Sin guión
NoScript (o NoScript Security Suite ) es una extensión gratuita y de código abierto para Firefox y otros navegadores basados en Mozilla . NoScript permite la ejecución de scripts JavaScript , Java , Flash (obsoletos desde el 31 de diciembre de 2020 [1] ) , Silverlight y otros complementos solo desde aquellos sitios web elegidos por el usuario e incluidos en una lista de confianza especial ; esto aumenta la protección contra muchos ataques cibernéticos que explotan scripts maliciosos para infectar la PC . Puede permitir la ejecución completa de todos los scripts en una página determinada o permitirlos temporalmente mientras la visita. Para scripts de dominios de terceros, puede elegir cuáles permitir y cuáles no seleccionando el dominio de origen. NoScript también ofrece protección contra secuencias de comandos entre sitios y secuestro de clics [2] [3] [4] .
Características
Bloqueo de contenido activo
De forma predeterminada, NoScript bloquea el contenido web activo (ejecutable), que se puede desbloquear total o parcialmente permitiéndole enumerar un sitio o dominio desde el menú de la barra de herramientas de la extensión o haciendo clic en un icono de marcador de posición.
De forma predeterminada, el contenido activo se niega globalmente, aunque el usuario puede voltearlo y usar NoScript para bloquear contenido específico no deseado. La lista de permisos puede ser permanente o temporal (hasta que se cierre el navegador o se revoquen los permisos). El contenido activo puede consistir en JavaScript , fuentes web, códecs multimedia, WebGL y Flash (obsoleto a partir del 31 de diciembre de 2020 [1] ). El complemento también ofrece contramedidas específicas contra vulnerabilidades de seguridad [5] .
Dado que muchos ataques de navegador web requieren contenido activo que el navegador normalmente ejecuta sin duda, deshabilitar dicho contenido de forma predeterminada y usarlo solo en la medida en que sea realmente necesario reduce las posibilidades de explotar la vulnerabilidad. Además, no cargar este contenido ahorra un ancho de banda significativo [6] y frustra algunas formas de seguimiento web.
NoScript también es útil para que los desarrolladores vean cómo funciona su sitio con JavaScript deshabilitado. También puede eliminar muchos elementos web irritantes, como mensajes emergentes en la página y algunos muros de pago , que requieren JavaScript para funcionar.
NoScript adopta la forma de un icono de la barra de herramientas o un icono de la barra de estado en Firefox. Se muestra en todos los sitios web para indicar si NoScript ha bloqueado, permitido o permitido parcialmente la ejecución de scripts en la página web mostrada. Al hacer clic o pasar el mouse (desde la versión 2.0.3rc1 [7] ), el cursor del mouse sobre el ícono de NoScript le brinda al usuario la posibilidad de permitir o prohibir el procesamiento de scripts.
La interfaz de NoScript, a la que se accede haciendo clic con el botón derecho en la página web o en el cuadro distintivo de NoScript en la parte inferior de la página (por defecto), muestra la URL de los scripts que están bloqueados, pero no proporciona ningún tipo de referencia para verificar si un determinado el script es seguro de ejecutar [8] . Con páginas web complejas, los usuarios pueden enfrentarse a más de una docena de URL crípticas diferentes y una página web rota, con solo la capacidad de permitir el script, bloquear el script o permitirlo temporalmente.
El 14 de noviembre de 2017, Giorgio Maone anunció NoScript 10, que será "muy diferente" de las versiones 5.x, y utilizará la tecnología WebExtension, haciéndolo compatible con Firefox Quantum [9] . El 20 de noviembre de 2017, Maone lanzó la versión 10.1.1 para Firefox 57 y posteriores. NoScript está disponible para Firefox para Android [10] .
Protección anti-XSS
El 11 de abril de 2007, NoScript 1.1.4.7 se lanzó públicamente [11] y presentó la primera protección del lado del cliente contra secuencias de comandos entre sitios de tipo 0 y tipo 1 (XSS) jamás proporcionada en un navegador web .
Cada vez que un sitio web intenta inyectar HTML o JavaScript en un sitio diferente (una violación de la misma política de origen), NoScript filtra la solicitud maliciosa, neutralizando su peligrosa carga [ 12] .
Años más tarde, Microsoft Internet Explorer 8 y Google Chrome adoptaron una funcionalidad similar .
Application Boundaries Enforcer (ABE)
Application Boundaries Enforcer (ABE) es un módulo integrado de NoScript [13] diseñado para fortalecer las protecciones orientadas a aplicaciones web ya proporcionadas por NoScript al proporcionar un componente similar a un firewall que se ejecuta dentro del navegador.
Este "cortafuegos" está especializado en definir y proteger los límites de cualquier aplicación web confidencial relevante para el usuario (por ejemplo, complemento, correo web , banca en línea , etc.), de acuerdo con las políticas definidas directamente por el usuario, el desarrollador/administrador web. o un tercero de confianza [14] . En su configuración predeterminada, NoScript EBA brinda protección contra CSRF y ataques de reenlace de DNS dirigidos a recursos de la intranet, como enrutadores y aplicaciones web confidenciales [15] .
ClearClick (anti-clickjacking)
La función ClearClick de NoScript, lanzada el 8 de octubre de 2008, evita que los usuarios hagan clic en elementos de página invisibles o "correctos" de documentos o subprogramas incrustados, cancelando todos los tipos de secuestro de clics (por ejemplo, de marcos y complementos [16] ).
Esto convierte a NoScript en "el único producto disponible gratuitamente que ofrece un grado razonable de protección" contra los ataques de clickjacking [17] .
Mejoras de HTTPS
NoScript puede obligar al navegador a usar siempre HTTPS al establecer conexiones a algunos sitios confidenciales, para evitar ataques de intermediarios . Este comportamiento puede ser desencadenado por los propios sitios web, enviando el encabezado Strict Transport Security, o configurado por los usuarios para aquellos sitios web que aún no admiten Strict Transport Security [18] .
Electronic Frontier Foundation utilizó las funciones de mejora de HTTPS de NoScript como base de su complemento HTTPS Everywhere [19] .
Presione
- PC World eligió a NoScript como uno de los 100 mejores productos de 2006 [20] .
- En 2008, NoScript ganó el premio editorial About.com por "Mejor complemento de seguridad" [21] .
- En 2010, NoScript fue el ganador de los "Reader's Choice Awards" en la categoría "Mejor complemento de privacidad/seguridad" en About.com [22] .
- En 2011, por segundo año consecutivo, NoScript fue el ganador de "Reader's Choice Awards" en la categoría "Mejor complemento de privacidad/seguridad" en About.com [23] .
- NoScript fue el ganador de 2011 (primera edición) de la "Beca de innovación en seguridad" de Dragon Research Group. Este premio se otorga al proyecto más innovador en el campo de la ciberseguridad, según lo juzgado por un comité independiente [24] .
Disputas
Conflictos con Adblock Plus y Ghostery
En mayo de 2009, se informó que había estallado una "guerra de extensiones" entre el desarrollador de NoScript, Giorgio Maone, y los desarrolladores de la extensión de bloqueo de anuncios para Firefox Adblock Plus después de que Maone lanzara una versión de NoScript que eludía un bloqueo habilitado por un filtro AdBlock Plus. [25] [26] . El código que implementa esta solución ha sido "disfrazado" [25] para evitar la detección. Maone dijo que lo implementó en respuesta a un filtro que bloqueó su sitio web. Después de las crecientes críticas y una declaración de los administradores del sitio de complementos de Mozilla de que el sitio cambiaría sus pautas con respecto a los cambios de complementos [27] , Maone eliminó el código y emitió una disculpa oficial [25] [28] .
Inmediatamente después del incidente de Adblock Plus [29] , surgió una discusión entre Maone y los desarrolladores del complemento Ghostery después de que Maone implementara un cambio en su sitio web que deshabilitaba la notificación utilizada por Ghostery para informar sobre el software de seguimiento web [30] . Esto se interpretó como un intento de "evitar que Ghostery informe sobre rastreadores y redes publicitarias en sitios web de NoScript". En respuesta, Maone afirmó que el cambio se realizó porque la notificación de Ghostery ocultó el botón de donación en el sitio de NoScript [31] . Este conflicto se resolvió cuando Maone cambió el CSS de su sitio para mover, en lugar de deshabilitar, la notificación de Ghostery [32] .
Notas
- ^ a b Flash y el futuro del contenido interactivo | Adobe Blog , en web.archive.org , 2 de diciembre de 2017. Consultado el 1 de marzo de 2021 (archivado desde el original el 2 de diciembre de 2017) .
- ^ Extensión NoScript lanzada oficialmente para Google Chrome , en zdnet.com , ZDNet . Consultado el 12 de abril de 2019 .
- ^ Conozca al desarrollador de NoScript , en addons.mozilla.org , Mozilla. Consultado el 27 de septiembre de 2011 (archivado desde el original el 9 de octubre de 2011) .
- ^ Grupo de seguridad de Mozilla , de mozilla.org , Mozilla . Consultado el 29 de junio de 2011 (archivado desde el original el 29 de junio de 2011) .
- ^ Scott Orgera, NoScript , en browsers.about.com , About.com. Consultado el 27 de noviembre de 2010 .
- ^ El efecto de los complementos de Firefox en el consumo de ancho de banda :: IANIX , en ianix.com . Consultado el 14 de julio de 2020 .
- ^ NoScript Changelog 2.0.3rc1 , en noscript.net . Consultado el 16 de marzo de 2011 .
- ^ Martin Brinkman, La guía de Firefox NoScript que todos han estado esperando , en GHacks.net , 10 de febrero de 2014. Consultado el 14 de enero de 2017 .
- ^ Giorgio Maone, Double NoScript , en hackademix.net , 14 de noviembre de 2017. Consultado el 15 de noviembre de 2017 .
- ^ Cambios estéticos por Issa1553 Solicitud de extracción # 28 hackademix / noscript , en GitHub . Consultado el 4 de enero de 2019 .
- ^ La primera versión de NoScript Anti-XSS Complementos de Mozilla
- ^ Características de NoScript: protección anti-XSS NoScript.net . Consultado el 22 de abril de 2008.
- ^ https://noscript.net/faq#clearclick
- ^ Giorgio Maone, Application Boundaries Enforcer (ABE) , en noscript.net . Consultado el 2 de agosto de 2010 .
- ^ Giorgio Maone, ABE Patrols Routes to Your Routers , en hackademix.net , 28 de julio de 2010. Consultado el 2 de agosto de 2010 .
- ^ Giorgio Maone, Hello ClearClick, Goodbye Clickjacking , en hackademix.net , 8 de octubre de 2008. Consultado el 27 de octubre de 2008 .
- ^ Michal Zalewski, Manual de seguridad del navegador, Parte 2, Reparación de la interfaz de usuario , en code.google.com , Google Inc., 10 de diciembre de 2008. Consultado el 27 de octubre de 2008 .
- ^ Preguntas frecuentes sobre NoScript: HTTPS NoScript.net . Consultado el 2 de agosto de 2010.
- ^ HTTPS en todas partes , en eff.org .
- ^ Premio PC World pcworld.com . Consultado el 22 de abril de 2008.
- ^ About.com 2008 Premio al mejor complemento de seguridad about.com . Consultado el 2 de agosto de 2010.
- ^ Mejor complemento de privacidad/seguridad 2010 about.com . Consultado el 2 de agosto de 2010.
- ^ Mejor complemento de privacidad/seguridad 2011 about.com . Consultado el 20 de marzo de 2011.
- ^ Anuncio del ganador de la subvención a la innovación en seguridad Archivado el 12 de febrero de 2015 en Internet Archive . Grupo de Investigación de Dragones . Consultado el 17 de julio de 2011.
- ^ a b c Dan Goodin, Usuarios de Firefox atrapados en el fuego cruzado de complementos en guerra , en The Register . Consultado el 19 de mayo de 2013 .
- ^ Guerras de extensión - NoScript vs. AdblockPlus , en Ajaxian . Consultado el 19 de mayo de 2013 .
- ^ Sin sorpresas , en blog.mozilla.com , 1 de mayo de 2009.
- ^ Estimados usuarios de Adblock Plus y NoScript: Estimada comunidad de Mozilla
- ^ Atención a todos los usuarios de NoScript
- ^ Greg Yardley, When blockers block the blockers , en yardlay.ca , 4 de mayo de 2009 (archivado desde el original el 8 de mayo de 2009) .
- ^ Foro de soporte de NoScript "Re: La última versión de NoScript (1.9.2) rompe Adblock Plus", comentario n.º 3704, Giorgio Maone (2009-05-04)
- ^ Foro de soporte de NoScript "Re: pasos adicionales para recuperar y conservar la confianza del usuario", comentario n.º 3935, Giorgio Maone (2009-05-06)
Otros proyectos
Wikimedia Commons contiene imágenes u otros archivos sobre NoScript