NoScript: Giorgio Maone im Interview (Repost)

Article by · 3. Dezember 2017 ·

Vorgestern wurde Version 10.1.5 von NoScript für den Firefox 57 “Quantum” veröffentlicht. Diese Browser-Erweiterung ist im Web eines der populärsten Tools wenn es darum geht, unser aller Privatsphäre effektiv zu schützen. Allerdings erfordert dieses Add-on vom Nutzer auch Eigeninitiative, um es nach der Installation so einzustellen, damit es auf allen häufig besuchten Webseiten optimal funktioniert. Mal eben herunterladen, um sich dann im Internet ohne Einschränkungen, ohne jeden Zeitaufwand und trotzdem sicher zu bewegen, das klappt so nicht. Ich habe mit dem Autor von NoScript für das Online-Magazin gulli.com vor ein paar Jahren ein Interview durchgeführt und veröffentliche es hier nochmals. Warum? Ganz einfach, weil dieses Tool bis heute nichts an seiner Bedeutung und Funktionalität eingebüßt hat. So ist beispielsweise eine sichere Nutzung des Tor Browsers ohne NoScript schlichtweg undenkbar.

Was ist eigentlich NoScript?

Diese Browsererweiterung ist ausschließlich für Mozillas Firefox und dessen Abwandlung Tor Browser, erhältlich. Sie unterbindet per Voreinstellung auf den Webseiten jegliches Ausführen von Skripten. Skripte können nützliche aber auch unerwünschte oder sogar gefährliche Funktionen beinhalten. Sie dienen eigentlich dazu Webseiten mit einer zusätzlichen Funktionalität auszustatten, wie das Einbetten von externen Videos oder Social-Media-Buttons. Über ein Skript kann man aber z.B. auch das Nutzungsverhalten aller Besucher überwachen, die keinen Skript-Blocker aktiviert haben. Über ein Skript kann beispielsweise auch mittels CoinHive auf den Besucher-PCs die Digitalwährung Monero geschürft werden. Wer keine Skripte blockiert, geht aber auch Sicherheitsrisiken ein. Manche weniger seriöse Webseiten beinhalten mitunter schädliche Skripte.

Magst du dich den Lesern zu Beginn einfach mal vorstellen?

Giorgio Maone: Hallo, ich bin Giorgio Maone aus Italien. Ich bin 43 Jahre alt, mit meiner Frau Michela verheiratet und werde bald der stolze Vater meines Sohnes Francesco sein, es ist nur noch eine Frage von wenigen Tagen. (Anmerkung: Da das Interview aus dem Februar 2009 stammt, dürfte Francesco jetzt schon in die Schule gehen).

Ich liebe es Musik zu spielen und zu komponieren. Ich bin auch ein großer Fan von fernöstlicher Kampfkunst, aber aktuell fehlt mir zumeist die Zeit es einzuüben. Mein Job tagsüber besteht darin, meine Firma InformAction in Palermo unter der warmen Sonne Siziliens in allen kaufmännischen sowie technischen Belangen zu leiten. Wir sind ein Softwareunternehmen und entwickeln maßgeschneiderte Software für kleine Firmen, die öffentliche Verwaltung und auch Start-ups.

Natürlich geht eine beträchtliche Summe meiner Zeit für meine Beteiligungen für die Open Source Gemeinschaft drauf. Im speziellen Sinne für den Firefox, weil ich Mitglied der Mozilla Sicherheitsgruppe bin und für diesen Browser Add-ons entwickle.

Das Betriebssystem vom Amiga war Windows „um Jahre voraus“.

Ich habe gelesen, du hast früher auf dem Commodore 64 (C64) und später auf dem Amiga programmiert. Was hat dich an diesen beiden Rechnern so fasziniert? Und warum hast du dich für die Arbeit mit dem Compiler C auf dem Amiga entschieden? Die Assembler sind auf diesem Gerät Lichtjahre schneller.

Giorgio Maone: In diesem Zeitraum war mehr Vielfalt in Bezug auf die Computer Hardware möglich. Und diese Maschinen waren einfach fantastisch für Enthusiasten, die mit einigen Geheimnissen und Tricks ihre Geräte erforscht haben, um ihnen neue Wunder zu entlocken. Vor allem wenn es um die graphischen und musikalischen Möglichkeiten geht, die man aus diesen primitiven aber höchst unterhaltsamen Chips herausholen konnte.

Auf dem Commodore 64 hatte man keine Wahl als für ernsthafte Anwendungen einen Assembler zu benutzen. Es gab ehedem keine Programmierschnittstelle, man musste direkt in den festgelegten Speicherbereichen herumpfuschen. Im Gegensatz dazu war Amiga OS ein sehr modernes Betriebssystem mit Multitaskingfähigkeiten, welches Windows um Jahre voraus war. Es besaß gut dokumentierte Programmierschnittstellen, die die Arbeit mit C nicht nur möglich machte, sondern vergnüglich gestaltete.

 

Browser-Schwachstellen werden häufig per JavaScript ausgenutzt

 

Wie bist du auf die Idee gekommen, NoScript zu entwickeln? Wie ist das Tool entstanden?

Giorgio Maone: Anfang Mai 2005, gab es ein paar Monate nach der Veröffentlichung meines ersten Firefox Add-ons mit dem Namen FlashGot eine heftige Krise in der Mozilla Community. Eine bedrohliche Schwachstelle im Originalzustand des Programms geriet an die Öffentlichkeit. Diese erlaubte den Angreifern unter Anwendung von JavaScript auf den Zielrechnern einen höchst eigenmächtigen Code auszuführen, sollte der Benutzer eine damit verseuchte Webseite besuchen. In erster Linie fühlte ich mich in meiner eigenen Sicherheit bedroht. Ich erforschte bereits bekannte Schwachstellen von Browsern und stellte fest, dass bei allen einschlägigen Browsern der Übeltäter in fast allen Fällen seinen Einzug per JavaScript nahm. Selbst heute empfiehlt die überwältigende Mehrheit von Sicherheitsratgebern in diesem Bereich, dass man während der Arbeit stets Javascript ausschalten soll, will man auf der sicheren Seite sein.

Ich fragte mich also, wie man JavaScript wie empfohlen ausschaltet, allerdings brauche ich es, wenn ich mich auf Websites befinde, denen ich vertraue und mit denen ich arbeiten will, wie zum Beispiel meine Adresse für Webmail oder die meiner Bank. Sollte ich das ausschalten, bis alle Bugs ausgemerzt sind? Und was ist mit den Lücken, die bisher nicht veröffentlicht wurden? Kann ich mir sicher sein, dass die Bad Guys nicht schon wissen, wie man diese ausnutzt?

Drei Tage später war Version 1.0 von NoScript fertig und wurde auf der Add-on Seite von Mozilla zur Verfügung gestellt.

 

NoScript ist ein Produkt deiner Firma InformAction. Wie viele Personen sind mit den regelmäßigen Updates betraut und wie könnt mit einem kostenlosen Tool überhaupt jegliches Geld verdienen?

Giorgio Maone: Ich bin derzeit der geradezu einsame Hauptentwickler von NoScript, selbst wenn es ein paar Patches zur Behebung von Bugs gab, die im Laufe der Zeit beigesteuert wurden. Sowohl von manchen der Anwender, die erfahrene Programmierer und Sicherheitsexperten sind oder auch von Mitgliedern der Entwicklungsabteilung von InfomAction. Paradoxerweise bin ich davon überzeugt, dass das Projekt nicht die Agilität hätte, die es jetzt hat. Viele andere Open Source Projekte haben ein Kernteam an Entwicklern. Und so halte ich alles auf dem Laufenden, wenn im Internet neue Angriffe bekannt werden.

Natürlich verursacht dieses Engagement auch seine Kosten, sowohl für mich persönlich als auch für meine Firma. Die Aufwendungen werden teilweise von Spenden durch Anwender oder Sponsoren wie die NLnet Foundation gedeckt. Die Foundation finanziert die Entwicklung vom Application Boundaries Enforcer (ABE), einem sicherheitsrelevanten Bestandteil vom Browser selbst. Für mehr Informationen klickt bitte hier.

Der Hauptsponsor ist und bleibt InformAction selbst, die meine Arbeitszeit an NoScript quasi verleihen. Dafür erhalten wir im Gegenzug jede Menge gute Presse aus aller Welt. ;)

 

Es macht keinen Sinn, den Firefox als Download direkt mit NoScript auszuliefern

 

Warum ist dein Plug-in nicht per Default im Firefox eingebunden. Ich denke das würde sehr viel Sinn machen. Gab es je Überlegungen, dies der Mozilla Corp. vorzuschlagen?

Giorgio Maone: NoScript ist Teil des XeroBank Browsers, ein Produkt optimiert für anonymes Surfen. (Anmerkung: Die Entwicklung des xB Browsers wurde zwischenzeitlich eingestellt.) Zudem wurde es in ein paar anderen Firefox Derivaten eingebunden.

In der Vergangenheit erhielt ich eine Anfrage, NoScript in den SeaMonkey Browser zu implementieren. Es gab juristische Probleme, denn dafür hätte ich unsere offene GPL-Lizenz in eine eher kommerziell ausgerichtete Kombination aus (GPL/MPL/LGPL-Lizenzen) umwandeln müssen. Und das war in dieser Form nicht möglich.

Es gab Überlegungen bei Mozilla, einige Funktionen (siehe hier) kurzfristig einzubinden. Aber ich bin kein Fan davon, außer man würde im Vorfeld massive Aufklärungsarbeit leisten. Der Grund ist, dass der Firefox direkt im Endanwendermarkt mit den anderen Mitstreitern konkurriert. Und einige Websites sehen kaputt aus, bevor Du sie nicht auf der Whitelist von NoScript einträgst. Ich habe große Bedenken, die weniger gut informierten Anwender würden in dem Fall direkt zum Internet Explorer zurückkehren. Sie glauben über eine kaputt angezeigte Webseite zu stolpern und werden dem Browser bei vertrauenswürdigen Seiten nicht erlauben alles anzuzeigen. Sie verstehen nicht, was der Grund dafür sein könnte. Eine Erweiterung ist weniger problematisch. Wer sich das installiert, weiß, was er tut. Und selbst wenn nicht, schimpft man auf das zuletzt installierte PlugIn, anstatt auf den Firefox. Kluge Leute, denen viel an ihrer Sicherheit liegt, werden die sicherste Option auswählen. Und die anderen … erwähnte ich bereits, dass ich ein gnadenloser Fan von Darwin bin?

 

In Anbetracht der Tatsache, dass die Menge aller anderen Browser-Nutzer so viel größer ist, warum hast du das Programm für den Firefox und für keinen anderen Browser entwickelt?

Giorgio Maone: Wie gesagt, ich habe NoScript ursprünglich zu meiner eigenen Sicherheit entwickelt. Und der Firefox war und ist der Browser mit den meisten Möglichkeiten für dessen Erweiterung. Ich glaube zudem, niemand hätte so etwas wie NoScript für den I.E. in nur drei Tagen veröffentlichen können. ;)

Das betrifft auch die Pflege und die Entwicklung, die langsam aber sicher immer aufwendiger wird. Wie du dir vorstellen kannst, nirgends sonst muss man so schnell agieren wie beim Schutz der Anwender gegen Angriffe. In diesem Bereich muss man sich ständig den Gegebenheiten neu anpassen.

 

Ich gebe zu, das für mehr als einen Browser zu machen ist für eine Person völlig unmöglich. Welche Add-ons kannst du uns für den Firefox empfehlen? Welche davon können gut mit NoScript kombiniert werden?

Giorgio Maone: Das Schlüsselkonzept für NoScript ist Vertrauen. Du solltest nur solche Webseiten in vollem Umfang besuchen, denen du auch trauen kannst. Aber manchmal kommt man ins Zweifeln, wenn man auf neue Seiten stößt, die man vorher nicht kannte. Glücklicherweise gibt es dafür das Add-on Web of Trust (WOT). Dahinter verbergen sich Hinweise, die von einer Gemeinschaft in Echtzeit gegeben werden, ob die Sicherheit und Privatsphäre der neuen Webseiten gefährdet ist. Das hilft sehr einzuschätzen, ob eine Website rechtschaffend ist wo du zum ersten Mal gelandet bist. So kannst besser entscheiden, ob du alles blockieren willst oder nicht.

Ein anderer guter Mitstreiter ist AdBlock Plus, der das Rauschen der invasiven Werbung reduziert aber ich glaube das muss ich nicht weiter ankündigen.

Wer mit einem Interface, welches dem von NoScript sehr ähnlich ist, mit Cookies im Handumdrehen umgehen will, der sollte mal CS Lite ausprobieren.

Schließlich würde ich gerne ein weniger bekanntes Tool anfügen, welches sich in Bezug auf die Sicherheit als sehr hilfreich erweisen kann. Speziell in solchen Tagen wie diesen, wo sich SSL häufiger auf dem Prüfstand befindet.

 

Hast du je daran gedacht, das Tool auch für andere Browser zu realisieren?

Giorgio Maone: Ich bekam sehr viele Anfragen speziell von den Anwendern von Safari, Chrome und dem Internet Explorer (I.E.) aber das ist aus den eben ausgeführten Gründen wahrscheinlich unmöglich.

Wie auch immer, einige Merkmale, die von uns eingeführt wurden, werden Teil von Mainstream-Browsern. Dies passiert derzeit mit den Anti-XSS Filtern. (für mehr Informationen). Ich verspreche euch allerdings: Die Anwender von NoScript werden der Entwicklung immer drei bis vier Jahre voraus sein. :)

 

Ihr werbt damit, dass eure Firma strikt der Idee von Open Source folgen würde. Wie kommt’s und welche Vorteile hat dieses Vorgehen ?

Giorgio Maone: Als ich auf dem C64 anfing zu programmieren, war alles automatisch von Beginn an Open Source. Die Maschinensprache der 6502 CPU war so simpel, weil niemand übermäßig komplizierte Dinge in 64 Kilobytes anstellen konnte. Zudem gab es keine API, die man hätte zurückverfolgen müssen. Deswegen war es für mich selbstverständlich in dieser Geisteshaltung zu programmieren. Jeder konnte deinen Code analysieren und darüber lachen, wenn er schlecht war. Oder ihn verbessern, wenn er bereits gut war. Ich habe viele Tricks gelernt, als ich mir den Code der Demoszene angesehen habe. Ich erinnere mich daran, eine Abspielroutine für den SID geklaut zu haben. Dies war der ehrwürdige Audiochip des C64. Entnommen hatte ich die Routine dem bekannten Spiel “Commando”, der einen unvergesslichen Soundtrack von Rob Hubbard beinhaltete. Ich habe die Percussions verbessert und den Code in meinem eigenen Programm benutzt. Im Laufe der Zeit sind viele Geeks wie ich natürlich zum Amiga übergesiedelt. Das war eine andere aufregende Plattform, die ihrer Zeit Jahrzehnte voraus war. Als der Amiga endgültig vom unermesslichen Monopol von Windows gekilled wurde, war der Umschwung zu Linux geradezu obligatorisch, zumindest für uns Hardcore-Freaks.

Man kann sagen, ich wuchs in einem Bad angefüllt von Open Source und Hacker-Philosophie auf. Heutzutage ist Open Source für InformAction das Geschäftsmodell. Die Gründe dafür liegen klar im geschäftlichen Bereich und nicht bei der damit verbundenen Ideologie oder Sentimentalität. Wir glauben an die Power von Freier Software als eine fantastische Ressource, die funktioniert und Bestand haben wird. Wir haben so Zugriff auf eine unschlagbare Sammlung von gutem Code. Und wenn dieser nicht genau so funktionieren sollte, wie wir es möchten, so besitzen wir die Freiheit dies zu ändern. Wenn unsere Veränderungen interessant für die Community sein könnten, so ist es kein Handicap für uns, ihnen das zurückzugeben. Dies steht ganz im Gegensatz zu der Auffassung der Fürsprecher der Closed Source. Wir können im Gegenteil Bugfixes für umsonst erhalten und bauen so ein Fundament auf, welches dadurch immer besser und stabiler wird. Ich glaube generell daran, wirklich gute Programmierer haben kein Problem ihre Quellcodes offen zu legen. Wenn der Code gut ist, können daraus mehr Verträge entstehen, weil du damit die Qualität offen legst. Wenn sich viele Leute das angesehen haben, kann der Grad der Qualität nur verbessert werden.

 

Was ist die beste Wahl um die eigene Hardware gegen alle möglichen Angriffe aus dem Cyberspace zu schützen? Macht der Einsatz eines sehr simplen Browsers Sinn, der lediglich für alle Bank- und Kreditkarten-Transaktionen benutzt wird? Ein Browser, der ansonsten nicht in der Lage ist viel zu bieten, außer die wirklich grundlegenden Funktionen, was ihn sehr sicher gestalten würde? Man könnte ansonsten für alle anderen Anwendungen den Firefox in seiner kompletten Funktionalität benutzen?

Giorgio Maone: Separate Browser im Gegensatz zum normalen Surfen für sensible Transaktionen einzusetzen ist an sich kein neues Konzept. Und selbst Jeremiah Grossman von der Firma WhiteHat Security (einer der Erfinder des Begriffes “Clickjacking” und ein großer Fan von NoScript) preist dies als sicheren Ansatz fürs Surfen an.

Im Übrigen bietet der Firefox diese Möglichkeit der Isolierung in einzelne Browser über die unterschiedlichen Profile an. Du kannst über unterschiedliche Profile zwei komplett separate Instanzen von Firefox gleichzeitig laufen lassen. Die beiden Instanzen teilen sich nichts, weder die Cookies, noch die Lesezeichen, die History etc. Wer sich dafür interessiert, dieser Artikel erklärt allen Nicht-Geeks wie es funktioniert!

Nichtsdestotrotz verlagern wir täglich den Aufenthaltsort vieler wichtiger Details unseres Lebens und unserer Identität auf externe Bereiche “in the cloud” und das betrifft nicht nur Bankdetails. Wir führen unsere Geschäfte immer mehr mithilfe von E-Mails durch, die zunehmend zu Webmails wurden. Oder beispielsweise Twitter; wir bauen unsere Sozialen Netzwerke auf sehr zerbrechlichen Plattformen wie Facebook, Linkedin oder Friendster auf. Wir neigen in anderen Worten immer mehr dazu, unsere Privatsphäre und Sicherheit aufzugeben, weil jeder so verfährt. Wenn es üblich wurde und es jeder tut, hat man bald keine Chance mehr anders zu verfahren. Sind also eigene Browser für die jeweiligen Aktionen die Lösung? Noch schlimmer: Die ganzen Angebote wachsen zusehends und werden immer mehr miteinander verknüpft. So wie zum Beispiel Gmail mit Google Docs, der Google Kalender mit Google Checkout, YouTube, Orkut etc. etc. Demnach ist das unterteilte Browsen mit verschiedenen Anwendungen auch keine praktikable Lösung.

Die gute Nachricht ist, dass du das alles nicht brauchst, solange du NoScript benutzt. Dank unserer Maßnahmen gegen XSS, CSRF und gegen ClickJacking habt ihr eine sehr sichere Webumgebung vereint auf einem einzigen Browserprofil.

 

Das Rennen zwischen den Browser-Herstellern und Hackern wird wohl nie vorüber sein.

 

Wird dieses Rennen zwischen Hackern und den Erstellern der Browser denn jemals enden? Jemand findet eine neue Sicherheitslücke und kurze Zeit später wird diese bekannt, bis sie wieder geschlossen wird.

Giorgio Maone: Nein, so schnell nicht. Ganz einfach weil keine Software perfekt ist und sich das Ziel in der Entwicklung befindet. Die einzige Lösung das zu beenden wäre eine sehr strikte Auswahl an Fähigkeiten, die jeder Hersteller von Browsern absichern würde. Nach dem Einbau der Features würde man keinerlei Pflege mehr durchführen. Das hätte zur Folge: nie wieder neue Features! Im Grunde genommen würde dies jegliche Innovation komplett unmöglich machen. Eine Situation, die schlimmer wäre als die jetzigen Probleme.

Und nochmals: NoScript kann auf Wunsch grundsätzlich alle Skripte blockieren. Zusammen mit den anderen Möglichkeiten konnten wir unserem Motto treu bleiben und das Ausnutzen jeglicher (bekannter wie unbekannter Sicherheitslücken vermeiden, ohne die Funktionalität einzuschränken. Tatsächlich konnte keine Schwachstelle des Firefox von einem Angreifer ausgenutzt werden, wenn der Anwender NoScript aktiviert hatte.

 

Was glaubst Du, wie die Browser in 10 oder vielleicht 15 Jahren aussehen werden? Werden sie im Vergleich zu den heutigen Browsern sehr unterschiedlich sein?

Giorgio Maone: Oh Hölle! 10 oder 15 Jahre ist im Bereich der IT eine lange Zeit. Egal was ich voraussage, könnte schon in einem Jahr komplett überholt oder sogar debil klingen.

Schaut man sich die jetzigen Trends an, so glaube ich sie werden nicht radikal anders aussehen. Aber sie werden nahtlos einige Features anbieten, die dann wie angeboren wirken. Es sind solche Features, die jetzt entweder total experimentell sind oder von PlugIns zur Verfügung gestellt werden. Vor allem alle Töne und Videos werden bidirektional sein. Oder aber dreidimensionale Benutzeroberflächen, die mit Virtual Reality-Geräten oder Holoprojektion dargestellt werden. Oder die guten alten Kommandos per Spracherkennung, möglichst in der eigenen Sprache. Übrigens: Kennt ihr das Projekt Ubiquity? Ich hoffe, wir erhalten viele benötigte Verbesserungen unter der Haube, um die Entwicklung von mächtigen wie auch SICHEREN Web-basierten Applikationen zu einem menschlichen Prozess zu gestalten. Die einfachste Prophezeiung ist, dass Browser universell einsetzbar sein werden. Man sieht sie heute schon eingebaut in vielen Gegenständen, so etwa in TV-Geräten oder Telefonen. Ich glaube das wird DIE universelle Benutzerschnittstelle für jede Form der Anwendung. An diesem Punkt wird Linux definitiv die Welt erobern. *lacht herzlich*

 

Das mit den Linux-Distributionen für alle möglichen Anwendungsgebiete halte ich aufgrund deren geringem Hunger nach Ressourcen durchaus für möglich. Gibt es am Ende jemanden, den Du grüßen möchtest? Menschen, die dir über die Jahre hinweg geholfen haben?

Giorgio Maone: Ich würde gerne meiner Frau Michela danken. Und ja: hallo Francesco! Er müsste zum Zeitpunkt der Veröffentlichung dieses Artikels geboren sein. Ein paar altmodische Grüße an Josh “Timeless” Soref, Dan Veditz und alle vom Mozilla staff, Robert “RSnake” Hansen von SecTheory, Arshan Dabirsiaghi von OWASP, und alle anderen NoScript Anwender, die über die Jahre dabei geholfen haben das Tool zu verbessern.

 

Giorgio, danke vielmals für das überaus ausführliche Gespräch!!

Die englischsprachige Version des Interviews ist hier verfügbar.

Mehr zu diesem Thema:

Flattr this!

4 Comments


Leave a comment