NoScript
NoScript (oder NoScript Security Suite ) ist eine kostenlose Open - Source- Erweiterung für Firefox und andere Mozilla -basierte Browser . NoScript erlaubt die Ausführung von JavaScript , Java , Flash -Skripten (veraltet seit dem 31. Dezember 2020 [1] ) , Silverlight und anderen Plugins nur von den Websites, die vom Benutzer ausgewählt und in eine spezielle vertrauenswürdige Liste aufgenommen wurden ; Dies erhöht den Schutz vor vielen Cyber-Angriffen, die schädliche Skripte ausnutzen, um den PC zu infizieren . Sie können die vollständige Ausführung aller Skripte auf einer bestimmten Seite zulassen oder sie vorübergehend zulassen, während Sie sie besuchen. Bei Skripten von Drittanbieterdomänen können Sie auswählen, welche zugelassen werden sollen und welche nicht, indem Sie die Ursprungsdomäne auswählen. NoScript bietet auch Schutz vor Cross-Site-Scripting und Clickjacking [2] [3] [4] .
Eigenschaften
Aktive Inhaltsblockierung
Standardmäßig blockiert NoScript aktive (ausführbare) Webinhalte, die vollständig oder teilweise entsperrt werden können, indem Sie eine Website oder Domäne aus dem Symbolleistenmenü der Erweiterung auflisten oder auf ein Platzhaltersymbol klicken.
Standardmäßig werden aktive Inhalte global verweigert, obwohl der Benutzer sie umdrehen und NoScript verwenden kann, um bestimmte unerwünschte Inhalte zu blockieren. Die Liste der Berechtigungen kann permanent oder temporär sein (bis der Browser geschlossen oder Berechtigungen widerrufen werden). Aktiver Inhalt kann aus JavaScript , Webfonts, Multimedia-Codecs, WebGL und Flash bestehen (veraltet am 31. Dezember 2020 [1] ). Das Add-on bietet zudem gezielte Gegenmaßnahmen gegen Sicherheitslücken [5] .
Da viele Webbrowser-Angriffe aktive Inhalte erfordern, die der Browser normalerweise zweifelsfrei ausführt, verringert das standardmäßige Deaktivieren solcher Inhalte und deren Verwendung nur in dem Umfang, in dem sie tatsächlich erforderlich sind, die Chancen, die Schwachstelle auszunutzen. Darüber hinaus spart das Nichtladen dieser Inhalte erheblich Bandbreite [6] und vereitelt einige Formen des Web-Trackings.
NoScript ist auch für Entwickler nützlich, um zu sehen, wie ihre Website mit deaktiviertem JavaScript funktioniert. Es kann auch viele irritierende Webelemente entfernen, wie z. B. In-Page-Popup-Nachrichten und einige Paywalls , für deren Funktion JavaScript erforderlich ist.
NoScript hat in Firefox die Form eines Symbolleistensymbols oder Statusleistensymbols. Es wird auf jeder Website angezeigt, um anzuzeigen, ob NoScript die Ausführung von Skripten auf der angezeigten Webseite blockiert, erlaubt oder teilweise erlaubt hat. Durch Klicken oder Bewegen der Maus (ab Version 2.0.3rc1 [7] ) des Mauszeigers auf dem NoScript-Symbol hat der Benutzer die Möglichkeit, die Skriptverarbeitung zuzulassen oder zu verbieten.
Die NoScript-Oberfläche, auf die Sie zugreifen können, indem Sie mit der rechten Maustaste auf die Webseite oder das markante NoScript-Feld unten auf der Seite klicken (standardmäßig), zeigt die URL von Skripts, die blockiert sind, bietet jedoch keinerlei Referenz, um zu überprüfen, ob eine gegeben ist Skript kann sicher ausgeführt werden [8] . Bei komplexen Webseiten können Benutzer mit weit über einem Dutzend verschiedener kryptischer URLs und einer kaputten Webseite konfrontiert werden, mit nur der Möglichkeit, das Skript zuzulassen, das Skript zu blockieren oder es vorübergehend zuzulassen.
Am 14. November 2017 kündigte Giorgio Maone NoScript 10 an, das „sehr anders“ als die Versionen 5.x sein wird und die WebExtension-Technologie verwenden wird, wodurch es mit Firefox Quantum kompatibel ist [9] . Am 20. November 2017 veröffentlichte Maone Version 10.1.1 für Firefox 57 und höher. NoScript ist für Firefox für Android verfügbar [10] .
Anti-XSS-Schutz
Am 11. April 2007 wurde NoScript 1.1.4.7 veröffentlicht [11] , das den ersten clientseitigen Schutz gegen Cross-Site-Scripting vom Typ 0 und Typ 1 (XSS) einführte, der jemals in einem Webbrowser bereitgestellt wurde .
Immer wenn eine Website versucht, HTML oder JavaScript in eine andere Website einzufügen (ein Verstoß gegen die Richtlinie zur gleichen Herkunft), filtert NoScript die böswillige Anfrage und neutralisiert ihre gefährliche Nutzlast [ 12] .
Eine ähnliche Funktionalität wurde Jahre später von Microsoft Internet Explorer 8 und Google Chrome übernommen .
Application Boundaries Enforcer (ABE)
Der Application Boundaries Enforcer (ABE) ist ein integriertes NoScript-Modul [13] , das den bereits von NoScript bereitgestellten Webanwendungs-orientierten Schutz verstärken soll, indem es eine Komponente ähnlich einer Firewall bereitstellt, die im Browser läuft.
Diese "Firewall" ist darauf spezialisiert, die Grenzen jeder sensiblen Webanwendung, die für den Benutzer relevant ist (z. B. Plug-in, Webmail , Online-Banking usw.), gemäß Richtlinien zu definieren und zu schützen, die direkt vom Benutzer, dem Webentwickler / Administrator, definiert werden oder einem vertrauenswürdigen Dritten [14] . In seiner Standardkonfiguration bietet NoScript EBA Schutz vor CSRF- und DNS-Rebinding-Angriffen, die auf Intranetressourcen wie Router und sensible Webanwendungen abzielen [15] .
ClearClick (Anti-Clickjacking)
Die am 8. Oktober 2008 veröffentlichte ClearClick-Funktion von NoScript verhindert, dass Benutzer auf unsichtbare oder "richtige" Seitenelemente eingebetteter Dokumente oder Applets klicken, und unterbindet alle Arten von Clickjacking (z. B. von Frames und Plug-Ins [16] ).
Damit ist NoScript „das einzige frei verfügbare Produkt, das einen angemessenen Schutz“ gegen Clickjacking- Angriffe bietet [17] .
HTTPS-Verbesserungen
NoScript kann den Browser dazu zwingen, beim Verbindungsaufbau zu einigen sensiblen Seiten immer HTTPS zu verwenden, um Man-in-the-Middle-Angriffe zu verhindern . Dieses Verhalten kann von den Websites selbst ausgelöst werden, indem sie den Strict Transport Security-Header senden, oder von Benutzern für Websites konfiguriert werden, die Strict Transport Security noch nicht unterstützen [18] .
Die HTTPS-Erweiterungsfunktionen von NoScript wurden von der Electronic Frontier Foundation als Grundlage für ihr HTTPS Everywhere -Add- on [19] verwendet .
Drücken Sie
- PC World wählte NoScript zu einem der 100 besten Produkte des Jahres 2006 [20] .
- 2008 gewann NoScript den About.com Editorial Award als „Best Security Add-on“ [21] .
- 2010 war NoScript der Gewinner des "Reader's Choice Awards" in der Kategorie "Bestes Datenschutz-/Sicherheits-Add-on" bei About.com [22] .
- 2011 wurde NoScript zum zweiten Mal in Folge Gewinner der „Reader's Choice Awards“ in der Kategorie „Best Privacy/Security Add-on“ bei About.com [23] .
- NoScript war 2011 (erste Ausgabe) Gewinner des „Security Innovation Grant“ der Dragon Research Group. Diese Auszeichnung wird dem innovativsten Projekt im Bereich Cybersicherheit verliehen, das von einem unabhängigen Komitee bewertet wird [24] .
Streitigkeiten
Konflikte mit Adblock Plus und Ghostery
Im Mai 2009 wurde berichtet, dass ein „Erweiterungskrieg“ zwischen dem NoScript-Entwickler Giorgio Maone und den Entwicklern der werbeblockierenden Firefox-Erweiterung Adblock Plus ausgebrochen war, nachdem Maone eine Version von NoScript veröffentlicht hatte, die eine durch einen AdBlock Plus-Filter aktivierte Blockierung umging [25] [26] . Der Code, der diese Problemumgehung implementiert, wurde "verkleidet" [25] , um eine Erkennung zu vermeiden. Maone sagte, er habe es als Reaktion auf einen Filter implementiert, der seine Website blockiert habe. Nach zunehmender Kritik und einer Erklärung von Seitenadministratoren von Mozilla Add-ons, dass die Seite ihre Richtlinien bezüglich Add-on-Änderungen ändern würde [27] , entfernte Maone den Code und entschuldigte sich offiziell [25] [28] .
Unmittelbar nach dem Adblock Plus-Vorfall [29] kam es zu einem Streit zwischen Maone und den Entwicklern des Ghostery-Add-Ons, nachdem Maone eine Änderung auf seiner Website vorgenommen hatte, die die von Ghostery verwendete Benachrichtigung zum Melden von Tracking-Software deaktivierte.web [30] . Dies wurde als Versuch interpretiert, „Ghostery daran zu hindern, über Tracker und Werbenetzwerke auf NoScript-Websites zu berichten“. Als Antwort erklärte Maone, dass die Änderung vorgenommen wurde, weil die Benachrichtigung von Ghostery den Spenden-Button auf der NoScript-Site verdeckte [31] . Dieser Konflikt wurde gelöst, als Maone das CSS seiner Website dahingehend änderte, dass die Ghostery-Benachrichtigung [32] verschoben statt deaktiviert wurde .
Notizen
- ^ a b Flash und die Zukunft interaktiver Inhalte | Adobe Blog , auf web.archive.org , 2. Dezember 2017. Abgerufen am 1. März 2021 (archiviert vom Original am 2. Dezember 2017) .
- ↑ NoScript-Erweiterung offiziell für Google Chrome veröffentlicht, unter zdnet.com , ZDNet . Abgerufen am 12. April 2019 .
- ^ Treffen Sie den NoScript-Entwickler unter addons.mozilla.org , Mozilla. Abgerufen am 27. September 2011 (archiviert vom Original am 9. Oktober 2011) .
- ^ Mozilla Security Group , von mozilla.org , Mozilla . Abgerufen am 29. Juni 2011 (archiviert vom Original am 29. Juni 2011) .
- ^ Scott Orgera, NoScript , auf browsers.about.com , About.com. Abgerufen am 27. November 2010 .
- ^ Die Wirkung von Firefox-Addons auf den Bandbreitenverbrauch :: IANIX , auf ianix.com . Abgerufen am 14. Juli 2020 .
- ^ NoScript-Änderungsprotokoll 2.0.3rc1 , auf noscript.net . Abgerufen am 16. März 2011 .
- ^ Martin Brinkman, Der Firefox-NoScript-Leitfaden, auf den Sie alle gewartet haben , auf GHacks.net , 10. Februar 2014. Abgerufen am 14. Januar 2017 .
- ^ Giorgio Maone, Double NoScript , auf hackademix.net , 14. November 2017. Abgerufen am 15. November 2017 .
- ^ Kosmetische Änderungen von Issa1553 Pull Request # 28 hackademix / noscript , auf GitHub . Abgerufen am 4. Januar 2019 .
- ^ NoScripts erste Anti-XSS-Version von Mozilla-Add-Ons
- ^ NoScript-Funktionen – Anti-XSS-Schutz NoScript.net . Abgerufen am 22. April 2008.
- ^ https://noscript.net/faq#clearclick
- ^ Giorgio Maone, Application Boundaries Enforcer (ABE) , auf noscript.net . Abgerufen am 2. August 2010 .
- ^ Giorgio Maone, ABE Patrols Routes to Your Routers , auf hackademix.net , 28. Juli 2010. Abgerufen am 2. August 2010 .
- ^ Giorgio Maone, Hello ClearClick, Goodbye Clickjacking , auf hackademix.net , 8. Oktober 2008. Abgerufen am 27. Oktober 2008 .
- ^ Michal Zalewski, Browser Security Handbook, Part 2, UI Redressing , at code.google.com , Google Inc., 10. Dezember 2008. Abgerufen am 27. Oktober 2008 .
- ^ NoScript-FAQ: HTTPS NoScript.net . Abgerufen am 2. August 2010.
- ^ HTTPS überall , auf eff.org .
- ^ PC World Award pcworld.com . Abgerufen am 22. April 2008.
- ^ About.com Auszeichnung für das beste Sicherheits-Add-On 2008 about.com . Abgerufen am 2. August 2010.
- ^ Bestes Datenschutz-/Sicherheits-Add-On 2010 about.com . Abgerufen am 2. August 2010.
- ^ Bestes Datenschutz-/Sicherheits-Add-On 2011 about.com . Abgerufen am 20. März 2011.
- ^ Bekanntgabe der Gewinner des Security Innovation Grant , archiviert am 12. Februar 2015 im Internetarchiv . Drachenforschungsgruppe . Abgerufen am 17. Juli 2011.
- ^ a b c Dan Goodin, Firefox-Benutzer, die ins Kreuzfeuer kriegerischer Add-Ons geraten , in The Register . Abgerufen am 19. Mai 2013 .
- ^ Erweiterungskriege – NoScript vs. AdblockPlus , in Ajaxianisch . Abgerufen am 19. Mai 2013 .
- ^ Keine Überraschungen , auf blog.mozilla.com , 1. Mai 2009.
- ^ Liebe Adblock Plus- und NoScript-Benutzer, liebe Mozilla-Community
- ^ NoScript-Benutzer aufgepasst
- ^ Greg Yardley, When blockers block the blockers , in yardlay.ca , 4. Mai 2009 (archiviert vom Original am 8. Mai 2009) .
- ^ NoScript Support Forum "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", Kommentar # 3704, Giorgio Maone (04.05.2009)
- ^ NoScript-Support-Forum „Re: Zusätzliche Schritte, um das Vertrauen der Benutzer zurückzugewinnen und zu bewahren“, Kommentar Nr. 3935, Giorgio Maone (2009-05-06)
Andere Projekte
Wikimedia Commons enthält Bilder oder andere Dateien auf NoScript