NoScript - NoScript

Для HTML-элемента
NoScript
Значок NoScript
Оригинальный автор (ы)Джорджио Маоне
Разработчики)Джорджио Маоне
изначальный выпуск13 мая 2005 г.; 15 лет назад (2005-05-13)[1]
Стабильный выпуск
11.1.5[2] / 6 ноября 2020; 17 дней назад (6 ноября 2020 г.)
Предварительный выпуск
11.1.6rc1 / 19 ноября 2020; 4 дня назад (2020-11-19)
Репозиторийhttps://github.com/hackademix/noscript
Написано вJavaScript, XUL, CSS
Доступно в45[3] языки
ТипРасширение Mozilla
ЛицензияGPLv2 +
Интернет сайтNoScript.net

NoScript (или же Пакет безопасности NoScript) это бесплатно программное обеспечение расширение за Mozilla Firefox, SeaMonkey, Другой Mozilla -основан веб-браузеры и Гугл Хром,[4] создан и активно поддерживается Джорджио Маоне,[5] итальянский разработчик программного обеспечения и член Mozilla Security Group.[6]

Функции

Классическое меню NoScript в Firefox

Блокировка активного содержимого

По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, разрешив список сайта или домена в меню панели инструментов расширения или щелкнув значок-заполнитель.

В конфигурации по умолчанию активный контент запрещен глобально, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Список разрешений может быть постоянным или временным (до закрытия браузера или отмены разрешений пользователем). Активный контент может состоять из JavaScript, веб-шрифты, медиа кодеки, WebGL, и Вспышка. Надстройка также предлагает определенные меры противодействия уязвимостям безопасности.[7]

Поскольку многие атаки на веб-браузер требуют активного содержимого, которое браузер обычно запускает без вопросов, отключение такого содержимого по умолчанию и его использование только в той степени, в которой это действительно необходимо, снижает шансы эксплуатации уязвимости. Кроме того, отказ от загрузки этого контента существенно экономит пропускную способность.[8] и побеждает некоторые формы веб-отслеживания.

NoScript также полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалить многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и некоторые платный доступ, которые требуют JavaScript для работы.

NoScript принимает форму панель инструментов значок или статус бар значок в Firefox. Он отображается на каждом веб-сайте, чтобы указать, заблокировал ли NoScript, разрешил или частично разрешил запуск сценариев на просматриваемой веб-странице. Щелчок или наведение курсора (начиная с версии 2.0.3rc1[9]) курсор мыши на значке NoScript дает пользователю возможность разрешить или запретить обработку скрипта.

Интерфейс NoScript, доступ к которому осуществляется путем щелчка правой кнопкой мыши на веб-странице или характерного поля NoScript в нижней части страницы (по умолчанию), показывает URL-адрес заблокированных сценариев, но не предоставляет никаких ссылок чтобы узнать, безопасно ли запускать данный сценарий.[10] Со сложными веб-страницами пользователи могут столкнуться с более чем дюжиной различных загадочных URL-адресов и нефункционирующей веб-страницей, с выбором только разрешить сценарий, заблокировать сценарий или разрешить его временно.

14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что сделает его совместимым с Firefox Quantum.[11]. 20 ноября 2017 года Maone выпустила версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android.[12]

Защита от XSS

11 апреля 2007 г. был публично выпущен NoScript 1.1.4.7,[13] введение первой защиты на стороне клиента от типов 0 и 1 Межсайтовый скриптинг (XSS) когда-либо поставлялись в веб-браузере.

Всякий раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутри другого сайта (нарушение политика одного происхождения ), NoScript фильтрует вредоносный запрос, нейтрализуя его опасную полезную нагрузку.[14]

Подобные функции были приняты годами позже Microsoft Internet Explorer 8[15] и по Гугл Хром.[16]

Enforcer границ приложений (ABE)

Application Boundaries Enforcer (ABE) - это встроенный модуль NoScript, предназначенный для усиления защиты веб приложение -ориентированная защита, уже предоставляемая NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.

Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, относящегося к пользователю (например, подключаемых модулей, веб-почты, онлайн-банкинга и т. Д.), В соответствии с политиками, определяемыми непосредственно пользователем, веб-разработчиком / администратор или доверенное третье лицо.[17] В своей конфигурации по умолчанию ABE NoScript обеспечивает защиту от CSRF и Повторная привязка DNS атаки, направленные на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения.[18]

ClearClick (защита от кликджекинга)

Функция NoScript ClearClick,[19] выпущен 8 октября 2008 г., запрещает пользователям нажимать на невидимые или "исправленные" элементы страниц встроенных документов или апплетов, устраняя все типы кликджекинг (т.е. из фреймов и плагинов).[20]

Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты» от атак типа «кликджекинг».[21]

Улучшения HTTPS

NoScript может заставить браузер всегда использовать HTTPS при установлении соединений с некоторыми уязвимыми сайтами, чтобы предотвратить атаки типа «злоумышленник в середине». Это поведение может быть инициировано самими веб-сайтами, отправив Строгая транспортная безопасность заголовок или настроен пользователями для тех веб-сайтов, которые еще не поддерживают Strict Transport Security.[22]

Возможности улучшения HTTPS в NoScript использовались Фонд электронных рубежей как основу его HTTPS везде добавить.[23]

Награды

  • Компьютерный мир выбрал NoScript как один из 100 лучших продуктов 2006 года.[24]
  • В 2008 году NoScript выиграл About.com Редакционная награда "Лучшее дополнение безопасности".[25]
  • В 2010 году NoScript стал победителем конкурса "Выбор читателя" в категории "Лучшее дополнение для обеспечения конфиденциальности и безопасности" на сайте About.com.[26]
  • В 2011 году второй год подряд NoScript стал победителем конкурса «Выбор читателя» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на About.com.[27]
  • NoScript стал победителем в 2011 году (первое издание) гранта Dragon Research Group за инновации в области безопасности. Эта награда присуждается самому инновационному проекту в области информационной безопасности по оценке независимого комитета.[28]

Споры

Конфликты с Adblock Plus и Ghostery

В мае 2009 года сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения для блокировки рекламы Firefox разразилась «война расширений». Adblock Plus после того, как Maone выпустила версию NoScript, которая обходила блокировку, включенную фильтром AdBlock Plus.[29][30] Код, реализующий этот обходной путь, был «замаскирован»[29] чтобы избежать обнаружения. Маоне заявил, что внедрил его в ответ на фильтр, блокирующий его собственный веб-сайт. После растущей критики и заявления администраторов Дополнения Mozilla сайт о том, что сайт изменит правила в отношении модификаций надстроек,[31] Маоне удалила код и принесла свои извинения.[29][32]

Сразу после инцидента с Adblock Plus,[33] между Maone и разработчиками Призрак надстройка после того, как Маоне внес на свой веб-сайт изменение, которое отключило уведомление, которое Ghostery использовал для сообщения программное обеспечение для веб-отслеживания.[34] Это было интерпретировано как попытка «запретить Ghostery сообщать о трекерах и рекламных сетях на сайтах NoScript».[33] В ответ Маоне заявил, что изменение было внесено, потому что уведомление Ghostery закрыло кнопку пожертвования на сайте NoScript.[35] Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, чтобы переместить, а не отключить уведомление Ghostery.[36]

Смотрите также

Рекомендации

  1. ^ «Версия 1.0». NoScript. Дополнения Mozilla. 2005-05-13. Архивировано из оригинал на 2018-10-02.
  2. ^ «Выпуск 11.15». 6 ноября 2020 г.. Получено 23 ноября 2020.
  3. ^ Поддерживаемый язык на noscript.net.
  4. ^ «Расширение NoScript официально выпущено для Google Chrome». ZDNet. Получено 2019-04-12.
  5. ^ «Познакомьтесь с разработчиком NoScript». Mozilla. Архивировано из оригинал на 2011-10-09. Получено 2011-09-27.
  6. ^ «Группа безопасности Mozilla». Mozilla. Архивировано из оригинал 29 июня 2011 г.. Получено 2011-06-29.
  7. ^ Скотт Оргера. "NoScript". About.com. Получено 2010-11-27.
  8. ^ «Влияние дополнений Firefox на потребление полосы пропускания :: IANIX». ianix.com. Получено 2020-07-14.
  9. ^ "Журнал изменений NoScript 2.0.3rc1". noscript.net. Получено 16 марта 2011.
  10. ^ Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которого вы все ждали». GHacks.net. Получено 14 января 2017.
  11. ^ Джорджио Маоне (14 ноября 2017 г.). «Двойной NoScript». Hackademix.net. Получено 2017-11-15.
  12. ^ "Косметические изменения, внесенные Issa1553 · Запрос на включение # 28 · hackademix / noscript". GitHub. Получено 2019-01-04.
  13. ^ Первый выпуск Anti-XSS от NoScript Дополнения Mozilla
  14. ^ Особенности NoScript - Защита от XSS NoScript.net. Проверено 22 апреля 2008 года.
  15. ^ Натан Мак Фетерс (03.07.2008). «NoScript против фильтров Internet Explorer 8». ZDNet. Получено 2010-11-27.
  16. ^ Адам Барт (26 января 2010 г.). «Безопасность в глубине: новые функции безопасности». Google. Получено 2010-11-27.
  17. ^ Джорджио Маоне. "Application Boundaries Enforcer (ABE)". NoScript.net. Получено 2010-08-02.
  18. ^ Джорджио Маоне (28 июля 2010 г.). «ABE патрулирует маршруты к вашим маршрутизаторам». Hackademix.net. Получено 2010-08-02.
  19. ^ https://noscript.net/faq#clearclick
  20. ^ Джорджио Маоне (2008-10-08). «Привет, ClearClick, прощай, кликджекинг». Hackademix.net. Получено 2008-10-27.
  21. ^ Михал Залевски (10 декабря 2008 г.). «Руководство по безопасности браузера, часть 2, исправление ошибок пользовательского интерфейса». Google Inc. Получено 2008-10-27.
  22. ^ Часто задаваемые вопросы по NoScript: HTTPS NoScript.net. Проверено 2 августа 2010 года.
  23. ^ HTTPS везде
  24. ^ Премия PC World pcworld.com. Проверено 22 апреля 2008 года.
  25. ^ Награда за лучшую надстройку безопасности 2008 года от About.com about.com. Проверено 2 августа 2010 года.
  26. ^ Лучшее дополнение для обеспечения конфиденциальности и безопасности 2010 года about.com. Проверено 2 августа 2010 года.
  27. ^ Лучшее дополнение для обеспечения конфиденциальности и безопасности 2011 года about.com. Проверено 20 марта 2011 года.
  28. ^ Объявление победителя гранта за инновации в области безопасности Группа исследований дракона. Проверено 17 июля 2011 года.
  29. ^ а б c Гудин, Дэн. "Пользователи Firefox попали под перекрестный огонь враждующих дополнений". Реестр. Получено 19 мая 2013.
  30. ^ «Войны за расширение - NoScript против AdblockPlus». Аяксиан. Получено 19 мая 2013.
  31. ^ "Без сюрпризов". 2009-05-01.
  32. ^ Уважаемые пользователи Adblock Plus и NoScript, уважаемое сообщество Mozilla
  33. ^ а б Вниманию всех пользователей NoScript
  34. ^ Грег Ярдли (2009-05-04). «Когда блокирующие блокируют блокирующие». ярдlay.ca. Архивировано из оригинал на 2009-05-08.
  35. ^ Форум поддержки NoScript «Re: Последняя версия NoScript (1.9.2) ломает Adblock Plus», комментарий № 3704, Джорджио Маоне (04.05.2009)
  36. ^ Форум поддержки NoScript «Re: Дополнительные шаги для восстановления и сохранения доверия пользователей», комментарий № 3935, Джорджио Маоне (06.05.2009)

внешняя ссылка