Mozilla warnt vor weitreichenden Folgen einer möglichen Entscheidung gegen Adblocker. Ein Rechtsstreit zwischen Axel Springer und dem Adblock-Plus-Entwickler geht in die heiße Phase
Du hast zwar nicht Unrecht, aber das ist vom Prinzip her ja abhängig von den Seitenbetreibern, was für externe Inhalte eingebunden werden.
Und Schadcode könnte auch in Inhalten sein, die auf keiner Adblock- und Tracker-Liste stehen.
Es ist zwar eine gute Heuristik, uBlock origin o.ä. zu nutzen, aber technisch gesehen führst Du doch immer den Code der Seite, die Du besuchst, aus.
Entweder es gibt jetzt eine Lücke in der JS-Sandbox, oder die Seite erlaubt aktiv (CORS) fremden Quellen, durch Skripte Daten abzugreifen, die vom Nutzer eigentlich nur für die gerade besuchte Seite gedacht waren.
Beides kann kein Adblocker prinzipiell verhindern.
Für mich ist das Grundproblem, dass es erlaubt wird, Nutzern zu verbieten, die Datenübertragung von und zu Onlinediensten mittels Adblocker zu manipulieren.
Das zu verbieten widerspricht aus meiner Sicht eigentlich grundlegenden Freiheitsrechten.
Anbietern steht es frei, beliebige technische Barrieren zu errichten.
Aber Nutzer dafür zu bestrafen, den Download oder die Ausführung von Teilen einer Website zu verbieten, ist halt totalitär.
Ähnliche Problematik wie bei früheren “Hackerprozessen”, oder auch aktuell bei Security Research, oder?
Meine Gedanken gingen eher in die Richtung, dass du z.B. eine Phishing-Mail bekommst und dort auf einen Link klickst, der zu einer Webseite führt, die Schadcode ausliefert.
Sobald du den Link angeklickt hast, wärst du gemäß dieser schroben Rechtsauffassung gezwungen, alle Schadcode-Befehle exakt so auf deinem Computer auszuführen, wie vorgegeben.
Das würde z.B. bedeuten, dass moderne Browser ihre Maßnahmen gegen Clickjacking rauswerfen müssten. Bei Clickjacking wird z.B. die Webseite deiner Bank unsichtbar eingebunden und mit anderen, sichtbaren Knöpfen hinterlegt, so dass du dann unwissend die Bank-Webseite navigierst, wenn du die sichtbaren Knöpfe anklicken willst.
Man könnte sogar argumentieren, dass auch Sandboxing dafür sorgt, dass gewisse Webseiten nicht mehr so funktionieren, wie vom Betreiber erwünscht. Ob das jemand wirklich juristisch argumentieren würde, ist noch die andere Frage, aber ist eben trotzdem kein Zustand, dass sich Browser-Entwickler immer erstmal strafbar machen, wenn sie grundlegende Sicherheitsmaßnahmen umsetzen wollen.
Fair, ich bin ja grundsätzlich sowieso der gleichen Meinung, dass kein Nutzer gezwungen werden darf, die Ausführung von Code auf Websites nach seinem eigenen Belieben zu steuern.
Mir war nur nicht ganz klar, was Du mit dem Ausführen von Schadcode genau meinst, abgesehen von eben Sachen wie Drive-By-Exploits, Cross-site-Tracking und ggf XSS durch das Einbinden von JS aus fremden Quellen via Ad Network.
Dein Beispiel mit der Phishingmail und Clickjacking auf der verlinkten Seite ist eine perfekte Ergänzung, um den Punkt klarer zu machen, wie Schadcode in JS aussehen kann, ohne Zero-Days und Sandbox-Escapes usw.
Du hast zwar nicht Unrecht, aber das ist vom Prinzip her ja abhängig von den Seitenbetreibern, was für externe Inhalte eingebunden werden.
Und Schadcode könnte auch in Inhalten sein, die auf keiner Adblock- und Tracker-Liste stehen.
Es ist zwar eine gute Heuristik, uBlock origin o.ä. zu nutzen, aber technisch gesehen führst Du doch immer den Code der Seite, die Du besuchst, aus.
Entweder es gibt jetzt eine Lücke in der JS-Sandbox, oder die Seite erlaubt aktiv (CORS) fremden Quellen, durch Skripte Daten abzugreifen, die vom Nutzer eigentlich nur für die gerade besuchte Seite gedacht waren.
Beides kann kein Adblocker prinzipiell verhindern.
Für mich ist das Grundproblem, dass es erlaubt wird, Nutzern zu verbieten, die Datenübertragung von und zu Onlinediensten mittels Adblocker zu manipulieren.
Das zu verbieten widerspricht aus meiner Sicht eigentlich grundlegenden Freiheitsrechten.
Anbietern steht es frei, beliebige technische Barrieren zu errichten.
Aber Nutzer dafür zu bestrafen, den Download oder die Ausführung von Teilen einer Website zu verbieten, ist halt totalitär.
Ähnliche Problematik wie bei früheren “Hackerprozessen”, oder auch aktuell bei Security Research, oder?
Meine Gedanken gingen eher in die Richtung, dass du z.B. eine Phishing-Mail bekommst und dort auf einen Link klickst, der zu einer Webseite führt, die Schadcode ausliefert.
Sobald du den Link angeklickt hast, wärst du gemäß dieser schroben Rechtsauffassung gezwungen, alle Schadcode-Befehle exakt so auf deinem Computer auszuführen, wie vorgegeben.
Das würde z.B. bedeuten, dass moderne Browser ihre Maßnahmen gegen Clickjacking rauswerfen müssten. Bei Clickjacking wird z.B. die Webseite deiner Bank unsichtbar eingebunden und mit anderen, sichtbaren Knöpfen hinterlegt, so dass du dann unwissend die Bank-Webseite navigierst, wenn du die sichtbaren Knöpfe anklicken willst.
Man könnte sogar argumentieren, dass auch Sandboxing dafür sorgt, dass gewisse Webseiten nicht mehr so funktionieren, wie vom Betreiber erwünscht. Ob das jemand wirklich juristisch argumentieren würde, ist noch die andere Frage, aber ist eben trotzdem kein Zustand, dass sich Browser-Entwickler immer erstmal strafbar machen, wenn sie grundlegende Sicherheitsmaßnahmen umsetzen wollen.
Fair, ich bin ja grundsätzlich sowieso der gleichen Meinung, dass kein Nutzer gezwungen werden darf, die Ausführung von Code auf Websites nach seinem eigenen Belieben zu steuern.
Mir war nur nicht ganz klar, was Du mit dem Ausführen von Schadcode genau meinst, abgesehen von eben Sachen wie Drive-By-Exploits, Cross-site-Tracking und ggf XSS durch das Einbinden von JS aus fremden Quellen via Ad Network.
Dein Beispiel mit der Phishingmail und Clickjacking auf der verlinkten Seite ist eine perfekte Ergänzung, um den Punkt klarer zu machen, wie Schadcode in JS aussehen kann, ohne Zero-Days und Sandbox-Escapes usw.
👍