JavaScript ist eine der Kerntechniken des modernen Internet, birgt aber auch einige Risiken.
  1. Mit Hilfe von Javascript kann man ein Vielzahl von Informationen über den Browser und das Betriebssystem auslesen. Bildschirmgröße, Farbeinstellungen, installierte Plugins und Hilfs-Applikationen.... Die Seite browserspy.dk zeigt eine umfangreiche Liste.

    Diese Informationen können zu einem individuellen Fingerabdruck verrechnet werden. Anhand dieses Fingerabdruck kann der Surfer wiedererkannt werden, auch wenn er VPNs oder Anonymisierungsdienste nutzt und Cookies blockiert. Die EFF geht davon aus, dass diese Methode von vielen Datensammlern genutzt wird.
    • Yahoo! Web Analytics nutzt Javascript Tracking Code, der auch Informationen des Browsers auswertet, wenn Cookies blockiert werden.
      In case Yahoo! Web Analytics cannot set a cookie, the system can still retrieve information from the JavaScript tracking code, the IP address and the web browser user agent.
    • Ein weiteres Beispiel ist die Firma bluecave. Das Trackingscript BCAL5.js sammelt Informationen zur verwendeten Software, installierte Schriftarten, Bildschirmgröße, Browser Plug-ins und ein paar mehr Daten, um daraus einen individuellen Fingerprint zu berechnen. bluecave protzt damit, 99% der Surfer zu erkennen.
    • Der Trackingdienst Multicounter und die Google Suche speichern die per Javascript ausgelesene Bild­schirm­größe als individuelles Merkmal.
  2. Einige EverCookie Techniken nutzen Javascript, um zusätzliche Markierungen im Browser zu hinterlegen und gelöschte Tracking Cookies wiederherzustellen.
  3. Durch Einschleusen von Schadcode können Sicherheitslücken ausgenutzt und der der Rechner kann kompromittiert werden. Das Einschleusen von Schadcode erfolgt dabei auch über vertrauenswürdige Webseiten, beispielsweise mit Cross Site Scripting, wenn diese Websites nachlässig programmiert wurden. Werbebanner können ebenfalls bös­artigen Javascriptcode transportieren. Im Januar 2013 lieferten die Server des Werbe­netzwerkes OpenX bösartige Scripte aus, die den Rechner über Sicherheitslücken im Java Plug-in und im Internet Explorer kompromittierten.

Prinzip Whitelisting

Ein generelles Abschalten ist heutzutage nicht sinnvoll. Ähnlich dem Cookie-Management kann man JavaScript für vertrauenswürdige Websites zur Erreichung der vollen Funktionalität erlauben, im allgemeinen jedoch deaktivieren. Gute Webdesigner weisen den Nutzer darauf hin, dass ohne Javascript eine deutliche Einschränkung der Funktionalität zu erwarten ist.

Mozilla Firefox konfigurieren

Die Einstellungen für Java-Script lassen sich mit dem Add-on NoScript komfortable verwalten. Ein Klick auf das Install-Symbol der Website installiert die Erweiterung. Nach dem Neustart von Firefox ist in der Statusleiste ein zusätzliches Symbol vorhanden, dass den Status der Freigabe für Javascript anzeigt. Ein Klick auf das Symbol öffnet ein Menü, welches Javascript für die aktuell relevanten Webseiten generell oder temporär für die laufende Sitzung freigibt.
NoScript Menü
Einige Webseiten verwenden Captchas als Spamschutz. Die Captchas werden von Drittseiten eingebunden (Recaptcha.com, Nucaptcha.com...) und funktionieren nur, wenn Javascript für den Captcha-Provider freigegeben ist. Wenn das Captcha auf einer Webseite nicht funktioniert, schauen sie in der NoScript-Liste nach, ob evtl. ein Captcha-Provider dabei ist und geben sie Javascript temporär für diese Domain frei.

Weitere Skripte von Drittanbietern wie googleapis.com werden üblicherweise nur zum Spionieren verwendet und sind für die Funktionalität selten notwendig.

Wählt man den Punkt "Einstellungen" im NoScript-Menü, öffnet sich folgender Dialog, der auf dem Reiter "Positivliste" einer Liste der Websites zeigt, für welche Java-Script freigegeben wurde. Als Erstes sollte man aus der Positivliste alles entfernen, was man nicht wirklich braucht. In der Liste findet man standardmäßig mit googlesyndications auch Surf-Tracker.
Einstellungen für NoScript
Auf dem Reiter "Benachrichtigungen" lässt sich beispielsweise konfigurieren, ob NoScript den Surfer mit einem Sound oder mit einem Info-Balken darüber informieren soll, dass Scripte auf der aktuellen Webseite blockiert wurden. Wenn eine Webseite jedoch nicht wie erwartet funktioniert, kann die kurze Einblendung eines Info-Balkens hilfreich bei der Suche nach den Ursachen sein.

NoScript dient nicht nur der Steuerung von Javascript und Java, es bieten Schutz gegen vielfältige Angriffe aus dem Netz. (XSS-Angriffe, Webbugs, Click-Hijacking....). Außerdem blockiert es auch Ping-Attribute. Das Bild zeigt den ClearClick-Schutz in Aktion:
clickjacking
Lizenz: Public Domain