Moin Moin!

*Ich* habe darüber die Kontrolle, die will ich auch nicht aus der Hand geben. Von daher verstehe ich auch Alexanders Vorbehalte gegen die Lösung mit der Whitelist nicht. Ich wüsste nicht, was eine brauchbare Alternative zur Whitelist ist.

Da hast Du mich mißverstanden. Ich habe absolut nichts gegen die Whitelist, denn sie ist genau die richtige Technik für dieses Problem.

Mich stört die VORBELEUNG der Whitelist. Denn dort finde ich Domains und Websites, denen ICH Javascript nicht erlauben will. Eigentlich sollte sich in der Liste nur https://addons.mozilla.org und chrome: und about: befinden, damit man weiterhin Plugins installieren kann und damit der Browser selbst nicht gestört wird.

Siehe auch NoScript FAQ 1.5 und Heise-Meldung.

Die Argumentation ("If you don't trust me, you've got a much bigger problem than JavaScript on my websites") für noscript.net, flashgot.net, informaction.com, maone.net ist natürlich logisch korrekt. Aber gerade jemand, der einen JS-Blocker entwickelt, sollte seine User nicht mit JS nerven. Der Hintergrund ist wohl eher der, dass noscript.net bei jedem der häufigen Updates standardmäßig geladen wird, und so lange es, zusammen mit googlesyndication.com, auf der Whitelist steht, wird auch die dort reichlich vorhandene Werbung geladen. Hier wird schlicht Geld verdient.

gmail.com, google.com, hotmail.com, live.com, microsoft.com, msn.com, passport.com, passport.net, passportimages.net, yahoo.com, yimg.com werden damit begründet, dass diese URLs für AJAX-Webmailer benötigt werden, und die auch nach einer "versehentlichen" Installation noch funktionieren sollen. GMX fehlt genauso wie web.de und jede Menge andere Freemailer, das Argument ist also auch vorgeschoben. Leider werden über diese Sites auch Scripte verbreitet, die man nicht haben will. Google ist da ganz groß. Für mich sieht das so aus, dass der Entwickler es sich nicht mit Google verscherzen möchte. Das Argument der versehentlichen Installation zieht nicht, dazu warnt und fragt der Firefox viel zu oft, bevor man NoScript wirklich installiert hat. Und selbst wenn NoScript installiert ist, macht es in der Standardinstallation so viel Alarm um geblockte Scripte, dass man das Problem mit dem eigenen Webmailer kaum übersehen kann.

Für googlesyndication.com wird kräftig auf die Tränendrüse gedrückt, man würde auf einen Schlag allen tollen Projekten wie Firefox und Noscript das Geld wegnehmen. Wenn man keine Werbung wolle, solle man doch einen Ad-Blocker installieren. Das Webseiten auch über andere Anbieter Werbung schalten und damit ein paar Cent dazu verdienen, wird hier mal großzügig ignoriert, denn sonst wären auch diese Werbeanbieter in der Whitelist. Die Wahrheit ist viel einfacher und ziemlich egoistisch, die Werbung auf noscript.net wird über googlesyndication abgewickelt. Die Aussage, googlesyndication.com sei "as trustworthy as google.com, or even more, because most of the Google money depends on its safety" muß man sich auf der Zunge zergehen lassen. Google nutzt alle technischen Möglichkeiten, um Benutzer auszuspähen, und googlesyndication.com ist da keine Ausnahme. Für jemanden, der mit googlesyndication.com sein Geld verdient, zählt das eigene Geld natürlich mehr als die Nutzerprofile seiner Besucher. Das ging soweit, dass andere Add-Ons sabotiert wurden, damit die Werbung durchkam.

"Obviously, if any of the entries above [...] bothers you [...], you can delete it at any time" steht da noch. Richtig, aber ich hätte es lieber anders herum: Die Whitelist ist leer bis auf die Dinge, die der Browser selbst braucht: about:, chrome:, und addons.mozilla.org. Wenn dann bei der Erstinstallation eine Abfrage kommt, ob man den Entwickler von NoScript dadurch unterstützen möchte, dass man seine Website und die seines Werbeanbieters in die Whitelist aufnimmt und die Webseite bei jedem Update aufgerufen wird, ist das ok.

Alexander