Dovrei usare No-Script?

10

Ho sentito che la navigazione sul web è l'origine più probabile del malware su un computer al giorno d'oggi. Ho anche sentito che non bisogna preoccuparsi dei virus su Linux. Quindi, dovrei usare un'estensione del browser che mi permetta di abilitare selettivamente javascript per domini preferiti, come No-Script o Not-Script?

firefox  chromium 
daithib8
fonte
1
Lo uso da solo, ma penso che sia un antipasto per i "meno pazienti". Perfino non potevo essere disturbato fino a quando non ho trovato la scorciatoia da tastiera. Dico a mia sorella "passare a Ubuntu, senza virus" e quindi insistere che lei usi No-Script? Nessuna possibilità. Posso almeno dirle che sarà x% più sicura su Ubuntu?
daithib8
@ daithib8 Il tuo uso di non-starter è particolarmente appropriato qui.
belacqua,
Tieni presente che NoScript è sicurezza AGGIUNTA. Stai già utilizzando un browser sicuro su un sistema operativo sicuro. Noscript è un'estensione meravigliosa e lo uso sempre, ma non è per tutti. Alcune persone sono spente con la quantità di manutenzione necessaria durante la navigazione di siti stranieri (li romperanno). Penso che valga la pena, personalmente. Ma è una tua decisione.

Risposte:

13

Decisamente!

Gli aggressori possono utilizzare script dannosi per eseguire attacchi multipli come XSS:

Cross-site scripting (XSS) è un tipo di vulnerabilità della sicurezza del computer che si trova in genere nelle applicazioni Web che consente agli autori di attacchi dannosi di iniettare script sul lato client in pagine Web visualizzate da altri utenti ...

Maggiori informazioni su Wikipedia .

Nessuno script ti dà il potere di controllare tutti gli script di una pagina Web (o di un sito Web) e i plug-in che utilizza come Flash, Java, ecc. Aggiunge siti attendibili a una whitelist e agli altri non è consentito eseguire script, a meno che non li lasci (temporaneamente o permanentemente).

Una domanda e la sua risposta sul sito Web senza script ( faq ) possono fornire alcuni chiarimenti:

Perché dovrei consentire l'esecuzione di JavaScript, Java, Flash e plugin solo per siti attendibili?

JavaScript, Java e Flash, pur essendo tecnologie molto diverse, hanno una cosa in comune: eseguono sul codice del tuo computer proveniente da un sito remoto. Tutti e tre implementano una sorta di modello sandbox, limitando le attività che il codice remoto può svolgere: ad esempio, il codice sandbox non deve leggere / scrivere il disco rigido locale né interagire con il sistema operativo o le applicazioni esterne sottostanti. Anche se i sandbox erano a prova di proiettile (non il caso, leggi sotto) e anche se tu o il tuo sistema operativo avresti avvolto l'intero browser con un altro sandbox (ad esempio IE7 + su Vista o Sandboxie), la semplice capacità di eseguire codice sandbox all'interno del browser può essere sfruttato per scopi dannosi, ad esempio per rubare informazioni importanti archiviate o immesse sul Web (numeri di carta di credito, credenziali e-mail e così via) o per "impersonare" l'utente, ad es. nelle transazioni finanziarie false, lanciando attacchi "cloud" come Cross Site Scripting (XSS) o CSRF, senza la necessità di uscire dal browser o ottenere privilegi superiori a una normale pagina Web. Questo da solo è una ragione sufficiente per consentire lo scripting solo su siti attendibili. Inoltre, molti exploit di sicurezza mirano a ottenere una "escalation di privilegi", vale a dire sfruttando un errore di implementazione della sandbox per acquisire maggiori privilegi ed eseguire attività sgradevoli come installare trojan, rootkit e keylogger. Questo tipo di attacco può colpire anche JavaScript, Java, Flash e altri plugin: Questo da solo è una ragione sufficiente per consentire lo scripting solo su siti attendibili. Inoltre, molti exploit di sicurezza mirano a ottenere una "escalation di privilegi", vale a dire sfruttando un errore di implementazione della sandbox per acquisire maggiori privilegi ed eseguire attività sgradevoli come installare trojan, rootkit e keylogger. Questo tipo di attacco può colpire anche JavaScript, Java, Flash e altri plugin: Questo da solo è una ragione sufficiente per consentire lo scripting solo su siti attendibili. Inoltre, molti exploit di sicurezza mirano a ottenere una "escalation di privilegi", vale a dire sfruttando un errore di implementazione della sandbox per acquisire maggiori privilegi ed eseguire attività sgradevoli come installare trojan, rootkit e keylogger. Questo tipo di attacco può colpire anche JavaScript, Java, Flash e altri plugin:

  1. JavaScript sembra uno strumento molto prezioso per i cattivi: la maggior parte delle vulnerabilità fisse sfruttabili dal browser scoperte fino ad oggi erano inefficaci se JavaScript era disabilitato. Forse il motivo è che gli script sono più facili da testare e cercare buchi, anche se sei un hacker principiante: tutti e suo fratello credono di essere un programmatore JavaScript: P

  2. Java ha una storia migliore, almeno nella sua incarnazione "standard", il Sun JVM. Ci sono stati invece dei virus scritti per Microsoft JVM, come ByteVerifier.Trojan. Ad ogni modo, il modello di sicurezza Java consente l'esecuzione di applet firmate (applet la cui integrità e origine sono garantite da un certificato digitale) con privilegi locali, vale a dire proprio come se fossero normali applicazioni installate. Questo, combinato con il fatto che ci sono sempre utenti che, davanti a un avvertimento del tipo "Questa applet è firmata con un certificato errato / falso. NON vuoi eseguirla! Sei così arrabbiata da eseguirla, invece? [ Mai!] [No] [No] [Forse] ", cercherà, troverà e premerà il pulsante" Sì ", causando una cattiva reputazione persino a Firefox (si noti che l'articolo è abbastanza zoppo, ma come puoi immaginare aveva molto eco ).

  3. Flash era considerato relativamente sicuro, ma da quando il suo utilizzo è diventato così diffuso sono stati riscontrati gravi problemi di sicurezza a un tasso più elevato. Le applet Flash sono state anche sfruttate per lanciare attacchi XSS contro i siti in cui sono ospitati.>

  4. Altri plugin sono più difficili da sfruttare, perché la maggior parte di essi non ospita una macchina virtuale come fanno Java e Flash, ma possono comunque esporre buchi come sovraccarichi del buffer che possono eseguire codice arbitrario se alimentati con un contenuto appositamente predisposto. Di recente abbiamo riscontrato molte di queste vulnerabilità dei plug-in, che riguardano Acrobat Reader, Quicktime, RealPlayer e altri helper multimediali.

Si noti che nessuna delle tecnologie sopra menzionate è generalmente (il 95% delle volte) interessata da problemi sfruttabili pubblicamente noti e ancora senza patch, ma il punto di NoScript è proprio questo: prevenire lo sfruttamento di falle anche sconosciute ma di sicurezza, perché quando vengono scoperte potrebbe essere troppo tardi;) Il modo più efficace è disabilitare la potenziale minaccia su siti non attendibili.

Pedram
fonte
5

In teoria puoi ottenere virus su Linux e Mac OS. Il motivo per cui molte persone non lo fanno è perché Linux e Mac OS non sono grandi obiettivi. Gli autori di malware vogliono lanciare un'ampia rete con il minimo sforzo. Secondariamente Linux / Unix offrono di più in termini di sicurezza e utenti meglio informati (in generale). Detto questo, utilizzo sempre Flashblock e No Script su Windows, Mac OS X e Ubuntu. Le pagine si caricano più velocemente, aiuta con l'anonimato online prevenendo i cookie flash e tutti i tipi di altri problemi. Li consiglio vivamente, indipendentemente dalla piattaforma. Almeno ti rendono più consapevole di ciò che le pagine stanno cercando di fare.

manyxcxi
fonte
Apache non è realmente pertinente al punto qui esposto. Con i desktop, il principale problema di sicurezza è l'utente che fa clic su qualsiasi cosa. Man mano che Canonical avrà più successo con il targeting di tipi non geek, sono sicuro che ci saranno un aumento dei problemi di sicurezza.
Chan-Ho Suh,
4

Uso regolarmente NoScript su Firefox e lo consiglio per l'uso quotidiano.

Non blocca gli annunci, quindi continui a sostenere i costi del sito per i loro amministratori.

Tuttavia, blocca gli annunci flash, riducendo notevolmente il carico della CPU durante la navigazione (a condizione che il plug-in Flash sia installato)

Puoi consentire l'esecuzione individuale dei contenuti, quindi la maggior parte dei siti di condivisione video inizierà a funzionare dopo aver autorizzato gli script relativi alla riproduzione video (ciò potrebbe richiedere un po 'di ipotesi se ci sono diversi script sulla pagina). Le autorizzazioni concesse possono essere temporanee per la sessione o permanenti, pertanto il sito funzionerà a meno che non si decida di bloccarle nuovamente.

Quando si compilano moduli come le registrazioni del sito, è una buona idea consentire gli script prima di compilare i moduli in modo da non dover ripetere il lavoro. Consentire uno script su una pagina forza un ricaricamento della pagina.

La protezione più importante che NoScript ti concede proviene da siti dannosi che tentano di modificare le dimensioni della finestra, pubblicare contenuti sui siti social o fare qualsiasi altra cosa indesiderata. NoScript modifica l'azione predefinita in negata e puoi scegliere per sito se ritieni che gli script siano affidabili.

Ecco il link di installazione per Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/

Joni Nevalainen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.