Wichtiges Security-Feature fast aller CPUs per JavaScript gebrochen

Die Address Space Layout Randomization (ASLR) git als eines der wichtigsten modernen Sicherheits-Features, das Prozessoren inzwischen mitbringen. Um diese aber auszuhebeln bedarf es nicht einmal eines Angriffs auf tiefer Ebene - es reicht bereits ... mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
klar sind die Hersteller da schuld aber, mMn sollte Javascript sowieso sehr sparsam eingesetzt werden, das sind WEBSEITEN und keine programme.
 
@My1: ist das nicht neuer Hipster Chic erstmal 1mb js mitzuliefern auf jeder Webseite ?
 
@CvH: und genau dieser geht mir aufn Zeiger. und 1MB du bist lustig, ich glaube spätestens wenn die Werbung losgeht, oh mein gott auf Golem (mal den adblocker aus spaß ausgeschaltet und in den privaten modus da ich bei denen abo habe) kam sogar ne Werbung die wollte zugriff auf meine MIDI geräte, ich hab nicht mal eins.
 
@CvH: oh man wenn ich das höre - 1 MB Javascript ist totaler schrott aber 4MB CSS files sind vollkommen ok oder wie? es liegrt ausschließlich an den entwicklern, webseiten zu optimieren - und viel js-code ist nicht schlecht per sé...
 
@My1: JavaScript wird meist zur Veränderung der DOM verwendet und damit wird so eine Webseite erst interaktiv und individuell. Wie definierst Du denn eine Webseite? Soll die aussehen, wie eine Videotext-Seite? Darüber sind wir glaube ich lange hinaus. CSS3 bietet schon vieles, was früher nur mit JavaScript möglich war, aber wenn man heute aus der Masse heraus stechen will, dann muss man coole Transitions einbauen, bewegte Bilder, funky Effekte ;)
Ohne JavaScript sähe das Internet heute noch wie zu BTX Zeiten aus und unser Layout wäre noch immer mit Tabellen gelöst ;)
 
@WaftOfSoul: ach ich hab so einige komplett durchgeknallte CSS Hacks die schon ein bisschen interaktivität ist und statt ajax wird halt einfach die form ganz normal gesendet.

Ich hab mit javascript grade aufm handy mit unserem Wunderschönen neuland internet inkl. Drossel viele Probleme gehabt. es gibt Forensoftware bei der geht das absenden von antworten auf nem thread nicht weil das javascript nicht korrekt geladen ist da passiert einfach gar nix.

und wenn seiten die für jeden kleinen Mist wie dropdowns oder spoilerboxen oder was weiß ich n JS verwenden, please not. ich hab für sowas ne checkbox die verschwindet und das clickelement isn schönes label das halt so aussieht wie ich es gerne hätte.
 
@WaftOfSoul: es gibt transitions und so kram auch in CSS mal so nebenbei und mal so gesagt, wenn du ne ausführbare datei von jemandem unbekannten per mail bekommst, führst du diese aus?
 
@My1: Ja, inzwischen gibt es CSS3, aber Browser-Kompatibilität ist immer noch ein Ding und nicht alles ist mit CSS möglich und/oder effizient.

Nein, ich mache nicht jede Mail auf, verwende einen AdBlocker und Flash verwende ich auch schon lange nicht mehr. Der Vergleich hinkt im übrigen. Aber das ist auch nicht der Punkt.

Ursprünglich ging es in dem Artikel darum, dass eine Schutzmaßnahme mittels JavaScript umgangen werden kann. Das ist sicher kein Fehler von JavaScript. JavaScript hat seine Daseinsberechtigung als leicht erlernbare und vielseitige Scriptsprache. Sicher ist mit modernem CSS3 viel möglich, aber vieles eben auch nicht und schon gar nicht in allen Browsern und auf allen Plattformen. Daher kommt man entweder nicht um JavaScript herum oder man setzt auf minimales Design. Sich vor schädlichem Code zu schützen bleibt leider in der Verantwortung des Users und der Browser-Herstellers, der seine ECMA-Engine dicht halten sollte.
 
@WaftOfSoul: Lach, das waren noch Zeiten als man Tabellen fürs Layout missbrauchte.
 
@My1: vor 10 Jahren war diese Aussage noch korrekt. Heutzutage funktioniert keine Internet-Applikation mehr ohne Javascript. Die Entwicklung im ECMAScript 6 zeigt auch, in welche Richtung es geht: in die objektorientierte Entwicklung inklusive Klassen und Vererbung. Javascript wird zukünftig noch häufiger verwendet und vermutlich irgendwann sogar soweit gehen, dass klassische Desktop-Applikationen zu grossen Teilen ersetzt werden (siehe Google Docs und Office online).
 
@Talkabout: wenn man sowas will dann kann man sich auch ne anwendung ziehen, und es als ne portable anwendung nutzbar machen, dann geht die anwendung nämlich auch ohne internet wenn das konzepttechnisch möglich ist (bspw office) und nicht zu vergessen js und so ist grundsätzlich allein vom Konzept quelloffen. also sind die anwendungsmöglichkeiten für proprietären software begrenzt.
 
@My1: Warum sollte ich mir eine Anwendung ziehen wenn es direkt im Web aufrufbar ist? Stell Dir Unternehmen vor, die durch Web-Anwendungen keine Notwendigkeit mehr haben Software lokal auf jedem Client zu installieren und zu warten. Z.B. PIM-oder MAM-Systeme, die von tausenden von Mitarbeitern verwendet werden können, ohne dass überall eine Installation notwendig ist? Web-Applikationen sind die Zukunft, das kann man nicht leugnen. Zeiten, wo alles immer lokal auf dem Rechner liegen muss, sind schon länger vorbei.
 
@Talkabout: ich für meinen Teil hab lieber lokale anwendungen aber wenn diese webanwendungen js nutzen is verständlich

aber eben halt mehr oder wenier normale webseiten wie bspw newsportale kommen auch gut ohne javascript aus oder zumindest mit sehr wenig davon für feature die sowieso nicht zwangsläufig nötig sind (bspw die ajaxbenachrichtigung über neue comments, wobei ich lieber emails hätte.)
 
@My1: Da gebe ich Dir uneingeschränkt recht. "Einfache" Webseiten sollten keinen Bedarf haben, MB-Weise JS Code auszuliefern, um Spielereien zu integrieren. Aber für Web-Apps lässt sich das nicht vermeiden.
 
@Talkabout: das Problem ist aber dass viel zu viele probieren webapps zu sein.
 
@Talkabout: Das ist mit verlaub purer Unsinn. Java wird übermässig eingesetzt weil die Entwickler fauler geworden sind.
java ist der gleiche fehlerhafte Mist wie Flash und gehört eliminiert.
 
@LastFrontier: JavaScript hat mit Java genau nix zu tun. Und es gibt etliche Anwendungsfälle die ohne eben nicht gehen.
 
@LastFrontier: es gibt einige Leute, die JavaScript und Java verwechseln. Ich persönlich bin z.B. kein Freund von Java, dafür aber bekennender JavaScript Entwickler. Java ist eine höhere Programmiersprache während JavaScript eine Script-Sprache ist. Die beiden haben in bestimmten Bereichen eine ähnliche Syntax, sonst aber tatsächlich nichts miteinander gemein :)
 
@LastFrontier: Hast Du ein Android Gerät? Da stört das Java wohl niemand.
Davon abgesehen Java != JavaScript
 
@LastFrontier: Was ist dass denn für eine Aussage? Hört sich so an, als verbindest Du mit Java die Java Applets, die es vor 10 Jahren gab und ähnlich Flash über ein Java-Browser-Plugin Inhalte geladen hat. Java wird aber im Web-Umfeld nur serverseitig eingesetzt, davon kriegst Du gar nichts mit. JavaScript (das läuft im Browser) ersetzt in Verbindung mit HTML5 quasi die ganzen Plugins wie Flash, Silverlight oder Java Applets. Insfern liegt hier vermutlich eine Verwechslung vor.
 
@Talkabout: geht doch schon lange. VS Code ist komplett in ja geschrieben
 
@My1: Die Zeiten, in denen Webseiten nur statische Inhalte mit ein paar Bildern waren, sind ja nun schon lange vorbei...
 
@dodnet: auch ne newsseite mit kommentaren und so kram ist alles andere als statisch, und funktioniert trotzdem super ohne Jabvascript wenn man diese vernünftig baut.
 
@My1: Sparsam? Webseiten bauen heute darauf auf. jQuery ist schon lange stand der Dinge.
Node.js (serverseitige) ist nicht mehr weg zu denken.
 
@Paradise: na dann rate mal was passiert wenn dein ach so schönes JQuery in unserer schönen drosselgesellschaft wo die anbieter ja teils sogar auf 32kbit statt den ohnehin schon schlimmen 64 kbit gehen mal nicht richtig lädt.

das schöne ist bei seiten die kein JS vorraussetzen sonder eben alles per CSS regeln dass wenn das CSS weg ist dann sieht die seite übel aus, ABER: sie funktioniert. kann man von seiten die ohne JS nicht klarkommen nicht behaupten.

und wozu braucht man serverseitiges Javascript, es gibt genug andere sprachen, warum gerade Javascript das ja für clients kontipiert wurde?
 
@My1: http://stackoverflow.com/questions/691307/server-side-javascript-why

Wir setzen für alle Frontend-Services auf Node.js und sind damit sehr gut unterwegs.
 
@My1: Mit Node.js laufen ganze Webserver.
Nutzt du Chrome? In Chrome steckt V8 und in V8 wird Node.js ausgeführt.
Node.js ist sehr verbreitet.
Adobe Dreamweaver installiert Node.js.
Kennst Johnny 5: http://johnny-five.io/

Es geht nicht darum was passiert sondern meine aussage war das das stand der Dinge ist.
 
@My1: "sonder eben alles per CSS regeln"

Möchtest du eine Liste von Dingen, die sich nicht mit CSS regeln lassen?

"und wozu braucht man serverseitiges Javascript, es gibt genug andere sprachen, warum gerade Javascript das ja für clients kontipiert wurde?"

Weil es schneller, performanter und arbeitsspeicherschonender ist als z.B. PHP.
 
@My1: Darum lädt man jQuery vernünftigerweise über ein großes CDN, denn dann ist die Wahrscheinlichkeit hoch, dass es bereits im Browser-Cache liegt und nicht erneut geladen werden muss.
 
@My1: Jetzt übertreibe mal nicht. Selbst ich hab nur wenige MB und werde selten gedrosselt. So schlimm ist es inzwischen auch nicht mehr. Außerdem sind die meisten Bilder oder Videos das zigfache an Volumen von so ein paar Skripten.
 
@dodnet: es ist mir wirklich schon passiert dass scripts abgesoffen sind und nicht senden konnte. oft genug.
 
@My1: Dann bist du ein Ausnahmefall. Mir ist seit Ewigkeiten kein Fall der Art mehr passiert. Wenn deine Internetleitung zu schlecht ist, dann hast du eben Pech gehabt. Dann musst du dich um eine bessere bemühen. Deswegen kann man ja nicht das ganze Web ins Mittelalter versetzen. Das Internet ist eben interaktive Plattform. Das bekommst du mit HTML und CSS alleine eben nicht hin.
 
@kritisch_user: naja Neuland eben, drossel auf 64 oder gar 32 KBit/s ist ja auch für die tonne.
 
@My1: ... Ich glaube du hast einfach ganz andere Sorgen, oder? jQuery ist grade mal 85KByte groß... wenn du damit schon ein Problem hast, dann hast du einfach den falschen Datentarif ;)
 
@Mitsch79: sind aber auch 10 sekunden bei 64 kbit und 20 bei 32kbit, dazu noch der Ganze rest wie ggf werbung und so, und schluss ist.
 
Was hier in der News fehlt: Der Angriff benötigt genaue Timing-Methoden, um die passenden Speicherbereiche zu finden. Eine Abwehr lässt sich also auch schon realisieren, in dem die Timer etwas ungenauere Werte zurück geben, auf diese Weise wurde bereits Safari "immunisiert". (Quelle: Heise)
 
Laut deren Beschreibung ist eine potentielle Attacke aber auch nur gezielt möglich, wenn man genau weiß, welcher CPU sich beim Opfer befindet. Eigene Systeme auszulesen, deren CPU man kennt, ist ja keine Kunst. Zudem haben sie das bisher nur auf Linux, BSD und Mac OSX unter Chrome und Firefox erfolgreich testen können.

Darüber hinaus braucht man in der Javascript-Variante auch noch nen ungepatchten Exploit um zusätzlichen Code einzuschleusen.

Die reine Javascript-Variante würde zudem präzise performance-now()-Timer voraussetzen, die bei korrekter Implementierung gemäß W3C (https://www.w3.org/TR/hr-time-2/) als Minimum-Wert immer mindestes "5" zurückgeben sollen, um genau diese Art von Attacken zu vermeiden ("To mitigate cache attacks, the recommended minimum resolution of the Performance interface should be set to 5 microseconds."). Liegt letztendlich nur an den Browser-Herstellern, diesen Anweisungen auch zu folgen. Lässt sich also relativ leicht patchen.
 
@Trashy: Ich kenn mich jetzt nicht so detailliert damit aus, welche Informationen hier genau benötigt werden. Über Fingerprinting kann aber ziemlich genau bestimmt werden, welcher CPU eingesetzt wird (HTML5 Canvas und WebGL-Berechnungen, User-Agent-Flags aus JavaScript navigator/screen-Objekten kombiniert ergeben je nach CPU unterschiedliche Ergebnisse, womit man zu jedem CPU einen Referenzwert ermitteln und in einer Liste sammeln kann). Also die CPU-Ermittlung sollte nicht das Problem sein ;-)

Aber wenn das mit dem performance-now()-Timer schon behoben werden kann, passt das ja wie Du es beschrieben hast.
 
@Zeussi: Übers WebGL kann man zwar ein generelles Fingerprinting realisieren, aber keine Rückschlüsse auf die genaue CPU nehmen. Wie auch? Alles was WebGL macht, basiert auf der GPU und nicht auf der CPU.

Und im UserAgent steht bestenfalls ob du x86 oder x64 hast, aber Null Infos über ein bestimmtes Modell. navigator/screen Objekten sagen auch nix über ein exaktes CPU-Modell aus.

Der ClockSpeed über performance.now() wär im Grunde das einzige Mittel irgendwas über die Geschwindigkeit des CPUs aussagen zu können, wie schnell er etwas abarbeitet. Und wenn die Browserhersteller da nen Fake-Minimum-Wert von 5μs angeben, wie das W3C vorschlägt, läuft so ein Angriff in der Regel ins Leere.

Wer sich die PDFs der Forscher durchgelesen hat, wird dort auch nachlesen können, dass die Timer in Firefox und Chrome bereits auf 5μs-Intervallen basieren - jedoch unterschiedlich.

Firefox macht exakte 5μs-Intervalle bei seinen Ticks, während Chrome zusätzlich künstliche Schwankungen eingebaut hat. Beide verhindern den einfachen Angriffsversuch bereits, da keine genaue Messung mehr durchgeführt werden kann.

Alternativ haben die Forscher zwei Umgehungsmethoden ausprobiert:
Der erste nutzt das neue MemorySharing für WebWorker, wo sie über nen Memory Sharing Counter ausprobieren, wie schnell der Zugriff ist und ermitteln daran, obs ein Memory oder Cache Access ist. Aber MemorySharing ist bisher ein experimentelles Feature und muss explizit vom User aktiviert werden. Daher derzeit kein Realtime-Szenario.

Die zweite Variante nutzt dagegen wieder performance.now(). Aber anstatt zu messen, wie lang der Speicherzugriff dauert, messen sie nach einem Speicherzugriff in einem Loop, wie lang es braucht, bis der nächste Tick erfolgt, um wieder zu ermitteln, obs ein Speicher-oder Cachezugriff war. Geht aber nur da wo es keine Schwankungen gibt.

D.h. Chrome hat dagegen bereits vorgesorgt. Der Firefox mit seinen festen Intervallen ist dagegen potentiell gefährdert. Aber sie schreiben auch, dass es stark auf die Genauigkeit von performance.now() ankommt, d.h. selbst im Firefox gibts nicht immer perfekte Treffer und einige false positives bei den Tests. Kleinste Schwankungen und schon sind die Ergebnisse nicht mehr aussagekräftig. Die Angriffsversuche klappen daher nicht immer.

Die zweite Variante funktioniert in Firefox besser, die erste etwas besser in Chrome (sofern MemorySharing explizit vom User aktiviert wurde). MemorySharing ist bisher nur in der aktuellsten Firefox-Nightly aktiviert, in den anderen Browsern zwar implementiert, aber default deaktiviert. Die Browserhersteller warnen selbst vor dem Aktivieren der Funktion und verzichten wohl bisher auch auf die Aktivierung, bis das besser geschützt ist.

Und anders als hier im Artikel dargestellt, wurden nicht alle 22 CPU-Architekturen mit Firefox und Chrome durchgestetet - das bezog sich nur auf die native C-Variante (und die liest die cpuinfo natürlich direkt aus) und greift dann den Speicher gezielt an.

Für ihr Javascript-Angriffszenaro haben sie gemäß ihres veröffentlichten PDFs auf ihrer Seite bisher ausschließlich einen Intel Skylake i7-6700K Prozessor mit 16 GB RAM unter Ubuntu 16.04.1 LTS ausprobiert - kein einziges weiteres System. Ob es bei anderen Systemen und CPUs via Javascript klappt, darüber machen sie keine Infos.

Mit nur einem einzigen Testsystem kann man daher gar nicht sagen, ob Javascript wirklich ein realistisches Angriffsproblem hat, zumal ihr ganzes Angriffszenario auch mehr oder weniger auf Trial&Error aufgebaut ist und sie viele asm.js-Funktionen durchlaufen und durchmessen müssen. Die Tests laufen nach deren Angaben teilweise bis zu 150sec, bis sie zu einem entgültigen Ergebnis kommen. Da haut doch normalerweise sowieso jeder Browser ein ScriptTimeout rein und bricht den Mist bereits nach 30sek ab, solang man die Timeout-Warnungen nicht explizit abschaltet. Von daher sollte man hier nicht die Pferde scheu machen.. das ist alles sehr theoretisch und wenig als realistisches Angriffszenario geeignet.

Da es nicht universal für alle Browser einsetzbar ist und nicht nachweislich für verschiedene CPU-Modelle funktioniert, halte ich die ganze Meldung für etwas arg überspitzt.
 
"Tolle" News. Denn das ist endlich mal ne Prozessoren betreffende News, bei der das sonst übliche leserseitige Gezerre und Gezanke nicht funktioniert. Sprücheklopferei a la " .. also mein AMD ist der beste Prozessor..nein stimmt nicht, mein Intel ist der beste " vollautomatisch abgewürgt.
Doch..hat was ..finde ich ;-)

Aber a propos Java und Javascript... diesen neuen blauen Nervsägen-Popup Banner von Winfuture, von wegen folge uns auf Facebok, Twitter und Youtube, damit du ja nix verpasst .. den würde ich auch gerne automatisch abgewürgt kriegen. Der traktiert nämlich erheblich mein privates Security Gefühl.. *grummel*
 
@DerTigga: Von denen seh ich nix mit uBlock bzw Adblock aufm Tab?
 
@Paradise: Ich vermute mal, das du in Ublock den / einen Bezug einer "Sperrliste" aktiviert hast, was bei mir nicht angehakt ist.. Denn ich hab ansich auch beides. Aber dennoch und mit einigem Zeitversatz nach dem eigentlichen einloggen, schiebt sich auf einmal dieser überlagernde Banner von der rechten Seite her ins bzw. übers "Bild".
 
@DerTigga: Lässt sich aber zumindest mit uBlock nachträglich und dauerhaft deaktivieren. Ist sowieso ein extrem primitives Ding, wieso die Bitte, auf Facebook zu folgen, wenn ich das schon mache? Da war ein Möchtegern-Programierer am Werk.
 
@Islander: Bei mir ist es anders ;-) Denn mein Entschluss, mit den ersten beiden "Angeboten" jetzt und auch in Zukunft nichts und mit dem letzten nur ein wenig zu tun haben zu wollen, der ist längst gefasst.
 
@DerTigga: Mich traktiert der nicht - ich sag's nochmal: PiHole verwenden und aus isses mit dem Generve ;-)
 
@Zonediver: Nach auf die Schnelle dazu gelesenem zu urteilen, ist bei mir weder Software noch Hardwareseitig das dafür nötige vorhanden, aber danke für den Tip.
 
@Zonediver: Ja und wenn dann mal was nicht geht kann man nicht mal auf die schnelle den Blocker abstellen. Mehrerer Leute im Haus dann sind solche Lösungen nicht wirklich umsetzbar.
Ich nutze pfSense und auch dort im Forum ist man überwiegend der Ansicht das Blocker aufm Router nicht praktikabel sind.
 
@Paradise: PiHole läuft NICHT am Router - lol?
 
@Zonediver: So so muss nicht zwischen Router und das Netzwerk?
 
@Paradise: Nö - hast du das nicht gelesen, wie das funzt?

https://pi-hole.net/

PiHole ist ein DNS-Server mit umfangreicher Filterfunktion und läuft - wie der Name schon sag - auf einem Pi.
 
@Zonediver: Mir klar das es auf nem Pi läuft. Nur wie soll die Werbung raus gefiltert werden wenn der traffic vorher nicht durch den Pi geht?

Das Video sagt mir es geht durch den Pi:
https://www.youtube.com/watch?v=eg4u2j1HYlI
 
@Paradise: Der Pi fungiet hier als DNS-Server, den alle Clients im Netzwerk benutzen. Wenn also eine Webseite von einem Client abgefragt wird, macht dass das PiHole (nicht der Router) und filtert hierbei die Werbung komplett aus. Es genügt, wenn das PiHole im LAN hängt und die IP des Pi bei allen Clients als DNS-Server eingetragen ist. Bei mir ist das Pihole im DHCP-Server eingetragen, sodass alle Clients im LAN (egal welcher) automatisch den PiHole-DNS Server benutzen. Somit gibts auch auf Smartphones und Tablets keine Werbung mehr. Das ist aber auf der Webseite ganz genau beschrieben - lies mal.

EDIT: Ich seh gerade, dass es auch auf anderen Systemen laufen kann:

Hardware

Pi-hole is very lightweight as it only handles DNS queries and returns a blank HTML file so it doesn't need much processing power.

~52MB of free space
512 MB RAM

Software

Pi-hole will run on most Debian-based distro's and is the preferred platform for it.

We officially support the following:

Raspbian: Jessie (lite / with pixel)
Ubuntu: 14.04 / 16.04 / 16.10
Fedora: 24 / 25
Debian: 8.6
CentOS: 7.2.1511 / 7.3.1611
 
@Zonediver: Von nichts anderem rede ich.
Bei mir lief SquidGuard in pfSense. Das ist das gleiche Prinzip nur eben direkt aufm Router ohne extra Hardware.
Man kann nicht mal schnell das uBlock/Adblock icon im Browser klicken wenn etwas nicht geht. Bei mehreren Menschen im Haus eben unpraktikabel.
Auch den VirenScanner hab ich wieder vom Router geschmissen.

Oder hat das Teil ne Weboberfläche und ist per Browser schnell abgestellt?
Lassen sich die gängigen Listen einfügen?
Falls ja schau ichs mir mal genauer an?
 
@Paradise: Ja und Ja - ließ die Beschreibung auf der Webseite - Link hab ich dir ja eingefügt.
 
@Zonediver: Also soweit ich das sehe kann man nur ganz abschalten - fürs ganze Netzwerk?
Will man für ein Gerät abschalten muss ich dort wieder die DNS ändern, den DNS Cache löschen und somit ist es wieder für das ganze Gerät deaktiviert?

Mit uBlock kann ich auf die schnelle mal nur für eine Seite von 30 offenen Tabs im Browser abschalten.
Das sind die Probleme die ich bei diesen Netzwerk-basierenden blockern seh.
Wie soll man das anderen im Haus die dann noch über 60 sind beibringen.
 
Wenn ich den Browser in Sandboxie starte bin ich dan vor dieser art angriff geschützt oder ist eine Sandbox in diesem szenario machtlos?
 
Wäre es zuviel verlangt gewesen, die betroffenen Prozessoren und evtl. Folgen genauer zu benennen?
 
Ich habe JavaScript seit Jahren komplett abgeschaltet. Webseiten die ohne nicht funktionieren benutze ich nur in seltenen Ausnahmefällen. Wer keine funktionsfähige Webseite ohne JavaScript programmieren kann, dessen Webseite besuche ich halt nicht. Winfuture ist ohne JavaScript auch nicht vollfunktional, aber die fehlenden Funktionen benötigt man eigentlich auch nicht. Damit kann ich leben.

Es gibt aber eine ganze Menge Seiten im Internet, bei denen ich nur eine leere Browserseite oder, wie beispielsweise auf Microsoft-Webseiten, kaum mehr als den Spruch "Bitte aktivieren sie JavaScript" sehe. Solche Seiten blocke ich dann in meiner Firewall, damit sie, wenn ich noch einmal von irgendwoher darauf verlinkt werde, erst gar nicht mehr meine Zeit damit verschwenden sich in meinem Browser aufzubauen, sondern direkt nicht geladen werden können. Ohne JavaScript ist auch das Surfen im Internet viel schneller als mit und man sieht selbst ohne AdBlocker und ohne Firewall kaum Werbung. Das kann man also nur empfehlen.

Das ist im Übrigen genauso wie mit jenen Webdesignern, die abseits ihrer Profession von nichts eine Ahnung haben und es mit Flash und Co. irgendwann so übertrieben haben, dass Suchmaschinen auf ihren Webseiten fast keinen erkennbaren ASCII-Text mehr fanden und demzufolge niemand mehr deren supertoll designte Webseiten fand, weil die Suchmaschine schlichtweg nicht erkennen konnte, dass da überhaupt an Inhalt auf deren Seiten war, wodurch diese Seiten natürlich im Suchindex praktisch nicht auftauchten, was deren Besucherzahlen rasch schwinden ließ und damit auch die Werbeeinnahmen der Webseitenbetreiber.

Manche Menschen werden halt erst durch Schaden klug. Wenn wegen dieses Sicherheitsproblems mal die überwiegende Masse der Internetnutzer für ein Jahr JavaScripting in ihrem Browser abschalten würden, bräuchten sie es danach vermutlich nie wieder aktivieren, weil alle Seiten die dann noch nicht wegen fehlender Werbeeinnahmen pleite sind/keine roten Zahlen schreiben, kein Javascript mehr verwenden. Leider wissen die meisten Internetnutzer dieser Tage nicht einmal was JavaScript ist und können es schon deshalb nicht im Browser abschalten. Daher düfen sie sich nun auf neue, alte Malware freuen.
 
@monumentum!: Deine Abschaltung war offenbar komplett erfolglos, Javascript ist weiterhin bei dir aktiviert. Unser Kommentarsystem und vieles weitere funktioniert ohne JS nämlich gar nicht.
Kann das sein dass du einfach die Scriptsprache Javascript mit der Programmiersprache Java verwechselst?
 
wenn ARM CPUs davon betroffen sind, ist ja theoretisch jedes Android Gerät, was bisher nicht zu rooten ging jetzt rootbar
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles