NoScript
 Ikona przed 2022 rokiem
| |
| Oryginalni autorzy | Giorgio Maone |
|---|---|
| Deweloperzy | Giorgio Maone |
| Pierwsze wydanie | 13 maja 2005 |
| Wersja stabilna | 11.4.18 / 1 marca 2023
|
| Wersja podglądu | 11.4.18rc1 / 1 marca 2023
|
| Magazyn | https://github.com/hackademix/noscript |
| Napisane w | JavaScript , XUL , CSS |
| Dostępne w | 45 języków |
| Typ | rozszerzenie Mozilli |
| Licencja | GPLv2+ |
| Strona internetowa | NoScript.net |
NoScript (lub NoScript Security Suite ) to bezpłatne rozszerzenie oprogramowania dla Mozilla Firefox , SeaMonkey , innych przeglądarek internetowych opartych na Mozilli oraz Google Chrome , napisane i obsługiwane przez Giorgio Maone, włoskiego programistę i członka Mozilla Security Group.
Cechy
Aktywne blokowanie treści
Domyślnie NoScript blokuje aktywną (wykonywalną) zawartość internetową, którą można całkowicie lub częściowo odblokować, umieszczając witrynę lub domenę na liście dozwolonych z menu paska narzędzi rozszerzenia lub klikając ikonę zastępczą.
W domyślnej konfiguracji aktywna zawartość jest globalnie odrzucana, chociaż użytkownik może to odwrócić i użyć NoScript do zablokowania określonych niechcianych treści. Lista dozwolonych może być stała lub tymczasowa (do czasu zamknięcia przeglądarki lub cofnięcia uprawnień przez użytkownika). Zawartość aktywna może składać się z języka JavaScript , czcionek internetowych, kodeków multimedialnych , WebGL i Flash . Dodatek oferuje również określone środki zaradcze przeciwko lukom w zabezpieczeniach.
Ponieważ wiele ataków na przeglądarki internetowe wymaga aktywnej zawartości, którą przeglądarka zwykle uruchamia bez pytania, domyślne wyłączenie takiej zawartości i używanie jej tylko w niezbędnym stopniu zmniejsza szanse wykorzystania luk w zabezpieczeniach. Ponadto niezaładowanie tych treści oszczędza znaczną przepustowość i eliminuje niektóre formy śledzenia w sieci.
NoScript jest przydatny dla programistów, aby zobaczyć, jak dobrze działa ich witryna z wyłączoną obsługą JavaScript. Może również usuwać wiele irytujących elementów internetowych, takich jak wyskakujące okienka na stronie i niektóre paywalle , które do działania wymagają JavaScriptu.
NoScript ma postać ikony paska narzędzi lub ikony paska stanu w przeglądarce Firefox. Wyświetla się na każdej stronie internetowej, aby wskazać, czy NoScript zablokował, zezwolił lub częściowo zezwolił na uruchamianie skryptów na przeglądanej stronie internetowej. Kliknięcie lub najechanie (od wersji 2.0.3rc1) kursorem myszy na ikonę NoScript daje użytkownikowi możliwość zezwolenia lub zakazania przetwarzania skryptu.
Interfejs NoScript, dostępny po kliknięciu strony internetowej prawym przyciskiem myszy lub charakterystycznym polu NoScript u dołu strony (domyślnie), pokazuje adres URL zablokowanego skryptu (skryptów), ale nie zawiera żadnych odniesień aby sprawdzić, czy dany skrypt można bezpiecznie uruchomić. W przypadku złożonych stron internetowych użytkownicy mogą mieć do czynienia z ponad tuzinem różnych tajemniczych adresów URL i niedziałającą stroną internetową, mając tylko wybór, czy zezwolić na działanie skryptu, zablokować skrypt lub zezwolić na to tymczasowo.
14 listopada 2017 roku Giorgio Maone ogłosił NoScript 10, który będzie „bardzo różnił się” od wersji 5.x i będzie korzystał z technologii WebExtension, dzięki czemu będzie kompatybilny z Firefox Quantum . 20 listopada 2017 Maone wydał wersję 10.1.1 dla Firefoksa 57 i nowszych. NoScript jest dostępny dla Firefoksa na Androida.
Ochrona anty-XSS
11 kwietnia 2007 roku publicznie opublikowano NoScript 1.1.4.7, wprowadzając pierwszą ochronę po stronie klienta przed skryptami krzyżowymi typu 0 i typu 1 (XSS), jaka kiedykolwiek została dostarczona w przeglądarce internetowej.
Za każdym razem, gdy witryna próbuje wstrzyknąć kod HTML lub JavaScript do innej witryny (naruszenie zasad tego samego pochodzenia ), NoScript filtruje złośliwe żądanie i neutralizuje jego niebezpieczną zawartość.
Podobne funkcje zostały przyjęte wiele lat później przez Microsoft Internet Explorer 8 i Google Chrome .
Moduł egzekwowania granic aplikacji (ABE)
Application Boundaries Enforcer (ABE) to wbudowany moduł NoScript, którego celem jest wzmocnienie zabezpieczeń zorientowanych na aplikacje internetowe , które już zapewnia NoScript, poprzez dostarczenie komponentu przypominającego zaporę ogniową działającego w przeglądarce.
Ta „zapora ogniowa” specjalizuje się w definiowaniu i ochronie granic każdej wrażliwej aplikacji internetowej istotnej dla użytkownika (np. wtyczek, poczty internetowej, bankowości internetowej itd.), zgodnie z zasadami określonymi bezpośrednio przez użytkownika, twórcę strony internetowej /administrator lub zaufana strona trzecia. W swojej domyślnej konfiguracji ABE NoScript zapewnia ochronę przed atakami ponownego wiązania CSRF i DNS skierowanymi na zasoby intranetu, takie jak routery i wrażliwe aplikacje internetowe.
ClearClick (anty-clickjacking)
Funkcja ClearClick firmy NoScript, wydana 8 października 2008 r., zapobiega klikaniu przez użytkowników niewidocznych lub „poprawionych” elementów strony osadzonych dokumentów lub apletów, eliminując wszelkiego rodzaju przechwytywanie kliknięć (tj. z ramek i wtyczek).
To sprawia, że NoScript jest „jedynym ogólnodostępnym produktem, który oferuje rozsądny stopień ochrony przed atakami typu „clickjacking”.
Ulepszenia HTTPS
NoScript może zmusić przeglądarkę, aby zawsze używała protokołu HTTPS podczas nawiązywania połączeń z niektórymi wrażliwymi witrynami, aby zapobiec atakom typu man-in-the-middle. To zachowanie może być wyzwalane przez same strony internetowe, przez wysłanie Strict Transport Security lub skonfigurowane przez użytkowników dla tych witryn, które jeszcze nie obsługują Strict Transport Security.
Funkcje ulepszające HTTPS NoScript zostały wykorzystane przez Electronic Frontier Foundation jako podstawa jej dodatku HTTPS Everywhere .
Nagrody
- PC World uznał NoScript za jeden ze 100 najlepszych produktów 2006 roku.
- W 2008 roku NoScript zdobył nagrodę redakcyjną „Best Security Add-On” serwisu About.com .
- W 2010 roku NoScript zdobył nagrodę „The Reader's Choice Awards” w kategorii „Najlepszy dodatek do prywatności/bezpieczeństwa” na stronie About.com .
- W 2011 roku, drugi rok z rzędu, NoScript zdobył nagrodę „The Reader's Choice Awards” w kategorii „Najlepszy dodatek do prywatności/bezpieczeństwa” serwisu About.com .
- NoScript był zwycięzcą 2011 (pierwsza edycja) „Grantu na innowacje w zakresie bezpieczeństwa” Dragon Research Group. Nagroda ta przyznawana jest najbardziej innowacyjnemu projektowi w obszarze bezpieczeństwa informacji, ocenianemu przez niezależną kapitułę.
Konflikty
Konflikt z Adblock Plus
W maju 2009 roku zgłoszono, że wybuchła „wojna o rozszerzenia” między programistą NoScript, Giorgio Maone, a twórcami rozszerzenia Adblock Plus do Firefoksa blokującego reklamy po tym, jak Maone wydał wersję NoScript, która omijała blokadę włączoną przez AdBlock Dodatkowy filtr. Kod implementujący to obejście został „zakamuflowany”, aby uniknąć wykrycia. Maone stwierdził, że zaimplementował to w odpowiedzi na filtr, który zablokował jego własną stronę internetową. Po narastającej krytyce i deklaracji administratorów Dodatków Mozilli site, że strona zmieni swoje wytyczne dotyczące modyfikacji dodatków, Maone usunął kod i przeprosił.
Konflikt z Ghostery
Bezpośrednio po incydencie Adblock Plus doszło do sporu między Maone a twórcami dodatku Ghostery po tym, jak Maone wprowadził zmianę na swojej stronie internetowej, która wyłączyła powiadomienie, którego Ghostery używało do zgłaszania oprogramowania śledzącego sieć . Zostało to zinterpretowane jako próba „uniemożliwienia Ghostery raportowania o modułach śledzących i sieciach reklamowych na stronach internetowych NoScript”. W odpowiedzi Maone stwierdził, że zmiana została wprowadzona, ponieważ powiadomienie Ghostery zasłaniało przycisk darowizny na stronie NoScript. Ten konflikt został rozwiązany, gdy Maone zmienił CSS swojej witryny, aby przenieść — zamiast wyłączyć — powiadomienie o Ghostery.
Zobacz też
Linki zewnętrzne
- Oficjalna strona internetowa
- NoScript na addons.mozilla.org
- NoScript Anywhere (3,5 do 15) dla Firefoksa na Androida
- Prezentacja NoScript w How to Bypass Internet Censorship , a FLOSS Manual, 10 marca 2011, 240 s.