Должен ли я использовать No-Script?

Я слышал, что просмотр веб-страниц является наиболее вероятным источником вредоносных программ на компьютере в наши дни. Я также слышал, что не нужно беспокоиться о вирусах в Linux. Итак, я должен использовать расширение браузера, которое позволяет мне выборочно включать JavaScript для избранных доменов, таких как No-Script или Not-Script?

Определенно!

Злоумышленники могут использовать вредоносные сценарии для выполнения нескольких атак, таких как XSS:

Межсайтовый скриптинг (XSS) - это тип уязвимости компьютерной безопасности, обычно встречающийся в веб-приложениях, который позволяет злоумышленникам внедрять клиентский скрипт в веб-страницы, просматриваемые другими пользователями ...

Читайте больше в википедии .

Никакой сценарий не дает вам возможности контролировать все сценарии на веб-странице (или веб-сайте) и используемые им плагины, такие как flash, java и т. Д. Вы добавляете доверенные сайты в белый список, а другим не разрешается запускать сценарии, если вы не позволите им (временно или навсегда).

Вопрос , и это ответ на не-скрипте сайта ( часто задаваемые вопросы ) могут предоставить некоторые разъяснения:

Почему я должен разрешать выполнение JavaScript, Java, Flash и плагинов только для доверенных сайтов?

JavaScript, Java и Flash, даже будучи очень разными технологиями, имеют одну общую черту: они исполняются на вашем компьютере с кода, получаемого с удаленного сайта. Все три реализуют какую-то модель песочницы, ограничивая действия, которые может выполнять удаленный код: например, песочница не должна читать / записывать ваш локальный жесткий диск и не взаимодействовать с базовой операционной системой или внешними приложениями. Даже если песочницы были пуленепробиваемыми (не так, см. Ниже), и даже если вы или ваша операционная система обернули весь браузер другой песочницей (например, IE7 + в Vista или Sandboxie), простая возможность запуска изолированного кода внутри браузера может использовать в злонамеренных целях, например, для кражи важной информации, которую вы храните или вводите в Интернете (номера кредитных карт, учетные данные электронной почты и т. д.) или для «подражания» вам, например в фальшивых финансовых транзакциях запускаются «облачные» атаки, такие как межсайтовый скриптинг (XSS) или CSRF, без необходимости выходить из браузера или получать привилегии выше обычной веб-страницы. Одного этого достаточно для того, чтобы разрешать скрипты только на доверенных сайтах. Более того, многие эксплойты безопасности направлены на достижение «повышения привилегий», то есть на использование ошибки реализации песочницы для получения больших привилегий и выполнения неприятных задач, таких как установка троянов, руткитов и клавиатурных шпионов. Этот тип атаки может быть нацелен на JavaScript, Java, Flash и другие плагины: Одного этого достаточно для того, чтобы разрешать скрипты только на доверенных сайтах. Более того, многие эксплойты безопасности направлены на достижение «повышения привилегий», то есть на использование ошибки реализации песочницы для получения больших привилегий и выполнения неприятных задач, таких как установка троянов, руткитов и клавиатурных шпионов. Этот тип атаки может быть нацелен на JavaScript, Java, Flash и другие плагины: Одного этого достаточно для того, чтобы разрешать скрипты только на доверенных сайтах. Более того, многие эксплойты безопасности направлены на достижение «повышения привилегий», то есть на использование ошибки реализации песочницы для получения больших привилегий и выполнения неприятных задач, таких как установка троянов, руткитов и клавиатурных шпионов. Этот тип атаки может быть нацелен на JavaScript, Java, Flash и другие плагины:

1. JavaScript выглядит очень ценным инструментом для плохих парней: большинство обнаруженных на сегодняшний день уязвимостей, исправленных в браузере, были неэффективны, если JavaScript был отключен. Возможно, причина в том, что скрипты проще тестировать и искать дыры, даже если вы начинающий хакер: все и его брат считают себя программистом JavaScript: P

2. У Java лучшая история, по крайней мере в ее «стандартном» воплощении, Sun JVM. Вместо этого были написаны вирусы, написанные для Microsoft JVM, такие как ByteVerifier.Trojan. В любом случае, модель безопасности Java позволяет подписанным апплетам (апплетам, целостность и происхождение которых гарантируется цифровым сертификатом) работать с локальными привилегиями, то есть точно так же, как они были обычными установленными приложениями. Это, в сочетании с тем фактом, что всегда есть пользователи, которые перед предупреждением типа «Этот апплет подписан плохим / поддельным сертификатом. Вы не хотите его выполнять! Вы настолько безумны, чтобы выполнять его, вместо этого? [ Никогда!] [Нет] [Нет] [Может быть] ", будет искать, находить и нажимать кнопку" Да ", что вызвало плохую репутацию даже у Firefox (обратите внимание, что статья довольно хромая, но, как вы можете себе представить, имела много эха) ).

3. Раньше флэш считался относительно безопасным, но с тех пор, как его использование стало настолько широко распространенным, серьезные недостатки безопасности были обнаружены с большей скоростью. Flash-апплеты также использовались для запуска XSS-атак на сайты, на которых они размещены.>

4. Другие плагины сложнее использовать, потому что большинство из них не содержат виртуальную машину, как Java и Flash, но они все еще могут открывать дыры, такие как переполнение буфера, которые могут выполнять произвольный код при загрузке со специально созданным контентом. Недавно мы видели несколько таких уязвимостей плагина, затрагивающих Acrobat Reader, Quicktime, RealPlayer и других мультимедийных помощников.

Обратите внимание, что ни одна из вышеупомянутых технологий обычно (в 95% случаев) не подвержена общеизвестным и еще не исправленным уязвимостям, но смысл NoScript заключается в следующем: предотвращение эксплуатации даже неизвестных, но еще брешей в безопасности, потому что, когда они обнаружены может быть уже слишком поздно;) Самый эффективный способ - отключить потенциальную угрозу на ненадежных сайтах.

Теоретически вы можете получить вирусы в Linux и Mac OS. Причина, по которой большинство людей этого не делает, заключается в том, что Linux и Mac OS не являются большими целями. Авторы вредоносных программ хотят создать широкую сеть с минимальными усилиями. Во-вторых, Linux / Unix предлагают больше в плане безопасности и более информированных пользователей (в целом). При этом я постоянно использую Flashblock и No Script в Windows, Mac OS X и Ubuntu. Страницы загружаются быстрее, это помогает с онлайн-анонимностью, предотвращая флеш-куки и другие проблемы. Я настоятельно рекомендую их независимо от платформы. Как минимум, они делают вас более осведомленными о том, что страницы пытаются сделать.

Я регулярно использую NoScript в Firefox и рекомендую его для ежедневного использования.

Он не блокирует рекламу, поэтому вы по-прежнему поддерживаете расходы на сайт для их администраторов.

Тем не менее, он блокирует флэш-рекламу, значительно снижая нагрузку на процессор при просмотре (при условии, что у вас установлен флэш-плагин)

Вы можете по отдельности разрешить запуск контента, поэтому большинство сайтов для обмена видео начнут работать после того, как вы разрешите сценарии, связанные с воспроизведением видео (это может занять некоторое время при угадывании, если на странице несколько сценариев). Предоставляемые вами разрешения могут быть временными для сеанса или постоянными, поэтому сайт будет работать, если вы не решите заблокировать их снова.

При заполнении форм, таких как регистрация на сайте, рекомендуется разрешить сценарии перед заполнением форм, чтобы вам не приходилось повторять свою работу. Разрешение сценария на странице вызывает перезагрузку страницы.

Самая важная защита, предоставляемая NoScript, - от вредоносных сайтов, которые пытаются изменить размер вашего окна, публиковать контент на социальных сайтах или делать что-либо еще нежелательным. NoScript изменяет действие по умолчанию на запрещенное, и вы можете выбрать для каждого сайта, если вы считаете, что сценарии заслуживают доверия.

Вот ссылка для установки Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/