NoScript - NoScript

For HTML -elementet <noscript>, se HTML -elementet § Andre blokelementer .
NoScript
NoScript -ikon
Originale forfatter (er) Giorgio Maone
Udvikler (er) Giorgio Maone
Første udgivelse 13. maj 2005 ; 16 år siden ( 2005-05-13 )
Stabil udgivelse
11.2.11 / 28. juli 2021 ; 2 måneder siden ( 28. juli 2021 )
Udgivelsesversion
11.2.12rc3 / 25. august 2021 ; 46 dage siden ( 2021-08-25 )
Depot https://github.com/hackademix/noscript
Skrevet i JavaScript , XUL , CSS
Tilgængelig i 45 sprog
Type Mozilla -udvidelse
Licens GPLv2+
Internet side NoScript.net

NoScript (eller NoScript Security Suite ) er en gratis software udvidelse til Mozilla Firefox , SeaMonkey , andre Mozilla -baserede web-browsere og Google Chrome , skabt og vedligeholdt af Giorgio Maone, en italiensk softwareudvikler og medlem af Mozilla Security Group.

Funktioner

Den klassiske NoScript -menu i Firefox

Aktiv indholdsblokering

Som standard blokerer NoScript aktivt (eksekverbart) webindhold, der kan blokeres helt eller delvist ved at tillade at angive et websted eller et domæne fra udvidelsens værktøjslinjemenu eller ved at klikke på et pladsholderikon.

I standardkonfigurationen nægtes aktivt indhold globalt, selvom brugeren kan vende dette og bruge NoScript til at blokere specifikt uønsket indhold. Tilladelseslisten kan være permanent eller midlertidig (indtil browseren lukker, eller brugeren tilbagekalder tilladelser). Aktivt indhold kan bestå af JavaScript , webskrifttyper, mediecodecs , WebGL og Flash . Tilføjelsen tilbyder også specifikke modforanstaltninger mod sikkerhedsudnyttelser.

Fordi mange webbrowserangreb kræver aktivt indhold, som browseren normalt kører uden spørgsmål, deaktiveres sådant indhold som standard og kun bruges i det omfang, det er nødvendigt, reducerer chancerne for sårbarhedsudnyttelse. Derudover sparer det ikke at indlæse dette indhold betydelig båndbredde og besejrer nogle former for websporing.

NoScript er nyttigt for udviklere at se, hvor godt deres websted fungerer med JavaScript slået fra. Det kan også fjerne mange irriterende webelementer, såsom pop-up-meddelelser på siden og visse betalingsmure , som kræver JavaScript for at fungere.

NoScript har form af et værktøjslinjeikon eller statuslinjeikon i Firefox. Det vises på hvert websted for at angive, om NoScript enten har blokeret, tilladt eller delvist tilladt scripts til at køre på den webside, der ses. Hvis du klikker eller svæver (siden version 2.0.3rc1), gør musemarkøren på NoScript -ikonet brugeren mulighed for at tillade eller forbyde scriptets behandling.

NoScripts grænseflade, uanset om den åbnes ved at højreklikke på websiden eller den karakteristiske NoScript-boks i bunden af ​​siden (som standard), viser URL'en til script (erne), der er blokeret, men giver ikke nogen form for reference at slå op, om et givet script er sikkert at køre. Med komplekse websider kan brugere blive konfronteret med langt over et dusin forskellige kryptiske webadresser og en ikke-fungerende webside, med kun valget mellem at tillade scriptet, blokere scriptet eller midlertidigt tillade det.

Den 14. november 2017 annoncerede Giorgio Maone NoScript 10, som vil være "meget anderledes" end 5.x -versioner og vil bruge WebExtension -teknologi, hvilket gør den kompatibel med Firefox Quantum . Den 20. november 2017 udgav Maone version 10.1.1 til Firefox 57 og nyere. NoScript er tilgængeligt til Firefox til Android.

Anti-XSS beskyttelse

Den 11. april 2007 blev NoScript 1.1.4.7 offentliggjort og introducerede den første beskyttelse på klientsiden mod Type 0 og Type 1 cross-site scripting (XSS), der nogensinde blev leveret i en webbrowser.

Når et websted forsøger at indsætte HTML- eller JavaScript-kode inde på et andet websted (en overtrædelse af politikken med samme oprindelse ), filtrerer NoScript den ondsindede anmodning og neutraliserer dens farlige nyttelast.

Lignende funktioner er blevet vedtaget år senere af Microsoft Internet Explorer 8 og af Google Chrome .

Application Boundaries Enforcer (ABE)

Application Boundaries Enforcer (ABE) er et indbygget NoScript-modul beregnet til at hærde de webapplikationsorienterede beskyttelser, der allerede er leveret af NoScript, ved at levere en firewalllignende komponent, der kører inde i browseren.

Denne "firewall" er specialiseret i at definere og bevogte grænserne for hver følsom webapplikation, der er relevant for brugeren (f.eks. Plug-ins, webmail, netbank osv.) I henhold til politikker defineret direkte af brugeren, webudvikleren /administrator eller en betroet tredjepart. I sin standardkonfiguration giver NoScript's ABE beskyttelse mod CSRF- og DNS -rebinding -angreb rettet mod intranetressourcer, såsom routere og følsomme webapplikationer.

ClearClick (anti-clickjacking)

NoScripts ClearClick-funktion, der blev udgivet den 8. oktober 2008, forhindrer brugere i at klikke på usynlige eller "redigerede" sideelementer i integrerede dokumenter eller applets og besejrer alle former for clickjacking (dvs. fra rammer og plug-ins).

Dette gør NoScript til det eneste frit tilgængelige produkt, der tilbyder en rimelig grad af beskyttelse mod klikjacking -angreb.

Forbedringer af HTTPS

NoScript kan tvinge browseren til altid at bruge HTTPS, når der etableres forbindelser til nogle følsomme websteder, for at forhindre man-in-the-middle-angreb. Denne adfærd kan udløses enten af ​​webstederne selv, ved at sende overskriften til Strict Transport Security eller konfigureres af brugere til de websteder, der endnu ikke understøtter Strict Transport Security.

NoScripts HTTPS-forbedringsfunktioner er blevet brugt af Electronic Frontier Foundation som grundlag for dets HTTPS Everywhere- tilføjelse.

Priser

  • PC World valgte NoScript som et af de 100 bedste produkter i 2006.
  • I 2008 vandt NoScript About.coms redaktionelle pris "Best Security Add-On".
  • I 2010 var NoScript vinder af "The Reader's Choice Awards" i kategorien "Bedste tilføjelse til beskyttelse af personlige oplysninger/sikkerhed" på About.com .
  • I 2011, for andet år i træk, var NoScript vinder af "The Reader's Choice Awards" i kategorien "Bedste beskyttelse af personlige oplysninger/sikkerhed" på About.com .
  • NoScript var 2011 (første udgave) vinder af Dragon Research Groups "Security Innovation Grant". Denne pris gives til det mest innovative projekt inden for informationssikkerhed, vurderet af et uafhængigt udvalg.

Konflikter

Konflikt med Adblock Plus

I maj 2009 blev det rapporteret, at der var brudt en "udvidelseskrig" mellem NoScripts udvikler, Giorgio Maone, og udviklerne af Firefox annonceblokerende udvidelse Adblock Plus, efter at Maone udgav en version af NoScript, der omgåede en blok, der blev aktiveret af en AdBlock Plus filter. Koden, der implementerede denne løsning, blev "camoufleret" for at undgå registrering. Maone udtalte, at han havde implementeret det som svar på et filter, der blokerede hans eget websted. Efter stigende kritik og en erklæring fra administratorerne af Mozilla Add-ons- webstedet om, at webstedet ville ændre dets retningslinjer for tilføjelsesændringer, fjernede Maone koden og udsendte en fuld undskyldning.

Konflikt med Ghostery

I umiddelbar efterdybning af Adblock Plus-hændelsen opstod der en tøs mellem Maone og udviklerne af tilføjelsen Ghostery, efter at Maone implementerede en ændring på sit websted, der deaktiverede den meddelelse, Ghostery brugte til at rapportere websporingssoftware . Dette blev fortolket som et forsøg på at "forhindre Ghostery i at rapportere om trackere og annoncenetværk på NoScripts websteder". Som svar udtalte Maone, at ændringen blev foretaget, fordi Ghosterys meddelelse skjulte donationsknappen på NoScript -webstedet. Denne konflikt blev løst, da Maone ændrede sit websteds CSS for at flytte - frem for at deaktivere - Ghostery -meddelelsen.

Se også

Referencer

eksterne links