henrik knopper bloghoved

Alt for meget sikkerhed

Jeg er blevet træt af sikkerhed. Eller i hvert fald træt af at de fleste standardsystemer vi benytter er så skrøbelige i deres grundstruktur, at vi er nødt til at pakke dem ind i harnisk, gasmaske, høreværn og daglige vaccinationer før vi tør lade dem komme i kontakt med den virkelige verden.

Det der lige slog hovedet på sømmet var en opdatering af NoScript til Firefox. NoScript bliver fra mange sider udråbt til at være den største forbedring af sikkerheden ved web-browsing siden jeg ved ikke hvad, fordi den giver fuld kontrol over hvilke scripts der må udføres når man besøger en side.

Hmm, egentlig er det vel så den største forbedring af sikkerheden siden selvsamme sikkerhed blev totalt konmpromitteret da man gav diverse scripting sprog direkte adgang til computeren udenfor web-browseren.

Det virker perfekt, men det er godt nok besværligt at bruge. Mest fordi brugen af scripts på web-siderne - og specielt eksterne scripts - synes at være eksploderet i det års tid jeg har benyttet NoScript. Det betyder at enhver ny hjemmeside jeg besøger efterhånden kommer og spørger om jeg vil godkende at udføre scripts måske 5-7 forskellige hosts.

Hvad skal jeg svare' Hvad skulle få mig til at svare nej'

Jeg aner jo ikke hvad de scripts gør. Jeg får ikke at vide hvilke ressourcer de beder om adgang til. Jeg kan heller ikke se om det er et script udvikleren af hjemmesiden har bedt om at få udført, eller om det er resultatet af et hacker-angreb.

Indrømmet, da mit Joomla-site blev defaced i august var jeg ret glad for at jeg ikke automatisk fik udført de scripts de havde lagt på sitet, men det var vist mest held - havde jeg selv brugt scripts ville jeg jo have givet lov til at scripts fra mit eget site blev udført.

Den sidste opdatering af NoScript fik mig til at tænke over om det virkelig gav mig nogen som helst form for ekstra sikkerhed. Om det gav nok til at jeg ville anbefale det til andre. Ultimativt om sikkerheden blev så meget forbedret at jeg ville installere den på mine forældres computere.

Nu har jeg slået den fra.

Men hvad gør jeg så indtil nogen udvikler et bedre sikkerhedsmodul til javascript - et hvor jeg selv får lov til at bestemme hvilke maskinressorucer jeg giver adgang til?

Jeg kan jo ikke rigtig bruge security by obscurity på en pc...

Er min eneste mulighed regelmæssig backup af data og en religiøs tilgang til nettet?

P.S. Jeg skriver pc i betydningen Personlig Computer. Det dækker for mig over min Mac, min kones Vista, min datters XP samt min udviklings-linux, så al debat om at skifte platform er ..... Off-Topic ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=")

Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jens Fallesen

Jeg bruger NoScript på min pc hjemme, og jeg brugte det også på min firma-pc i det forrige job. Indtil videre har jeg ikke installeret det på min firma-pc i det nye job (og der har jeg været i lidt over en måned nu).

Stort set alle sites, der ikke blot indeholder simpelt, statisk indhold, kræver udførsel af scripts for overhovedet at bruge siden.

Typisk er scripts altid nødvendige på sites i forbindelse med analyser, brugerundersøgelser og lignende, og her har jeg flere gange oplevet, at når jeg så gav lov til scripts og reloadede siden, fik jeg at vide, at jeg allerede havde svaret og ikke kunne gøre det igen.

Jeg er udmærket klar over, at dette er en meget dårlig implementation på sådan et site, men det ændrer ikke på, at NoScript i den situation bliver til irritation mere end til sikkerhed.

En af de gode ting ved NoScript er beskyttelsen mod Cross-Site Scription (XSS). Nok i virkeligheden et af mine primære argumenter for at bruge NoScript. Men hvad hjælper det, når ens nye betalingskort bruger et sikkerhedssystem, der lige skal forbi ens bank for at verificere? Vel og mærke noget, der i mange tilfælde er implementeret ved brug af netop XSS …

  • 0
  • 0
#2 Klavs Klavsen

Da jeg ikke må foreslå dig at vælge et mindre usikkert OS, så vil jeg bare dele en glad lille hændelse fra den anden dag.

Jeg fik en besked via MSN fra en ven som bestod af et underligt tegn og ikke andet.

Det viste sig at han ikke havde skrevet noget til mig, så det var nok en msn virus han havde på sin windows. Heldigvis bed den ikke mig, da jeg ikke kører windows.

  • 0
  • 0
#3 Stig Johansen

Når jeg surfer på nettet har jeg generelt disabled javascript.

Desværre er det tilsyneladende blevet et modefænomen, at man (mis)bruger javascript til selv de mindste layout - 'ting'.

Jeg skriver 'ting', da jeg ikke ved hvad eksempelvis dette javascript på siden her gør: http://www.version2.dk/modules/util/include/mootools-release-1.11-compre...

(Jo jeg kan godt 'dekompilere' den hvis jeg er interesseret, men det er lidt Japansk hjernehindebetændelse at bruge en hjemmestrikket 'packer' i stedet for gzip[1] som har eksisteret som standard siden sidste årtusinde).

[1]http://www.ietf.org/rfc/rfc1952.txt

Javascriptet virker alligevel ikke i min browser/OS, og med eller uden javascript ser Version2 ligedan ud.

Jeg vil anbefale at køre uden javascript generelt, og kun enable det hvis der er en side man kun kan se, og gerne vil se, med javascript enabled.

Jeg vil ikke nævne nogle browsere, men i min browser kan jeg en- og dis-able javascript med et museklik.

  • 0
  • 0
#4 Mads Bendixen

Jeg fik en besked via MSN fra en ven som bestod af et underligt tegn og ikke andet.

Det viste sig at han ikke havde skrevet noget til mig, så det var nok en msn virus han havde på sin windows. Heldigvis bed den ikke mig, da jeg ikke kører windows.

Sådan en har jeg også fået, så hvis jeg kører Windows, så har jeg virus?

  • 0
  • 0
#5 Jacob Christian Munch-Andersen

Hmm, egentlig er det vel så den største forbedring af sikkerheden siden selvsamme sikkerhed blev totalt konmpromitteret da man gav diverse scripting sprog direkte adgang til computeren udenfor web-browseren.

JavaScript har alle dage kørt i en sandkasse. Ingen har givet scripting adgang til noget som helst udenfor browseren.

Har der nogensinde været virus til MSN? Jeg kan kun huske de orme som har flureret.

  • 0
  • 0
Log ind eller Opret konto for at kommentere