Noscript manipuliert Adblock Plus

by Andreas ~ May 2nd, 2009. Filed under: General.

Noscript und Adblock Plus sind die beiden Addons, deren zusätzliche Installation ich bislang auch jedem Firefox-Nutzer nahegelegt habe. Das werde ich eventuell überdenken müssen. Die häufigen Noscript-Updates und damit jedesmal verbundenen Aufrufe der Webseite des Autors kamen mir schon länger eigenartig vor, aber viel Gedanken habe ich mir deswegen nicht gemacht.

Gewundert hat mich nur immer, dass auf der automatisch geöffneten Seite keine Infos zum jeweiligen Update stehen. Das wäre ja noch naheliegend gewesen, aber um die Release Notes zu lesen, hätte man weiterklicken müssen. Die Gründe für dieses Verhalten werden jetzt allerdings klar.

Wladimir Palant, der Autor von Adblock Plus, berichtet in seinem eigenen Blog, warum Noscript dies macht: Nicht um zu informieren, sondern um möglichst viele Besucher auf die eigenen mit Werbung versehenen Seiten zu zwingen. Hätte man sich ja denken können. Kann man auch nachvollziehen, wenn der Noscript-Autor diesmal nicht über das Ziel hinaus geschossen wäre: Die aktuelle Noscript-Version erstellt heimlich ein Filterabo in Adblock Plus und setzt sich so auf die Whitelist des Werbefilters. Außerdem deaktiviert sich Noscript selbst automatisch auf seiner eigenen Webseite.

Wenn man den folgenden Screenshot aus meiner Adblock-Plus-Filterliste betrachtet, sieht man, dass Noscript einige Webseiten ungefragt freischaltet wie zum Beispiel informaction.com und hackademix.net.

manipulierte whitelist

Sieht so aus, als muss man sich künftig wirklich genauer überlegen, mit welchen Firefox-Addons man experimentiert. Das Problem ist, dass jedes Addon bislang alles darf, also beispielsweise auch andere störende Addons manipulieren.

Die von Wladimir Palant erwähnte “versteckte Funktion”, mit der man Noscript den Besuch der eigenen Webseite nach einem Update untersagen kann, habe ich nicht gefunden. Einer der Leser vielleicht?

(via Fefe)

Update 1: Der Noscript-Autor rudert zurück.

IMPORTANT UPDATE FOR ADBLOCK PLUS USERS: NoScript 1.9.2.6 automatically and permanently removes the controversial “NoScript Development Support Filterset”, with no questions asked.

Der Schaden ist allerdings bereits angerichtet. Mal sehen, ob der Autor den Geist wieder zurück in die Flasche bekommt. Ich halte Noscript jedenfalls weiterhin für ein unverzichtbares Sicherheits-Addon.

Update 2: Die “versteckte Funktion” gibt es tatsächlich nicht in den Noscript-Einstellungen. Um dem Addon den Besuch der Noscript-Webseite nach jedem Update auszutreiben, muss man den Eintrag noscript.firstRunRedirection in about:config auf false setzen.

Update 3: Addons, die auf der Mozilla-Webseite gelistet werden wollen, müssen sich künftig zusätzlichen Bedingungen stellen:

Changes to default home page and search preferences, as well as settings of other installed add-ons, must be related to the core functionality of the add-on. If this relation can be established, you must adhere to the following requirements when making changes to these settings:

* The add-on description must clearly state what changes the add-on makes.
* All changes must be ‘opt-in’, meaning the user must take non-default action to enact the change.
* Uninstalling the add-on restores the user’s original settings if they were changed.

These are minimum requirements and not a guarantee that your add-on will be approved.

4 Responses to Noscript manipuliert Adblock Plus

  1. Bubu

    Das ist schon ein starkes Stück lol

    Wer weiß als Laie schon, was die vielen anderen Firefoxerweiterungen anstellen…

  2. Andreas

    “Wer weiß als Laie schon, was die vielen anderen Firefoxerweiterungen anstellen…”

    Ich denke auch, dass da das eigentliche Problem liegt. Der “Internet Rage”, der über den Noscript-Autor hereingebrochen ist, sorgt vermutlich dafür, dass dieser sich in Zukunft etwas zurücknimmt. Die ganze Geschichte hat aber gezeigt, dass das mächtige Addon-System in Firefox weit mehr Risiken enthält, als vielen bislang klar. Anstelle alberne Features aus Chrome zu übernehmen, wäre hier eine Weiterentwicklung von Firefox angeraten.

  3. Peter

    Interessanter Artikel, vielen Dank dafür.
    Ich muss zugeben, mich hat es oft selbst gewundert, warum das Addon eigentlich nach einem Update immer die eigene Website aufruft und mein Klick auf das rote Kreuzchen war meist schon gemacht, als gerade das Tab aufging. Tatsächlich einmal habe ich mir die Seite ein paar Sekunden angeschaut und mich über die fehlende Release-Notes gewundert, denn das wäre doch der wirklich einzige Zweck für solch eine Aktion.

    Interessant wäre nun noch, ob NoScript die eigene Filter-Liste beim letzten Update wieder aus Adblock gelöscht hat (überhaupt witzig, dass solche Handshakes zwischen einzelnen Addons funktionieren), denn die Liste ist nicht mehr in Adblock Plus vorhanden.

  4. Andreas

    Ja, siehe das “Update 1″ oben. Mit Version 1.9.2.6 hat der Noscript-Autor die umstrittene Filterliste wieder entfernt. Interessant finde ich, dass die Zahl der Noscript-Updates seit der Geschichte erheblich nachgelassen hat. Die unter “Update 2″ beschriebene Config-Änderung kann ich allerdings weiterhin empfehlen.

Leave a Reply