Ein Interview mit Giorgio Maone, dem Erfinder von NoScript

NoScript hat seit seiner offiziellen Veröffentlichung im Jahr 2005 jedes Jahr Auszeichnungen erhalten. Mehrere meiner Kollegen, die zufällig Google-Fan-Boys sind, weigern sich einfach wegen NoScript, von Firefox zu Chrome zu wechseln. Ich habe über Chrome geschrieben, als es herauskam, und viele der TechRepublic-Mitglieder, die Kommentare abgegeben haben, wollten NoScript nicht aufgeben, unabhängig von den integrierten Sicherheitsfunktionen von Chrome.

Warum die Auszeichnungen und die überwältigende Loyalität? Es ist einfach, NoScript macht das, was es bewirbt und macht es gut.

Wer ist Giorgio Maone?

Um ehrlich zu sein, kenne ich Giorgio, den Erfinder von NoScript, seit mehreren Jahren, der mehrfach über Einzelheiten seiner App gesprochen hat. Ich habe mir einfach nicht die Zeit genommen, ihn persönlich kennenzulernen. Ich entschied, dass es Zeit war, das zu ändern.

Kassner : Hallo Giorgio. Vielen Dank, dass Sie diesem Interview zugestimmt haben. NoScript ist ein hoch angesehenes Sicherheits-Addon für Firefox. Warum war es für Sie wichtig, NoScript zu entwickeln? Maone : Die erste Zero-Day-Firefox-Sicherheitsanfälligkeit trat 2005 auf. Die Sicherheitsanfälligkeit ermöglichte es Angreifern, Malware auf einem Computer zu installieren, indem sie die Angriffswebsite besuchten. Das vorgeschlagene Mittel war das Deaktivieren von JavaScript. Dies ist jedoch unpraktisch, da viele Websites beschädigt werden, wenn JavaScript deaktiviert ist.

Ich fragte mich, ob es einen Weg gibt, sowohl Benutzerfreundlichkeit als auch Sicherheit zu gewährleisten, und beschloss, etwas dagegen zu unternehmen. Ich holte meinen Kaffee, setzte mich an den Computer und erstellte in drei Tagen NoScript. Damals hatte ich keine Ahnung, wie sehr dieser 72-Stunden-Codierungsmarathon mein Leben verändern würde.

Kassner : Ich jedenfalls bin froh, dass Sie es getan haben. Nächste Frage - wie funktioniert NoScript? Maone : Die Funktionalität hinter dem Namen von NoScript ist die Möglichkeit, JavaScript, Flash, Java und andere aktive Inhalte - hauptsächlich Plug-Ins - zu deaktivieren, mit denen Webseiten als Programme im Webbrowser ausgeführt werden können.

NoScript blockiert standardmäßig den gesamten aktiven Inhalt einer Webseite, wodurch einige Website-Funktionen beeinträchtigt werden können. Um dies zu verhindern, muss der Benutzer NoScript mitteilen, welchen Skriptquellen vertraut werden soll, indem er sie aus einem Menü auswählt. NoScript merkt sich dann die Auswahl in einer permanenten Whitelist. Dies verringert die Möglichkeiten eines Angreifers, schädlichen Code auszuführen, und behält bei Bedarf die volle Funktionalität bei.

Im Laufe der Zeit ist NoScript gewachsen. Bietet Sicherheitsfunktionen unabhängig von der Blockierung von Skripten und Inhalten. Zu den webbasierten Angriffen, die NoScript selbst bei aktiviertem Scripting verhindert, gehören:

  • XSS: "Injection Checker" verhindert, dass böswillige Webseiten ihre Skripte in andere Websites einfügen.
  • Clickjacking: Die ClearClick-Funktion ist der bislang einzige wirksame clientseitige Schutz gegen diesen Angriff.
  • CSRF: Das ABE-Modul fängt standardmäßig alle zonenübergreifenden HTTP-Nutzdaten ab.
  • MITM: NoScript kann sicherstellen, dass HTTPS verwendet wird, wenn es verfügbar ist, und diese Art von Angriff verhindern.
Kassner : Welche Erkenntnisse können Sie Menschen bieten, die versuchen zu entscheiden, was mit einem bestimmten Skript oder einer bestimmten Plug-In-Quelle geschehen soll? Maone : Die Menschen müssen ihre Entscheidungen auf soziale und wirtschaftliche Gründe stützen, nicht auf technische. Beispielsweise:
  • Muss ich wirklich mit dieser Website interagieren?
  • Welche Art von Beziehung gehe ich mit dem Eigentümer der Website ein?
  • Kann ich eine Entschädigung erhalten, wenn mein Computer beschädigt ist?

NoScript hilft weiter, indem es die Skriptquellen anzeigt, die eine Webseite zu laden versucht, sodass Sie sie einzeln steuern können. Selbst vertrauenswürdige Websites verknüpfen möglicherweise Skripte von Drittanbietern, die möglicherweise nicht das gleiche Maß an Vertrauen verdienen. Wenn Sie nicht wissen, wem ein bestimmtes Skript gehört, oder wenn Sie die Rolle des Skripts nicht herausfinden können, klicken Sie mit der mittleren Maustaste oder der Umschalttaste auf den Menüeintrag NoScript, um Informationen dazu zu erhalten.

Kassner : Ich habe irgendwo gelesen, dass Benutzer, die "alle Skripte zulassen", noch einige Vorteile haben. Ist das korrekt? Maone : Richtig . Die oben aufgeführten zusätzlichen Funktionen funktionieren unabhängig von Skript- und Plug-In-Berechtigungen. Anstatt NoScript zu deinstallieren, ist es besser, den Befehl " Skripte global zulassen" zu verwenden. Ein weiterer verbleibender Vorteil ist die Möglichkeit, einzelne Websites auf die schwarze Liste zu setzen. Kassner : Nun zu der schwierigen Frage, 20 Jahre schneller Vorlauf - wird es NoScript noch geben? Maone : Ich bin fest davon überzeugt, dass NoScript auf absehbare Zeit benötigt wird. Solange Softwareprogramme als Vermittler zwischen uns und der Außenwelt verwendet werden ("Benutzeragenten" wie Firefox für den Zugriff auf das Internet), wird es diejenigen geben, die herausfinden, wie Benutzer (Social Engineering), der Benutzeragent (Browser), ausgenutzt werden können Designfehler) und die Welt (Sicherheitsprobleme bei Webanwendungen).

Im Laufe der Zeit habe ich drei Arten menschlicher Reaktionen beobachtet:

  • Diejenigen, die schreien: "Der Himmel fällt", "Das Internet ist kaputt" und "Wir sind alle zum Scheitern verurteilt."
  • Diejenigen, die das Gefühl haben, dass das Internet kaputt ist, "wir können es nicht reparieren", also sind wir per Definition sicher genug.
  • Personen - hauptsächlich Sicherheitsforscher und Entwickler -, die sowohl mit Webbrowsern als auch mit dem Internet konkurrieren, benötigen Hilfe und versuchen, beide Probleme zu beheben.

Ich habe immer versucht, einer der "Fixierer" zu sein und NoScript als experimentelle "Reparaturwerkstatt" für das Internet verfügbar zu machen.

Als ich zum ersten Mal einen clientseitigen Anti-XSS-Schutz entwickelte, dachte niemand, dass dies funktionieren würde. Und jetzt hat jeder moderne Browser einen Filter oder ist dabei, einen zu implementieren. Dinge wie XSS-Filter, HTTPS-Durchsetzung, Do-Not-Track oder Click-to-Play - entweder Pionierarbeit oder Feldversuche mit NoScript - finden langsam ihren Weg in Mainstream-Browsern und Webstandards.

ClearClick wird wahrscheinlich standardisiert. Ich bin Herausgeber eines Anti-Clickjacking-Vorschlags, der bei der Arbeitsgruppe für Webanwendungssicherheit des W3C eingereicht wurde, wo ich als eingeladener Experte sitze. Solange das Internet Fixierer und eine Reparaturwerkstatt benötigt, ist Platz für NoScript.

Kassner : Sie müssen mit Anfragen überschwemmt werden, NoScript auf den Chrome-Webbrowser zu portieren. In einem unserer Gespräche haben Sie erwähnt, dass Google einige Änderungen vornehmen muss. Was würde es für Sie bedeuten, NoScript für Chrome zu erstellen? Maone : Chromium-Entwickler - die dies sehen wollen - haben einige technische Hindernisse beseitigt. Es bleiben jedoch noch andere Fragen offen. B. das streng asynchrone Kommunikationsdesign zwischen Prozessen, das verhindert, dass Sicherheitsrichtlinien zuverlässig durchgesetzt werden.

Trotzdem werde ich irgendwann NoScript für Chrome entwickeln. Ich fürchte nur, dass es nicht mit NoScript für Firefox mithalten kann. Die Flexibilität der Mozilla-Erweiterungsplattform ist unschlagbar und ermöglicht das schnelle Design und Prototyping experimenteller Gegenmaßnahmen für neu auftretende Bedrohungen - die Mission und das Markenzeichen von NoScript.

Kassner : Arbeiten Sie derzeit an neuen Projekten - stimmt das Gerücht, dass Sie über die Entwicklung mobiler Apps nachdenken? Maone : Eigentlich habe ich 2011 NoScript für Firefox Mobile veröffentlicht, um Android-Nutzern ein sichereres Surferlebnis zu bieten. Ich arbeite derzeit daran, Firefox der nächsten Generation für Android zu unterstützen - in der Beta-Version und in Bezug auf Geschwindigkeit und Reaktionsfähigkeit radikal überarbeitet. Ich versuche auch, mobile und Desktop-Versionen von NoScript in einem einzigen Paket zu konsolidieren. Kassner : Sind Sie als jemand, der mit der Funktionsweise des Internets gut vertraut ist, optimistisch in Bezug auf seine Zukunft oder wird es aus all den Problemen implodieren? Maone : Trotz meiner berühmten Paranoia bin ich hoffnungsvoll. Das "Internet" ist ein riesiger, chaotischer Haufen heterogener und nicht spezifizierter Technologien, die durch einen Zauber miteinander verbunden sind. Bisher hat es jedoch überlebt, indem es belastbar und anpassungsfähig war, zwei Schlüsseleigenschaften, wenn es eine Zukunft haben soll. Ja, es gibt Probleme, aber wir können sie beheben (hoffentlich keine neuen erstellen).

Meine Sorgen sind eher technisch als politisch: Menschen, die den Cyberspace als Chance für Informationsfreiheit und demokratische Wahl betrachten, während Unternehmen möglicherweise mit Regierungen zusammenarbeiten, um das Internet zum ultimativen Abhör- und Kontrollgerät zu machen.

Kassner : Auf der Firefox-Seite "Meet the Add-on Developer" habe ich Folgendes gefunden:

Erst Papa, dann Softwareentwickler, das hat mich beeindruckt. Also biete ich einem stolzen Vater die Möglichkeit, uns von der Familie hinter den coolen Sonnenbrillen zu erzählen.

Maone : Danke. Das Bild wurde am Strand von Palermo aufgenommen. Unser sonniges Sizilien ist sehr schön und ein Land der Helden. Die kleine Dame in Pink ist Irene Ipazia. Der zweite Vorname meiner Tochter ist eine Hommage an Hypatia, eine großartige Frau, Wissenschaftlerin und Märtyrerin des freien Denkens.

Der junge Dandy links ist Francesco Libero. Francesco wurde nach meinem verstorbenen Vater, einem Ingenieur und Erfinder, benannt. Libero ist italienisch für "frei" wie in "Freiheit". Beide haben ihren Namen bisher erfüllt und sind großartige Hacker. Ich hoffe, dass sie ihr Interesse behalten, wenn sie älter werden. Ich könnte Hilfe gebrauchen.

Abschließende Gedanken

Es ist klar, es gibt zwei wichtige Teile in Giorgios Leben, seine Familie und NoScript. Ich möchte Giorgio für seine fortgesetzten Bemühungen mit NoScript und seine wertvolle Zeit für dieses Interview danken.

© Copyright 2021 | pepebotifarra.com