Braucht man wenn man Linux nutzt eine Erweiterung wie Noscript?

[Nutzer4354]

ich nutze Linux schon seit Jahren und hatte dabei immer die Erweiterung Noscript sowie Ublock Origin und auch seit einiger Zeit https Everywhere installiert.

Ich habe auf einem Vortrag mal gehört, dass eine Erweiterung wie https Everywhere generell während dem Surfen vor Hackerangriffen schützt, dh den Browser schützt.

Ich frage mich nun, ob generell auf einem Linuxsystem die Erweiterung Noscript eigentlich noch nötig ist, insbesondere wenn man Ublock Origin und https Everywhere integriert hat.

Welcher Meinung seit ihr? Ist mein System ohne Noscript für Drive By Downloads und auch Hackerangriffen während dem Surfen stärker gefährdet, wenn ich die beiden anderen Addons drin lasse oder sollte ich das Dreiergespann inkl. Noscript doch so belassen ?

Bin gespannt auf Eure Begründungen

[Nutzer4354]

Ergänzend: Ich surfe nicht auf schmutzigen Seiten und schaue auch sonst immer, auf was ich klicke... aber trotzdem surft man hier und da auch unbekannte Seiten an, weil man nicht alles kennen kann.. und man immer wieder mal was recherchieren muss und man nicht immer alles auf bekannten Seiten findet

Weitere Frage, die ich aufwerfen möchte: Wie anfällig ist ein Linux generell für Drive By Downloads?


Auf durchschnittlichen und nehmen wir als extrem Beispiel mal wirklich verseuchte Seiten... ist ein Linux da resistent dagegen, wenn es wirklich mal auf verseuchte Seiten trifft? Wie wasserdicht ist das alles?

[gosia]

Hallo Nutzer4354,
brauchen oder nicht, das ist IMHO etwas subjektiv, auch weil es verschiedene Aspekte gibt, dies zu benutzen oder nicht.
Wenn es dich nicht stört, mit aufploppenden Nudel- und Waschmittelreklamen belästigt zu werden, dann brauchst Du es nicht. Wenn es dich nicht stört, dass eventuell deine gesammelten Cookies ausgelesen werden, um dein Surf- und Einkaufsverhalten zu analysieren, dann brauchst Du es auch nicht. Kann natürlich sein, dass es in dieser Hinsicht eh nicht viel zu holen gibt, weil Du imer im Privatmodus surfst und z.B. spätestens beim Browserende alles gelöscht wird, dann ist es auch gut. Wenn Du aber deine Daten (im weitesten Sinne) sowieso Google, Facebook und Co. anvertraust, dann kommt es eh nicht mehr drauf an
Bleibt nur noch der Sicherheitsaspekt, z.B. Einschleusen von Schadsoftware, das lässt sich für mich schwer einschätzen. Das gibt es sicher auch für Linux, aber der überwiegende Teil wird sich wohl eher auf Windows als dem verbreitesten und leichteren Ziel konzentrieren. Mein Fazit: ein gesundes Mass an Paranoia ist nie verkehrt, es schadet also nicht Erweiterungen wie Adblocker bzw. Noscript zu benutzen, obwohl ich andere Wege wie z.B. Privoxy,
http://www.privoxy.org/
unter Umständen zusätzlich Tor bzw. gar Tails bevorzuge. Wenn Du wie ich eine schmale Leitung hast, ist auch der Einsatz von squid
http://www.squid-cache.org/
empfehlenswert, nicht nur wegen der Bandbreite, sondern ebenfalls zur Erhöhung der Sicherheit.
Was "obskure Webseiten" betrifft, so ist es ein Irrglaube, dass die Gefahr nur von dort kommt. Ich erinnere mich, dass vor längerer Zeit z.B. auf der Seite der BBC von "Werbebannern" Erpressersoftware verbreitet wurde. Liegt daran, dass solche grossen Betreiber oft nicht in der Lage und/oder Willens sind, allen Code der vermieteten Banner zu überprüfen.
Ich möchte aber auch immer wieder darauf hinweisen, dass Sicherheit nicht durch das einmalige Drücken von ein oder zwei Knöpfen (Firewall, Adblocker, Ports usw.) erreicht wird und dann kann man sich vermeintlich beruhigt zurücklehnen, nein, Sicherheit ist ist immer ein ganzes Konzept, ein Bündel von Massnahmen, dass immer wieder erneuert und angepasst weden sollte. Lass ruhig mal lynis
https://cisofy.com/lynis/
über deine Mschine laufen und Du wirst erstaunt sein, was dir da alles an Verbesserungsmassnahmen vorgeschlagen wird.
Unverzichtbar empfinde ich auch das Studieren entsprechender Blogs, die auf aktuelle Bedrohungen hinweisen und Vorschläge dazu machen. Mein Lieblingsblog in dieser Hinsicht ist der Kuketz-Blog
https://www.kuketz-blog.de
mindestens mit seiner "Empfehlungsecke", es gibt aber auch andere.

viele Grüsse gosia

[Siliziumfuchs]

Wege wie z.B. Privoxy,
http://www.privoxy.org/

eigentlich wollte ich was längeres schreiben, aber das kommt später. Jetzt nur kurz:

der obige Link führt bei mir aktuell auf eine russischsprachige Webseite!
(Könnte auch daran liegen dass ich hier bei mir noch kein "NoScript" installiert habe.)

[gosia]

Hallo Siliziumfuchs,

der obige Link führt bei mir aktuell auf eine russischsprachige Webseite!

seltsam...

Könnte auch daran liegen dass ich hier bei mir noch kein "NoScript" installiert habe.

na, dann nachholen. Oder Putin ist schuld...

viele Grüsse gosia

[Nutzer4354]

Bleibt nur noch der Sicherheitsaspekt, z.B. Einschleusen von Schadsoftware, das lässt sich für mich schwer einschätzen. Das gibt es sicher auch für Linux, aber der überwiegende Teil wird sich wohl eher auf Windows als dem verbreitesten und leichteren Ziel konzentrieren. Mein Fazit: ein gesundes Mass an Paranoia ist nie verkehrt, es schadet also nicht Erweiterungen wie Adblocker bzw. Noscript zu benutzen

das ist eben der springende Punkt der mich bei dem interessiert. Wie ich ja schon schrieb, praktiziere ich ein sehr strenges und auch bewusstes Nutzerverhalten alles in allem und ich achte sehr darauf, was ich anklicke und mache im Netz, welche Dateien ich herunterlade und was ich auf meinem System installiere, welche Sticks ich anschließe usw. halte meinen Router absolut aktuell und konfiguriere ihn so sicher wie es eben die Routeroberfläche von den dort vorhandenen Funktionen her ermöglicht.

Aber es bleibt immer ein Restrisiko, weil man wie bereits gesagt ab und an auch auf nicht bekannten Seiten surft und dieser Punkt interessiert mich eben insbesondere, in wieweit ein Linux an der Stelle "wasserdicht" ist ohne Noscript. Wobei ich wie bereits erwähnt hptts everywhere und Ublock Origin sowieso immer nutzen werde, die Frage ist nur, ob ich Noscript weg lassen kann, dh mich interessiert, inwieweit ein Linux resistent gegen solche Angriffe ist und in wieweit diese Erweiterungen (jede einzelne im Detail) dieses Risiko minimieren.

EDIT: Es ist einfach so, dass bei der täglichen Informationsverarbeitung man immer wieder Links anklickt und man einfach nicht alles kennen kann, daher denke ich schon, dass mein Rechner immer wieder mal mit solchen Angriffen konfrontiert ist.

Vielleicht kann ja noch einer mehr dazu schreiben, wäre toll.

[gosia]

Hallo Nutzer4354,
ich sehe schon, ich habe zu viel und teilweise auch an deiner Frage vorbei geredet. Deshlb hier die Kurzfassung:
wenn Du dich besser fühlst, dann installere NoScript (ist es überhaupt noch kompatibel mit dem jetzigen FF?). Aber denke nicht, dass Linux nun dadurch "wasserdicht" wird, was auch immer Du darunter verstehst, und Du kannst dich beruhigt zurücklehnen. Schon deshalb nicht, weil viele Seiten ohne JavaScript nicht mehr richtig oder gar nicht funktionieren und Du gezwungen sein wirst, dort mindestens einzelne Elemente oder alle "freizugeben". Natürlich sind über 99% dieser Seiten/Elemente gefahrlos, aber bist Du in der Lage, dies immer einzuschätzen? Ich bin es jedenfalls nicht. Ja, ich habe die Homepage meiner Bücherei/Tageszeitung/... schon hundertmal besucht und weiss, dass sie vertrauenswürdig ist und ich deshalb NoScript abstellen kann, damit ich eine Bestellung/einen Kommentar usw. überhaupt durchführen kann. Aber weiss ich denn, ob nicht gerade heute diese Seite gekapert wurde und der Bestellbutton nicht mehr dafür sorgt, dass ich mein Lieblingsbuch bekomme, sondern mir stattdessen Schadcode auf den Rechner liefert?
Aus diesen und anderen Gründen kann ich dir nicht garantieren, dass mit NoScript dein Browser "wasserdicht" wird. Auch Linux ist verwundbar, nur dass eben u.a. durch die Rechteverwaltung diese Verwundungen sehr selten sind und noch seltener, äusserst selten, "zum Tode führen".
Also nochmals, klammere dich nicht an einzelne Massnahmen, von denen Du dir das Heil im Sinne von Unverwundbarkeit erhoffst, sondern erarbeite dir ein Sicherheitskonzept von Massnahmen, die ineinander greifen, sich ergänzen, die Du verstehst und handhaben kannst (bzw. konfigurieren).
Aber zum Glück habe ich bei deinem Beitrag den Eindruck, dass Du genau dies tust, so dass ich mir eigentlich kaum Sorgen mache. Also mach weiter so, nur verfalle bitte nicht der Vorstellung, mit dieser oder jenen "letzten Massnahme/Installation" ist dein Rechner "wasserdicht".

viele Grüsse gosia

PS. War nun doch wieder länger und geschwätziger als gewünscht, aber wie Du erhoffe ich mir jedenfalls weitere Kommentare, Widersprüche, Ergänzungen...

[Daemon]

Wie schon im anderen Thread erwähnt, Linux hat sogar mehr Sicherheitslücken als Windows.
Nur um mal den neuesten zu nennen: DirtyPipe. Geht von Kernel 5.8 bis einschliesslich 5.16.11.
Damit ist es möglich root Rechte zu bekommen, Sicherheitslücke direkt im Kernel. Was will man dagegen machen?
Ãœbertragbar z.B. durch "Programme", z.B. aus dem AUR, oder noch besser, als "trusted user" direkt von den Distri Entwicklern. Sind das alles gute Menschen?
Oder auch den neuen Linux rootkit, auch nicht schlecht.

Um es kurz zu machen, und um halbwegs auf der sicheren Seite zu sein:
Hol dir PiHole und dazu noch TorBox. Läuft beides auf einem Raspi. Damit ist man sicherer unterwegs als 99% der Menschheit.

Die Malware (Viren, Trojaner, usw.) sind meistens so programmiert das sie "einfach" übertragbar sind, die halten sich nicht an solchen Sachen wie PiHole und TorBox auf, die ziehen weiter ohne was zu machen.
Probleme machen halt solche Sachen wie oben erwähnt DirtyPipe, also wenn die direkt aufs System kommen. Die haben dann ein leichtes mit den root Rechten z.B. ein BotNet aufzubauen ohne das es jemand merkt.

[Siliziumfuchs]

So, eine Sammelantwort meinerseits....

seltsam...

Also mittlerweile führt der privoxy-Link auch bei mir auf die richtige Seite. Heute mittag hatte der Rechner nach dem Klick auf den Link gefühlt eine Stunde benötigt bis bis er dann offenbar wusste von wo er die Daten holen sollte und das war dann diese russische Webseite.
Mein pihole sagt mir dass er um 13:39:03, 13:40:20 und später die DNS-Anfragen nach www.privoxy.org an DNS.WATCH (84.200.69.80) weiter geleitet hatte. Kann man bei pihole eigentlich irgendwo auch sehen welche IP-Adresse bei so einer Anfrage am Ende ermittelt wurde?

wenn Du dich besser fühlst, dann installere NoScript (ist es überhaupt noch kompatibel mit dem jetzigen FF?).

Hier läuft gerade der Firefox 98.0.1 und (inzwischen habe ich es installiert) NoScript 11.3.7. Also sage ich mal: Ja, es ist (möglichweise "wieder") kompatibel!

Ich habe auf einem Vortrag mal gehört, dass eine Erweiterung wie https Everywhere generell während dem Surfen vor Hackerangriffen schützt, dh den Browser schützt.

Da ist meiner Meinung nach etwas falsch... es schützt gegen abhören der übertragenen Daten, aber nicht den Browser vor Hackerangriffen.
Aber da gibt es hoffentlich Leser da draußen die da mit mehr Wissen etwas zu sagen können.

Die Angriffe auf den Browser geschehen u.a. eben durch JavaScript und damit braucht es dann eben auch immer noch NoScript auf dem Browser. Wie schon gosia geschrieben hatte: funktionieren ohne JavaScript aber dann viele Seite nicht mehr oder nicht vollständig.

Ich sage mal so: gute Webseiten [nach meiner Definition] funktionieren auch ohne JavaScript, aber moderne Webseiten brauchen es dann leider doch.

Das ist aber alles innerhalb des Browsers und damit unabhängig vom drunterliegendem Betriebssystem. Was dann das Betriebssystem mit den Dateien macht, die man sich durch bösartigem JavaScript-Code eingefangen hat, das ist eine ganz andere Frage.
Von daher: immer mit Noscript, egal welches Betriebssystem! Meiner Meinung nach....

Aber es bleibt immer ein Restrisiko, weil man wie bereits gesagt ab und an auch auf nicht bekannten Seiten surft und dieser Punkt interessiert mich eben insbesondere, in wieweit ein Linux an der Stelle "wasserdicht" ist ohne Noscript.

Wie schon hier irgendwer geschrieben hatte: auch die bekannten Seiten sind im Zweifel ein Risiko. Mindestens wenn sie von anderen Servern entweder irgendwelche Werbung und/oder JavaScript-Code (z.B. jquery oder React oder... ) nachladen. Es sind da ja schon Werbeserver gehackt worden und danach hatten dann ahnungslose Webserver (von z.b. Zeitungen/Verlagen oder andere die mit Werbung Geld verdienen) schädliche Werbung ausgeliefert.

Man könnte auch noch über WebGL (https://de.wikipedia.org/wiki/WebGL) nachdenken. Da gebe ich irgendwelchem Programmcode aus dem Internet Zugriff auf meine Grafikkarte.... wenn sich dann die Grafikkarte (vielleicht 'ne OnBoard-Grafikkarte) den Speicher mit der CPU teilt.
Gut, im fehlerfreien Normalfall sollte da dann die Grafikkarten nicht auf die Teile vom RAM zugreifen können, die von der CPU genutzt werden. Aber bösartiger Code zeichnet sich ja dadurch aus dass er eben absichtlich irgendwelche Fehler im System ausnutzt.

So, es wird spät, ich habe irgendwie den Faden verloren, ...
Gute Nacht, bis morgen!