Flash blockieren mit FlashBlock und QuickJava

Adobe Flash ist eine Technik, die Webseiten interaktiver macht. Dazu bildet Flash eine Art Mini-Computer ab, in dem sich multimediale und interaktive Inhalte darstellen lassen, Grafiken und Video sind damit ebenso möglich wie die Aufzeichnung von Inhalten beim User per Tastatur, Mikrofon und Kamera.

Ein sehr mächtiges Tool also, das auf fast jedem Browser installiert ist. Und wie das so ist: Flash hat sehr häufig Sicherheitslücken, und weil Flash mächtig und verbreitet ist, sind damit auch die Sicherheitlücken mächtig verbreitet.

Das alles wäre halb so schlimm, wäre da nicht zusätzlich folgender fataler Umstand wirksam: Sobald Sie eine Website aufrufen, die ein Flash-Element enthält, wird dieses automatisch gestartet. Sprich: Die Sicherheitlücke von Flash ist ununterbrochen automatisch aktiviert und nicht mit Bordmittel abschaltbar (ausser, man deinstalliert es).

Zusammengenommen ergibt sich die reale Gefahr sogenannter „drive-by infections“, das heißt, ein PC wird „im Vorbeisurfen“ infiziert, weil 1. der Nutzer eine Webseite anschaut, 2. die Flash-Malware darauf automatisch startet und 3. den Rechner des Nutzers infiziert, ehe dieser reagieren kann. Manuelle Downloads (etwa von Raubkopien) sind nicht nötig, denn Flash-Inhalte lädt jeder übliche Browser ganz von selbst automatisch herunter.

Flask blockieren mit Flashblock

Abhilfe schaffen Flash-Blocker wie Flashblock.

Die Browser-Erweiterung macht nichts anderes, als alle Flash-Objekte zu blockieren – alle mit Ausnahme der Flash-Objekte auf Webseiten, die Sie selbst in einer Whitelist erlaubt haben. Die Whitelist ist also eine Liste mit Ausnahmen, alle nicht in der Whitelist verzeichneten Seiten befinden sich automatisch in der Blacklist, der Schwarzen Liste der sicherheitshalber ‘verbotenen’ Sites. Das verhindert relativ wirkungsvoll „drive-by infections“ auf fremden Websites.

Die Whitelist verwalten Sie in den Einstellungen des Plugins:

Flashblock-Einstellungen: Die Whitelist legt fest, auf welchen Websites Flash erlaubt ist

Flashblock-Einstellungen: Die Whitelist legt fest, auf welchen Websites Flash erlaubt ist

Geblocktes Flash: erst der Play-Button aktiviert es

Geblocktes Flash: erst der Play-Button aktiviert es

Jeder Website mit Flash ist also per Vorgabe geblacklistet: es passiert erst mal nichts, und statt der Animation sehen Sie einen leeren Bereich dort, wo die Animation zu sehen wäre, mit Play-Symbol (siehe rechts) oder Flash-Smbol (siehe unten).

Sie haben dann zwei Möglichkeiten:

  • Sie klicken auf den Abspielen-Button, und Flashblock erlaubt einmalig die Wiedergabe dieser Flashanimation. Diese Erlaubnis gilt nur für dieses eines Mal und auch nur für dieses eine, durch den Play-Button sichtbare Flash-Element.
    Dabei muß klar sein: Wenn Sie “irgendwo im Web” “irgendeiner Website” diese Erlaubnis erteilen, auch wenn sie nur einmalig gilt, kann Sie das infizieren. Nutzen Sie das also wirklich nur auf Seiten, die Sie für vertrauenswürdig halten können.
  • Alternativ klicken Sie mit der rechten Maustaste auf den leeren Bereich des Flash-Elements und wählen Sie Flash für diese Website erlauben. Flashblock erlaubt dadurch dauerhaft die Wiedergabe von Flash-Animationsgerümpel auf allen Seiten der aktuellen Webadresse.
Flashblock blockiert alles bis auf das, was Sie hier dauerhaft als erlaubt festlegen

Flashblock blockiert alles bis auf das, was Sie hier dauerhaft als erlaubt festlegen

Erlauben Sie zum Beispiel youtube.com, facebook.com oder clipfish.de, dann funktioniert Flash in Zukunft auf allen Seiten dieser Portale ohne weitere Nachfrage. Wer also seine wichtigsten Portale nach und nach wie im Screen sichtbar in die Whitelist aufnimmt, büßt letzlich keinen Komfort ein. Und trotzdem wirkt Flashblock auf unbekannten, neuen Webseiten.

Nachteil: Es nervt anfangs, Seiten freigeben zu müssen. Und gelegentlich ist der Flash-Ramsch auf „besonders clever“ programmierten Seiten so verteilt, dass die Navigation nicht mehr funktioniert, weil irgendwelche Flash-Objekte, die Sie nicht sehen, von fremden Webseiten geladen werden. Klug wäre es, diese Seiten zu meiden und ihre Designer mit weichem Obst zu bewerfen. Ein Workaround ist, diese Seiten mit einem alternativen Browser ohne Flashblock zu besuchen, etwa Internet Exploder oder Safari – aber wirklich nur *ausnahmsweise* & *für diese eine Seite*, die nicht zu funktionieren scheint.

Fazit: Eine unentbehrliche Browser-Erweiterung.

“Blödsinn, auch ‘gewhitelistetes’ Flash ist gefährlich!”

Ja, es gibt einen Haken. Nehmen wir an, Sie haben zum Beispiel die Website example.com für Flash freigeben, etwa wegen Webcams oder Videos oder sonstwas. Nehmen wir des weiteren an, eines Tages wird example.com gehackt oder der Flash-Werbeserver des Werbe-Zulieferers von example.com wird gehackt oder sonstwas. Das passiert immer wieder. Dann verbreitet example.com u.U. per Flash Viren, und weil Sie example.com in der Whitelist als erlaubt festgelegt haben, infizieren Sie sich.

Das jedoch macht obiges Plugin nicht schlechter. Sprich:

  • Benutzen Sie trotzdem auf jeden Fall Flashblock.
  • Und installieren Sie sich zusätzlich QuickJava …:

Flash und Java blockeren mit QuickJava

QuickJava für Firefox führt keine Whitelist. Statt dessen haben Sie damit eine Reihe von Buttons rechts unten im Browser, mit denen Sie ganz einfach an- und abschalten können, ob JavaScript, Java, Flash, Silverlight und Cookies derzeit generell aktiviert sind oder nicht.

Ein einfaches Anklicken schaltet zwischen aktiviert und deaktiviert um.

  • Rot = blockiert,
  • Blau = erlaubt.
QuickJava-Buttons

QuickJava-Buttons

Hier meine Empfehlung: JS (JavaScript) erlaubt, J (Java) verboten, F (Flash) verboten, SL (Silverlight) verboten, C (Cookies) erlaubt. Gibt wenig Probleme. Und wenn Sie unbedingt mal Flash (oder Java) brauchen, dann schalten Sie es halt ein, indem Sie auf F (oder J) klicken:

QuickJava-Buttons

QuickJava-Buttons

Dann sieht es so aus: JS (JavaScript) erlaubt, J (Java) verboten, F (Flash) erlaubt, SL (Silverlight) verboten, C (Cookies) erlaubt.

Drücken Sie dann F5 oder klicken auf Reload, um die Seite neu zu laden und siehe da: Flash geht – bzw: *jetzt* entscheidet FlashBlock, ob es geht oder nicht.

Sobald Sie Flash nicht mehr brauchen, schalten Sie es wieder ab.

Hier kriegen Sie die Browser-Erweiterung:

QuickJava für Chrome?

QuickJava gibts leider nicht für Chrome. Sicher gibts einen Ersatz, ich finde keinen – falls Sie einen kennen, freue ich mich über einen Kommentar!

Auf Chrome kann man sich wie folgt behelfen:

  • In die Chome-Adressleiste eingeben: chrome://plugins/
  • Es erscheint eine Liste der Plugins, die man dauerhaft aktivieren oder deaktivieren kann.
  • Bei Adobe Flash Player auf Deaktivieren klicken.
  • DOS war’s. Flash ist tot. (Bis Sie es wieder aktivieren.)

(BTW: Java wird auf Chrome von Haus aus blockiert.)

Warum zwei Blocker?

Ganz einfach:

  •  Eigentlich würde QuickJava (auf Firefox) ja reichen: Immer J/F/SL blockieren (auf Chrome: die Plugins anschalten) und nur nutzen, wenn man es _wirklich_ braucht – das schafft mehr Sicherheit.
  • Aber man vergisst einfach, Flash wieder zu sperren, wenn mal es gebraucht hat. Das ist einfach so. Dann wirkt immer noch Flashblock, über das Sie Flash nur auf bestimmten, einigermaßen vertrauenswürdigen Seiten gestatten.

Sprich: Wenn Sie an alles denken, haben Sie mit Flashblock+QuickJava stets einen doppelten Blocker aktiv. Wenn Sie mal wieder vergessen haben – mir jedenfalls passiert es dauernd – Flash in QuickJava wieder abzuschalten, dann wirkt immer noch Flashblock gegen die Möglichkeit, sich auf den zufälligen und daher eher gefährlichen Seiten aus Google-Suchergebnissen eine „drive-by infection“ zuzuziehen.

Und umgekehrt: Auch wenn Sie Flash auf, wass weiss ich, spiegel.de via Flaskblock erlaubt haben, können Sie es mit QuickJava ausschalten, solange Sie es nicht brauchen. Das reduziert die Gefahr, durch gehackte “eigentlich sichere” Sites infiziert zu werden.

Bei Fragen – Kommentar, gerne auch Hinweise auf andere (bessere?) Plugins oder andere Lösungen für Safari, Opera, Internet Explorer.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …