Teuflisches Javascript?

Immer öfter wird Kritik an Webseiten geäußert, die Javascript (JS) einsetzen. Einerseits, weil das immer ein Sicherheitsrisiko darstellen kann(!), andererseits, weil es auch tatsächlich Webseiten gibt, die man tatsächlich nur nutzen kann, wenn Javascript im Browser zugelassen ist.

Ich sehe das, obwohl ich selbst bei Javascript auch zurückhaltend bin, trotzdem differenziert. Viele Funktionalitäten einer Webseite (die heute nun wirklich kein einfaches Textdokument – Gopher ist ja leider gestorben – oder ein Textdokument mit Bildern sind) werden mittels JS realisiert. Das sind oft Funktionen, welche die Benutzung des Webauftritts komfortabler in der Benutzung machen, sinnvolle Möglichkeiten bereitstellen und auch für eine modernere Optik sorgen.

Grundsätzlich spricht also nichts dagegen, wenn eine Webseite bestimmte Dinge mittels JS realisiert… es sollte nur nicht dazu führen, dass die Seite unbenutzbar wird oder die Informationen ohne aktiviertes JS nicht zur Verfügung gestellt werden. Und man sollte auch mit JS sparsam umgehen und bemüht sein (sofern möglich) externe JS-Quellen (also Bibliotheken auf anderen Servern) zu vermeiden.

Als Nutzer empfehle ich, Javascript nur DANN zuzulassen, wenn es unbedingt erforderlich ist und man den Quellen vertrauen kann. Gerade wo die Prozessor-Lücke Spectre durch die Medien galoppiert, sollte man mit JS vorsichtig sein, denn mit JS ist ein “Angriffsszenario” unter Ausnutzung dieser Schwachstelle durchaus denkbar. Aber auch schon vor Bekanntwerden dieser Lücke war es empfehlenswert, nicht jeder Webseite einfach das Herumwüten mit JS zu gestatten. Das kürzlich erst in den Medien – leider nur am Rande – erwähnte Session Replay (SR) ist eine “Spionage-Methode”, die ebenfalls auf JS-Einbindung basiert und deshalb auch durch eine unbedarfte Zulassung von JS greifen kann. Wer sich dafür interessiert, was SR alles so macht, sollte sich das “heute nur kurze” Video bei SemperVideo dazu anschauen: Achtung Aufnahme: Session Replay

Und wer nun meint, er sei davon sicher nicht betroffen, der kann gerne mal einen Blick in die Liste der 10.000 beliebtesten Seiten, die SR einsetzen, anschauen… da ist so einiges dabei, was vermutlich bei vielen zum Standard-Surf-Repertoire gehört.

Ein Adblocker ist das Mindeste, was man einsetzen sollte… nicht (nur) deshalb, weil Werbeeinblendungen häufig wirklich nerven können, sondern weil auch viele Angriffe durch Schadsoftware erfolgen, die man sich durch Werbung in den Browser schaufelt.

Es ist also ausgesprochen sinnvoll – in meinen Augen absolut notwendig – JS nur dann zuzulassen, wenn die Quelle ok ist und JS notwendig ist (erscheint). Häufig wird dafür NoScript empfohlen, was grundsätzlich auch nicht verkehrt ist. Ich halte jedoch die Alternative uMatrix für wesentlich besser. uMatrix wird nachgesagt (und der Programmautor sagt das ebenfalls), dass es nur für “fortgeschrittene” Nutzer sei. Ich muss allerdings sagen, dass das schlimmer klingt, als es tatsächlich ist. Man muss sich mit der Funktionsweise vertraut machen und sich daran gewöhnen, bei Seiten, die man erstmals ansurft und die sich dann nicht so verhalten, wie man es erwartet, die entsprechenden Einstellungen vorzunehmen. Das muss man aber nur ein Mal machen und kann die Einstellungen speichern. Anschließend bemerkt man nicht, dass uMatrix im Hintergrund werkelt. Mit uMatrix hat man deutlich mehr in der Hand, als mit NoScript. Schon in der Grundeinstellung arbeitet uMatrix sehr zuverlässig und macht z. B. auch einen anderen Adblocker nahezu überflüssig. Allerdings ist in der Grundeinstellung die Ausführung von JS zumindest von der Originalseite nicht blockiert. Das ist aber nicht sinnvoll, wenn man sich die möglichen “Bedrohungslagen” durch ausführbare Skripte anschaut. Deshalb sollte man, wenn man wirklich auf Nummer Sicher gehen will, Skripte in der Grundeinstellung generell blocken. Dazu ruft man die Optionsseite von uMatrix auf und wählt den Reiter “Meine Regeln”.

Dort klickt man im rechten Bereich (“Temporäre Regeln”) auf “Bearbeiten und fügt die Zeile

* * script blocken

ein.

Um diese Option dauerhaft zu speichern, klickt man anschließend noch auf “← Dauerhaft speichern”.

Nun werden diverse Webseiten nicht auf Anhieb funktionieren. Dann klickt man beim Browsen auf das uMatrix-Symbol und gibt das frei, was zur Funktionalität erforderlich und vertrauenswürdig (aus vertrauenswürdigen Quellen stammt) ist. Wenn man will, kann man dann durch einen Klick auf das Schloss-Symbol diese Auswahl für die jeweilige Seite auch dauerhaft speichern.

Das macht zunächst ein wenig Arbeit (für die Seiten, die man ständig ansurft), aber man gewöhnt sich das sehr schnell an und es geht in Fleisch und Blut über… und man muss es im Regelfall ohnehin nur ein Mal machen, wenn man die Auswahl speichert.

Eine Videoanleitung zu uMatrix (bezieht sich da auf Chrome, uMatrix gibt es aber für sehr viele andere Browser und das Prinzip ist identisch) findet man auch wieder bei SemperVideo: Chrome: uMatrix – Das wichtigste Addon

Das ist das (von vielen weiteren Dingen), die man beim Surfen tun kann, um halbwegs sicher zu sein… nun aber nochmal zurück zu JS auf Webseiten. Trotz dieser Szenarien (die man recht gut abwehren kann) bietet JS auch so einiges, weshalb es Blödsinn ist, es zu verteufeln. So gibt es inzwischen viele Seiten, die z. B. das Bootstrap-Framework einsetzen (ein Open-Source-Framework) und damit funktionale und responsive Seiten zur Verfügung stellen. Dann sind häufig auch JS-Funktionen eingebunden. Das lässt sich recht einfach bei uMatrix erkennen und es spricht nichts dagegen, die entsprechenden Quellen freizuschalten. Klar kann man auch auf dem Standpunkt stehen, grundsätzlich solche Routinen nicht zuzulassen. Solange die Seite benutzbar bleibt, bringt das auch keine Nachteile.

Bei Webseiten, die aber ohne JS einfach nicht laufen wollen, muss man halt abwägen, ob man darauf verzichten möchte, oder nicht. Sofern nicht zu erwarten ist (uMatrix zeigt einem ja, was da eingebunden wird), dass einem Schlimmes untergeschoben wird, halte ich es für übertrieben, solche Seiten (wegen JS) zu verteufeln. Wer “amish” surfen will, der soll das tun… das muss jeder für sich selbst entscheiden. JS grundsätzlich zu verteufeln ist aber nach meiner Auffassung extrem… und alles Extreme hat auch so seine Nachteile… 😉

 

Diskutiere bei Hubzilla

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.