Javascript und Cookies Allgemein

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 38.5.1
    * Betriebssystem + Version: Windows 7 64
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): verschiedene
    * Eingesetzte Antivirensoftware: Microsoft Security Essentials
    * Firewall (Betriebssystem-intern/Externe Software): Windows Firewall


    Ein paar generelle Fragen zum Verständnis, die in der Hilfe nicht ausreichend beantwortet sind.


    Javascript ist ja standardmäßig in Thunderbird aktiviert und lässt sich nur über den Konfig-Editor deaktivieren.
    Ich frage mich, wozu in einem Mail-Client Javascript benötigt wird? Wird Javascript von Thunderibrd nur für die Programmierung von Addons und im Benutzerinterface verwendet oder auch für die Darstellung der Mails? Wenn es um die Darstellung der Mails geht, möchte ich nicht, dass dort Javascript oder sonst irgendwelche aktiven Inhalte ausgeführt werden. Wird Javascript für die Read-Receipts benötigt? Die Read-Receipts habe ich global ebenfalls deaktiviert. Macht es einen Unterschied welche Darstellung (Plaintext/SimpleHTML/OriginalHTML) für Mails eingestellt ist?


    Cookies lassen sich in den Einstellungen komplett deaktivieren. Das habe ich auch gemacht und auf dem Privacy Tab der Einstellungen alle Häkchen entfernt. Also keine externen Inhalte, keine History, keine Cookies und das ich nicht getrackt werden will muss auch niemand wissen.
    Werden Cookies in irgendeiner Form von Thunderbird oder Addons benötigt, z.B. als Session Cookie?


    Simon

  • Hallo!


    Cookies sind in Thunderbird im Grunde nicht notwendig. Da Thunderbird Webinhalte anzeigen kann, werden dabei Cookies gleich mit serviert..., was für reinen E-Mail-Betrieb aber nicht notwendig ist.


    JavaScript behandelt Thunderbird getrennt für die Programm-Features (nicht nur Add-ons) und für dargestellte Inhalte aus z.B. E-Mails. Man kann also JavaScript deaktivieren, ohne das Programm selbst zu behindern. Dies geschieht auch, wenn Nachrichten nicht mit "Original HMTL" angezeigt werden. Für die Lesebestätigungen (MDN) ist das quasi externe JavaScript AFAIK nicht notwendig. Meines Erachtens braucht niemand Angst vor JavaScript zu haben. Ist Dir der Unterschied zwischen Java und JavaScript klar? Wenn ja, sollte klar sein, dass JAVA im Betriebssystem nur bei wirklichem Bedarf in einer aktuellen Version installiert sein sollte.

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Hallo Alex,


    ich widerspreche gerade Dir wirklich ungern. Auch - oder gerade - bei Javascript ist meines Erachtens Vorsicht geboten. Siehe https://de.wikipedia.org/wiki/JavaScript den Abschnitt "Missbrauch oder auch https://www.privacy-handbuch.de/handbuch_21c.htm



    Selbst der Rawhammer-Angriff wurde schon in Javascript realisiert. Auch XSS-Angriffe auf Server seien erwähnt, auch wenn sie den Client zunächst nicht betreffen, so kann der Client unbemerkt zu Angriffen missbraucht werden. Siehe die Imgur-Lücke aus dem letzten Jahr: http://www.heise.de/newsticker…it-und-8chan-2828142.html


    In einem Browser kommt man ganz ohne JS nicht weit. Aber im TB würde ich stets deaktivieren.


    Gruß


    Susanne

  • Ein (geringeres) Riskio (im Vergleich zu Java) besteht bei JavaScript auch - das will ich nicht leugnen ;-) und lasse mich da auch gerne belehren. Ich lasse seit 10 Jahren E-Mails fast nur im Reintext-Modus anzeigen, so dass da JavaScript eben auch nicht ausgeführt werden kann. Es sind doch eigentlich quasi nur irgendwelche (Werbe-)Newsletter oder Spam, die auf mehr als den reinen Text direkt in einer Mail "angewiesen" sind. Es sollte also absolut okay sein, wenn man Cookies und auch JavaScript deaktiviert.

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Cookies sind in Thunderbird im Grunde nicht notwendig. Da Thunderbird Webinhalte anzeigen kann, werden dabei Cookies gleich mit serviert..., was für reinen E-Mail-Betrieb aber nicht notwendig ist.

    Cookies und Javascript sind im Browser schon ein Problem für die Privatsphäre, im Email Client umso mehr, denn da ist die Person durch die Email Adresse ja schon eindeutig indentifiziert.


    Thunder schrieb:

    JavaScript behandelt Thunderbird getrennt für die Programm-Features (nicht nur Add-ons) und für dargestellte Inhalte aus z.B. E-Mails. Man kann also JavaScript deaktivieren, ohne das Programm selbst zu behindern. Dies geschieht auch, wenn Nachrichten nicht mit "Original HMTL" angezeigt werden. Für die Lesebestätigungen (MDN) ist das quasi externe JavaScript AFAIK nicht notwendig.

    Die Anmeldung für einen neuen Kalender mit "Provider for Google Calendar" benötigt Javascript. Dadurch bin ich erst auf das Thema gekommen. Ich hatte Javascript und Cookies nämlich vorher deaktiviert. Vielleicht sind andere Addons ja auch betroffen?! Nach der Anmeldung des Google Kalenders kann man Javascript aber wieder ausschalten.
    Insgesamt ist die Dokumentation zu den erweiterten Einstellungen ziemlich dürftig. Ich habe auch nochmal etwas Recherche gemacht, konnte aber nur folgendes herausfinden:
    Javascript ist seit Thunderbird 3 für die Mail/News-Anzeige IMMER deaktiviert. Vorher gab es noch die Möglichkeit über javascript.allow.mailnews Javascript für Mail/News Anzeige zu aktivieren, diese Einstellung gibt es seit V3 aber nicht mehr. Die existierende Einstellung javascript.enabled bezieht sich demnach nur noch auf RSS Feeds und 'Externe Inhalte' was auch immer das heisst. Soweit die Information, die ich finden konnte.
    Quellen: developer.mozilla.org/...
    Das scheint aber zumindest nicht ganz richtig zu sein, denn der Javascript Schalter scheint ja auch eine Auswirkung auf Browser Fenster zu haben die innerhalb von Thunderbird geöffnet werden und zum Teil für Addons benötigt werden (siehe oben).


    Thunder schrieb:

    Meines Erachtens braucht niemand Angst vor JavaScript zu haben. Ist Dir der Unterschied zwischen Java und JavaScript klar? Wenn ja, sollte klar sein, dass JAVA im Betriebssystem nur bei wirklichem Bedarf in einer aktuellen Version installiert sein sollte.

    Ich halte Javascript mittlerweile für 'gefährlicher' als JAVA, weil es überall drin ist. Besuche mal Seiten wie bild.de mit NoScript oder uMatrix als Addon und schau mal wieviele Scripte von wievielen Servern geladen werden. Ich komme da auf 50 (Fünfzig!) verschiedene Scripte. Sind die alle vertrauenswürdig?


    Gruß, Simon.

  • Die Anmeldung für einen neuen Kalender mit "Provider for Google Calendar" benötigt Javascript.

    Wenn deaktiviertes JavaScript dabei zu Problemen führt, dann spricht das dafür, dass das Script innerhalb eines Browser-Tabs (in Thunderbird) oder ähnlich ausgeführt werden soll. JavaScript innerhalb des Programms ist ein grundlegender Teil bei Firefox + Thunderbird inklusive der meisten Add-ons. Das Deaktivieren sollte darauf keinen Einfluss haben und ist somit in der Regel auf jeden Fall okay.



    Ich halte Javascript mittlerweile für 'gefährlicher' als JAVA, weil es überall drin ist. Besuche mal Seiten wie bild.de mit NoScript oder uMatrix als Addon und schau mal wieviele Scripte von wievielen Servern geladen werden. Ich komme da auf 50 (Fünfzig!) verschiedene Scripte. Sind die alle vertrauenswürdig?

    Ich kann die Gefahr nicht abschließend beurteilen. Und ja, die Anzahl von Scripts von macht aus was aus. Dabei geht es dann aber nicht mehr alleine um die "Qualität" der Gefahren, sondern um die "Quantität" oder meinetwegen Qualität * Quantität.


    Es wäre toll, wenn Du schon auf Devmo recherchiert hast und vielleicht noch einige valide Angaben zusammentragen könntest, daraus einen Text für eine Hilfe-/Lexikon-Seite zu machen, den wir der Allgemeinheit zur Verfügung stellen könnten. Du kannst mir gerne eine Text-Rohversion geben, die ich dann einbauen und formatieren würde.

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • [...] Es wäre toll, wenn Du schon auf Devmo recherchiert hast und vielleicht noch einige valide Angaben zusammentragen könntest, daraus einen Text für eine Hilfe-/Lexikon-Seite zu machen, den wir der Allgemeinheit zur Verfügung stellen könnten. [...]

    Mache ich gerne. Kann etwas dauern, aber ich denke dran. Ich muss nur noch ein paar Sachen besser verstehen,bevor ich das sinnvoll zusammenfassen kann.



    ... bei Javascript ist meines Erachtens Vorsicht geboten. Siehe https://de.wikipedia.org/wiki/JavaScript den Abschnitt "Missbrauch" oder auch https://www.privacy-handbuch.de/handbuch_21c.htm

    Das Privacy -Handbuch hat auch eine sehr interessante Seite über 'erweiterte' Einstellungen in Thunderbird, die auch JavaScript und Cookies behandelt, aber noch weit darüber hinausgeht. -> https://www.privacy-handbuch.de/handbuch_31d.htm
    Das war auch eine der wenigen deutschsprachigen Seiten auf denen man überhaupt etwas zu dem Thema findet. In Summe ist mir das Privacy-Handbuch etwas zu paranoid, aber ein paar Empfehlungen sollte man sicherlich befolgen -Werbung und Tracking werden im Web doch immer agressiver.