Encoder: andere Art von JS Blocker

Guten Tag
Mal ne Frage bezüglich Scriptblockern. Es gibt ja kaum mehr eine Webseite die ohne Javascript auskommt. Manche benutzen fast schon zig Quellen für Script. Bildergalerien funktionieren nicht mehr ohne praktisch alles freizugeben. Man hat die Wahl entweder man vergisst das Internet oder man erlaubt alles. Scriptblocker verlieren damit ihren Nutzen.
Gibt es auch eine andere Art von Blocker, die nicht nur URLs sperren sondern bestimmte Funktionen von Script?
Was ich mir vorstellen könnte:

  • Ajax für bestimmte Seiten erlauben, egal woher das Script dafür stammt. Man hat doch keinen Überblick mehr wo in den 10 eingebundenen Scripten einer Seite Ajax steckt.
  • Cookies und Bilder von bestimmten Seiten wie z.B. Facebook sperren, die geht das nämlich einen feuchten .... an wo ich surfe. Besonders schön wäre eine Blacklist von Datenkraken.
  • Systeminformationen auslesen muss ausdrücklich erlaubt werden. Wozu soll eine Seite meine Plugins auslesen?

Was gibt es da alles und was ist zu empfehlen? Wonach sucht man am besten um was zu finden?

  1. Heyho,

    ich vermisch mal ganz frei deine Fragen, um besser antworten zu können ;)

    Gibt es auch eine andere Art von Blocker, die nicht nur URLs sperren sondern bestimmte Funktionen von Script?

    Das ist sehr schwer. Mit Chrome Extensions kannst du nur ganze Requests blocken. Du hast keinen Zugriff auf den Quelltext von z.B. gelieferten JavaScripten (falls das deine Frage war).

    Was ich mir vorstellen könnte:

    • Ajax für bestimmte Seiten erlauben, egal woher das Script dafür stammt. Man hat doch keinen Überblick mehr wo in den 10 eingebundenen Scripten einer Seite Ajax steckt.

    Als Chrome Extension ist es möglich gezielt XHRs zu bearbeiten/canceln. Da kannst du auch nach URLs unterscheiden, also z.B. nach facebook generell zu verbieten. Aber eine Extension dafür kenn ich nicht (würde mich auch interessieren)

    • Cookies und Bilder von bestimmten Seiten wie z.B. Facebook sperren, die geht das nämlich einen feuchten .... an wo ich surfe. Besonders schön wäre eine Blacklist von Datenkraken.

    Bei Bilder gilt das gleiche wie mit XHR requests. Cookies kannst du bei jedem Request aus den HTTP headers löschen.

    • Systeminformationen auslesen muss ausdrücklich erlaubt werden. Wozu soll eine Seite meine Plugins auslesen?

    Wie ganz oben angemerkt, eigentlich unmöglich, da du dazu den Quelltext ändern musst, was du nicht kannst. Möglichkeit wäre über eine Extension die nativen JavaScript Funktionen zum auslesen der Daten zu überschreiben.

    Was gibt es da alles und was ist zu empfehlen? Wonach sucht man am besten um was zu finden?

    Ich selber nutze RequestPolicy im Firefox, damit kannst du für jede Webseite einstellen, welche Requests zu welcher webseite erlaubt/verboten sind. U.a. kannst du auch generell Requests zu Werbeanbietern verbieten.

    Viele Grüße,

    Junker

  2. Hallo

    Mal ne Frage bezüglich Scriptblockern. Es gibt ja kaum mehr eine Webseite die ohne Javascript auskommt. Manche benutzen fast schon zig Quellen für Script. Bildergalerien funktionieren nicht mehr ohne praktisch alles freizugeben. Man hat die Wahl entweder man vergisst das Internet oder man erlaubt alles. Scriptblocker verlieren damit ihren Nutzen.

    Gibt es auch eine andere Art von Blocker, die nicht nur URLs sperren sondern bestimmte Funktionen von Script?

    Das ist mir nicht bekannt.

    Die Firefox-Extension NoScript erfüllt einen Teil deiner Anforderungen. Du kannst damit z.B. Skripte von der Seite oder von Goolge selbst (z.B. für google.maps) zulassen, aber solche z.B. von Facebook oder Google-Analytics sperren. Das geht aber nur seiten- und nicht funktionsweise. Zudem kommt es immer häufiger vor, dass ein Teil der -zig Quellen, die du oben schon beklagst, erst durch ein anderes Skript eingebunden wird. Und das teilweise kaskadierend, sodass man nacheinander fünf Skriptquellen zulässt, nur um festzustellen, dass mit jedem freigegebenen Skript jeweils fünf weitere Quellen eingebunden werden wollen. Das ist meiner Meinung nach eine Unsitte. *grml*!

    Tschö, Auge

    --
    Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
    Terry Pratchett, "Wachen! Wachen!"
    ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
    Veranstaltungsdatenbank Vdb 0.3
  3. Hallo,

    Mal ne Frage bezüglich Scriptblockern. Es gibt ja kaum mehr eine Webseite die ohne Javascript auskommt.

    also ich kann das immer noch nicht bestätigen. Ich habe bekanntlich Javascript generell deaktiviert und erlaube es nur selektiv für ein paar wenige Sites. Damit fahre ich eigentlich seit Jahren gut und werde nicht von den oftmals gutgemeinten, im Endeffekt aber meistens lästigen Effekten belästigt, die manche Webautoren uns um die Ohren hauen wollen.

    Gibt es auch eine andere Art von Blocker, die nicht nur URLs sperren sondern bestimmte Funktionen von Script?

    Im Prinzip ja. Zwei davon kenne ich aus eigener Erfahrung.

    Auf meinen Windows-Rechnern hatte ich immer die freie Version der Personal Firewall Outpost von Agnitum. Nicht so sehr, um mich gegen Angriffe von außen zu schützen (das tut mein NAT-Router schon ganz gut), sondern vor allem wegen der praktischen Add-Ons.
    So hatte Outpost z.B. einen Filter, der Mail-Anhänge, die für Windows ausführbare Dateien wären (exe, com, scr, ...), bereits während der Übermittlung umbenennt, so dass sie selbst beim Draufklicken keinen Schaden mehr anrichten können.
    Oder Outpost kann festlegen, welche Anwendung mit welchem Protokoll zu welchen URLs "ins Internet darf". Lästige Phone-Home-Software wird damit in den allermeisten Fällen wirksam ausgebremst.
    Und last but not least hatte Outpost auch einen Content-Filter, der Javascript sowohl in externen Ressourcen als auch im HTML eingebettet durchscannt, bevor es der Browser überhaupt sieht, und beispielsweise Aufrufe von window.open() oder Zuweisungen an window.status unschädlich macht.
    Leider ist dieser Content-Filter nicht auf weitere Funktionen erweiterbar, aber er zeigt deutlich, was möglich wäre.

    Und dann gab es mal den Proxomitron. Dieses an sich sehr praktische und nützliche Tool ist ein HTTP-Proxy, der die Daten in Echtzeit nach benutzerdefinierten Regeln filtert - beispielsweise bestimmte Header löscht oder manipuliert (Cookies, Referer), oder eben auch Nutzinhalt nach bestimmten Mustern durchsucht und auf Wunsch "on the fly" Ersetzungen vornimmt.

    Leider wird Proxomitron schon seit Jahren nicht mehr weiterentwickelt.

    • Ajax für bestimmte Seiten erlauben, egal woher das Script dafür stammt. Man hat doch keinen Überblick mehr wo in den 10 eingebundenen Scripten einer Seite Ajax steckt.
    • Cookies und Bilder von bestimmten Seiten wie z.B. Facebook sperren, die geht das nämlich einen feuchten .... an wo ich surfe. Besonders schön wäre eine Blacklist von Datenkraken.
    • Systeminformationen auslesen muss ausdrücklich erlaubt werden. Wozu soll eine Seite meine Plugins auslesen?

    In einen Proxy nach dem Baumuster von Proxomitron könnte man all diese Funktionen einbauen ...

    So long,
     Martin

    --
    Wer es in einem Unternehmen zu etwas bringen will, muss so tun, als hätte er es schon zu etwas gebracht.
    Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
  4. Meine Herren!

    Ein bischen Theorie:
    Durch die statische Analyse von JavaScript-Code lässt sich nicht zuverlässig voraussaugen, ob eine gewisse Funktion zu irgendeinem Zeitpunkt ausgeführt wird. Das geht nur durch Analyse zur Laufzeit, also die dynamishe Code-Analyse.

    Wenn du folglich eine JavaScript-Funktion unter Garantie deaktivieren willst, dann muss die Funktion im Browser, bzw. in der JavaScript-Engine selbst deaktiviert werden. Du kannst dich nicht darauf verlassen, dass irgendein Proxy/Firewall/Schießmichtot schon dafür gesorgt hat, dass der Code gar nicht im Browser ankommt.

    D.h. nicht das so eine Firewall überhaupt keinen Sinn macht, aber unter diesem Gesichtspunkt, kann sie dir eben keinen Schutz garantieren.

    Im übrigen ist auch garkein JavaScript-Code nötig, um ein Bewegungsprofil von dir zu erstellen. Dein Browser übermittelt bei jeder gewöhnlichen Anfrage ausreichend Informationen, um einen virtuellen Fingerabdruck von dir zu erzeugen. Bevor du dich, um die obskuren Tracking-Dienste kümmerst, würde ich erstmal naiv vorgehen und die höflichen Tracking-Dienste darum bitten, dich nicht zu tracken. Und nochmal: unter rein qualitativen Gesichtspunkten, kann eine Firewall dir in diesem Punkt auch nicht mehr Sicherheit garantieren, falls JS aktiviert ist.

    Mit Firewalls, Werbeblockern und co. kannst du aber die Quantität deiner preisgegebenen Daten deutlich einschränken.

    Qualitativ mehr Sicherheit kann dir vermutlich nur ein Tor-Client liefern, wobei dann natürlich auch JavaScript wieder deaktiviert sein sollte.

    So – viel geredet, aber wenig beigetragen.

    --
    “All right, then, I'll go to hell.” – Huck Finn