Czy powinienem używać No-Script?

Słyszę, że przeglądanie stron internetowych jest obecnie najbardziej prawdopodobnym źródłem złośliwego oprogramowania na komputerze. Słyszę również, że w systemie Linux nie trzeba się martwić o wirusy. Czy powinienem używać rozszerzenia przeglądarki, które pozwala mi selektywnie włączać javascript dla ulubionych domen, takich jak No-Script lub Not-Script?

Zdecydowanie!

Atakujący mogą wykorzystywać złośliwe skrypty do przeprowadzania wielu ataków, takich jak XSS:

Skrypty Cross-site scripting (XSS) to rodzaj luki w zabezpieczeniach komputera zwykle występującej w aplikacjach internetowych, która umożliwia złośliwym atakującym wstrzykiwanie skryptów po stronie klienta na strony wyświetlane przez innych użytkowników ...

Czytaj więcej w wikipedii .

Żaden skrypt nie daje możliwości kontrolowania wszystkich skryptów na stronie internetowej (lub stronie internetowej) i używanych przez niego wtyczek, takich jak Flash, Java itp. Dodajesz zaufane witryny do białej listy, a inne nie mogą uruchamiać skryptów, chyba że pozwolisz im (tymczasowo lub na stałe).

Pytanie i to jest odpowiedź na nie-skryptu strony ( FAQ ) może dostarczyć pewnych wyjaśnień:

Dlaczego powinienem zezwalać na wykonywanie skryptów JavaScript, Java, Flash i wtyczek tylko dla zaufanych witryn?

JavaScript, Java i Flash, nawet będąc bardzo różnymi technologiami, mają jedną wspólną cechę: wykonują się na kodzie komputera pochodzącym ze zdalnej strony. Wszystkie trzy implementują pewien rodzaj modelu piaskownicy, ograniczając działania, które może wykonywać zdalny kod: np. Kod piaskownicy nie powinien odczytywać / zapisywać lokalnego dysku twardego ani wchodzić w interakcje z podstawowym systemem operacyjnym lub aplikacjami zewnętrznymi. Nawet jeśli piaskownice były kuloodporne (nie przypadek, przeczytaj poniżej), a nawet jeśli ty lub twój system operacyjny opakowujesz całą przeglądarkę innym piaskownicą (np. IE7 + na Vista lub Sandboxie), sama możliwość uruchomienia kodu piaskownicy w przeglądarce może być wykorzystywane do szkodliwych celów, np. do kradzieży ważnych informacji, które przechowujesz lub wprowadzasz do sieci (numery kart kredytowych, poświadczenia e-mail itd.) lub do „podszywania się” pod Ciebie, np. w fałszywych transakcjach finansowych, przeprowadzanie ataków „w chmurze”, takich jak Cross Site Scripting (XSS) lub CSRF, bez potrzeby ucieczki z przeglądarki lub uzyskania uprawnień wyższych niż normalna strona internetowa. Samo to wystarczający powód, aby zezwalać na wykonywanie skryptów tylko w zaufanych witrynach. Co więcej, wiele exploitów bezpieczeństwa ma na celu osiągnięcie „eskalacji uprawnień”, tj. Wykorzystanie błędu implementacji piaskownicy w celu uzyskania większych uprawnień i wykonywania nieprzyjemnych zadań, takich jak instalowanie trojanów, rootkitów i keyloggerów. Ten rodzaj ataku może również atakować JavaScript, Java, Flash i inne wtyczki: Samo to wystarczający powód, aby zezwalać na wykonywanie skryptów tylko w zaufanych witrynach. Co więcej, wiele exploitów bezpieczeństwa ma na celu osiągnięcie „eskalacji uprawnień”, tj. Wykorzystanie błędu implementacji piaskownicy w celu uzyskania większych uprawnień i wykonywania nieprzyjemnych zadań, takich jak instalowanie trojanów, rootkitów i keyloggerów. Ten rodzaj ataku może również atakować JavaScript, Java, Flash i inne wtyczki: Samo to wystarczający powód, aby zezwalać na wykonywanie skryptów tylko w zaufanych witrynach. Co więcej, wiele exploitów bezpieczeństwa ma na celu osiągnięcie „eskalacji uprawnień”, tj. Wykorzystanie błędu implementacji piaskownicy w celu uzyskania większych uprawnień i wykonywania nieprzyjemnych zadań, takich jak instalowanie trojanów, rootkitów i keyloggerów. Ten rodzaj ataku może również atakować JavaScript, Java, Flash i inne wtyczki:

1. JavaScript wygląda jak bardzo cenne narzędzie dla złych facetów: większość dotychczas wykrytych luk w przeglądarce, które można wykorzystać w przeglądarce, była nieskuteczna, jeśli JavaScript był wyłączony. Być może powodem jest to, że skrypty są łatwiejsze do testowania i wyszukiwania dziur, nawet jeśli jesteś początkującym hakerem: wszyscy i jego brat uważają się za programistę JavaScript: P

2. Java ma lepszą historię, przynajmniej w swoim „standardowym” wcieleniu, Sun JVM. Zamiast tego pojawiły się wirusy napisane dla Microsoft JVM, takie jak ByteVerifier.Trojan. W każdym razie, model bezpieczeństwa Java pozwala apletom podpisanym (apletom, których integralność i pochodzenie są gwarantowane przez certyfikat cyfrowy) działać z lokalnymi uprawnieniami, tj. Tak jak były to regularnie instalowane aplikacje. To w połączeniu z faktem, że zawsze są użytkownicy, którzy przed ostrzeżeniem typu „Ten aplet jest podpisany złym / fałszywym certyfikatem. NIE chcesz go wykonać! Czy zamiast tego jesteś tak szalony? [ Nigdy!] [Nie] [Nie] [Może] ”, wyszuka, znajdzie i wciśnie przycisk„ Tak ”, spowodował złą reputację nawet w przeglądarce Firefox (zauważ, że artykuł jest dość kiepski, ale jak można sobie wyobrazić miał wiele echa ).

3. Flash był uważany za stosunkowo bezpieczny, ale odkąd jego użycie stało się tak powszechne, wykryto poważniejsze wady bezpieczeństwa. Aplety Flash zostały również wykorzystane do przeprowadzenia ataków XSS na strony, na których są hostowane.>

4. Inne wtyczki są trudniejsze do wykorzystania, ponieważ większość z nich nie obsługuje maszyn wirtualnych, takich jak Java i Flash, ale nadal mogą ujawniać luki, takie jak przepełnienia bufora, które mogą wykonywać dowolny kod, gdy są zasilane specjalnie spreparowaną zawartością. Ostatnio widzieliśmy kilka luk w zabezpieczeniach wtyczek, mających wpływ na Acrobat Reader, Quicktime, RealPlayer i inne pomocniki multimedialne.

Zwróć uwagę, że na żadną z wyżej wymienionych technologii (95% czasu) zwykle nie mają wpływu znane i wciąż nieopracowane problemy, które można wykorzystać, ale chodzi o to, że NoScript ma na celu: zapobieganie wykorzystaniu nawet nieznanych jeszcze luk bezpieczeństwa, ponieważ po ich wykryciu może być za późno;) Najskuteczniejszym sposobem jest wyłączenie potencjalnego zagrożenia na niezaufanych stronach.

Teoretycznie wirusy można uzyskać w systemach Linux i Mac OS. Większość ludzi tego nie robi, ponieważ Linux i Mac OS nie są dużymi celami. Twórcy szkodliwego oprogramowania chcą rzucić szeroką sieć przy minimalnym wysiłku. Po drugie, Linux / Unix oferuje więcej bezpieczeństwa i lepiej poinformowanych użytkowników (ogólnie). Biorąc to pod uwagę, zawsze używam Flashblock i No Script w systemie Windows, Mac OS X i Ubuntu. Strony ładują się szybciej, pomaga zachować anonimowość online, zapobiegając flashowym plikom cookie i wszelkim innym problemom. Bardzo je polecam, niezależnie od platformy. Przynajmniej uświadamiają ci, co strony próbują zrobić.

Używam NoScript regularnie w Firefoksie i polecam go do codziennego użytku.

Nie blokuje reklam, więc nadal ponosisz koszty witryny dla ich administratorów.

Jednak blokuje reklamy flash, znacznie zmniejszając obciążenie procesora podczas przeglądania (pod warunkiem, że masz zainstalowaną wtyczkę flash)

Możesz indywidualnie zezwolić na uruchamianie treści, więc większość witryn do udostępniania wideo zacznie działać po zezwoleniu na skrypty związane z odtwarzaniem wideo (może to wymagać nieco zgadnięcia, jeśli na stronie znajduje się kilka skryptów). Przyznane uprawnienia mogą być tymczasowe na sesję lub stałe, więc witryna będzie działać, chyba że zdecydujesz się je ponownie zablokować.

Podczas wypełniania formularzy, takich jak rejestracja witryny, dobrze jest zezwolić na skrypty przed wypełnieniem formularzy, abyś nie musiał powtarzać swojej pracy. Zezwalanie na skrypt na stronie wymusza ponowne załadowanie strony.

Najważniejszą ochroną zapewnianą przez NoScript jest złośliwe strony, które próbują zmienić rozmiar okna, publikować treści w serwisach społecznościowych lub robić inne niepożądane rzeczy. NoScript zmienia domyślną akcję na odmowę i możesz wybrać dla każdej witryny, jeśli uważasz, że skrypty są godne zaufania.

Oto link instalacyjny przeglądarki Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/