay, ich sehe schon hier gehen die Meinungen auseinander - ich belasse NoScript jetzt erst einmal aktiviert