NoScript
NoScript (nebo NoScript Security Suite ) je bezplatné a opensource rozšíření pro Firefox a další prohlížeče založené na Mozille . NoScript umožňuje spouštění JavaScriptu , Java , Flash skriptů (zastaralé od 31. prosince 2020 [1] ) , Silverlight a dalších pluginů pouze z těch webů, které si uživatel vybere a jsou zařazeny na speciálním důvěryhodném seznamu ; to zvyšuje ochranu před mnoha kybernetickými útoky, které využívají škodlivé skripty k infikování počítače . Můžete povolit úplné provádění všech skriptů na dané stránce nebo je dočasně povolit, když ji navštívíte. U skriptů z domén třetích stran si můžete vybrat, které z nich povolíte a které ne, výběrem domény původu. NoScript také poskytuje ochranu proti skriptování napříč weby a ochranu proti Clickjacking [2] [3] [4] .
Funkce
Aktivní blokování obsahu
Ve výchozím nastavení NoScript blokuje aktivní (spustitelný) webový obsah, který lze zcela nebo částečně odblokovat tím, že vám umožní vypsat web nebo doménu z nabídky panelu nástrojů rozšíření nebo kliknutím na ikonu zástupného symbolu.
Ve výchozím nastavení je aktivní obsah globálně odepřen, i když jej uživatel může otočit a pomocí NoScript zablokovat konkrétní nežádoucí obsah. Seznam oprávnění může být trvalý nebo dočasný (do zavření prohlížeče nebo odebrání oprávnění). Aktivní obsah může obsahovat JavaScript , webová písma, multimediální kodeky, WebGL a Flash (zastaralé k 31. prosinci 2020 [1] ). Doplněk také nabízí specifická protiopatření proti bezpečnostním exploitům [5] .
Vzhledem k tomu, že mnoho útoků na webový prohlížeč vyžaduje aktivní obsah, který prohlížeč bez pochyby normálně spouští, ve výchozím nastavení takový obsah zakážete a použijete jej pouze v rozsahu, v jakém je to skutečně nutné, snižuje šance na zneužití zranitelnosti. Navíc nenačtení tohoto obsahu šetří významnou šířku pásma [6] a maří některé formy sledování webu.
NoScript je také užitečný pro vývojáře, aby viděli, jak jejich stránky fungují s vypnutým JavaScriptem. Může také odstranit mnoho obtěžujících webových prvků, jako jsou vyskakovací zprávy na stránce a některé paywally , které ke svému fungování vyžadují JavaScript.
NoScript má ve Firefoxu podobu ikony panelu nástrojů nebo ikony stavového řádku. Zobrazuje se na každé webové stránce a uvádí, zda NoScript zablokoval, povolil nebo částečně povolil spouštění skriptů na zobrazené webové stránce. Kliknutím nebo najetím myší (od verze 2.0.3rc1 [7] ) kurzorem myši na ikonu NoScript dává uživateli možnost povolit nebo zakázat zpracování skriptu.
Rozhraní NoScript, ke kterému se dostanete kliknutím pravým tlačítkem myši na webovou stránku nebo na charakteristické pole NoScript v dolní části stránky (ve výchozím nastavení), zobrazuje adresy URL skriptů, které jsou blokovány, ale neposkytuje žádný druh odkazu na kontrolu, zda daný spuštění skriptu je bezpečné [8] . U složitých webových stránek se uživatelé mohou potýkat s více než tuctem různých záhadných adres URL a nefunkční webovou stránkou, pouze s možností povolit skript, zablokovat skript nebo jej dočasně povolit.
14. listopadu 2017 Giorgio Maone oznámil NoScript 10, který se bude „velmi lišit“ od verzí 5.x a bude využívat technologii WebExtension, díky čemuž bude kompatibilní s Firefox Quantum [9] . 20. listopadu 2017 vydala společnost Maone verzi 10.1.1 pro Firefox 57 a novější. NoScript je dostupný pro Firefox pro Android [10] .
Anti-XSS ochrana
Dne 11. dubna 2007 byla veřejně vydána verze NoScript 1.1.4.7 [11] , která představuje první ochranu na straně klienta proti skriptování typu 0 a typu 1 (XSS) mezi weby, která byla kdy poskytnuta ve webovém prohlížeči .
Kdykoli se webová stránka pokusí vložit HTML nebo JavaScript na jinou stránku (porušení stejné zásady původu), NoScript filtruje škodlivý požadavek a neutralizuje jeho nebezpečné zatížení [ 12] .
Podobná funkce byla o několik let později přijata aplikacemi Microsoft Internet Explorer 8 a Google Chrome .
Application Boundaries Enforcer (ABE)
Application Boundaries Enforcer (ABE) je integrovaný modul NoScript [13] navržený k posílení ochrany orientované na webové aplikace, kterou již NoScript poskytuje, tím, že poskytuje součást podobnou firewallu běžící uvnitř prohlížeče.
Tento „firewall“ se specializuje na definování a ochranu hranic jakékoli citlivé webové aplikace relevantní pro uživatele (např. Plug-in, webmail , online bankovnictví atd.), podle zásad definovaných přímo uživatelem, webovým vývojářem/administrátorem. nebo důvěryhodná třetí strana [14] . Ve výchozí konfiguraci poskytuje NoScript EBA ochranu proti útokům CSRF a DNS rebinding zaměřeným na intranetové zdroje, jako jsou směrovače a citlivé webové aplikace [15] .
ClearClick (anti-clickjacking)
Funkce ClearClick NoScript, která byla vydána 8. října 2008, zabraňuje uživatelům klikat na neviditelné nebo „správné“ prvky stránky vložených dokumentů nebo apletů a ruší všechny typy clickjackingu (například z rámců a zásuvných modulů [16] ).
Díky tomu je NoScript „jediným volně dostupným produktem, který nabízí rozumnou míru ochrany“ proti útokům typu clickjacking [17] .
Vylepšení HTTPS
NoScript může přinutit prohlížeč, aby vždy používal HTTPS při navazování připojení k některým citlivým webům, aby se zabránilo útokům typu man-in-the-middle . Toto chování mohou vyvolat samotné webové stránky, odesláním hlavičky Strict Transport Security nebo nakonfigurované uživateli pro ty webové stránky, které ještě Strict Transport Security nepodporují [18] .
Funkce vylepšení HTTPS NoScript byly použity nadací Electronic Frontier Foundation jako základ svého doplňku HTTPS Everywhere [19] .
Stiskněte
- PC World vybral NoScript jako jeden ze 100 nejlepších produktů roku 2006 [20] .
- V roce 2008 vyhrál NoScript Redakční cenu About.com za „Nejlepší bezpečnostní doplněk“ [21] .
- V roce 2010 se NoScript stal vítězem ceny „Reader's Choice Awards“ v kategorii „Nejlepší doplněk pro ochranu soukromí a zabezpečení“ na webu 8ma.com [22] .
- V roce 2011, druhý rok po sobě, se NoScript stal vítězem „Reader's Choice Awards“ v kategorii „Nejlepší doplněk pro ochranu soukromí/zabezpečení“ na webu About.com [23] .
- NoScript byl v roce 2011 (první vydání) vítězem „Grantu na inovaci zabezpečení“ společnosti Dragon Research Group. Toto ocenění se uděluje nejinovativnějšímu projektu v oblasti kybernetické bezpečnosti, jak hodnotí nezávislá komise [24] .
Spory
Konflikty s Adblock Plus a Ghostery
V květnu 2009 bylo oznámeno, že mezi vývojářem NoScript Giorgiem Maone a vývojáři rozšíření pro Firefox Adblock Plus pro blokování reklam vypukla „válka rozšíření“ poté, co Maone vydal verzi NoScript, která obešla blokování povolené filtrem AdBlock Plus. [25] [26] . Kód implementující toto zástupné řešení byl "zamaskován" [25] , aby se zabránilo detekci. Maone uvedl, že jej implementoval v reakci na filtr, který blokoval jeho web. Po narůstající kritice a prohlášení administrátorů stránek Mozilla Add-ons, že stránka změní své směrnice týkající se změn doplňků [27] , Maone kód odstranil a vydal oficiální omluvu [25] [28] .
Bezprostředně po incidentu Adblock Plus [29] došlo mezi Maone a vývojáři doplňku Ghostery k hádce poté, co Maone implementoval změnu na svých webových stránkách, která znemožnila upozornění používané Ghostery k hlášení sledovacího softwaru. web [30] . To bylo interpretováno jako pokus „zabránit Ghostery v hlášení o sledovacích a reklamních sítích na webech NoScript“. V reakci na to Maone uvedl, že změna byla provedena, protože Ghosteryho oznámení zakrylo tlačítko darovat na webu NoScript [31] . Tento konflikt byl vyřešen, když Maone změnila CSS svého webu tak, aby místo deaktivace přesunula oznámení Ghostery [32] .
Poznámky
- ^ a b Flash a budoucnost interaktivního obsahu | Adobe Blog , na web.archive.org , 2. prosince 2017. Staženo 1. března 2021 (archivováno z originálu 2. prosince 2017) .
- ^ Rozšíření NoScript oficiálně vydáno pro Google Chrome na zdnet.com , ZDNet . Staženo 12. dubna 2019 .
- ^ Seznamte se s vývojářem NoScript na adrese addons.mozilla.org , Mozilla. Získáno 27. září 2011 (z originálu archivováno 9. října 2011) .
- ^ Mozilla Security Group , z mozilla.org , Mozilla . Získáno 29. června 2011 (z originálu archivováno 29. června 2011) .
- ^ Scott Orgera, NoScript , na browsers.about.com , About.com. Staženo 27. listopadu 2010 .
- ^ Vliv doplňků Firefoxu na spotřebu šířky pásma :: IANIX , na ianix.com . Staženo 14. července 2020 .
- ^ NoScript Changelog 2.0.3rc1 , na noscript.net . Staženo 16. března 2011 .
- ^ Martin Brinkman, Průvodce Firefoxem NoScript, na který jste všichni čekali , na GHacks.net , 10. února 2014. Staženo 14. ledna 2017 .
- ^ Giorgio Maone, Double NoScript , na hackademix.net , 14. listopadu 2017. Staženo 15. listopadu 2017 .
- ^ Cosmetic Changes by Issa1553 Pull Request # 28 hackademix / noscript , na GitHubu . Staženo 4. ledna 2019 .
- ^ První verze Anti-XSS aplikace NoScript Doplňky Mozilly
- ^ Funkce NoScript-Ochrana Anti-XSS NoScript.net . Staženo 22. dubna 2008.
- ^ https://noscript.net/faq#clearclick
- ^ Giorgio Maone, Application Boundaries Enforcer (ABE) , na noscript.net . Získáno 2. srpna 2010 .
- ^ Giorgio Maone, ABE Patrols Routes to Your Routers , na hackademix.net , 28. července 2010. Staženo 2. srpna 2010 .
- ^ Giorgio Maone, Hello ClearClick, Goodbye Clickjacking , na hackademix.net , 8. října 2008. Staženo 27. října 2008 .
- ^ Michal Zalewski, Browser Security Handbook, Part 2, UI Redressing , na code.google.com , Google Inc., 10. prosince 2008. Staženo 27. října 2008 .
- ^ NoScript FAQ: HTTPS NoScript.net . Staženo 2. srpna 2010.
- ^ HTTPS Everywhere , na eff.org .
- ^ PC World Award pcworld.com . Staženo 22. dubna 2008.
- ^ Ocenění za nejlepší bezpečnostní doplněk za rok 2008 about.com . Staženo 2. srpna 2010.
- ^ Nejlepší doplněk ochrany osobních údajů a zabezpečení pro rok 2010 about.com . Staženo 2. srpna 2010.
- ^ Nejlepší doplněk ochrany osobních údajů a zabezpečení pro rok 2011 about.com . Staženo 20. března 2011.
- ^ Oznámení vítěze grantu Security Innovation Archivováno 12. února 2015 v internetovém archivu . Dragon Research Group . Staženo 17. července 2011.
- ^ a b c Dan Goodin, uživatelé Firefoxu chyceni v křížové palbě válčících doplňků v The Register . Staženo 19. května 2013 .
- ^ Války rozšíření - NoScript vs. AdblockPlus v Ajaxianu . Staženo 19. května 2013 .
- ^ Bez překvapení , na blog.mozilla.com , 1. května 2009.
- ^ Vážení uživatelé Adblock Plus a NoScript, Vážená komunita Mozilly
- ^ Pozor všichni uživatelé NoScript
- ^ Greg Yardley, Když blokátoři blokují blokátory , na yardlay.ca , 4. května 2009 (archivováno z originálu 8. května 2009) .
- ^ Fórum podpory NoScript "Re: Nejnovější verze NoScript (1.9.2) přerušuje Adblock Plus", komentář č. 3704, Giorgio Maone (2009-05-04)
- ^ Fórum podpory NoScript "Re: Další kroky k opětovnému získání a udržení důvěry uživatelů", komentář č. 3935, Giorgio Maone (2009-05-06)
Další projekty
Wikimedia Commons obsahuje obrázky nebo jiné soubory na NoScript