Чи варто використовувати No-Script?

Я чую, що веб-перегляд веб-сайтів є найбільш ймовірним походженням шкідливих програм на комп’ютері в наші дні. Я також чую, що не потрібно турбуватися про віруси в Linux. Отже, чи варто використовувати розширення для браузера, яке дозволяє мені вибірково включати JavaScript для вподобаних доменів, таких як No-Script або Not-Script?

Безумовно!

Зловмисники можуть використовувати шкідливі сценарії для виконання кількох атак, таких як XSS:

Крос-сайтовий скрипт (XSS) - це тип вразливості комп'ютерної безпеки, який зазвичай зустрічається у веб-додатках, який дозволяє зловмисникам вводити скрипт на стороні клієнта на веб-сторінки, які переглядають інші користувачі ...

Детальніше читайте у wikipedia .

Жоден сценарій не дає вам можливості керувати всіма скриптами на веб-сторінці (або веб-сайті) та плагінами, якими він користується, такими як flash, java тощо. Ви додаєте довірені сайти до білого списку, а іншим заборонено запускати сценарії, якщо ви не відпустите їх (тимчасово чи постійно).

Питання , і це відповідь на НЕ-скрипті сайту ( часто задаються ) можуть надати деякі роз'яснення:

Чому я повинен дозволити виконання JavaScript, Java, Flash та плагінів лише для надійних сайтів?

JavaScript, Java та Flash, навіть будучи дуже різними технологіями, мають одне спільне: вони виконують на вашому комп'ютері код, що надходить із віддаленого сайту. Усі три реалізують якусь модель пісочниці, обмежуючи діяльність, яку може виконувати віддалений код: наприклад, пісочний код не повинен читати / записувати локальний жорсткий диск, а також не взаємодіяти з базовою операційною системою або зовнішніми програмами. Навіть якщо пісочниці були куленепробивними (це не так, читайте нижче), і навіть якщо ви або ваша операційна система обмотаєте весь браузер іншою пісочницею (наприклад, IE7 + на Vista або Sandboxie), сама здатність запускати пісочний код всередині браузера може використовувати їх для зловмисних цілей, наприклад, для крадіжки важливої ​​інформації, яку ви зберігаєте чи вводите в Інтернеті (номери кредитних карток, облікові дані електронної пошти тощо) або для того, щоб «ви себе представляти», наприклад підробляючи фінансові операції, запускаючи «хмарні» атаки, такі як Cross Site Scripting (XSS) або CSRF, без необхідності виходити з веб-переглядача або отримувати привілеї вище звичайної веб-сторінки. Це одне є достатньою підставою, щоб дозволити створення сценаріїв лише на надійних сайтах. Крім того, багато подвигів безпеки спрямовані на досягнення "ескалації привілеїв", тобто використання помилки впровадження пісочниці для отримання більших привілеїв та виконання неприємних завдань, таких як встановлення троянів, руткітів та кейлогерів. Цей вид атаки також може націлюватись на JavaScript, Java, Flash та інші плагіни: Це одне є достатньою підставою, щоб дозволити створення сценаріїв лише на надійних сайтах. Крім того, багато подвигів безпеки спрямовані на досягнення "ескалації привілеїв", тобто використання помилки впровадження пісочниці для отримання більших привілеїв та виконання неприємних завдань, таких як встановлення троянів, руткітів та кейлогерів. Цей вид атаки також може націлюватись на JavaScript, Java, Flash та інші плагіни: Це одне є достатньою підставою, щоб дозволити створення сценаріїв лише на надійних сайтах. Крім того, багато подвигів безпеки спрямовані на досягнення "ескалації привілеїв", тобто використання помилки впровадження пісочниці для отримання більших привілеїв та виконання неприємних завдань, таких як встановлення троянів, руткітів та кейлогерів. Цей вид атаки також може націлюватись на JavaScript, Java, Flash та інші плагіни:

1. JavaScript виглядає як дуже дорогоцінний інструмент для поганих хлопців: більшість виявлених на сьогодні фіксованих уразливостей браузера були неефективними, якщо JavaScript був відключений. Можливо, причина полягає в тому, що сценарії простіше тестувати та шукати дірки, навіть якщо ви хакер-новачок: всі та його брат вважають програмістом JavaScript: P

2. Java має кращу історію, принаймні у своєму "стандартному" втіленні, Sun JVM. Натомість були віруси, написані для Microsoft JVM, як ByteVerifier.Trojan. У будь-якому випадку, модель безпеки Java дозволяє підписаним аплетам (аплетам, цілісність та походження яких гарантується цифровим сертифікатом) працювати з локальними привілеями, тобто так, як це були звичайні встановлені програми. Це в поєднанні з тим, що завжди є користувачі, які перед попередженням на кшталт "Цей аплет підписаний поганим / підробленим сертифікатом. Ви НЕ хочете його виконувати! Ви настільки злий, щоб його виконати?" Ніколи!] [Ніяк] [Ні] [Можливо] "буде шукати, знаходити і натискати кнопку" Так ", спричиняючи погану репутацію навіть у Firefox (зауважте, що стаття є досить кульгавою, але, як ви можете уявити, мала багато відлуння ).

3. Flash раніше вважався відносно безпечним, але оскільки його використання стало настільки поширеним, серйозні недоліки в безпеці були виявлені з більшою швидкістю. Flash-аплети також використовувались для запуску XSS-атак на сайти, де вони розміщені.>

4. Інші плагіни важче експлуатувати, тому що більшість з них не розміщує віртуальну машину, як Java та Flash, але вони все одно можуть відкривати отвори, як перекриття буфера, які можуть виконувати довільний код при подачі зі спеціально створеним вмістом. Нещодавно ми спостерігали кілька таких уразливих плагінів, що впливають на програму Acrobat Reader, Quicktime, RealPlayer та інші мультимедійні помічники.

Зверніть увагу, що жодна з вищезгаданих технологій зазвичай (95% часу) не впливає на загальновідомі та все ще невирішені проблеми експлуатації, але суть NoScript саме в цьому: запобігання експлуатації навіть невідомих ще дірок у безпеці, тому що коли вони будуть виявлені це може бути пізно;) Найефективніший спосіб - відключення потенційної загрози на недовірених сайтах.

Теоретично можна заразити вірусами в Linux та Mac OS. Причина, по якій це не відбувається, полягає в тому, що Linux і Mac OS не є великими цілями. Автори шкідливих програм хочуть запустити широку мережу з мінімальними зусиллями. Вдруге Linux / Unix пропонують більше на шляху безпеки та кращого інформування користувачів (загалом). Однак, я використовую Flashblock та No Script у Windows, Mac OS X та Ubuntu постійно. Сторінки завантажуються швидше, це допомагає з анонімністю в Інтернеті, запобігаючи флеш-файли cookie та всілякі інші проблеми. Дуже рекомендую їх, незалежно від платформи. Як мінімум, вони дають вам більше знати про те, які сторінки намагаються зробити.

Я регулярно використовую NoScript на Firefox і рекомендую його для щоденного використання.

Це не блокує рекламу, тому ви все одно підтримуєте витрати на сайті для своїх адміністраторів.

Однак він блокує флеш-рекламу, значно зменшуючи завантаження процесора під час перегляду (за умови встановлення флеш-плагіна)

Можна окремо дозволити запуск контенту, тому більшість сайтів для обміну відео почнуть працювати після того, як ви дозволите сценарії, пов’язані з відтворенням відео (Це може зайняти трохи здогадів, якщо на сторінці є кілька сценаріїв). Надані вами дозволи можуть бути тимчасовими для сеансу або постійними, тому сайт працюватиме, якщо ви не вирішите їх знову заблокувати.

При заповненні таких форм, як реєстрація на сайті, рекомендується дозволити сценарії перед заповненням форм, щоб вам не довелося повторювати свою роботу. Дозвіл сценарію на сторінці примушує перезавантажити сторінку.

Найважливіший захист, який надає вам NoScript, - це від шкідливих сайтів, які намагаються змінити розмір вікна, розмістити вміст на соціальних сайтах або зробити все інше небажане. NoScript змінює дію за замовчуванням на відмовлену, і ви можете вибрати для кожного сайту, якщо ви вважаєте, що сценарії надійні.

Ось посилання на встановлення для Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/