Strom- und Leistungsfresser lauern in Javascripten

Hier findest Du Hilfe bei Problemen mit Firefox, Internet Explorer, Chrome und all den anderen.
Antworten
Benutzeravatar
Elch
Beiträge: 214
Registriert: Di 14. Mär 2017, 23:37
Betriebssystem: Windows
Virenscanner: MSE

Strom- und Leistungsfresser lauern in Javascripten

Beitrag von Elch »

Kurz vor neulich berichtete heise über Bitcoin Mining im Webbrowser mittels hinterhältig ausgeführten Javascripten:
https://www.heise.de/security/meldung/M ... 33536.html" onclick="window.open(this.href);return false;

Vor einigen Tagen bin ich dann mal auf eine Webseite gestoßen, die es tatsächlich frech versucht hat. Und das war keine Russen-Webseite. Bei mir bissen die da natürlich auf Granit. Aber ich wollte euch dann doch mal warnen. Immer mehr Zeitungswebseiten, ja sogar die ehemals halbwegs seriös wirken wollende FAZ (Frankfurter Allgemeine Zeitung) will nun die Webseitenbesucher zu misstrauenswürdigem Javascripten zwingen, obwohl dies zum lesen von Texten absolut unnötig ist. Also bitte aufgepasst. Zwar lässt sich etwa im Firefox Javascript insgesamt via about:config Schalter verbieten, jedoch wird das mit dem zum Javascript zwingen wollen, etwa bei Webseiten von Zeitungsverlagen, immer schlimmer.

So lange man noch einen alten Firefox benutzt lässt sich da noch viel in den Griff bekommen, etwa mit Add-ons wie NoScript und RequestPolicy. Jedoch mit Firefox 57 ist da erst mal Ende im Gelände, diese Add-ons sind technisch veraltet, die Schnittstellen gibt es im neuen Firefox nicht mehr und somit funktionieren nur noch Web-Extensions*.

Daher dieser Tipp: No Coin Filter List eine Blockierliste gegen heimtückisches Bitcoin Mining im Webbrowser:
https://github.com/hoshsadiq/adblock-nocoin-list/" onclick="window.open(this.href);return false;
Diese NoCoin Filter List lässt sich mit Werbeblocker und in der hosts Datei nutzen, oder gleich im Router zum Blockieren für alle Geräte im Heimnetz.


*Die Autoren von NoScript und RequestPolicy arbeiten an neuen Web-Extensions für den neuen Firefox 57, aber bislang sind die noch nicht fertig. Der Firefox 57 soll am 14. November 2017 veröffentlicht werden, lange hin ist das nicht mehr. Also besser schon mal Gegenmaßnahmen gegen heimtückisches Bitcoin Mining im Webbrowser einleiten.

Nachtrag:
Informationen zum Stand bei den Firefox Web-Extensions
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Strom- und Leistungsfresser lauern in Javascripten

Beitrag von NoG »

Da die Scripte ja alle von externen Hosts kommen, ist da NoScript imho das Mittel der Wahl.

Und zur Weiternutzung von NoScript wiederum - Waterfox. ;)
We have bugs the likes of which even God has never seen!
Benutzeravatar
Elch
Beiträge: 214
Registriert: Di 14. Mär 2017, 23:37
Betriebssystem: Windows
Virenscanner: MSE

Re: Strom- und Leistungsfresser lauern in Javascripten

Beitrag von Elch »

NoG hat geschrieben:
Und zur Weiternutzung von NoScript wiederum - Waterfox. ;)
Der auf dem Stand von Version 56 eingefroren werden soll. Finde ich gar nicht mal so pfiffig, dann noch bei Waterfox zu bleiben. Für diejenigen, die es gerne alt und abgestanden haben, gibt es ja auch die Firefox ESR Versionen, die bekommen wenigstens direkt von Mozilla ihre notwendigen Sicherheitsupdates. Javascript Bitcoin Mining kann auch in anderen Browsern passieren, sei es Chrome, Chromium, jede Webapplikation die auch solche Javasripte ausführen kann, kann von den Angreifern missbraucht werden.

Der Tipp mit der Blockierliste gegen Bitcoin Mining, um Schaden von User abzuwenden, gilt ja auch nicht nur für den Firefox. Verglühende Smartphones, oder Tablets, sind ja auch eher unschön für den Normaluser. Wegen der Webapplikationen packt man die Sperrliste auf Mobilgeräten wohl am besten in die hosts Datei. Zuhause lassen sich geeignete Router mit der No Coin Liste absichern. Mit Tomato ist das kinderleicht zu machen. Bei den Fritzboxen sollte sich eigentlich der Kinderschutz umfunktionieren lassen, da die No Coin Liste noch recht klein ist, so dass auch die Fritzbox das noch schaffen müsste. Bis zu 500 Einträge soll die 7490 vertragen können:
https://avm.de/service/fritzbox/fritzbo ... chraenken/" onclick="window.open(this.href);return false;
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Strom- und Leistungsfresser lauern in Javascripten

Beitrag von NoG »

Laut Website soll die Basis 56 ja auch nur die Uebergangsloesung zu einem komplett neu entwickelten Browser sein. Und definitiv mit Sicherheitspatches versorgt werden. Kurz- bis mittelfristig sehe ich da keine Probleme. Da sehe ich bei einem Firefox, mit dem sich NoScript nicht mehr nutzen laesst, erheblich groessere Probleme.
We have bugs the likes of which even God has never seen!
Benutzeravatar
Elch
Beiträge: 214
Registriert: Di 14. Mär 2017, 23:37
Betriebssystem: Windows
Virenscanner: MSE

Re: Strom- und Leistungsfresser lauern in Javascripten

Beitrag von Elch »

Das NoScript kommt ja wieder als Web-Extension.
Giorgio Maone arbeitet fleißig daran. Aber der Firefox hat doch so einige Schnittstellen mehr, als der Chrome oder der Chromium Webbrowser. Um die volle Funktionalität, die das alte NoScript im alten Firefox hatte, wieder zu erlangen, wird es wohl bis zum Firefox 58, wenn nicht gar bis zur Firefox Version 59 dauern, da es einige Schnittstellen, die für die volle NoScript Funktion gewünscht sind, es nicht mehr in den Firefox 57 geschafft haben.

Siehe hier:
https://forums.informaction.com/viewtop ... 133#p90133
Das hier ist auch eine schöne Anmerkung zur Situation, in die skrupellose Webseitenbetreiber das Internet gebracht haben:
https://forums.informaction.com/viewtop ... 389#p90389
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Strom- und Leistungsfresser lauern in Javascripten

Beitrag von NoG »

Und damit ist aus meiner Sicht Waterfox alternativlos.
We have bugs the likes of which even God has never seen!
Antworten