Bestmöglicher Schutz vor drive-by-Infektionen

aharonov

Hallo liebe Experten

Wenn man bewusst undurchsichtige Mailanhänge öffnet oder (evtl. dubiose) Programme ausführt, ist das eine Sache, aber wenn man sich nur schon beim Aufrufen einer Website (insbesondere bei einer als "seriös" eingestuften wie kürzlich wetter.com) ohne eigenes Zutun per drive-by Download infiziert, finde ich das schon noch eine Spur heimtückischer und so habe ich mich gefragt, wie man sich bestmöglichst dagegen wehren kann und wollte euch dazu fragen.

Kann man eine einfache Checkliste erstellen, mit deren Hilfe man sich so gut wie möglich vor drive-by-Infektionen schützt? Zum Beispiel:
1) kein Konto mit Administratorenrechten beim Surfen
2) Windows, Browser, Java, Flash, pdf, Plugins, AV aktuell halten
3) Firefox mit Addons AdblockPlus und NoScript verwenden und nur Skripts von unmittelbar benötigten (und bekannten) Domains erlauben. Sorgsam mit dauerhaften Positivlisten umgehen.
4) Browser in einer Sandbox ausführen
Wie würde so eine komplette Liste aussehen? Wieviel Restrisiko würde dennoch bleiben und wie sähe dieses aus?

Wie ist das, wenn auf unbescholtenen Websites von dritter Seite bösartige iframes eingebaut werden? Wäre man konkret im wetter.com Beispiel durch das NoScript Addon auch dann geschützt gewesen, wenn man Skripts von wetter.com selbst (der korrekten Darstellung und Funktionsweise wegen) zugelassen, aber alle anderen Domains geblockt hätte, die Skripts auf der Seite ausführen wollten?

Weiter bin ich mir bewusst, dass wohl eine grosse Mehrheit solcher Infektionen von zwielichtigen bis illegalen Quellen wie Sport- und Serienstreams oder Erwachsenenunterhaltung stammen. Natürlich sind solche User in einem gewissen moralischen Sinne "selbst Schuld", wenn sie sich auf einer dubiosen semilegalen Streamingseite infizieren und es geht mir auch überhaupt nicht um den sorgenfreien Konsum solcher Inhalte. Aber wenn einem daran gelegen ist, dass sich Malware nicht so leicht ausbreiten (und z.B. grosse Botnetze bilden) kann und das Ganze auch noch finanziell lukrativ ist für deren Entwickler, dann sollte man auch verhindern wollen, dass solche "Risiko-User" Freiwild sind für die Angreifer. Denn die Inhalte konsumieren werden sie so oder so, egal ob mit Infektion oder ohne..
Was wäre zum Beispiel ein Ansatz für Streamingwebsites? Mit AdblockPlus und NoScript alles wegblocken, was drumherum so blinkt und leuchtet und Schritt für Schritt nur soviel Skripting (temporär!) erlauben, dass der Stream korrekt wiedergegeben wird? Und würde eine Sandbox eine Kompromittierung des Systems zuverlässig verhindern, falls dennoch Schadcode ausgeführt würde?

Nochmals, es geht mir jetzt hier nur um drive-by-Infektionen. Nachdem ich selbst bei den Updates etwas nachlässig war, hatte es mich auch erwischt und ich hatte mich auf einer gehackten Website in ein richtiges Schlangennest gesetzt. Als ich mich danach etwas im Kollegenkreis umgehört habe, habe ich festgestellt, dass zwar all die Standardsicherheitsregeln (Verhalten bei: unbekannten Mailanhängen, ausführbaren Dateien aus unbekannten Quellen, Phishingversuchen, sicherern Passwörtern, Einstecken unbekannter USB-Sticks, Lockvögeln über Facebook und co, etc etc) alle wohlbekannt waren, aber absolut kein Bewusstsein dafür vorhanden war, dass eine Infektion auch ohne eine eigene direkte aktive Handlung, eben drive-by, erfolgen kann.
Deshalb: Kann man eine kompakte Checklist zusammenstellen, welche diese Gefahr so weit wie nur möglich (auch für "Risiko-User") minimiert?