Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Для HTML-элемента <noscript> см. HTML-элемент § Другие блочные элементы .
NoScript
Значок NoScript
Автор (ы) оригиналаДжорджио Маоне
Разработчики)Джорджио Маоне
Первый выпуск13 мая 2005 г . ; 15 лет назад [1] ( 2005-05-13 )
Стабильный выпуск
11.2.6 [2] / 4 мая 2021 г . ; 2 дня назад ( 4 мая 2021 г. )
Предварительный выпуск
11.2.7rc1 / 5 мая 2021 г . ; 1 день назад ( 2021-05-05 )
Репозиторийhttps://github.com/hackademix/noscript
Написано вJavaScript , XUL , CSS
Доступно в45 [3] языков
ТипРасширение Mozilla
ЛицензияGPLv2 +
Веб-сайтNoScript.net

NoScript (или NoScript Security Suite ) представляет собой бесплатное программное обеспечение расширение для Mozilla Firefox , SeaMonkey , другая Mozillaвеб - браузеры и Google Chrome , [4] создан и поддерживаются Giorgio Maone, [5] итальянский разработчик программного обеспечения и член Mozilla Группа безопасности. [6]

Особенности [ править ]

Классическое меню NoScript в Firefox

Блокировка активного контента [ править ]

По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, разрешив список сайта или домена в меню панели инструментов расширения или щелкнув значок-заполнитель.

В конфигурации по умолчанию активный контент запрещен глобально, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Список разрешений может быть постоянным или временным (до закрытия браузера или отмены разрешений пользователем). Активный контент может состоять из JavaScript , веб-шрифтов, медиакодеков , WebGL и Flash . Дополнение также предлагает специальные меры противодействия уязвимостям безопасности. [7]

Поскольку для многих атак через веб-браузер требуется активный контент, который браузер обычно запускает без вопросов, отключение такого контента по умолчанию и его использование только в той степени, в которой это необходимо, снижает шансы эксплуатации уязвимости. Кроме того, отказ от загрузки этого контента значительно экономит пропускную способность [8] и препятствует некоторым формам веб-отслеживания.

NoScript полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалить многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и определенные платные каналы , для работы которых требуется JavaScript.

NoScript принимает форму значка панели инструментов или значка строки состояния в Firefox. Он отображается на каждом веб-сайте, чтобы указать, заблокировал ли NoScript, разрешил или частично разрешил запуск скриптов на просматриваемой веб-странице. Щелчок или наведение курсора мыши (начиная с версии 2.0.3rc1 [9] ) на значок NoScript дает пользователю возможность разрешить или запретить обработку скрипта.

Интерфейс NoScript, доступ к которому осуществляется путем щелчка правой кнопкой мыши на веб-странице или характерного поля NoScript в нижней части страницы (по умолчанию), показывает URL-адрес заблокированного (-ых) скрипта (-ов), но не предоставляет никаких ссылок. чтобы узнать, безопасно ли запускать данный сценарий. [10] Со сложными веб-страницами пользователи могут столкнуться с более чем дюжиной различных загадочных URL-адресов и неработающей веб-страницей, с выбором только разрешить сценарий, заблокировать сценарий или разрешить его временно.

14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что сделает его совместимым с Firefox Quantum . [11] 20 ноября 2017 года Maone выпустила версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android. [12]

Защита от XSS [ править ]

11 апреля 2007 г. был публично выпущен NoScript 1.1.4.7 [13], в котором была представлена ​​первая клиентская защита от межсайтовых сценариев (XSS) типов 0 и 1, когда-либо поставлявшаяся в веб-браузере.

Каждый раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутри другого сайта (нарушение политики одного и того же происхождения ), NoScript фильтрует вредоносный запрос и нейтрализует его опасную полезную нагрузку. [14]

Подобные функции были приняты спустя годы в Microsoft Internet Explorer 8 [15] и в Google Chrome . [16]

Application Boundaries Enforcer (ABE) [ править ]

Application Boundaries Enforcer (ABE) - это встроенный модуль NoScript, предназначенный для усиления защиты, ориентированной на веб-приложения, уже предоставляемой NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.

Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, относящегося к пользователю (например, подключаемых модулей, веб-почты, онлайн-банкинга и т. Д.), В соответствии с политиками, определяемыми непосредственно пользователем, веб-разработчиком. / administrator или доверенное третье лицо. [17] В своей конфигурации по умолчанию ABE от NoScript обеспечивает защиту от атак CSRF и повторного связывания DNS, направленных на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения. [18]

ClearClick (анти-кликджекинг) [ редактировать ]

Функция ClearClick в NoScript [19], выпущенная 8 октября 2008 г., не позволяет пользователям нажимать на невидимые или «исправленные» элементы страниц встроенных документов или апплетов, побеждая все типы кликджекинга (т. Е. Из фреймов и подключаемых модулей). [20]

Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты от атак типа« кликджекинг » [21].

Улучшения HTTPS [ править ]

NoScript может заставить браузер всегда использовать HTTPS при установлении соединений с некоторыми конфиденциальными сайтами, чтобы предотвратить атаки типа «злоумышленник в середине». Это поведение может быть инициировано либо самими веб-сайтами, отправив заголовок Strict Transport Security , либо настроено пользователями для тех веб-сайтов, которые еще не поддерживают Strict Transport Security. [22]

Функции расширения HTTPS от NoScript были использованы Electronic Frontier Foundation в качестве основы для своего надстройки HTTPS Everywhere . [23]

Награды [ править ]

  • PC World выбрал NoScript в качестве одного из 100 лучших продуктов 2006 года. [24]
  • В 2008 году NoScript выиграл редакционную награду About.com в номинации «Лучшее дополнение безопасности». [25]
  • В 2010 году NoScript стал победителем «Выбор читателя» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . [26]
  • В 2011 году второй год подряд NoScript стал победителем «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . [27]
  • NoScript стал победителем конкурса Dragon Research Group 2011 (первое издание) за инновации в области безопасности. Эта награда присуждается самому инновационному проекту в области информационной безопасности по оценке независимого комитета. [28]

Конфликты [ править ]

Конфликт с Adblock Plus [ править ]

В мае 2009 года сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения Adblock Plus для блокировки рекламы в Firefox разразилась «война расширений» после того, как Маоне выпустила версию NoScript, которая обошла блокировку, активированную AdBlock. Плюс фильтр. [29] [30] Код, реализующий этот обходной путь, был «замаскирован» [29], чтобы избежать обнаружения. Маоне заявил, что внедрил его в ответ на фильтр, блокирующий его собственный веб-сайт. После растущей критики и заявления администраторов сайта надстроек Mozilla о том, что сайт изменит свои правила в отношении модификаций надстроек, [31] Маоне удалил код и принес свои извинения.[29] [32]

Конфликт с Ghostery [ править ]

Сразу после инцидента с Adblock Plus [33] между Маоне и разработчиками надстройки Ghostery возник ссора после того, как Маоне внес на свой веб-сайт изменение, отключившее уведомление, которое Ghostery использовал для сообщения о программном обеспечении веб-отслеживания . [34] Это было интерпретировано как попытка «запретить Ghostery сообщать о трекерах и рекламных сетях на веб-сайтах NoScript». [33] В ответ Маоне заявила, что изменение было внесено, потому что уведомление Ghostery скрыло кнопку пожертвования на сайте NoScript. [35] Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, чтобы переместить, а не отключить уведомление Ghostery. [36]

См. Также [ править ]

  • Расширения конфиденциальности Firefox
  • uBlock Origin
  • GNU LibreJS
  • Коммутатор HTTP
  • Политика безопасности контента
  • Framekiller

Ссылки [ править ]

  1. ^ "Версия 1.0" . NoScript . Дополнения Mozilla. 2005-05-13. Архивировано из оригинала на 2018-10-02.
  2. ^ «Выпуск 11.2.6» . 4 мая 2021 . Дата обращения 4 мая 2021 .
  3. ^ Поддерживаемый язык на noscript.net.
  4. ^ «Расширение NoScript официально выпущено для Google Chrome» . ZDNet . Проверено 12 апреля 2019 .
  5. ^ «Познакомьтесь с разработчиком NoScript» . Mozilla. Архивировано из оригинала на 2011-10-09 . Проверено 27 сентября 2011 .
  6. ^ "Группа безопасности Mozilla" . Mozilla . Архивировано из оригинального 29 июня 2011 года . Проверено 29 июня 2011 .
  7. ^ Скотт Оргера. «NoScript» . About.com . Проверено 27 ноября 2010 .
  8. ^ «Влияние дополнений Firefox на потребление полосы пропускания :: IANIX» . ianix.com . Проверено 14 июля 2020 .
  9. ^ "NoScript Changelog 2.0.3rc1" . noscript.net . Проверено 16 марта 2011 года .
  10. Рианна Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которого вы все ждали» . GHacks.net . Проверено 14 января 2017 года .
  11. ^ Джорджио Маоне (2017-11-14). «Двойной NoScript» . Hackademix.net . Проверено 15 ноября 2017 .
  12. ^ «Косметические изменения, сделанные Issa1553 · Запрос на извлечение № 28 · hackademix / noscript» . GitHub . Проверено 4 января 2019 .
  13. ^ Надстройки Mozilla для первого выпуска Anti-XSS от NoScript
  14. ^ Особенности NoScript-Anti-XSS защита NoScript.net . Проверено 22 апреля 2008 года.
  15. ^ Натан Мак Фетерс (2008-07-03). «NoScript против фильтров Internet Explorer 8» . ZDNet . Проверено 27 ноября 2010 .
  16. Адам Барт (26 января 2010). «Безопасность в глубине: новые функции безопасности» . Google . Проверено 27 ноября 2010 .
  17. ^ Джорджио Маоне. «Application Boundaries Enforcer (ABE)» . NoScript.net . Проверено 2 августа 2010 .
  18. ^ Giorgio Maone (2010-07-28). «ABE патрулирует маршруты к вашим маршрутизаторам» . Hackademix.net . Проверено 2 августа 2010 .
  19. ^ https://noscript.net/faq#clearclick
  20. ^ Джорджио Маоне (2008-10-08). «Привет, ClearClick, прощай, кликджекинг» . Hackademix.net . Проверено 27 октября 2008 .
  21. ^ Михал Залевски (2008-12-10). «Руководство по безопасности браузера, часть 2, исправление ошибок пользовательского интерфейса» . Google Inc . Проверено 27 октября 2008 .
  22. ^ Часто задаваемые вопросы по NoScript: HTTPS NoScript.net . Проверено 2 августа 2010 года.
  23. ^ HTTPS везде
  24. ^ PC World Award pcworld.com . Проверено 22 апреля 2008 года.
  25. ^ About.com 2008 Награда за лучшую безопасность надстройки about.com . Проверено 2 августа 2010 года.
  26. ^ Лучшее расширение конфиденциальности / безопасности 2010 about.com . Проверено 2 августа 2010 года.
  27. ^ Лучшее дополнение для обеспечения конфиденциальности и безопасности 2011 года about.com . Проверено 20 марта 2011 года.
  28. ^ Объявление победителя гранта на инновации в области безопасности Dragon Research Group . Проверено 17 июля 2011 года.
  29. ^ a b c Гудин, Дэн. «Пользователи Firefox попали под перекрестный огонь враждующих дополнений» . Реестр . Проверено 19 мая 2013 года .
  30. ^ «Войны за расширение - NoScript против AdblockPlus» . Аяксиан . Проверено 19 мая 2013 года .
  31. ^ «Никаких сюрпризов» . 2009-05-01.
  32. ^ Уважаемые пользователи Adblock Plus и NoScript, уважаемое сообщество Mozilla
  33. ^ a b Вниманию всех пользователей NoScript
  34. ^ Грег Ярдли (2009-05-04). «Когда блокирующие блокируют блокирующие» . ярдлай.ca . Архивировано из оригинала на 2009-05-08.
  35. ^ Форум поддержки NoScript «Re: Последняя версия NoScript (1.9.2) ломает Adblock Plus», комментарий № 3704, Джорджио Маоне (4 мая 2009 г.)
  36. ^ Форум поддержки NoScript «Re: Дополнительные шаги для восстановления и сохранения доверия пользователей», комментарий № 3935, Джорджио Маоне (06.05.2009)

Внешние ссылки [ править ]

  • Официальный веб-сайт
  • NoScript на addons.mozilla.org
  • NoScript Anywhere (3.5 a 15) для Firefox для Android
  • NoScript презентации в том , как обойти интернет - цензуру , FLOSS Manual, 10 марта 2011, 240 с.