NoScript

Расширение для веб-браузеров на базе Mozilla и Chromium

NoScript (или NoScript Security Suite ) — это бесплатное расширение с открытым исходным кодом для веб-браузеров на базе Firefox и Chromium , ^[4] написанное и поддерживаемое Джорджио Маоне, ^[5] разработчиком программного обеспечения и членом Mozilla Security Group. ^[6]

Функции

Классическое меню NoScript в Firefox

Активная блокировка контента

По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, добавив сайт или домен в белый список в меню панели инструментов расширения или щелкнув значок-заполнитель.

В конфигурации по умолчанию активный контент глобально запрещен, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Белый список может быть постоянным или временным (пока браузер не закроется или пользователь не отменит разрешения). Активный контент может состоять из JavaScript , веб-шрифтов, медиа -кодеков , WebGL и Flash . Дополнение также предлагает определенные контрмеры против эксплойтов безопасности. ^[7]

Поскольку многие атаки на веб-браузер требуют активного контента, который браузер обычно запускает без вопросов, отключение такого контента по умолчанию и использование его только в той степени, в которой это необходимо, снижает вероятность эксплуатации уязвимости. Кроме того, отсутствие загрузки этого контента существенно экономит пропускную способность ^[8] и предотвращает некоторые формы веб-отслеживания.

NoScript полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалить многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и определенные платные экраны , которым для работы требуется JavaScript.

NoScript принимает форму значка панели инструментов или значка строки состояния в Firefox. Он отображается на каждом веб-сайте, чтобы обозначить, заблокировал ли NoScript, разрешил или частично разрешил скриптам выполняться на просматриваемой веб-странице. Щелчок или наведение (начиная с версии 2.0.3rc1 ^[9] ) курсора мыши на значок NoScript дает пользователю возможность разрешить или запретить обработку скрипта.

Интерфейс NoScript, доступ к которому осуществляется путем щелчка правой кнопкой мыши по веб-странице или через отличительное поле NoScript в нижней части страницы (по умолчанию), показывает URL-адрес заблокированного скрипта(ов), но не предоставляет никакой справочной информации, позволяющей узнать, безопасен ли данный скрипт для запуска. ^[10] При работе со сложными веб-страницами пользователи могут столкнуться с более чем десятком различных криптических URL-адресов и неработающей веб-страницей, имея только возможность разрешить скрипт, заблокировать его или разрешить временно.

14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что делает его совместимым с Firefox Quantum . ^[11] 20 ноября 2017 года Маоне выпустил версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android. ^[12]

Защита от XSS

11 апреля 2007 года был публично выпущен NoScript 1.1.4.7 ^{[13] , представляющий собой первую защиту на стороне клиента от} межсайтового скриптинга (XSS) типов 0 и 1, когда-либо реализованную в веб-браузере.

Всякий раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутрь другого сайта (нарушение политики единства происхождения ), NoScript фильтрует вредоносный запрос и нейтрализует его опасную полезную нагрузку. ^[14]

Аналогичные функции были приняты несколько лет спустя в Microsoft Internet Explorer 8 ^[15] и Google Chrome . ^[16]

Средство обеспечения соблюдения границ приложений (ABE)

Application Boundaries Enforcer (ABE) — это встроенный модуль NoScript, призванный усилить защиту веб-приложений , уже предоставляемую NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.

Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, имеющего отношение к пользователю (например, подключаемые модули, веб-почта, онлайн-банкинг и т. д.), в соответствии с политиками, определенными непосредственно пользователем, веб-разработчиком/администратором или доверенной третьей стороной. ^[17] В своей конфигурации по умолчанию ABE NoScript обеспечивает защиту от атак CSRF и DNS rebinding , направленных на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения. ^[18]

ClearClick (антикликджекинг)

Функция ClearClick от NoScript ^[19] , выпущенная 8 октября 2008 года, не позволяет пользователям нажимать на невидимые или «исправленные» элементы страниц встроенных документов или апплетов, предотвращая все типы кликджекинга (например, через фреймы и плагины). ^[20]

Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты от атак типа «кликджекинг»» ^{[21] .}

Улучшения HTTPS

NoScript может заставить браузер всегда использовать HTTPS при установлении соединений с некоторыми чувствительными сайтами, чтобы предотвратить атаки типа «человек посередине». Такое поведение может быть вызвано либо самими веб-сайтами, отправив заголовок Strict Transport Security , либо настроено пользователями для тех веб-сайтов, которые пока не поддерживают Strict Transport Security. ^[22]

Функции улучшения HTTPS от NoScript были использованы Electronic Frontier Foundation в качестве основы для своего дополнения HTTPS Everywhere . ^[23]

Награды

• PC World выбрал NoScript в качестве одного из 100 лучших продуктов 2006 года. ^[24]
• В 2008 году NoScript получил редакционную награду About.com «Лучшее дополнение для безопасности». ^[25]
• В 2010 году NoScript стал победителем премии «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности/безопасности» на сайте About.com . ^[26]
• В 2011 году второй год подряд NoScript стал победителем премии «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности/безопасности» на сайте About.com . ^[27]
• NoScript был победителем конкурса Dragon Research Group "Security Innovation Grant" 2011 года (первое издание). Эта награда присуждается самому инновационному проекту в области информационной безопасности, по оценке независимой комиссии. ^[28]

Конфликты

Конфликт с Adblock Plus

В мае 2009 года сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения для блокировки рекламы в Firefox Adblock Plus разразилась «война расширений» после того, как Маоне выпустил версию NoScript, которая обходила блокировку, включенную фильтром AdBlock Plus. ^{[29] [30]} Код, реализующий этот обходной путь, был «замаскирован» ^[29], чтобы избежать обнаружения. Маоне заявил, что он реализовал его в ответ на фильтр, который блокировал его собственный веб-сайт. После нарастающей критики и заявления администраторов сайта дополнений Mozilla о том, что сайт изменит свои правила относительно модификаций дополнений, ^[31] Маоне удалил код и принес полные извинения. ^{[29] [32]}

Конфликт с Ghostery

Сразу после инцидента с Adblock Plus ^{[33] между Маоне и разработчиками дополнения} Ghostery возникла ссора после того, как Маоне внес изменения на свой веб-сайт, отключив уведомление, которое Ghostery использовал для сообщения о программном обеспечении для веб-отслеживания . ^[34] Это было истолковано как попытка «не дать Ghostery сообщать о трекерах и рекламных сетях на веб-сайтах NoScript». ^[33] В ответ Маоне заявил, что изменение было сделано, потому что уведомление Ghostery закрывало кнопку пожертвования на сайте NoScript. ^[35] Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, чтобы переместить — а не отключить — уведомление Ghostery. ^[36]

Смотрите также

• Портал бесплатного и открытого программного обеспечения
• Интернет-портал

• Политика безопасности контента
• Убийца кадров
• GNU LibreJS
• HTTP-коммутатор
• Источник uBlock

Ссылки

1. "Версия 1.0". NoScript . Mozilla Addons. 2005-05-13. Архивировано из оригинала 2018-10-02.
2. Джорджио Маоне (31 октября 2024 г.). "Release 11.5.2" . Получено 31 октября 2024 г.
3. Поддерживаемый язык на noscript.net.
4. "Официально выпущено расширение NoScript для Google Chrome". ZDNet . Получено 12.04.2019 .
5. "Знакомьтесь, разработчик NoScript". Mozilla. Архивировано из оригинала 2011-10-09 . Получено 2011-09-27 .
6. "Mozilla Security Group". Mozilla . Архивировано из оригинала 29 июня 2011 г. Получено 29-06-2011 .
7. Скотт Орджера. "NoScript". About.com. Архивировано из оригинала 20.12.2010 . Получено 27.11.2010 .
8. "Влияние дополнений Firefox на потребление полосы пропускания :: IANIX". ianix.com . Получено 14 июля 2020 г.
9. "NoScript Changelog 2.0.3rc1". noscript.net . Получено 16 марта 2011 г. .
10. Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которого вы все ждали». GHacks.net . Получено 14 января 2017 г. .
11. Джорджио Маоне (14.11.2017). "Double NoScript". Hackademix.net . Получено 15.11.2017 .
12. "Косметические изменения от Issa1553 · Запрос на извлечение № 28 · hackademix/noscript". GitHub . Получено 04.01.2019 .
13. Первый релиз Anti-XSS от NoScript Дополнения Mozilla
14. NoScript Features-Anti-XSS protection NoScript.net . Получено 22 апреля 2008 г.
15. Nathan Mc Fethers (2008-07-03). "NoScript против фильтров Internet Explorer 8". ZDNet. Архивировано из оригинала 11 мая 2010 года . Получено 2010-11-27 .
16. Адам Барт (2010-01-26). "Безопасность в глубине: Новые функции безопасности". Google . Получено 2010-11-27 .
17. Джорджио Маоне. "Application Boundaries Enforcer (ABE)". NoScript.net . Получено 2010-08-02 .
18. Джорджио Маоне (28.07.2010). "ABE патрулирует маршруты к вашим маршрутизаторам". Hackademix.net . Получено 02.08.2010 .
19. "NoScript - блокировщик JavaScript/Java/Flash для более безопасной работы Firefox! - faq - InformAction".
20. Джорджио Маоне (2008-10-08). "Привет, ClearClick, прощай, Clickjacking". Hackademix.net . Получено 2008-10-27 .
21. Михал Залевски (10.12.2008). «Справочник по безопасности браузера, часть 2, UI Redressing». Google Inc. Получено 27.10.2008 .
22. NoScript FAQ: HTTPS NoScript.net . Получено 2 августа 2010 г.
23. HTTPS везде
24. PC World Award Архивировано 28 августа 2011 г. на Wayback Machine pcworld.com . Получено 22 апреля 2008 г.
25. Премия About.com 2008 за лучшее дополнение к безопасности. Архивировано 23 марта 2011 г. на Wayback Machine about.com . Получено 2 августа 2010 г.
26. Лучшее дополнение к конфиденциальности/безопасности 2010 г. Архивировано 04.03.2010 на Wayback Machine about.com . Получено 2 августа 2010 г.
27. Лучшее дополнение к конфиденциальности/безопасности 2011 г. Архивировано 17.03.2011 на Wayback Machine about.com . Получено 20 марта 2011 г.
28. Объявление победителя конкурса Security Innovation Grant. Архивировано 12 февраля 2015 г. в Wayback Machine Dragon Research Group . Получено 17 июля 2011 г.
29. Гудин, Дэн. «Пользователи Firefox попали под перекрестный огонь враждующих дополнений». The Register . Получено 19 мая 2013 г.
30. "Войны расширений – NoScript против AdblockPlus". Ajaxian . Получено 19 мая 2013 г.
31. «Никаких сюрпризов». 2009-05-01.
32. Уважаемые пользователи Adblock Plus и NoScript, Уважаемое сообщество Mozilla
33. Внимание всем пользователям NoScript
34. Грег Ярдли (2009-05-04). "Когда блокировщики блокируют блокировщиков". yardlay.ca . Архивировано из оригинала 2009-05-08.
35. Форум поддержки NoScript "Re: Последняя версия NoScript (1.9.2) ломает Adblock Plus", комментарий № 3704, Джорджио Маоне (2009-05-04)
36. Форум поддержки NoScript "Re: Дополнительные шаги по восстановлению и сохранению доверия пользователей", комментарий № 3935, Джорджио Маоне (06.05.2009)

Внешние ссылки

• Официальный сайт
• NoScript на addons.mozilla.org
• NoScript Anywhere ( 3.5–15 ) для Firefox для Android
• Презентация NoScript в руководстве по свободному программному обеспечению «Как обойти цензуру в Интернете» , 10 марта 2011 г., 240 стр.