...das zeigt mir mein taeglicher Umgang mit Menschen, die versuchen einen Computer zu verwenden.
Ich mache seit knapp 10 Jahren Web Application Pentesting und weiß berufsbedingt was Cross Site Scripting, Cross Site Request Forgery und XML Entity Injection bedeutet.
Ich frage mich warum NoScript noch immer Menschen empfohlen wird...

Auf Tagesbasis erlebe ich, dass viele gestandene Web-Entwickler keine Sicherheitsrelevanten Entscheidungen treffen können oder sollten. Wie kann man das von normalen Menschen erwarten?
NoScript tötet die Web Experience durch den Verbot von Scripten fast zu 100% und jeder unbedarfte Anwender wird sich immer für eine funktionierende Webseite entscheiden, auch wenn dafür mal ein Scriptchen aktiviert werden muss.

Beispiel 1: Ebay hatte gut ein Jahr lang eine nicht behobene XSS Lücke. noScript fixt das, dafür funktioniert kein Ebay mehr.

Beispiel 2: Xhamster lieferte 2 Monate Malvertising aus, also Werbeeinblendungen, die verschiedene Schwachstellen in Webbrowsern angriffen. NoScript löst das Problem, nur kann man dann nicht mehr die Palme wedeln.

Wie glaubst du haben Sicherheitsentscheidungen von Benutzern in diesen Fällen ausgesehen? Natürlichen aktivieren die solange alle Scripte, bis Ebay den neusten Schnapper und Xhamster die neusten Möpse oder Pimmel anzeigt.

Eine Lösung habe ich keine, kann nur sagen, dass wenn NoScript die Antwort für den normalen PC Benutzer ist, das Problem nicht verstanden wurde.

LG,
QFT

--
XSS for the masses...