Flash und Java blockieren mit FlashBlock und QuickJava

Flash ist neben Java eine *der* Sicherheitslücken. Mit FlashBlock für Firefox sorgst du dafür, dass Flash nur dort läuft, wo du das ausdrücklich erlaubst. Mit QuickJava für Firefox schaltest du außerdem schnell Flash und Java ein und aus.

Adobe Flash ist eine Technik, die Weltnetzseiten interaktiver macht. Dazu bildet Flash eine Art Mini-Computer ab, in dem sich multimediale und interaktive Inhalte darstellen lassen, Grafiken und Video sind damit ebenso möglich wie die Aufzeichnung von Inhalten beim User per Tastatur, Mikrofon und Kamera.

Ein sehr mächtiges Werkzeug also, das auf fast jedem Netzbetrachter installiert ist. Und wie das so ist: Flash hat sehr häufig Sicherheitslücken, und weil Flash mächtig und verbreitet ist, sind damit auch die Sicherheitlücken mächtig verbreitet.

Das alles wäre halb so schlimm, wäre da nicht zusätzlich folgender fataler Umstand wirksam: Sobald du eine Weltnetzseite aufrufst, die ein Flash-Element enthält, wird dieses automatisch gestartet. Sprich: Die Sicherheitlücke von Flash ist ununterbrochen automatisch aktiviert und nicht mit Bordmittel abschaltbar (außer, man deinstalliert es).

Zusammengenommen ergibt sich die reale Gefahr sogenannter "drive-by infections", das heißt, ein PC wird "im Vorbeisurfen" infiziert, weil 1. der Nutzer eine Webseite anschaut, 2. die Flash-Malware darauf automatisch startet und 3. den Rechner des Nutzers infiziert, ehe dieser reagieren kann. Manuelle Downloads sind nicht nötig, denn Flash-Inhalte lädt jeder übliche Browser ganz von selbst automatisch herunter.

Flash blockieren mit FlashBlock

Hier gezeigte Programmversion: 1.5.17

Als erstes öffnst du den Firefox Netzbetrachter, gehst auf Extras und klickst dann auf Add-ons.

Es hat sich nun der Add-ons-Manager geöffnet und du gibst in das Suchfeld FlashBlock ein und bestätigst mit Enter.

An der ersten Stelle ist auch schon das gesuchte Add-on. Nach einem Klick auf Installieren läd Firefox das kleine Helferlein herunter und installiert es.

Nach der Installation muss der Firefox Netzbetrachter neu gestartet werden damit das Add-on aktiv wird.

Die Browser-Erweiterung macht nichts anderes, als alle Flash-Objekte zu blockieren - alle mit Ausnahme der Flash-Objekte auf Weltnetzseiten, die du selbst in einer Whitelist erlaubt hast. Die Whitelist ist also eine Liste mit Ausnahmen, alle nicht in der Whitelist verzeichneten Seiten befinden sich automatisch in der Blacklist, der Schwarzen Liste der sicherheitshalber 'verbotenen' Sites. Das verhindert relativ wirkungsvoll "drive-by infections" auf fremden Websites.

Jede Weltnetzseite mit Flash ist also per Vorgabe geblacklistet: es passiert erst mal nichts, und statt der Animation siehst du einen leeren Bereich dort, wo die Animation zu sehen wäre, mit Play- oder Flash-Symbol.

Du hast dann zwei Möglichkeiten:

  • Du klickst auf den Abspielen-Button, und FlashBlock erlaubt einmalig die Wiedergabe dieser Flashanimation. Diese Erlaubnis gilt nur für dieses eine Mal und auch nur für dieses eine, durch den Play-Button sichtbare Flash-Element.
    Dabei muss klar sein: Wenn du "irgendwo im Web", "irgendeiner Weltnetzseite" diese Erlaubnis erteilst, auch wenn sie nur einmalig gilt, kann dich das infizieren. Nutze das also wirklich nur auf Seiten, die du für vertrauenswürdig hälst.
  • Alternativ klickst du mit der rechten Maustaste auf den leeren Bereich des Flash-Elements und wählst Flash für diese Website erlauben. FlashBlock erlaubt dadurch dauerhaft die Wiedergabe von Flash-Animationsgerümpel auf allen Seiten der aktuellen Webadresse.

Erlaubst du zum Beispiel youtube.com oder clipfish.de, dann funktioniert Flash in Zukunft auf allen Seiten dieser Portale ohne weitere Nachfrage. Wer also seine wichtigsten Portale nach und nach wie im Screen sichtbar in die Whitelist aufnimmt, büßt letzlich keinen Komfort ein. Und trotzdem wirkt FlashBlock auf unbekannten, neuen Weltnetzseiten.

Flash und Java blockeren mit QuickJava

Hier gezeigte Programmversion: 1.8.1.1

Wie du dieses Add-On herunterladen kannst sollte klar sein. Statt "FlashBlock" gibst du in die Add-On Suchmaske nun "Quickjava" ein und installierst es.

QuickJava für Firefox führt keine Whitelist. Statt dessen hast du damit eine Reihe von Buttons rechts unten im Netzbetrachter, mit denen du ganz einfach an- und abschalten kannst, ob JavaScript, Java, Flash, Silverlight und Cookies derzeit generell aktiviert sind oder nicht.

Ein einfaches Anklicken schaltet zwischen aktiviert und deaktiviert um.

  • Rot = blockiert
  • Blau = erlaubt

Hier unsere Empfehlung:

JS (JavaScript) erlaubt, J (Java) verboten, F (Flash) verboten, SL (Silverlight) verboten, C (Cookies) erlaubt.

Und wenn du unbedingt mal Flash (oder Java) brauchst, dann schalte es halt ein, indem du auf F (oder J) klickst. Dann sieht es so aus: JS (JavaScript) erlaubt, J (Java) verboten, F (Flash) erlaubt, SL (Silverlight) verboten, C (Cookies) erlaubt.

Drücke dann F5 um die Seite neu zu laden und siehe da: Flash geht - bzw: *jetzt* entscheidet FlashBlock, ob es geht oder nicht.

Sobald du Flash nicht mehr brauchst, schalte es wieder ab.

Warum zwei Blocker?

Ganz einfach:

  • Eigentlich würde QuickJava ja reichen: Immer J/F/SL blockieren und nur nutzen, wenn man es wirklich braucht - das schafft mehr Sicherheit.
  • Aber man vergisst einfach, Flash wieder zu sperren, wenn man es gebraucht hat. Das ist einfach so. Dann wirkt immer noch FlashBlock, über das du Flash nur auf bestimmten, einigermaßen vertrauenswürdigen Seiten gestattest.

Sprich: Wenn du an alles denkst, hast du mit FlashBlock + QuickJava stets einen doppelten Blocker aktiv. Wenn du mal wieder vergessen hast - mir jedenfalls passiert es dauernd - Flash in QuickJava wieder abzuschalten, dann wirkt immer noch FlashBlock gegen die Möglichkeit, sich auf den zufälligen und daher eher gefährlichen Seiten aus Suchmaschinen-Suchergebnissen eine "drive-by infection" zuzuziehen.