NoScript

NoScript
	Логотип используется с ноября 2022 г.
Оригинальный автор(ы)	Джорджио Маоне
Разработчик(и)	Джорджио Маоне
Первоначальный выпуск	13 мая 2005 г .; 19 лет назад
Стабильная версия	11.4.31 / 16 июля 2024 г .; 24 дня назад
Предварительный выпуск	11.4.31rc3 / 16 июля 2024 г .; 24 дня назад
Репозиторий	https://github.com/hackademix/noscript
Написано в	JavaScript , XUL , CSS
Доступно в	45 языки
Тип	Расширение для браузера
Лицензия	GPLv2+
Веб-сайт	NoScript.net

NoScript (или NoScript Security Suite ) — это с открытым исходным кодом бесплатное расширение для веб-браузеров на базе Firefox и Chromium . ^{[ 4 ]} написан и поддерживается Джорджио Маоне, ^{[ 5 ]} разработчик программного обеспечения и член Mozilla Security Group. ^{[ 6 ]}

Функции

Активная блокировка контента

По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, добавив сайт или домен в белый список из меню панели инструментов расширения или щелкнув значок-заполнитель.

В конфигурации по умолчанию активный контент глобально запрещен, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Белый список может быть постоянным или временным (пока браузер не закроется или пользователь не отзовет разрешения). Активный контент может состоять из JavaScript , веб-шрифтов, медиакодеков , WebGL и Flash . Надстройка также предлагает конкретные меры противодействия эксплойтам безопасности. ^{[ 7 ]}

Поскольку для многих атак на веб-браузер требуется активный контент, который браузер обычно запускает без вопросов, отключение такого контента по умолчанию и использование его только в той степени, в которой это необходимо, снижает вероятность использования уязвимости. Кроме того, отказ от загрузки этого контента существенно экономит пропускную способность. ^{[ 8 ]} и побеждает некоторые формы веб-отслеживания.

NoScript полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалить многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и некоторые системы платного доступа , для работы которых требуется JavaScript.

NoScript принимает форму значка на панели инструментов или значка в строке состояния в Firefox. Он отображается на каждом веб-сайте, чтобы указать, заблокировал ли NoScript, разрешил или частично разрешил запуск сценариев на просматриваемой веб-странице. Щелчок или наведение курсора мыши (начиная с версии 2.0.3rc1 ^{[ 9 ]}) курсор мыши на значке NoScript дает пользователю возможность разрешить или запретить обработку сценария.

Интерфейс NoScript, доступ к которому осуществляется щелчком правой кнопкой мыши на веб-странице или специальным полем NoScript внизу страницы (по умолчанию), показывает URL-адрес заблокированных сценариев, но не предоставляет никаких ссылок. чтобы проверить, безопасно ли запускать данный сценарий. ^{[ 10 ]} На сложных веб-страницах пользователи могут столкнуться с более чем дюжиной различных загадочных URL-адресов и нефункционирующей веб-страницей, и у них есть только выбор: разрешить скрипт, заблокировать скрипт или разрешить его временно.

14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что делает его совместимым с Firefox Quantum . ^{[ 11 ]} 20 ноября 2017 г. Maone выпустила версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android. ^{[ 12 ]}

Защита от XSS

11 апреля 2007 г. был публично выпущен NoScript 1.1.4.7. ^{[ 13 ]} Представляем первую защиту на стороне клиента от межсайтового скриптинга (XSS) типа 0 и типа 1, когда-либо реализованную в веб-браузере.

Всякий раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутри другого сайта (нарушение политики одного и того же источника ), NoScript фильтрует вредоносный запрос и нейтрализует его опасную полезную нагрузку. ^{[ 14 ]}

Подобные функции были реализованы спустя годы в Microsoft Internet Explorer 8. ^{[ 15 ]} и Google Chrome . ^{[ 16 ]}

Application Boundaries Enforcer (ABE)

Application Boundaries Enforcer (ABE) — это встроенный модуль NoScript, предназначенный для усиления защиты веб-приложений , уже обеспечиваемой NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.

Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, имеющего отношение к пользователю (например, плагинов, веб-почты, онлайн-банкинга и т. д.), в соответствии с политиками, определенными непосредственно пользователем, веб-разработчиком. /администратор или доверенная третья сторона. ^{[ 17 ]} В конфигурации по умолчанию ABE NoScript обеспечивает защиту от атак с перепривязкой CSRF и DNS , направленных на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения. ^{[ 18 ]}

ClearClick (антикликджекинг)

Функция ClearClick NoScript, ^{[ 19 ]} выпущенный 8 октября 2008 г., не позволяет пользователям нажимать на невидимые или «исправленные» элементы страниц встроенных документов или апплетов, устраняя все типы кликджекинга (т. е. с помощью фреймов и плагинов). ^{[ 20 ]}

Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты от атак кликджекинга. ^{[ 21 ]}

Улучшения HTTPS

NoScript может заставить браузер всегда использовать HTTPS при подключении к некоторым конфиденциальным сайтам, чтобы предотвратить атаки «человек посередине». Такое поведение может быть вызвано либо самими веб-сайтами, отправкой заголовка Strict Transport Security , либо настроено пользователями для тех веб-сайтов, которые еще не поддерживают Strict Transport Security. ^{[ 22 ]}

Функции улучшения HTTPS NoScript были использованы Electronic Frontier Foundation в качестве основы для своего HTTPS Everywhere . дополнения ^{[ 23 ]}

Награды

PC World включил NoScript в число 100 лучших продуктов 2006 года. ^{[ 24 ]}
В 2008 году NoScript получил редакционную награду About.com «Лучшее дополнение безопасности». ^{[ 25 ]}
В 2010 году NoScript стал лауреатом премии «Выбор читателей» в категории «Лучшее дополнение к конфиденциальности/безопасности» на сайте About.com . ^{[ 26 ]}
В 2011 году второй год подряд NoScript стал победителем премии «Выбор читателей» в категории «Лучшее дополнение для обеспечения конфиденциальности и безопасности» на сайте About.com . ^{[ 27 ]}
NoScript стал победителем в 2011 году (первое издание) «Гранта на инновации в области безопасности» Dragon Research Group. Эта награда вручается самому инновационному проекту в области информационной безопасности по оценке независимого комитета. ^{[ 28 ]}

Конфликты

Конфликт с Adblock Plus

разразилась «война расширений» В мае 2009 года сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения для блокировки рекламы Firefox Adblock Plus после того, как Маоне выпустил версию NoScript, которая обходила блокировку, включенную AdBlock. Плюс фильтр. ^{[ 29 ]}^{[ 30 ]} Код, реализующий этот обходной путь, был «замаскирован». ^{[ 29 ]} чтобы избежать обнаружения. Маоне заявил, что внедрил это в ответ на фильтр, заблокировавший его собственный сайт. После растущей критики и заявления администраторов сайта дополнений Mozilla о том, что сайт изменит свои правила в отношении модификаций дополнений, ^{[ 31 ]} Маоне удалил код и принес полные извинения. ^{[ 29 ]}^{[ 32 ]}

Конфликт с Призраком

Сразу после инцидента с Adblock Plus, ^{[ 33 ]} Размолвка возникла между Маоне и разработчиками дополнения Ghostery после того, как Маоне внес на свой веб-сайт изменение, отключившее уведомление, которое Ghostery использовало для сообщения о программном обеспечении веб-отслеживания . ^{[ 34 ]} Это было истолковано как попытка «не допустить, чтобы Ghostery сообщала о трекерах и рекламных сетях на веб-сайтах NoScript». ^{[ 33 ]} В ответ Маоне заявил, что изменение было внесено потому, что уведомление Ghostery скрывало кнопку пожертвования на сайте NoScript. ^{[ 35 ]} Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, переместив, а не отключив, уведомление Ghostery. ^{[ 36 ]}

См. также

Ссылки

^ «Версия 1.0» . Нетскрипта . Дополнения Мозиллы. 13 мая 2005 г. Архивировано из оригинала 2 октября 2018 г.
^ Джорджио Маоне (16 июля 2024 г.). «Выпуск 11.4.31» . Проверено 16 июля 2024 г.
^ Поддерживаемый язык на noscript.net.
^ «Расширение NoScript официально выпущено для Google Chrome» . ЗДНет . Проверено 12 апреля 2019 г.
^ «Знакомьтесь с разработчиком NoScript» . Мозилла. Архивировано из оригинала 9 октября 2011 г. Проверено 27 сентября 2011 г.
^ «Группа безопасности Mozilla» . Мозилла . Архивировано из оригинала 29 июня 2011 года . Проверено 29 июня 2011 г.
^ Скотт Оргера. «НетСкрипта» . О сайте.com. Архивировано из оригинала 20 декабря 2010 г. Проверено 27 ноября 2010 г.
^ «Влияние дополнений Firefox на потребление полосы пропускания :: IANIX» . ianix.com . Проверено 14 июля 2020 г.
^ «Журнал изменений NoScript 2.0.3rc1» . noscript.net . Проверено 16 марта 2011 г.
^ Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которое вы все ждали» . GHacks.net . Проверено 14 января 2017 г.
^ Джорджио Маоне (14 ноября 2017 г.). «Двойной NoScript» . Хакадемикс.нет . Проверено 15 ноября 2017 г.
^ «Косметические изменения от Issa1553 · Pull Request #28 · hackademix/noscript» . Гитхаб . Проверено 4 января 2019 г.
^ Первый выпуск NoScript Anti-XSS. Дополнения Mozilla.
^ Функции NoScript-Защита от XSS NoScript.net . Проверено 22 апреля 2008 г.
^ Натан Мак Фетерс (3 июля 2008 г.). «NoScript против фильтров Internet Explorer 8» . ЗДНет. Архивировано из оригинала 11 мая 2010 года . Проверено 27 ноября 2010 г.
^ Адам Барт (26 января 2010 г.). «Безопасность в глубине: новые функции безопасности» . Google . Проверено 27 ноября 2010 г.
^ Джорджио Маоне. «Application Boundaries Enforcer (ABE)» . NoScript.net . Проверено 2 августа 2010 г.
^ Джорджио Маоне (28 июля 2010 г.). «ABE патрулирует маршруты к вашим маршрутизаторам» . Хакадемикс.нет . Проверено 2 августа 2010 г.
^ «NoScript — блокировщик JavaScript/Java/Flash для более безопасной работы с Firefox! — часто задаваемые вопросы — InformAction» .
^ Джорджио Маоне (08 октября 2008 г.). «Привет, ClearClick, прощай, кликджекинг» . Хакадемикс.нет . Проверено 27 октября 2008 г.
^ Михал Залевски (10 декабря 2008 г.). «Справочник по безопасности браузера, часть 2, исправление пользовательского интерфейса» . Гугл Инк . Проверено 27 октября 2008 г.
^ Часто задаваемые вопросы по NoScript: HTTPS NoScript.net . Проверено 2 августа 2010 г.
^ HTTPS везде
↑ Премия PC World Award. Архивировано 28 августа 2011 г. на сайте Wayback Machine pcworld.com . Проверено 22 апреля 2008 г.
^ About.com Награда за лучшее дополнение безопасности 2008 г. Архивировано 23 марта 2011 г. на Wayback Machine about.com . Проверено 2 августа 2010 г.
^ Лучшее дополнение конфиденциальности/безопасности 2010 г. Архивировано 4 марта 2010 г. на Wayback Machine about.com . Проверено 2 августа 2010 г.
^ Лучшее дополнение конфиденциальности/безопасности 2011 г. Архивировано 17 марта 2011 г. на Wayback Machine about.com . Проверено 20 марта 2011 г.
^ Объявление победителя гранта на инновации в области безопасности. Архивировано 12 февраля 2015 г. в Исследовательской группе Wayback Machine Dragon . Проверено 17 июля 2011 г.
^ Перейти обратно: ^а ^б ^с Гудин, Дэн. «Пользователи Firefox попали под перекрестный огонь враждующих надстроек» . Регистр . Проверено 19 мая 2013 г.
^ «Войны расширений — NoScript против AdblockPlus» . Аяксиан . Проверено 19 мая 2013 г.
^ «Без сюрпризов» . 01 мая 2009 г.
^ Уважаемые пользователи Adblock Plus и NoScript, уважаемое сообщество Mozilla.
^ Перейти обратно: ^а ^б Внимание всем пользователям NoScript
^ Грег Ярдли (4 мая 2009 г.). «Когда блокировщики блокируют блокировщиков» . Yardlay.ca . Архивировано из оригинала 8 мая 2009 г.
^ Форум поддержки NoScript «Re: Последняя версия NoScript (1.9.2) нарушает работу Adblock Plus», комментарий № 3704, Джорджио Маоне (04 мая 2009 г.)
^ Форум поддержки NoScript «Re: Дополнительные шаги по восстановлению и сохранению доверия пользователей», комментарий № 3935, Джорджио Маоне (06 мая 2009 г.)

Внешние ссылки

Официальный сайт
NoScript на addons.mozilla.org
NoScript Anywhere (3.5 и 15) для Firefox для Android
Презентация NoScript в книге «Как обойти интернет-цензуру» , руководство FLOSS , 10 марта 2011 г., 240 стр.

[a.m.o_initial_release-1] «Версия 1.0» . Нетскрипта . Дополнения Мозиллы. 13 мая 2005 г. Архивировано из оригинала 2 октября 2018 г.

[wikidata-f260fb49586da0e40bb2f1aba0128654940081e9-v14-2] Джорджио Маоне (16 июля 2024 г.). «Выпуск 11.4.31» . Проверено 16 июля 2024 г.

[3] Поддерживаемый язык на noscript.net.

[chrome-announcement-4] «Расширение NoScript официально выпущено для Google Chrome» . ЗДНет . Проверено 12 апреля 2019 г.

[noscript-developer-5] «Знакомьтесь с разработчиком NoScript» . Мозилла. Архивировано из оригинала 9 октября 2011 г. Проверено 27 сентября 2011 г.

[mozilla-sec-group-6] «Группа безопасности Mozilla» . Мозилла . Архивировано из оригинала 29 июня 2011 года . Проверено 29 июня 2011 г.

[about.com-7] Скотт Оргера. «НетСкрипта» . О сайте.com. Архивировано из оригинала 20 декабря 2010 г. Проверено 27 ноября 2010 г.

[8] «Влияние дополнений Firefox на потребление полосы пропускания :: IANIX» . ianix.com . Проверено 14 июля 2020 г.

[9] «Журнал изменений NoScript 2.0.3rc1» . noscript.net . Проверено 16 марта 2011 г.

[10] Бринкман, Мартин (10 февраля 2014 г.). «Руководство по Firefox NoScript, которое вы все ждали» . GHacks.net . Проверено 14 января 2017 г.

[11] Джорджио Маоне (14 ноября 2017 г.). «Двойной NoScript» . Хакадемикс.нет . Проверено 15 ноября 2017 г.

[12] «Косметические изменения от Issa1553 · Pull Request #28 · hackademix/noscript» . Гитхаб . Проверено 4 января 2019 г.

[13] Первый выпуск NoScript Anti-XSS. Дополнения Mozilla.

[14] Функции NoScript-Защита от XSS NoScript.net . Проверено 22 апреля 2008 г.

[15] Натан Мак Фетерс (3 июля 2008 г.). «NoScript против фильтров Internet Explorer 8» . ЗДНет. Архивировано из оригинала 11 мая 2010 года . Проверено 27 ноября 2010 г.

[16] Адам Барт (26 января 2010 г.). «Безопасность в глубине: новые функции безопасности» . Google . Проверено 27 ноября 2010 г.

[17] Джорджио Маоне. «Application Boundaries Enforcer (ABE)» . NoScript.net . Проверено 2 августа 2010 г.

[18] Джорджио Маоне (28 июля 2010 г.). «ABE патрулирует маршруты к вашим маршрутизаторам» . Хакадемикс.нет . Проверено 2 августа 2010 г.

[19] «NoScript — блокировщик JavaScript/Java/Flash для более безопасной работы с Firefox! — часто задаваемые вопросы — InformAction» .

[20] Джорджио Маоне (08 октября 2008 г.). «Привет, ClearClick, прощай, кликджекинг» . Хакадемикс.нет . Проверено 27 октября 2008 г.

[Zalewski-21] Михал Залевски (10 декабря 2008 г.). «Справочник по безопасности браузера, часть 2, исправление пользовательского интерфейса» . Гугл Инк . Проверено 27 октября 2008 г.

[22] Часто задаваемые вопросы по NoScript: HTTPS NoScript.net . Проверено 2 августа 2010 г.

[23] HTTPS везде

[24] Премия PC World Award. Архивировано 28 августа 2011 г. на сайте Wayback Machine pcworld.com . Проверено 22 апреля 2008 г.

[25] About.com Награда за лучшее дополнение безопасности 2008 г. Архивировано 23 марта 2011 г. на Wayback Machine about.com . Проверено 2 августа 2010 г.

[26] Лучшее дополнение конфиденциальности/безопасности 2010 г. Архивировано 4 марта 2010 г. на Wayback Machine about.com . Проверено 2 августа 2010 г.

[27] Лучшее дополнение конфиденциальности/безопасности 2011 г. Архивировано 17 марта 2011 г. на Wayback Machine about.com . Проверено 20 марта 2011 г.

[28] Объявление победителя гранта на инновации в области безопасности. Архивировано 12 февраля 2015 г. в Исследовательской группе Wayback Machine Dragon . Проверено 17 июля 2011 г.

[register_extension_wars-29] Перейти обратно: ^а ^б ^с Гудин, Дэн. «Пользователи Firefox попали под перекрестный огонь враждующих надстроек» . Регистр . Проверено 19 мая 2013 г.

[ajaxian_extension_wars-30] «Войны расширений — NoScript против AdblockPlus» . Аяксиан . Проверено 19 мая 2013 г.

[31] «Без сюрпризов» . 01 мая 2009 г.

[32] Уважаемые пользователи Adblock Plus и NoScript, уважаемое сообщество Mozilla.

[purplebox-33] Перейти обратно: ^а ^б Внимание всем пользователям NoScript

[34] Грег Ярдли (4 мая 2009 г.). «Когда блокировщики блокируют блокировщиков» . Yardlay.ca . Архивировано из оригинала 8 мая 2009 г.

[35] Форум поддержки NoScript «Re: Последняя версия NoScript (1.9.2) нарушает работу Adblock Plus», комментарий № 3704, Джорджио Маоне (04 мая 2009 г.)

[comment3935-36] Форум поддержки NoScript «Re: Дополнительные шаги по восстановлению и сохранению доверия пользователей», комментарий № 3935, Джорджио Маоне (06 мая 2009 г.)

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]