Автор (ы) оригинала | Джорджио Маоне |
---|---|
Разработчики) | Джорджио Маоне |
Первый выпуск | 13 мая 2005 г . [1] |
Стабильный выпуск | 11.2.6 [2] / 4 мая 2021 г . |
Предварительный выпуск | 11.2.7rc1 / 5 мая 2021 г . |
Репозиторий | https://github.com/hackademix/noscript |
Написано в | JavaScript , XUL , CSS |
Доступно в | 45 [3] языков |
Тип | Расширение Mozilla |
Лицензия | GPLv2 + |
Веб-сайт | NoScript.net |
NoScript (или NoScript Security Suite ) представляет собой бесплатное программное обеспечение расширение для Mozilla Firefox , SeaMonkey , другая Mozilla -А веб - браузеры и Google Chrome , [4] создан и поддерживаются Giorgio Maone, [5] итальянский разработчик программного обеспечения и член Mozilla Группа безопасности. [6]
Особенности [ править ]
Блокировка активного контента [ править ]
По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, разрешив список сайта или домена в меню панели инструментов расширения или щелкнув значок-заполнитель.
В конфигурации по умолчанию активный контент запрещен глобально, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Список разрешений может быть постоянным или временным (до закрытия браузера или отмены разрешений пользователем). Активный контент может состоять из JavaScript , веб-шрифтов, медиакодеков , WebGL и Flash . Дополнение также предлагает специальные меры противодействия уязвимостям безопасности. [7]
Поскольку для многих атак через веб-браузер требуется активный контент, который браузер обычно запускает без вопросов, отключение такого контента по умолчанию и его использование только в той степени, в которой это необходимо, снижает шансы эксплуатации уязвимости. Кроме того, отказ от загрузки этого контента значительно экономит пропускную способность [8] и препятствует некоторым формам веб-отслеживания.
NoScript полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалить многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и определенные платные каналы , для работы которых требуется JavaScript.
NoScript принимает форму значка панели инструментов или значка строки состояния в Firefox. Он отображается на каждом веб-сайте, чтобы указать, заблокировал ли NoScript, разрешил или частично разрешил запуск скриптов на просматриваемой веб-странице. Щелчок или наведение курсора мыши (начиная с версии 2.0.3rc1 [9] ) на значок NoScript дает пользователю возможность разрешить или запретить обработку скрипта.
Интерфейс NoScript, доступ к которому осуществляется путем щелчка правой кнопкой мыши на веб-странице или характерного поля NoScript в нижней части страницы (по умолчанию), показывает URL-адрес заблокированного (-ых) скрипта (-ов), но не предоставляет никаких ссылок. чтобы узнать, безопасно ли запускать данный сценарий. [10] Со сложными веб-страницами пользователи могут столкнуться с более чем дюжиной различных загадочных URL-адресов и неработающей веб-страницей, с выбором только разрешить сценарий, заблокировать сценарий или разрешить его временно.
14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что сделает его совместимым с Firefox Quantum . [11] 20 ноября 2017 года Maone выпустила версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android. [12]
Защита от XSS [ править ]
11 апреля 2007 г. был публично выпущен NoScript 1.1.4.7 [13], в котором была представлена первая клиентская защита от межсайтовых сценариев (XSS) типов 0 и 1, когда-либо поставлявшаяся в веб-браузере.
Каждый раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутри другого сайта (нарушение политики одного и того же происхождения ), NoScript фильтрует вредоносный запрос и нейтрализует его опасную полезную нагрузку. [14]
Подобные функции были приняты спустя годы в Microsoft Internet Explorer 8 [15] и в Google Chrome . [16]
Application Boundaries Enforcer (ABE) [ править ]
Application Boundaries Enforcer (ABE) - это встроенный модуль NoScript, предназначенный для усиления защиты, ориентированной на веб-приложения, уже предоставляемой NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.
Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, относящегося к пользователю (например, подключаемых модулей, веб-почты, онлайн-банкинга и т. Д.), В соответствии с политиками, определяемыми непосредственно пользователем, веб-разработчиком. / administrator или доверенное третье лицо. [17] В своей конфигурации по умолчанию ABE от NoScript обеспечивает защиту от атак CSRF и повторного связывания DNS, направленных на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения. [18]
ClearClick (анти-кликджекинг) [ редактировать ]
Функция ClearClick в NoScript [19], выпущенная 8 октября 2008 г., не позволяет пользователям нажимать на невидимые или «исправленные» элементы страниц встроенных документов или апплетов, побеждая все типы кликджекинга (т. Е. Из фреймов и подключаемых модулей). [20]
Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты от атак типа« кликджекинг » [21].
Улучшения HTTPS [ править ]
NoScript может заставить браузер всегда использовать HTTPS при установлении соединений с некоторыми конфиденциальными сайтами, чтобы предотвратить атаки типа «злоумышленник в середине». Это поведение может быть инициировано либо самими веб-сайтами, отправив заголовок Strict Transport Security , либо настроено пользователями для тех веб-сайтов, которые еще не поддерживают Strict Transport Security. [22]
Функции расширения HTTPS от NoScript были использованы Electronic Frontier Foundation в качестве основы для своего надстройки HTTPS Everywhere . [23]
Награды [ править ]
- PC World выбрал NoScript в качестве одного из 100 лучших продуктов 2006 года. [24]
- В 2008 году NoScript выиграл редакционную награду About.com в номинации «Лучшее дополнение безопасности». [25]
- В 2010 году NoScript стал победителем «Выбор читателя» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . [26]
- В 2011 году второй год подряд NoScript стал победителем «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . [27]
- NoScript стал победителем конкурса Dragon Research Group 2011 (первое издание) за инновации в области безопасности. Эта награда присуждается самому инновационному проекту в области информационной безопасности по оценке независимого комитета. [28]
Конфликты [ править ]
Конфликт с Adblock Plus [ править ]
В мае 2009 года сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения Adblock Plus для блокировки рекламы в Firefox разразилась «война расширений» после того, как Маоне выпустила версию NoScript, которая обошла блокировку, активированную AdBlock. Плюс фильтр. [29] [30] Код, реализующий этот обходной путь, был «замаскирован» [29], чтобы избежать обнаружения. Маоне заявил, что внедрил его в ответ на фильтр, блокирующий его собственный веб-сайт. После растущей критики и заявления администраторов сайта надстроек Mozilla о том, что сайт изменит свои правила в отношении модификаций надстроек, [31] Маоне удалил код и принес свои извинения.[29] [32]
Конфликт с Ghostery [ править ]
Сразу после инцидента с Adblock Plus [33] между Маоне и разработчиками надстройки Ghostery возник ссора после того, как Маоне внес на свой веб-сайт изменение, отключившее уведомление, которое Ghostery использовал для сообщения о программном обеспечении веб-отслеживания . [34] Это было интерпретировано как попытка «запретить Ghostery сообщать о трекерах и рекламных сетях на веб-сайтах NoScript». [33] В ответ Маоне заявила, что изменение было внесено, потому что уведомление Ghostery скрыло кнопку пожертвования на сайте NoScript. [35] Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, чтобы переместить, а не отключить уведомление Ghostery. [36]
См. Также [ править ]
- Расширения конфиденциальности Firefox
- uBlock Origin
- GNU LibreJS
- Коммутатор HTTP
- Политика безопасности контента
- Framekiller
Ссылки [ править ]
- ^ "Версия 1.0" . NoScript . Дополнения Mozilla. 2005-05-13. Архивировано из оригинала на 2018-10-02.
- ^ «Выпуск 11.2.6» . 4 мая 2021 . Дата обращения 4 мая 2021 .
- ^ Поддерживаемый язык на noscript.net.
- ^ «Расширение NoScript официально выпущено для Google Chrome» . ZDNet . Проверено 12 апреля 2019 .
- ^ «Познакомьтесь с разработчиком NoScript» . Mozilla. Архивировано из оригинала на 2011-10-09 . Проверено 27 сентября 2011 .
- ^ "Группа безопасности Mozilla" . Mozilla . Архивировано из оригинального 29 июня 2011 года . Проверено 29 июня 2011 .
- ^ Скотт Оргера. «NoScript» . About.com . Проверено 27 ноября 2010 .
- ^ «Влияние дополнений Firefox на потребление полосы пропускания :: IANIX» . ianix.com . Проверено 14 июля 2020 .
- ^ "NoScript Changelog 2.0.3rc1" . noscript.net . Проверено 16 марта 2011 года .
- Рианна Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которого вы все ждали» . GHacks.net . Проверено 14 января 2017 года .
- ^ Джорджио Маоне (2017-11-14). «Двойной NoScript» . Hackademix.net . Проверено 15 ноября 2017 .
- ^ «Косметические изменения, сделанные Issa1553 · Запрос на извлечение № 28 · hackademix / noscript» . GitHub . Проверено 4 января 2019 .
- ^ Надстройки Mozilla для первого выпуска Anti-XSS от NoScript
- ^ Особенности NoScript-Anti-XSS защита NoScript.net . Проверено 22 апреля 2008 года.
- ^ Натан Мак Фетерс (2008-07-03). «NoScript против фильтров Internet Explorer 8» . ZDNet . Проверено 27 ноября 2010 .
- ↑ Адам Барт (26 января 2010). «Безопасность в глубине: новые функции безопасности» . Google . Проверено 27 ноября 2010 .
- ^ Джорджио Маоне. «Application Boundaries Enforcer (ABE)» . NoScript.net . Проверено 2 августа 2010 .
- ^ Giorgio Maone (2010-07-28). «ABE патрулирует маршруты к вашим маршрутизаторам» . Hackademix.net . Проверено 2 августа 2010 .
- ^ https://noscript.net/faq#clearclick
- ^ Джорджио Маоне (2008-10-08). «Привет, ClearClick, прощай, кликджекинг» . Hackademix.net . Проверено 27 октября 2008 .
- ^ Михал Залевски (2008-12-10). «Руководство по безопасности браузера, часть 2, исправление ошибок пользовательского интерфейса» . Google Inc . Проверено 27 октября 2008 .
- ^ Часто задаваемые вопросы по NoScript: HTTPS NoScript.net . Проверено 2 августа 2010 года.
- ^ HTTPS везде
- ^ PC World Award pcworld.com . Проверено 22 апреля 2008 года.
- ^ About.com 2008 Награда за лучшую безопасность надстройки about.com . Проверено 2 августа 2010 года.
- ^ Лучшее расширение конфиденциальности / безопасности 2010 about.com . Проверено 2 августа 2010 года.
- ^ Лучшее дополнение для обеспечения конфиденциальности и безопасности 2011 года about.com . Проверено 20 марта 2011 года.
- ^ Объявление победителя гранта на инновации в области безопасности Dragon Research Group . Проверено 17 июля 2011 года.
- ^ a b c Гудин, Дэн. «Пользователи Firefox попали под перекрестный огонь враждующих дополнений» . Реестр . Проверено 19 мая 2013 года .
- ^ «Войны за расширение - NoScript против AdblockPlus» . Аяксиан . Проверено 19 мая 2013 года .
- ^ «Никаких сюрпризов» . 2009-05-01.
- ^ Уважаемые пользователи Adblock Plus и NoScript, уважаемое сообщество Mozilla
- ^ a b Вниманию всех пользователей NoScript
- ^ Грег Ярдли (2009-05-04). «Когда блокирующие блокируют блокирующие» . ярдлай.ca . Архивировано из оригинала на 2009-05-08.
- ^ Форум поддержки NoScript «Re: Последняя версия NoScript (1.9.2) ломает Adblock Plus», комментарий № 3704, Джорджио Маоне (4 мая 2009 г.)
- ^ Форум поддержки NoScript «Re: Дополнительные шаги для восстановления и сохранения доверия пользователей», комментарий № 3935, Джорджио Маоне (06.05.2009)
Внешние ссылки [ править ]
- Официальный веб-сайт
- NoScript на addons.mozilla.org
- NoScript Anywhere (3.5 a 15) для Firefox для Android
- NoScript презентации в том , как обойти интернет - цензуру , FLOSS Manual, 10 марта 2011, 240 с.