NoScript

Расширение для веб-браузеров на базе Mozilla и Chromium.

NoScript (или NoScript Security Suite ) — это бесплатное расширение с открытым исходным кодом для веб-браузеров на базе Firefox и Chromium , ^[4] написанное и поддерживаемое Джорджио Маоне, ^[5] разработчиком программного обеспечения и членом Mozilla Security Group. ^[6]

Функции

Классическое меню NoScript в Firefox

Активная блокировка контента

По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, добавив сайт или домен в белый список из меню панели инструментов расширения или щелкнув значок-заполнитель.

В конфигурации по умолчанию активный контент глобально запрещен, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Белый список может быть постоянным или временным (пока браузер не закроется или пользователь не отзовет разрешения). Активный контент может состоять из JavaScript , веб-шрифтов, медиакодеков , WebGL и Flash . Надстройка также предлагает конкретные меры противодействия эксплойтам безопасности. ^[7]

Поскольку для многих атак на веб-браузер требуется активный контент, который браузер обычно запускает без вопросов, отключение такого контента по умолчанию и использование его только в той степени, в которой это необходимо, снижает вероятность использования уязвимости. Кроме того, отказ от загрузки этого контента экономит значительную часть трафика ^[8] и исключает некоторые формы веб-отслеживания.

NoScript полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалить многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и некоторые системы платного доступа , для работы которых требуется JavaScript.

NoScript принимает форму значка на панели инструментов или значка в строке состояния в Firefox. Он отображается на каждом веб-сайте, чтобы указать, заблокировал ли NoScript, разрешил или частично разрешил запуск сценариев на просматриваемой веб-странице. Нажатие или наведение (начиная с версии 2.0.3rc1 ^[9] ) курсора мыши на значок NoScript дает пользователю возможность разрешить или запретить обработку сценария.

Интерфейс NoScript, доступ к которому осуществляется щелчком правой кнопкой мыши на веб-странице или специальным полем NoScript внизу страницы (по умолчанию), показывает URL-адрес заблокированных сценариев, но не предоставляет никаких ссылок. чтобы проверить, безопасно ли запускать данный сценарий. ^[10] На сложных веб-страницах пользователи могут столкнуться с более чем дюжиной различных загадочных URL-адресов и нефункционирующей веб-страницей, у которых есть только выбор: разрешить скрипт, заблокировать скрипт или разрешить его временно.

14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что делает его совместимым с Firefox Quantum . ^[11] 20 ноября 2017 г. компания Maone выпустила версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android. ^[12]

Защита от XSS

11 апреля 2007 года был публично выпущен NoScript 1.1.4.7, ^[13] представивший первую защиту на стороне клиента от межсайтового скриптинга (XSS) типа 0 и типа 1, когда-либо реализованного в веб-браузере.

Всякий раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутри другого сайта (нарушение политики одного и того же источника ), NoScript фильтрует вредоносный запрос и нейтрализует его опасную полезную нагрузку. ^[14]

Подобные функции были реализованы годы спустя в Microsoft Internet Explorer 8 ^[15] и Google Chrome . ^[16]

Application Boundaries Enforcer (ABE)

Application Boundaries Enforcer (ABE) — это встроенный модуль NoScript, предназначенный для усиления защиты веб-приложений , уже обеспечиваемой NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.

Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, имеющего отношение к пользователю (например, плагинов, веб-почты, онлайн-банкинга и т. д.), в соответствии с политиками, определенными непосредственно пользователем, веб-разработчиком. /администратор или доверенная третья сторона. ^[17] В конфигурации по умолчанию ABE NoScript обеспечивает защиту от атак CSRF и DNS с перепривязкой, направленных на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения. ^[18]

ClearClick (антикликджекинг)

Функция NoScript ClearClick ^[19] , выпущенная 8 октября 2008 г., не позволяет пользователям нажимать на невидимые или «исправленные» элементы страницы встроенных документов или апплетов, устраняя все типы кликджекинга (т. е. с помощью фреймов и плагинов). ^[20]

Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты от атак кликджекинга». ^[21]

Улучшения HTTPS

NoScript может заставить браузер всегда использовать HTTPS при подключении к некоторым конфиденциальным сайтам, чтобы предотвратить атаки «человек посередине». Такое поведение может быть вызвано либо самими веб-сайтами, отправкой заголовка Strict Transport Security , либо настроено пользователями для тех веб-сайтов, которые еще не поддерживают Strict Transport Security. ^[22]

Функции улучшения HTTPS NoScript были использованы Electronic Frontier Foundation в качестве основы для дополнения HTTPS Everywhere . ^[23]

Награды

• PC World назвал NoScript одним из 100 лучших продуктов 2006 года. ^[24]
• В 2008 году NoScript получил редакционную награду About.com «Лучшее дополнение безопасности». ^[25]
• В 2010 году NoScript стал лауреатом премии «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . ^[26]
• В 2011 году второй год подряд NoScript стал победителем премии «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . ^[27]
• NoScript стал победителем в 2011 году (первое издание) «Гранта на инновации в области безопасности» Dragon Research Group. Эта награда вручается самому инновационному проекту в области информационной безопасности по оценке независимого комитета. ^[28]

Конфликты

Конфликт с Adblock Plus

В мае 2009 года сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения для блокировки рекламы Firefox Adblock Plus разразилась «война расширений» после того, как Маоне выпустил версию NoScript, которая обходила блокировку, включенную AdBlock. Плюс фильтр. ^{[29] [30]} Код, реализующий этот обходной путь, был «замаскирован» ^[29], чтобы избежать обнаружения. Маоне заявил, что внедрил его в ответ на фильтр, заблокировавший его собственный сайт. После растущей критики и заявления администраторов сайта дополнений Mozilla о том, что сайт изменит свои правила в отношении модификаций дополнений, ^[31] Маоне удалил код и принес полные извинения. ^{[29] [32]}

Конфликт с Призраком

Сразу после инцидента с Adblock Plus ^{[33] между Маоне и разработчиками дополнения} Ghostery возникла ссора после того, как Маоне внедрил на своем веб-сайте изменение, которое отключило уведомление, которое Ghostery использовало для сообщения о программном обеспечении веб-отслеживания . ^[34] Это было истолковано как попытка «не допустить, чтобы Ghostery сообщала о трекерах и рекламных сетях на веб-сайтах NoScript». ^[33] В ответ Маоне заявил, что изменение было внесено потому, что уведомление Ghostery скрывало кнопку пожертвования на сайте NoScript. ^[35] Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, переместив, а не отключив, уведомление Ghostery. ^[36]

См. также

• Портал бесплатного программного обеспечения с открытым исходным кодом
• Интернет-портал

• Политика безопасности контента
• Фреймкиллер
• ГНУ ЛибреJS
• HTTP-коммутатор
• uБлок Происхождение

Ссылки

1. «Версия 1.0». Нетскрипта . Дополнения Мозиллы. 13 мая 2005 г. Архивировано из оригинала 2 октября 2018 г.
2. Джорджио Маоне (16 июля 2024 г.). «Выпуск 11.4.31» . Проверено 16 июля 2024 г.
3. Поддерживаемый язык на noscript.net.
4. «Расширение NoScript официально выпущено для Google Chrome» . ЗДНет . Проверено 12 апреля 2019 г.
5. «Знакомьтесь с разработчиком NoScript». Мозилла. Архивировано из оригинала 9 октября 2011 г. Проверено 27 сентября 2011 г.
6. «Группа безопасности Mozilla». Мозилла . Архивировано из оригинала 29 июня 2011 года . Проверено 29 июня 2011 г.
7. Скотт Оргера. «НетСкрипта». О сайте.com. Архивировано из оригинала 20 декабря 2010 г. Проверено 27 ноября 2010 г.
8. «Влияние дополнений Firefox на потребление полосы пропускания :: IANIX» . ianix.com . Проверено 14 июля 2020 г.
9. "Журнал изменений NoScript 2.0.3rc1" . noscript.net . Проверено 16 марта 2011 г.
10. Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которое вы все ждали». GHacks.net . Проверено 14 января 2017 г.
11. Джорджио Маоне (14 ноября 2017 г.). «Двойной NoScript». Хакадемикс.нет . Проверено 15 ноября 2017 г.
12. «Косметические изменения от Issa1553 · Запрос на извлечение № 28 · hackademix/noscript» . Гитхаб . Проверено 4 января 2019 г.
13. Первый выпуск NoScript Anti-XSS. Дополнения Mozilla.
14. Функции NoScript-Защита от XSS NoScript.net . Проверено 22 апреля 2008 г.
15. Натан Мак Фетерс (3 июля 2008 г.). «NoScript против фильтров Internet Explorer 8». ЗДНет. Архивировано из оригинала 11 мая 2010 года . Проверено 27 ноября 2010 г.
16. Адам Барт (26 января 2010 г.). «Безопасность в глубине: новые функции безопасности». Google . Проверено 27 ноября 2010 г.
17. Джорджио Маоне. «Application Boundaries Enforcer (ABE)». NoScript.net . Проверено 2 августа 2010 г.
18. Джорджио Маоне (28 июля 2010 г.). «ABE патрулирует маршруты к вашим маршрутизаторам». Хакадемикс.нет . Проверено 2 августа 2010 г.
19. «NoScript — блокировщик JavaScript/Java/Flash для более безопасной работы с Firefox! — часто задаваемые вопросы — InformAction» .
20. Джорджио Маоне (08 октября 2008 г.). «Привет, ClearClick, прощай, кликджекинг». Хакадемикс.нет . Проверено 27 октября 2008 г.
21. Михал Залевски (10 декабря 2008 г.). «Справочник по безопасности браузера, часть 2, исправление пользовательского интерфейса». Гугл Инк . Проверено 27 октября 2008 г.
22. Часто задаваемые вопросы по NoScript: HTTPS NoScript.net . Проверено 2 августа 2010 г.
23. HTTPS везде
24. Премия PC World Award. Архивировано 28 августа 2011 г. на сайте Wayback Machine pcworld.com . Проверено 22 апреля 2008 г.
25. About.com Награда за лучшее дополнение безопасности 2008 г. Архивировано 23 марта 2011 г. на Wayback Machine about.com . Проверено 2 августа 2010 г.
26. Лучшее дополнение конфиденциальности/безопасности 2010 г. Архивировано 4 марта 2010 г. на Wayback Machine about.com . Проверено 2 августа 2010 г.
27. Лучшее дополнение конфиденциальности/безопасности 2011 г. Архивировано 17 марта 2011 г. на Wayback Machine about.com . Проверено 20 марта 2011 г.
28. Объявление победителя гранта на инновации в области безопасности. Архивировано 12 февраля 2015 г. в Исследовательской группе Wayback Machine Dragon . Проверено 17 июля 2011 г.
29. Гудин, Дэн. «Пользователи Firefox попали под перекрестный огонь враждующих надстроек» . Регистр . Проверено 19 мая 2013 г.
30. «Войны расширений - NoScript против AdblockPlus» . Аяксиан . Проверено 19 мая 2013 г.
31. «Без сюрпризов». 01 мая 2009 г.
32. Уважаемые пользователи Adblock Plus и NoScript, уважаемое сообщество Mozilla.
33. Внимание всем пользователям NoScript
34. Грег Ярдли (4 мая 2009 г.). «Когда блокирующие блокируют блокирующих». Yardlay.ca . Архивировано из оригинала 8 мая 2009 г.
35. Форум поддержки NoScript «Re: Последняя версия NoScript (1.9.2) нарушает работу Adblock Plus», комментарий № 3704, Джорджио Маоне (04 мая 2009 г.)
36. Форум поддержки NoScript «Re: Дополнительные шаги по восстановлению и сохранению доверия пользователей», комментарий № 3935, Джорджио Маоне (06 мая 2009 г.)

Внешние ссылки

• Официальный сайт
• NoScript на addons.mozilla.org
• NoScript Anywhere (3.5 и 15) для Firefox для Android
• Презентация NoScript в книге «Как обойти интернет-цензуру», руководство FLOSS , 10 марта 2011 г., 240 стр.