Frage von gizehzigzag, 24

Mögliche Sicherheitslücke in No-Script?

Wenn man No-Script von Haus aus installiert, kommt es mit einer vorgegebenen Positivliste für erlaubte Seiten/Skripte.

Nun könnte der Nutzer denken, dass er nach der Installation jedes Skript im Browser erst manuell ausführen muss bzw. von No-Script gewarnt wird, falls Seiten versuchen Skripte auszuführen und verlässt sich blind darauf.

Wer mal einen genaueren Blick in die Positivliste des Add-on's wirft, der wird schnell feststellen, dass dort auch viele Einträge sind, die man dort eigentlich nicht haben will, wie z.B. Paypal.

Das wirklich gefährlich dabei ist allerdings, dass diese Positivliste auch heute IMMERNOCH Einträge beinhaltet, die so gar nicht mehr existieren. Domains werden als positiv gelistet, die gar nicht mehr vergeben sind. So könnte ein Angreifer einfach schnell eine dieser Domains erwerben und diese Sicherheitslücke ausnutzen. Er könnte auf diese Art und Weise "malicious-payload" über seine Domain injezieren und der No-Script-user würde es nicht mal merken.

Was meinen die Profis?

Antwort
von MagicalMonday, 11

Die Positiv-Listen müssen schon sein, damit normale User mit NoScript das Internet überhaupt noch vernünftig nutzen können. Da gehören halt die gängigsten Sachen rein, bei denen man sicher sein kann, dass sie unschädlich sind.

Dass "man" PayPal nicht haben will, ist deine persönliche Meinung. Viele Seiten nutzen es halt, und es tut dir nichts.

Wenn die angesprochenen Domains inzwischen wirklich gar nicht mehr vergeben sind, hast du da tatsächlich einen interessanten Punkt.

Kommentar von gizehzigzag ,

Ja, es sind auch Dating-Seiten drin und Domains die frei sind.

Keine passende Antwort gefunden?

Fragen Sie die Community