Dette indlæg er alene udtryk for skribentens egen holdning.

Alt for meget sikkerhed

5 kommentarer.  Hop til debatten
Blogindlæg6. november 2008 kl. 12:00
errorÆldre end 30 dage

Jeg er blevet træt af sikkerhed. Eller i hvert fald træt af at de fleste standardsystemer vi benytter er så skrøbelige i deres grundstruktur, at vi er nødt til at pakke dem ind i harnisk, gasmaske, høreværn og daglige vaccinationer før vi tør lade dem komme i kontakt med den virkelige verden.

Det der lige slog hovedet på sømmet var en opdatering af NoScript til Firefox. NoScript bliver fra mange sider udråbt til at være den største forbedring af sikkerheden ved web-browsing siden jeg ved ikke hvad, fordi den giver fuld kontrol over hvilke scripts der må udføres når man besøger en side.

Hmm, egentlig er det vel så den største forbedring af sikkerheden siden selvsamme sikkerhed blev totalt konmpromitteret da man gav diverse scripting sprog direkte adgang til computeren udenfor web-browseren.

Det virker perfekt, men det er godt nok besværligt at bruge. Mest fordi brugen af scripts på web-siderne - og specielt eksterne scripts - synes at være eksploderet i det års tid jeg har benyttet NoScript. Det betyder at enhver ny hjemmeside jeg besøger efterhånden kommer og spørger om jeg vil godkende at udføre scripts måske 5-7 forskellige hosts.

Artiklen fortsætter efter annoncen

Hvad skal jeg svare' Hvad skulle få mig til at svare nej'

Jeg aner jo ikke hvad de scripts gør. Jeg får ikke at vide hvilke ressourcer de beder om adgang til. Jeg kan heller ikke se om det er et script udvikleren af hjemmesiden har bedt om at få udført, eller om det er resultatet af et hacker-angreb.

Indrømmet, da mit Joomla-site blev defaced i august var jeg ret glad for at jeg ikke automatisk fik udført de scripts de havde lagt på sitet, men det var vist mest held - havde jeg selv brugt scripts ville jeg jo have givet lov til at scripts fra mit eget site blev udført.

Den sidste opdatering af NoScript fik mig til at tænke over om det virkelig gav mig nogen som helst form for ekstra sikkerhed. Om det gav nok til at jeg ville anbefale det til andre. Ultimativt om sikkerheden blev så meget forbedret at jeg ville installere den på mine forældres computere.

Artiklen fortsætter efter annoncen

Nu har jeg slået den fra.

Men hvad gør jeg så indtil nogen udvikler et bedre sikkerhedsmodul til javascript - et hvor jeg selv får lov til at bestemme hvilke maskinressorucer jeg giver adgang til?

Jeg kan jo ikke rigtig bruge security by obscurity på en pc...

Er min eneste mulighed regelmæssig backup af data og en religiøs tilgang til nettet?

P.S. Jeg skriver pc i betydningen Personlig Computer. Det dækker for mig over min Mac, min kones Vista, min datters XP samt min udviklings-linux, så al debat om at skifte platform er ..... Off-Topic ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=")

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
6. november 2008 kl. 14:38

Da jeg ikke må foreslå dig at vælge et mindre usikkert OS, så vil jeg bare dele en glad lille hændelse fra den anden dag.

Jeg fik en besked via MSN fra en ven som bestod af et underligt tegn og ikke andet.

Det viste sig at han ikke havde skrevet noget til mig, så det var nok en msn virus han havde på sin windows. Heldigvis bed den ikke mig, da jeg ikke kører windows.

4
6. november 2008 kl. 15:40

Jeg fik en besked via MSN fra en ven som bestod af et underligt tegn og ikke andet.</p>
<p>Det viste sig at han ikke havde skrevet noget til mig, så det var nok en msn virus han havde på sin windows.
Heldigvis bed den ikke mig, da jeg ikke kører windows.

Sådan en har jeg også fået, så hvis jeg kører Windows, så har jeg virus?

3
6. november 2008 kl. 15:31

Når jeg surfer på nettet har jeg generelt disabled javascript.

Desværre er det tilsyneladende blevet et modefænomen, at man (mis)bruger javascript til selv de mindste layout - 'ting'.

Jeg skriver 'ting', da jeg ikke ved hvad eksempelvis dette javascript på siden her gør:http://www.version2.dk/modules/util/include/mootools-release-1.11-compressed.js

(Jo jeg kan godt 'dekompilere' den hvis jeg er interesseret, men det er lidt Japansk hjernehindebetændelse at bruge en hjemmestrikket 'packer' i stedet for gzip[1] som har eksisteret som standard siden sidste årtusinde).

[1]http://www.ietf.org/rfc/rfc1952.txt

Javascriptet virker alligevel ikke i min browser/OS, og med eller uden javascript ser Version2 ligedan ud.

Jeg vil anbefale at køre uden javascript generelt, og kun enable det hvis der er en side man kun kan se, og gerne vil se, med javascript enabled.

Jeg vil ikke nævne nogle browsere, men i min browser kan jeg en- og dis-able javascript med et museklik.

1
6. november 2008 kl. 14:36

Jeg bruger NoScript på min pc hjemme, og jeg brugte det også på min firma-pc i det forrige job. Indtil videre har jeg ikke installeret det på min firma-pc i det nye job (og der har jeg været i lidt over en måned nu).

Stort set alle sites, der ikke blot indeholder simpelt, statisk indhold, kræver udførsel af scripts for overhovedet at bruge siden.

Typisk er scripts altid nødvendige på sites i forbindelse med analyser, brugerundersøgelser og lignende, og her har jeg flere gange oplevet, at når jeg så gav lov til scripts og reloadede siden, fik jeg at vide, at jeg allerede havde svaret og ikke kunne gøre det igen.

Jeg er udmærket klar over, at dette er en meget dårlig implementation på sådan et site, men det ændrer ikke på, at NoScript i den situation bliver til irritation mere end til sikkerhed.

En af de gode ting ved NoScript er beskyttelsen mod Cross-Site Scription (XSS). Nok i virkeligheden et af mine primære argumenter for at bruge NoScript. Men hvad hjælper det, når ens nye betalingskort bruger et sikkerhedssystem, der lige skal forbi ens bank for at verificere? Vel og mærke noget, der i mange tilfælde er implementeret ved brug af netop XSS …

5
6. november 2008 kl. 19:23

Hmm, egentlig er det vel så den største forbedring af sikkerheden siden selvsamme sikkerhed blev totalt konmpromitteret da man gav diverse scripting sprog direkte adgang til computeren udenfor web-browseren.

JavaScript har alle dage kørt i en sandkasse. Ingen har givet scripting adgang til noget som helst udenfor browseren.

Har der nogensinde været virus til MSN? Jeg kan kun huske de orme som har flureret.