Flash blockieren mit FlashBlock und QuickJava

Adobe Flash ist eine Technik, die Webseiten interaktiver macht. Dazu bildet Flash eine Art Mini-Computer ab, in dem sich multimediale und interaktive Inhalte darstellen lassen, Grafiken und Video sind damit ebenso möglich wie die Aufzeichnung von Inhalten beim User per Tastatur, Mikrofon und Kamera.

Ein sehr mächtiges Tool also, das auf fast jedem Browser installiert ist. Und wie das so ist: Flash hat sehr häufig Sicherheitslücken, und weil Flash mächtig und verbreitet ist, sind damit auch die Sicherheitlücken mächtig verbreitet.

Das alles wäre halb so schlimm, wäre da nicht zusätzlich folgender fataler Umstand wirksam: Sobald Sie eine Website aufrufen, die ein Flash-Element enthält, wird dieses automatisch gestartet. Sprich: Die Sicherheitlücke von Flash ist ununterbrochen automatisch aktiviert und nicht mit Bordmittel abschaltbar (ausser, man deinstalliert es).

Zusammengenommen ergibt sich die reale Gefahr sogenannter „drive-by infections“, das heißt, ein PC wird „im Vorbeisurfen“ infiziert, weil 1. der Nutzer eine Webseite anschaut, 2. die Flash-Malware darauf automatisch startet und 3. den Rechner des Nutzers infiziert, ehe dieser reagieren kann. Manuelle Downloads (etwa von Raubkopien) sind nicht nötig, denn Flash-Inhalte lädt jeder übliche Browser ganz von selbst automatisch herunter.

Flask blockieren mit Flashblock

Abhilfe schaffen Flash-Blocker wie Flashblock.

Die Browser-Erweiterung macht nichts anderes, als alle Flash-Objekte zu blockieren – alle mit Ausnahme der Flash-Objekte auf Webseiten, die Sie selbst in einer Whitelist erlaubt haben. Die Whitelist ist also eine Liste mit Ausnahmen, alle nicht in der Whitelist verzeichneten Seiten befinden sich automatisch in der Blacklist, der Schwarzen Liste der sicherheitshalber 'verbotenen' Sites. Das verhindert relativ wirkungsvoll „drive-by infections“ auf fremden Websites.

Die Whitelist verwalten Sie in den Einstellungen des Plugins:

Flashblock-Einstellungen: Die Whitelist legt fest, auf welchen Websites Flash erlaubt ist

Geblocktes Flash: erst der Play-Button aktiviert es

Jeder Website mit Flash ist also per Vorgabe geblacklistet: es passiert erst mal nichts, und statt der Animation sehen Sie einen leeren Bereich dort, wo die Animation zu sehen wäre, mit Play-Symbol (siehe rechts) oder Flash-Smbol (siehe unten).

Sie haben dann zwei Möglichkeiten:

  • Sie klicken auf den Abspielen-Button, und Flashblock erlaubt einmalig die Wiedergabe dieser Flashanimation. Diese Erlaubnis gilt nur für dieses eines Mal und auch nur für dieses eine, durch den Play-Button sichtbare Flash-Element.
    Dabei muß klar sein: Wenn Sie "irgendwo im Web" "irgendeiner Website" diese Erlaubnis erteilen, auch wenn sie nur einmalig gilt, kann Sie das infizieren. Nutzen Sie das also wirklich nur auf Seiten, die Sie für vertrauenswürdig halten können.
  • Alternativ klicken Sie mit der rechten Maustaste auf den leeren Bereich des Flash-Elements und wählen Sie Flash für diese Website erlauben. Flashblock erlaubt dadurch dauerhaft die Wiedergabe von Flash-Animationsgerümpel auf allen Seiten der aktuellen Webadresse.

Flashblock blockiert alles bis auf das, was Sie hier dauerhaft als erlaubt festlegen

Erlauben Sie zum Beispiel youtube.com, facebook.com oder clipfish.de, dann funktioniert Flash in Zukunft auf allen Seiten dieser Portale ohne weitere Nachfrage. Wer also seine wichtigsten Portale nach und nach wie im Screen sichtbar in die Whitelist aufnimmt, büßt letzlich keinen Komfort ein. Und trotzdem wirkt Flashblock auf unbekannten, neuen Webseiten.

Nachteil: Es nervt anfangs, Seiten freigeben zu müssen. Und gelegentlich ist der Flash-Ramsch auf „besonders clever“ programmierten Seiten so verteilt, dass die Navigation nicht mehr funktioniert, weil irgendwelche Flash-Objekte, die Sie nicht sehen, von fremden Webseiten geladen werden. Klug wäre es, diese Seiten zu meiden und ihre Designer mit weichem Obst zu bewerfen. Ein Workaround ist, diese Seiten mit einem alternativen Browser ohne Flashblock zu besuchen, etwa Internet Exploder oder Safari - aber wirklich nur *ausnahmsweise* & *für diese eine Seite*, die nicht zu funktionieren scheint.

Fazit: Eine unentbehrliche Browser-Erweiterung.

"Blödsinn, auch 'gewhitelistetes' Flash ist gefährlich!"

Ja, es gibt einen Haken. Nehmen wir an, Sie haben zum Beispiel die Website example.com für Flash freigeben, etwa wegen Webcams oder Videos oder sonstwas. Nehmen wir des weiteren an, eines Tages wird example.com gehackt oder der Flash-Werbeserver des Werbe-Zulieferers von example.com wird gehackt oder sonstwas. Das passiert immer wieder. Dann verbreitet example.com u.U. per Flash Viren, und weil Sie example.com in der Whitelist als erlaubt festgelegt haben, infizieren Sie sich.

Das jedoch macht obiges Plugin nicht schlechter. Sprich:

  • Benutzen Sie trotzdem auf jeden Fall Flashblock.
  • Und installieren Sie sich zusätzlich QuickJava ...:

Flash und Java blockeren mit QuickJava

QuickJava für Firefox führt keine Whitelist. Statt dessen haben Sie damit eine Reihe von Buttons rechts unten im Browser, mit denen Sie ganz einfach an- und abschalten können, ob JavaScript, Java, Flash, Silverlight und Cookies derzeit generell aktiviert sind oder nicht.

Ein einfaches Anklicken schaltet zwischen aktiviert und deaktiviert um.

  • Rot = blockiert,
  • Blau = erlaubt.

QuickJava-Buttons

Hier meine Empfehlung: JS (JavaScript) erlaubt, J (Java) verboten, F (Flash) verboten, SL (Silverlight) verboten, C (Cookies) erlaubt. Gibt wenig Probleme. Und wenn Sie unbedingt mal Flash (oder Java) brauchen, dann schalten Sie es halt ein, indem Sie auf F (oder J) klicken:

QuickJava-Buttons

Dann sieht es so aus: JS (JavaScript) erlaubt, J (Java) verboten, F (Flash) erlaubt, SL (Silverlight) verboten, C (Cookies) erlaubt.

Drücken Sie dann F5 oder klicken auf Reload, um die Seite neu zu laden und siehe da: Flash geht - bzw: *jetzt* entscheidet FlashBlock, ob es geht oder nicht.

Sobald Sie Flash nicht mehr brauchen, schalten Sie es wieder ab.

Hier kriegen Sie die Browser-Erweiterung:

QuickJava für Chrome?

QuickJava gibts leider nicht für Chrome. Sicher gibts einen Ersatz, ich finde keinen - falls Sie einen kennen, freue ich mich über einen Kommentar!

Auf Chrome kann man sich wie folgt behelfen:

  • In die Chome-Adressleiste eingeben: chrome://plugins/
  • Es erscheint eine Liste der Plugins, die man dauerhaft aktivieren oder deaktivieren kann.
  • Bei Adobe Flash Player auf Deaktivieren klicken.
  • DOS war's. Flash ist tot. (Bis Sie es wieder aktivieren.)

(BTW: Java wird auf Chrome von Haus aus blockiert.)

Warum zwei Blocker?

Ganz einfach:

  •  Eigentlich würde QuickJava (auf Firefox) ja reichen: Immer J/F/SL blockieren (auf Chrome: die Plugins anschalten) und nur nutzen, wenn man es _wirklich_ braucht - das schafft mehr Sicherheit.
  • Aber man vergisst einfach, Flash wieder zu sperren, wenn mal es gebraucht hat. Das ist einfach so. Dann wirkt immer noch Flashblock, über das Sie Flash nur auf bestimmten, einigermaßen vertrauenswürdigen Seiten gestatten.

Sprich: Wenn Sie an alles denken, haben Sie mit Flashblock+QuickJava stets einen doppelten Blocker aktiv. Wenn Sie mal wieder vergessen haben - mir jedenfalls passiert es dauernd - Flash in QuickJava wieder abzuschalten, dann wirkt immer noch Flashblock gegen die Möglichkeit, sich auf den zufälligen und daher eher gefährlichen Seiten aus Google-Suchergebnissen eine „drive-by infection“ zuzuziehen.

Und umgekehrt: Auch wenn Sie Flash auf, wass weiss ich, spiegel.de via Flaskblock erlaubt haben, können Sie es mit QuickJava ausschalten, solange Sie es nicht brauchen. Das reduziert die Gefahr, durch gehackte "eigentlich sichere" Sites infiziert zu werden.

Bei Fragen - Kommentar, gerne auch Hinweise auf andere (bessere?) Plugins oder andere Lösungen für Safari, Opera, Internet Explorer.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren...

5 Antworten

  1. capt_korky sagt:

    Hi
    was ist mit NoScript ?

    kombiniert das nicht beide Funnktionen (Website- und Inhaltsbasiertes Blocken) ?

    • Andreas sagt:

      Ja! Kommt noch: NoScript sollte ein eigener Beitrag werden, denn das Problem ist, dass meiner Erfahrung nach die meisten Anwender nicht mit NoScript zurechtkommen, da braucht man ein paar zusätzliche Warnungen...

  2. capt_korky sagt:

    das ist korrekt. "normalo"user sind damit völlig überfordert.

  3. capt_korky sagt:

    was sagst du hierzu ?

    http://www.chip.de/downloads/Ghostery-fuer-Firefox_37693930.html

    getestet hab ich das Tool mal; was mich wundert, dass es angeblich von viel mehr firmen aktivitäten meldet als noscript ...

    • Andreas sagt:

      Ghostery ist im Prinzip okay, ist aber mehr für die Privatsphäre interessant. Es "findet" mehr als NoScript, weil es sich nicht auf Scripte beschränkt, sondern auch Cookies und Webwanzen/Beacons (Zählpixel) erfasst und dazu eine umfangreiche Datenbank besitzt, derzeit wahrscheinlich die größte ihrer Art.

      Indes gehört es zum Geschäftsmodell von Ghostery, damit zugleich auch eine Datenbank zu pflegen, in der verzeichnet wird, welche (der von den Nutzern besuchten) Webseiten welche Werbe- und Trackingmittel einsetzen. Spricht: Ghostery ist, sofern man die Option "GhostRank" nicht deaktiviert läßt, selbst ein Tracker-Tool der Werbeindustrie.

      Siehe dazu die FAQ
      http://www.ghostery.com/faq#q14
      die Darstellung der Angebote für Business hier
      http://www.evidon.com/for-businesses/brands
      sowie den "anklagenden" Beitrag hier
      http://venturebeat.com/2012/07/31/ghostery-a-web-tracking-blocker-that-actually-helps-the-ad-industry/
      und Ghosterys durchaus nachvollziehbare Stellungnahme dazu auf
      http://purplebox.ghostery.com/?p=1016022414

      Ich denke, dass Ghostery mit deaktiviertem Ghostrank nicht gefährlicher ist als überhaupt einen Browser zu nutzen, und dass der Nutzen dann den Nachteil überwiegt. Ich nutze es auch selbst, aber weniger um zu blockieren, sondern vor allem, um aus Neugier informiert zu sein. Die Blockade von Zählpixeln (und von Werbung) schadet den Webseitenbetreibern, weil es ihre offiziellen Zahlen reduziert und damit ihre Werbeeinnahmen schmälert. Das kann einem einzelnen Nutzer natürlich egal sein, aber die meisten Webseiten müssen sich finanzieren und man muß sich als Leser schon die Frage stellen, was man lieber in Kauf nimmt: Werbung - oder weniger transparente Finanzierungsmodelle, etwa gekaufte Inhalte, die nicht als solche zu erkennen sind.

      Die monatlichen Einnahmen auf unsicherheitsblog.de, generiert vor allem durch Amazon-Links und Google AdSense, tragen die realen Kosten nicht. Das Hosting ja, aber nicht meine Arbeitszeit. Ich hätte gerne, dass das mehr wird, nicht nur, damit ich das Blog nicht mehr durch andere Einnahmequellen subventionieren muss, sondern weil das auch eine Anerkennung der Mühe wäre. "Flattr" zum Beispiel produziert so gut wie keine Einnahmen, aber wenn einer mal einen Beitrag flattrt, freue ich mich wie ein Schneekönig, obwohl es nur ein paar Cent sind. Zugleich bieten mir monatlich zwei Anbieter dreistellige Beträge für irgendwelche Links auf Casino-Webseiten, die ich ablehne, weil mich diese Art von Geld nicht interessiert, eben weil sie keine Anerkennung ist.

      Wie auch immer: Zum Blocken von Scripten ist NoScript in meinen Augen die bessere Wahl, aber Ghostery ist schon auch okay (die verkürzte Darstellung bei Chip ist fragwürdig), man muß sich nur bewusst machen, dass sich solche Tools eines Tages auch ganz anders verhalten können. Derzeit ist "Ghostrank" ja Opt-in (man muss es absichtlich aktivieren), das ist sehr fair, aber niemand garantiert, dass sich das nicht ändert.