Blog

User Agent Switcher funktioniert seit Firefox 17 nicht mehr – Lösung

Verfasst von: Sören Hentzschel

User Agent Switcher funktioniert seit Firefox 17 nicht mehr – Lösung

Der User Agent Switcher gehört mit mehr als einer halben Million aktiven Benutzern zu den beliebtesten Firefox-Erweiterungen für Entwickler. Seit Firefox 17 funktioniert dieser allerdings nicht mehr richtig. Abhilfe schafft die in diesem Artikel vorgestellte Lösung.

Mit Hilfe der Erweiterung User Agent Switcher ist es möglich, den User-Agent, welchen der Browser sendet, auf bequeme Weise zu verändern. Dies kann vor allem dann praktisch sein, wenn man sich als anderer Browser ausgeben möchte. Seit Firefox 17 funktioniert diese Erweiterung allerdings nicht mehr wie gewünscht, beim Auslesen über JavaScript (navigator.userAgent) wird anstelle des veränderten User-Agents der originale User-Agent erkannt. Von diesem Problem sind auch andere Erweiterungen wie UAControl oder ua-site-switch betroffen.

Abhilfe schafft die Erweiterung User-Agent JS Fixer. Diese Erweiterung macht für sich alleine betrachtet nichts, stellt aber die Funktionalität der genannten Erweiterungen wieder her. Nach Installation der Erweiterung funktionieren der User Agent Switcher wie auch die anderen Erweiterungen, welche den User-Agent verändern, wieder wie gewünscht.

Nach diesen Begriffen suchten die Benutzer:

  • user agent windows xp
  • kennung von firefox ändern
  • kennung von firefox ändern
  • user agent overrider funktioniert nicht
  • user agent switcher deutsch
  • general useragent override firefox version 27
  • user agent switcher xhamster
  • Android Firefox als anderen Browser ausgeben
  • user agent switcher konfigurieren
  • firefox User Agent Overrider
  • user agent plugin doesnt work
  • user agent plugin doesnt work
  • firefox addon useragent
  • addon ua-switcher
  • user agent switcher hält nicht
  • user agent string firefox
  • user agent string firefox
  • user agent switcher wofür
  • user agent mobile firefox 2014
  • user agent mobile firefox 2014
  • Firefox User Agent
  • firefox user agent verändern
  • Firefox 26 user agent
  • fire fox user agent
  • website erkennt firefox trotz user agent switcher
32


Kommentare

  1. Thomas  26. Januar 2013, 20:15

    Interessant. Wer toll wenn Mozilla hier professionelle Abhilfe schaffen könnte, also UserAgent Sprachkennung bzw. eben auch bei Bedarf die Kennung des Browers an sich zu ändern(kann ja der Opera schon ewig aber vielleicht auch mal der Fuchs).

  2. Sören Hentzschel  26. Januar 2013, 20:25

    Firefox bietet von Haus aus die Möglichkeit, den User-Agent zu überschreiben, einfach über about:config den Schalter general.useragent.override auf einen beliebigen String setzen.

    Die Sprache ist nicht Bestandteil des User-Agents. Das war vor einigen Jahren mal so, ist aber glücklicherweise schon lange nicht mehr so. Zum einen soll der User-Agent so wenig wie möglich vom Benutzer preisgeben, zum anderen sollte die Sprache auch nicht darüber ausgelesen werden. Der Browser bietet eine Einstellmöglichkeit dafür, in welcher Sprache man Inhalte bekommen möchte, der Browser sendet dann einen entsprechenden HTTP-Header an die Webseite. Webseiten können diesen auslesen.

  3. Jochen  26. Januar 2013, 22:19

    Hm, ich kann das Problem für meine 2 Rechner mit Firefox 17/18 nicht bestätigen und kommentiere hier als Ei-Phone 5. User Agent Switcher funzt bei mir einwandfrei.

  4. Sören Hentzschel  26. Januar 2013, 22:23

    Wird der User-Agent auf der Seite, auf welcher du testest, serverseitig ausgelesen? Das funktioniert auch in Firefox 17+. Das clientseitige Auslesen via JavaScript (navigator.userAgent) gibt ab Firefox 17 nur noch den originalen User-Agent zurück.

  5. Thomas  27. Januar 2013, 01:13

    Danke das hab ich definitiv noch nicht gewusst das die Sprachkennung heutzutage nicht mehr mit dem Useragent mitgeschickt wird. Die Spracheinstellung(Sprachkennung!) im FF kenn ich hab Sie auch schon eingestellt. Sprachpakete nach Auswahl nachzuladen ist das möglich? Die Idee zwischen verschiedenen Benutzersprachen im FF wechseln zu können lässt mich nicht ganz los. Im Zusammenhang mit der Browser-ID bwz. Persona ergibt sich hier ein hohes Maß an Benutzerfreundlichkeit- hoffe das Mozilla das in Zukunft auch umsetzt, wenn schon “global” dann RICHTIG!

  6. Jochen  27. Januar 2013, 09:36

    Entschuldige wenn ich so anfängermäßig nachfrage: Heißt das, dass UA-Switcher nur dann nicht funktioniert, wenn Java-Script überhaupt erstmal in Firefox zugelassen ist? Heißt das, dass bei geblocktem JS (Plugin NoScript usw.) der richtige UA dann doch nicht ermittelbar ist? Ich habe einige UA-Test-Seiten angesurft und bekomme immer den gefakten UA angezeigt (ob mit oder ohne JS). Kennst Du eine UA-Test-Seite, die den UA clientseitig per JS ermittelt, damit ich das eindeutig verifizieren kann?

  7. Sören Hentzschel  27. Januar 2013, 10:41

    @ Thomas: Sprachpakete kannst du dir ja herunterladen und dann wie im Artikel zu den selbstaktualisierenden Sprachpaketen auf AMO beschrieben jederzeit wechseln. ;)

    @ Jochen: Wenn JavaScript nicht aktiviert ist, dann kann der User-Agent immer noch serverseitig ausgelesen werden und ist ermittelbar. Zum clientseitigen Auslesen muss JavaScript aktiviert sein. Du kannst das auf dieser Seite hier testen: Stelle den User-Agent auf eine ältere Firefox-Version. Du wirst oben auf der Seite eine Hinweisleiste erhalten, wenn JavaScript aktiviert und die genannte Erweiterung installiert ist, nicht aber, wenn JavaScript aktiviert und die genannte Erweiterung nicht installiert ist. Und natürlich nicht, wenn JavaScript deaktiviert ist.

    Übrigens ist JavaScript nichts Böses. Im Jahr 2013 kann ich niemandem mehr empfehlen, eine Erweiterung wie NoScript zu installieren. Und wenn es um das Blockieren von Java und Flash geht, Firefox hat von Haus aus optional ein sogenanntes Click-to-Play, also dass Plugins erst bei Bedarf geladen werden. ;)

  8. Sören Hentzschel  27. Januar 2013, 10:44

    Update 27.01.2013: Diesen Artikel kann man sich ab sofort auch vorlesen lassen.

  9. Matze_B  27. Januar 2013, 10:53

    Ich dachte zu dem Thema Podcast hier im Blog kommt auch noch mal ein richtiger Artikel, kann ja sein das manche Leute das auf den Artikelseiten übersehen. Ich habs z.B. auf dem RSS Button auch nicht gleich entdeckt. Bisher noch ein wenig zu versteckt die Podcast Funktion finde ich.

  10. Sören Hentzschel  27. Januar 2013, 10:55

    Kommt noch, ich warte damit aber erst noch auf die Freischaltung in iTunes. ;)

  11. Luigi  27. Januar 2013, 14:13

    http://browserspy.dk/useragent.php
    Zum Testen kann man auch diese Seite nutzen.
    Zeigt Header und Javascript Useragentstring in Klartext.

    Das mit dem Artikel vorlesen funktioniert nicht mit Firefox 20 Mobile auf Android 2.3.6
    mit deaktivierten media.plugins.
    Aber auf XP mit Firefox 18.0.1 haut es hin.

  12. Luigi  27. Januar 2013, 16:09

    Bei mir funktioniert der “User Agent Switcher” einwandfrei. Firefox 18.0.1 auf Windows XP.

     

     

  13. Sören Hentzschel  27. Januar 2013, 16:16

    Siehe Kommentare weiter oben: Der User Agent Switcher funktioniert bei serverseitiger Überprüfung auch in Firefox 17+, nicht aber bei clientseitiger Überprüfung des User-Agents über JavaScript. Einfach mal navigator.userAgent in der Webkonsole ausprobieren. ;)

    Zwecks mobiler Nutzung der Podcast-Funktion, da werde ich auf jeden Fall noch sehen müssen, was sich machen lässt.

  14. Luigi  27. Januar 2013, 18:58

    I werd deppert ;-) Da Firefox hat a Webkonsole!

    Natürlich hast du Recht. Währe aber nie auf die Idee gekommen, daß dieses Feature auch “Clientmäßig” Sinn macht.

    So schaut deine Website auf meinem Galaxy S Plus aus.

    Einmal Link zur Website und noch als Hotlink, für Adblock-Plus-Nichtuser.

    http://s1.directupload.net/file/d/3148/df8zc7al_png.htm

    http://s1.directupload.net/images/130127/df8zc7al.png

  15. Sören Hentzschel  27. Januar 2013, 19:36

    Klar, eine serverseitige Überprüfung ist häufig nämlich nicht möglich. Zum Beispiel, bei dem Script, welches hier auf dieser Webseite zur Erkennung alter Browser-Versionen eingesetzt wird, da es jeder einfach per JavaScript in seine Webseite einbinden kann. ;)

    Bezüglich des Screenshots: Jupp, habs schon überprüft gehabt. Da gibt es noch Optimierungsbedarf diese Tage. ;)

  16. Luigi  27. Januar 2013, 22:19

    Anhand deiner ;-) Smiley sehe ich, daß du meine “Beschwerde ;-)” richtig verstanden hast.

    Jetzt ist es lächerlich, aber hoffentlich wird Firefox Mobile und FirefoxOS so erfolgreich, daß es dann wirklich peinlich währe :-)

     

  17. Sören Hentzschel  27. Januar 2013, 22:53

    Das was peinlich wäre? ^^

  18. Luigi  28. Januar 2013, 00:27

    Verdammt! ^^

  19. jup  28. Januar 2013, 01:26

    “Im Jahr 2013 kann ich niemandem mehr empfehlen, eine Erweiterung wie NoScript zu installieren.”

    Finde ich ja eine sehr schräge Ansage. NoScript macht weit mehr als Flash zu blocken. Ich werde mir auch im Jahr 2015 nicht vorstellen können, NoScript nicht zu installieren.

  20. Sören Hentzschel  28. Januar 2013, 01:28

    Dass NoScript nur Flash blocken würde, geht auch ziemlich weit an der Aussage meines Kommentars vorbei.

  21. Chris  30. Januar 2013, 17:08

    @Sören

    Ich stehe der Aussage von Dir dass man niemandem mehr Empfehlen kann Plugins wie NoScript zu installieren auch etwas kritisch entgegen.

    Klar, Javascript ist nix böses. Dafür aber diejenigen, die damit verschiedene Angriffsmöglichkeiten durchführen / Vulnerabilities ausnutzen wie z.B. XSS, CSRF, Cookie Stealing etc. Und mann muss auch nur an den Bug in Firefox 16 denken (CVE-2012-4192) welcher so weit ich mich erinnere auch mit einem JS exploited werden konnte und mit NoScript geblockt wird.

    Ich lass mich jedoch auch gerne von Dir mit guten Argumenten überzeugen. Ne Begründung für solche Statements sollten in meinen Augen immer mitgeliefert werden. Gerade was Sicherheit angeht sollten die ohne irgend welche Argumente nie einfach so stehen gelassen werden.

  22. Sören Hentzschel  31. Januar 2013, 00:32

    Das Ganze ist immer ein Abwägen verschiedener Faktoren. Es geht um Sicherheit, wobei auch immer die Frage ist, wieviel Sicherheit ich als Benutzer für zwingend erforderlich halte, es geht aber auch um die Benutzbarkeit von Webseiten und den Aufwand, welchen ich als Nutzer betreiben muss, um das Internet richtig nutzen zu können.

    Hier ziehen verschiedene Anwender verschiedene Grenzen und das ist okay. In meinen Augen überwiegen hier die Nachteile. Manche Nutzer mögen dies als absolut notwendig zur totalen Sicherheit betrachten, für mich persönlich geht das aber schon in eine paranoide Richtung. Und das meine ich nicht persönlich, ich möchte wirklich niemandem mit dieser Aussage zu nahe treten, das ist einfach meine ganz persönliche Meinung als jemand, der ja auch ein bisschen was von Internet und Sicherheit versteht. Wenn jemand sagt, er benötigt die Erweiterung unbedingt, um sich sicher im Internet zu fühlen, dann respektiere ich das auch und werde dieser Person das nicht auszureden versuchen.

    Ich widerspreche jedoch in dem Punkt, dass ich solche Aussagen zwingend begründen muss. Dass ich das nun doch tue, betrachte ich als optional. Denn ich sehe nicht, dass ich begründen muss, wenn ich sage, dass ich Erweiterung XY für absolut obligatorisch oder überflüssig halte, die Notwendigkeit von Erweiterungen ist immer rein subjektiv. Mir ist kein einziger Major-Browser bekannt, welcher JavaScript standardmäßig blockt, auf manchen mobilen Browsern gibt es nicht einmal die Möglichkeit, JavaScript zu deaktivieren. Das spricht denke ich ganz klar dafür, dass das keine die Sicherheit irgendeines Benutzers in extremen Maße gefährdende Aussage sein kann. Viel mehr unterstreicht das meiner Meinung nach, dass man sich mit dieser Erweiterung bereits in einem Bereich extremer Sicherheitsbemühungen befindet.

    Natürlich sind XSS und CSRF bekannt, auch JavaScript kann zu bösen Zwecken ausgenutzt werden, das ist gar keine Frage. Nur ist JavaScript im Web heute unverzichtbar und wird immer und immer wichtiger. Das Internet entwickelt sich weiter und man muss sich überlegen, ob man sich den Gegebenheiten anpasst oder sich selber Hürden aufbaut. Aus diesem Grund spreche ich mich ganz klar für die permanente Aktivierung von JavaScript und stattdessen für ein vernünftiges allgemeines Sicherheitskonzept aus, welches am Ende des Tages mehr bringt als diese vergleichweise Kleinigkeit.

    Und der Schutz vor Java und anderen Plugins, welchen NoScript bietet, den deckt Firefox ja schon von Haus aus mit Click-to-Play ab.

  23. Chris  31. Januar 2013, 10:37

    Hi,

    klar ich kann Deine Argumentation schon verstehen. Gerade was die Benutzbarkeit von Webseiten angeht hat man schon ab und an Probleme wenn man Javascript deaktiviert hat. Aber seien wir mal ehrlich, wie viele neue Seiten surft ein “normaler” Benutzer täglich an? Glaube kaum dass das viel sind, der regelmäßige Surfer hat ne feste Anzahl von Stammseiten die er ansurft. Diese in NoScript standardmäßig erlauben und gut ist, von einer Beeinträchtigung kann hier in meinen Augen nicht gesprochen werden.

    Deinem Widerspruch muss ich leider auch Wiedersprechen. Es gibt “da draußen” so viele Lemminge die ohne nachzudenken blind Empfehlungen befolgen. Und gerade jemand wie Du, der so ein Blog betreibt der wahrscheinlich auch nicht gerade wenige Besucher hat sollte so etwas schon begründen. Sonst gibt es sicher zig Lemminge die denken: “Der Sören hat das Empfohlen, dann mach ich das einfach”. Was am Ende dabei raus kommt wissen wir beide.

    Und ein vernünftiges, allgemeines Sicherheitskonzept wäre natürlich schön, ist aber pures Wunschdenken / Träumerei. Da denke ich z.B. nur an die Mühen der OWASP, die eigentlich gerade im Nichts verpuffen. XSS und MySQL Injections stehen da ja schon längere Zeit an den ersten Stellen, aber es gibt immer wieder solche Lücken. Gerade im Zusammenhang mit diesem User Agent Thema will ich als Beispiel die Seite hier: http://whatsmyuseragent.com/ nennen (XSS im UserAgent, yea), oder Kim Dotcoms MEGA.

  24. Sören Hentzschel  31. Januar 2013, 23:18

    Hallo,

    Gerade was die Benutzbarkeit von Webseiten angeht hat man schon ab und an Probleme wenn man Javascript deaktiviert hat. Aber seien wir mal ehrlich, wie viele neue Seiten surft ein “normaler” Benutzer täglich an? Glaube kaum dass das viel sind, der regelmäßige Surfer hat ne feste Anzahl von Stammseiten die er ansurft. Diese in NoScript standardmäßig erlauben und gut ist, von einer Beeinträchtigung kann hier in meinen Augen nicht gesprochen werden.

    Das ist in meinen Augen ein ziemlich unrealistisches Bild. Natürlich hat jeder Benutzer seine Stamm-Seiten, die hat nicht nur der normale Benutzer, die haben wir alle, die habe ich auch. Aber die wenigsten bleiben wahrscheinlich nur auf diesen Seiten. Das ganze World Wide Web basiert doch auf dem Prinzip der Verlinkung. Und so kommt man praktisch immer wieder auf neue Webseiten. Und dem normalen Benutzer ist ein tägliches Konfigurieren seines Browsers nicht zuzumuten. Natürlich ist das jetzt total überspitzt formuliert, wenn ich von einem täglichen Konfigurieren spreche, ich kritisiere aber bereits die Notwendigkeit dessen als Ganzes. Darum darf sich ein normaler Nutzer meines Erachtens nicht kümmern müssen, wenn er den Browser benutzt.

    Deinem Widerspruch muss ich leider auch Wiedersprechen. Es gibt “da draußen” so viele Lemminge die ohne nachzudenken blind Empfehlungen befolgen. Und gerade jemand wie Du, der so ein Blog betreibt der wahrscheinlich auch nicht gerade wenige Besucher hat sollte so etwas schon begründen. Sonst gibt es sicher zig Lemminge die denken: “Der Sören hat das Empfohlen, dann mach ich das einfach”. Was am Ende dabei raus kommt wissen wir beide.

    Achja? Was kommt dabei denn raus? Eine Erweiterung wie NoScript ist ganz sicher nicht zwingend notwendig für den normalen Benutzer, auf welchen du dich im Absatz davor noch beziehst. Du kannst nicht mit einem normalen Benutzer argumentieren wollen und dann mit NoScript kommen, was jeden normalen Benutzer bereits total überfordert. Wäre das außerdem eine so notwendige Maßnahme, wie du sie darzustellen versuchst, dann wäre das a) in auch nur einem einzigen Major-Browser ein Standard-Feature, de facto ist es das in keinem einzigen b) würden alle mobilen Browser zumindest mal das Deaktivieren von JavaScript überhaupt erlauben, was de facto auch nicht der Fall ist. Und der Plugin-Schutz ist wie auch bereits gesagt fester Bestandteil von Firefox, dafür braucht man also auch keine Erweiterung. Ich kann diese Empfehlung daher mit absolut bestem Gewissen aussprechen. Und nein, wenn ich etwas begründen müsste, dann wäre es meiner Meinung nach der umgekehrte Fall, wieso ich meine, dass diese Erweiterung so wichtig sei. Diese Meinung habe ich aber nicht. Die Aussage, dass die Sicherheit, welche Firefox out-of-the-box bringt, für den durchschnittlichen Anwender mehr als ausreichend ist, ist definitiv nichts, was begründet werden müsste. Denn wenn wir damit anfangen, dann müssen wir alle Browser auf dem Markt als ein Sicherheits-Risiko einstufen. Und das finde ich – tut mir leid – paranoid. Das ist meine persönliche Meinung.

    Letztlich möchte ich auch mal betonen: Ich bin Blogger. Das bedeutet, ich vertrete grundsätzlich mit meinen Beiträgen meine persönliche Meinung. ;)

    Und ein vernünftiges, allgemeines Sicherheitskonzept wäre natürlich schön, ist aber pures Wunschdenken / Träumerei.

    Ein vernünftiges Sicherheitskonzept mag im Allgemeinen ein Wunschdenken sein. Wer eine Erweiterung wie NoScript einsetzt, macht sich aber erweiterte Gedanken, sollte also auch ein vernünftiges Sicherheitskonzept einschließen.

    Gerade im Zusammenhang mit diesem User Agent Thema will ich als Beispiel die Seite hier: http://whatsmyuseragent.com/ nennen (XSS im UserAgent, yea)

    Ich bin kein Freund davon, einzelne Webseiten herauszugreifen, aber gibt’s dazu auch noch eine Erläuterung oder ist das nur in den Raum geworfen? Wo genau findet XSS statt?

  25. Chris  01. Februar 2013, 08:05

    Hi,

    Achja? Was kommt dabei denn raus?

    Gestohlene Passwörter, Accounts etc. ;-)

    Darum darf sich ein normaler Nutzer meines Erachtens nicht kümmern müssen, wenn er den Browser benutzt.

    Dem widerspreche ich sicher nicht. Das ist aber leider so weit von der Realität entfernt…

    Die Aussage, dass die Sicherheit, welche Firefox out-of-the-box bringt, für den durchschnittlichen Anwender mehr als ausreichend ist, ist definitiv nichts, was begründet werden müsste.

    Hättest Du diese Aussage von Anfang an getroffen würde es ja passen.

    Letztlich möchte ich auch mal betonen: Ich bin Blogger. Das bedeutet, ich vertrete grundsätzlich mit meinen Beiträgen meine persönliche Meinung.

    Klar, das ist ja auch in Ordnung. Nur finde ich gehört zu einer eigenen Meinung IMMER eine Begründung. Aber die hattest Du mit Deiner Antwort ja geliefert, also passt das ja.
     

    Ich bin kein Freund davon, einzelne Webseiten herauszugreifen, aber gibt’s dazu auch noch eine Erläuterung oder ist das nur in den Raum geworfen? Wo genau findet XSS statt?

    Das war eigentlich nur in den Raum geworfen um ein Beispiel zu nennen, wo mal wieder verschlampt wurde ne Richtige Validierung des Inputs einzubauen. Hier findet XSS durch manipulierung des User Agents statt. Gerade bei so einer Seite, die auf etwas so leicht manipulierbares wie den User Agenten angewiesen ist schon grob fahrlässig. Wobei die Gefahr bei dieser Lücke eher sehr gering ist.

  26. Sören Hentzschel  02. Februar 2013, 21:47

    Gestohlene Passwörter, Accounts etc. ;-)

    Da ist die Wahrscheinlichkeit, dass die entsprechende Webseite gehackt und darüber Zugang erlangt wird, deutlich größer. Das als Konsequenz der Nicht-Empfehlung von NoScript auszusprechen, ist wirklich sehr weit hergeholt. So oder so liegt in einem solchen Fall ein Problem mit der entsprechenden Webseite vor.

    Dem widerspreche ich sicher nicht. Das ist aber leider so weit von der Realität entfernt…

    Eben nicht. Dadurch, dass dies in keinem einzigen Major-Browser eine Standard-Funktionalität ist, ist genau das der Fall, dass sich der Anwender nicht darum kümmern muss, dass die Webseiten, die er besucht, genießbar sind. Wer sich darum kümmern muss, hat selber durch die Installation einer solchen Erweiterung eingegriffen. Aber wer das macht, für den ist der Mehraufwand ja offensichtlich auch in Ordnung. Nur ist das eben nicht der durchschnittliche Anwender. Der durchschnittliche Anwender möchte das Internet einfach nutzen können und hat wahrscheinlich nicht einmal Kenntnis über die Existenz einer solchen Erweiterung.

    Das war eigentlich nur in den Raum geworfen um ein Beispiel zu nennen, wo mal wieder verschlampt wurde ne Richtige Validierung des Inputs einzubauen. Hier findet XSS durch manipulierung des User Agents statt. Gerade bei so einer Seite, die auf etwas so leicht manipulierbares wie den User Agenten angewiesen ist schon grob fahrlässig. Wobei die Gefahr bei dieser Lücke eher sehr gering ist.

    Ich kann nicht folgen. Ich finde auf dieser Webseite überhaupt keine Möglichkeit für User-Input. Und inwiefern wird der User-Agent denn manipuliert und müsste validiert werden? Wo genau ist der Zusammenhang zu XSS? Die einzige Möglichkeit für “Input” ist doch die Veränderung des User-Agents innerhalb des Browsers. Und gibst du dort JavaScript-Code ein, wird dieser auf der Webseite auch nicht ausgeführt, sondern lediglich als Text ausgegeben. Also absolut korrektes Verhalten und eben kein XSS. Worauf genau beziehst du dich? Wie gesagt, ich sehe sonst keine Input-Möglichkeiten.

  27. Chris  03. Februar 2013, 17:02

    Da ist die Wahrscheinlichkeit, dass die entsprechende Webseite gehackt und darüber Zugang erlangt wird, deutlich größer. Das als Konsequenz der Nicht-Empfehlung von NoScript auszusprechen, ist wirklich sehr weit hergeholt. So oder so liegt in einem solchen Fall ein Problem mit der entsprechenden Webseite vor.

    Natürlich liegt ein Problem mit der entsprechenden Webseite vor. Aber davor muss sich der User halt eben schützen.

    Eben nicht. Dadurch, dass dies in keinem einzigen Major-Browser eine Standard-Funktionalität ist, ist genau das der Fall, dass sich der Anwender nicht darum kümmern muss, dass die Webseiten, die er besucht, genießbar sind.

    XSS Schutz wird aber mehr und mehr zur Standard-Funktionalität, siehe z.B. hier:

    http://www.d-mueller.de/blog/ie-und-chrome-mit-standard-xss-filter-x-xss-protection/

    Aber irgendwie reden wir glaube ich etwas an einander vorbei. Natürlich muss sich jeder Anwender drum kümmern, dass die Seiten die er besucht genießbar sind. Genau so wie jeder Anwender sich um einen Virenschutz oder eine Firewall kümmern muss. Ein Virenscanner ist ja z.B. jetzt auch erst mit Windows 8 eine Standard-Funktionalität.

    Wo genau ist der Zusammenhang zu XSS? Die einzige Möglichkeit für “Input” ist doch die Veränderung des User-Agents innerhalb des Browsers. Und gibst du dort JavaScript-Code ein, wird dieser auf der Webseite auch nicht ausgeführt, sondern lediglich als Text ausgegeben.

    Ja, eben. Die Seite validiert Javasript im UserAgenten nicht und hier ist eben die Ausführung beliebigem Javascript, also auch XSS durch die Modifikation des User Agents möglich.

  28. Sören Hentzschel  03. Februar 2013, 17:12

    XSS Schutz wird aber mehr und mehr zur Standard-Funktionalität

    Ein solcher XSS-Schutz ist aber wieder was ganz Anderes als die Funktionsweise von NoScript. Auch Firefox bietet übrigens gewisse Schutz-Mechanismen gegen XSS, wenn auch vielleicht nicht in der selben Weise wie Chrome. Ich nutze kein Chrome und kann das daher nicht sagen.

    Ja, eben. Die Seite validiert Javasript im UserAgenten nicht und hier ist eben die Ausführung beliebigem Javascript, also auch XSS durch die Modifikation des User Agents möglich.

    Eben nicht. Ich habe das auf der von dir genannten Seite doch getestet und es wurde dabei kein JavaScript ausgeführt. Deswegen ist mir nicht klar, wo auf dieser Seite eine XSS-Schwachstelle sein soll.

  29. Marius Cramer  03. Februar 2013, 20:16

    Jetzt muss ich mich doch mal in die XSS Diskussion einklinken.

    Selbst wenn die genannte Seite den UserAgent als Javascript ausführen würde… Das wäre für mich immernoch kein Argument für etwas wie “noscript”. XSS ist an den Punkten eine Gefahr wo Inhalte von anderen Usern angezeigt werden, es also im übertragenen Sinne Angreifer und Opfer gibt.

    Den UserAgent verändert entweder eine Erweiterung oder der User selbst und nicht irgend ein Dritter. Somit würde eine solche Seite nur Javascript ausführen, das der User selbst in seinen Browser eingetragen hat – und das tut bspw. auch die Javascript Konsole (böses XSS Tool *g*).

    Allgemein: diese übertriebene Angst vor XSS finde ich nicht sehr hilfreich. Als Webseiten-Betreiber weiß ich auch wie lästig solche Erweiterungen für Anbieter sein können, die sich mit unnötigen Useranfragen und unnachvollziehbaren Fehlerbeschreibungen rumschlagen, weil ein User warum auch immer Noscript, Cookie Blocker oder etwas in dieser Art aktiv hat. Unwissende User kriegen solche Erweiterungen (oft mit zweifelhafter Argumentation) empfohlen und haben oftmals keine Ahnung damit umzugehen oder was genau dadurch vielleicht an “Nebenwirkungen” auftreten.

    Just my 2 cents

  30. Chris  04. Februar 2013, 08:48

    @Sören

    Naja, dann machst Du was falsch. Siehe hier:

    http://www7.pic-upload.de/04.02.13/qxhhykuesl4x.png

    @Marius

    Aus diesem Grund hatte ich oben auch geschrieben “Wobei die Gefahr bei dieser Lücke eher sehr gering ist.”. Das war nur ein Beispiel, das gerade bei einer so offensichtlichen User-Eingabe kein Input validiert wird.

  31. Sören Hentzschel  04. Februar 2013, 14:45

    Okay, das Script-Tag sollte man beim Testen natürlich nicht vergessen. ^^ Nichtsdestominder halte ich es für keine Sicherheitslücke im engeren Sinne, eben weil du niemanden damit angreifen kannst, außer höchstens dich selber.

    Ich denke nicht, dass man vor allem in irgendeiner Weise denkbaren Arten von Gefahr geschützt werden muss oder überhaupt kann. Dann wie gesagt lieber auf ein vernünftiges gesamtes Sicherheitskonzept aufbauen. Gerade wenn durch eine Erweiterung mit klaren Einschränkungen zu leben ist, kann ich davon nur abraten. Zumal auch diese Erweiterung nur so sicher ist, wie die Entscheidungen, die man selber trifft. Du weißt als Nutzer doch gar nicht, ob es auf einer Webseite eine XSS-Schwachstelle oder dergleichen gibt. Nun aktivierst du also JavaScript für die Webseite, weil du dieser vertraust, und schon hast auch du den Salat. Wenn ich wirklich so eine starke Angst bei Benutzung des Internets habe, dann gibt es eigentlich nur ein Mittel, welches funktioniert: Stecker ziehen.

  32. Chris  06. Februar 2013, 07:28

    Klar, wie schon zwei mal geschrieben. Das war ja nur ein Beispiel.

    Vom eigentlichen Thema, dass hier eine Empfehlung ohne Begründung (die ja aber nachgeliefert wurde) stand sind wir jetzt leider doch etwas abgeschweift.

Kommentar hinzufügen

E-Mail-Benachrichtigung bei weiteren Kommentaren.