Tôi có nên sử dụng No-Script không?

Tôi nghe nói rằng trình duyệt web là nguồn gốc của phần mềm độc hại có khả năng nhất trên máy tính hiện nay. Tôi cũng nghe nói rằng người ta không cần phải lo lắng về virus trên Linux. Vì vậy, tôi có nên sử dụng tiện ích mở rộng trình duyệt cho phép tôi chọn lọc javascript cho các tên miền ưa thích, chẳng hạn như No-Script hoặc Not-Script không?

Chắc chắn rồi!

Kẻ tấn công có thể sử dụng các tập lệnh độc hại để thực hiện nhiều cuộc tấn công như XSS:

Tập lệnh chéo trang (XSS) là một loại lỗ hổng bảo mật máy tính thường thấy trong các ứng dụng web cho phép kẻ tấn công độc hại tiêm tập lệnh phía máy khách vào các trang web được xem bởi người dùng khác ...

Đọc thêm trong wikipedia .

Không có tập lệnh nào cung cấp cho bạn quyền kiểm soát tất cả các tập lệnh trên trang web (hoặc trang web) và các plugin mà nó sử dụng như flash, java, v.v. Bạn thêm các trang web đáng tin cậy vào danh sách trắng và các trang khác không được phép chạy tập lệnh, trừ khi bạn để chúng (tạm thời hoặc vĩnh viễn).

Một câu hỏi và đó là câu trả lời trên trang web không có tập lệnh ( faq ) có thể cung cấp một số giải thích:

Tại sao tôi chỉ cho phép thực thi JavaScript, Java, Flash và plugin cho các trang web đáng tin cậy?

JavaScript, Java và Flash, thậm chí là các công nghệ rất khác nhau, có một điểm chung: chúng thực thi trên mã máy tính của bạn đến từ một trang web từ xa. Cả ba đều thực hiện một số loại mô hình hộp cát, giới hạn các hoạt động mà mã từ xa có thể thực hiện: ví dụ: mã hộp cát không nên đọc / ghi đĩa cứng cục bộ của bạn cũng như không tương tác với hệ điều hành bên dưới hoặc các ứng dụng bên ngoài. Ngay cả khi các hộp cát là bằng chứng đạn (không phải trường hợp, hãy đọc bên dưới) và ngay cả khi bạn hoặc hệ điều hành của bạn bọc toàn bộ trình duyệt bằng một hộp cát khác (ví dụ IE7 + trên Vista hoặc Sandboxie), khả năng chỉ chạy mã hộp cát trong trình duyệt bị khai thác cho mục đích xấu, ví dụ như đánh cắp thông tin quan trọng bạn lưu trữ hoặc nhập trên web (số thẻ tín dụng, thông tin email, v.v.) hoặc để "mạo danh" bạn, vd trong các giao dịch tài chính giả, khởi chạy các cuộc tấn công "đám mây" như Cross Site Scripting (XSS) hoặc CSRF, không cần thoát khỏi trình duyệt của bạn hoặc giành được các đặc quyền cao hơn một trang web bình thường. Chỉ điều này là đủ lý do để chỉ cho phép kịch bản trên các trang web đáng tin cậy. Hơn nữa, nhiều khai thác bảo mật nhằm mục đích đạt được "sự leo thang đặc quyền", tức là khai thác lỗi thực thi của hộp cát để có được các đặc quyền lớn hơn và thực hiện các nhiệm vụ khó chịu như cài đặt trojan, rootkit và keylogger. Kiểu tấn công này cũng có thể nhắm mục tiêu JavaScript, Java, Flash và các plugin khác: Chỉ điều này là đủ lý do để chỉ cho phép kịch bản trên các trang web đáng tin cậy. Hơn nữa, nhiều khai thác bảo mật nhằm mục đích đạt được "sự leo thang đặc quyền", tức là khai thác lỗi thực thi của hộp cát để có được các đặc quyền lớn hơn và thực hiện các nhiệm vụ khó chịu như cài đặt trojan, rootkit và keylogger. Kiểu tấn công này cũng có thể nhắm mục tiêu JavaScript, Java, Flash và các plugin khác: Chỉ điều này là đủ lý do để chỉ cho phép kịch bản trên các trang web đáng tin cậy. Hơn nữa, nhiều khai thác bảo mật nhằm mục đích đạt được "sự leo thang đặc quyền", tức là khai thác lỗi thực thi của hộp cát để có được các đặc quyền lớn hơn và thực hiện các nhiệm vụ khó chịu như cài đặt trojan, rootkit và keylogger. Kiểu tấn công này cũng có thể nhắm mục tiêu JavaScript, Java, Flash và các plugin khác:

1. JavaScript trông giống như một công cụ rất quý giá cho những kẻ xấu: hầu hết các lỗ hổng cố định có thể khai thác trên trình duyệt được phát hiện cho đến nay đều không hiệu quả nếu JavaScript bị vô hiệu hóa. Có thể lý do là các tập lệnh dễ kiểm tra và tìm kiếm lỗ hổng hơn, ngay cả khi bạn là một hacker mới: mọi người và anh trai của anh ta tin là một lập trình viên JavaScript: P

2. Java có một lịch sử tốt hơn, ít nhất là trong phiên bản "tiêu chuẩn" của nó, Sun JVM. Thay vào đó, đã có virus, được viết cho Microsoft JVM, như ByteVerifier.Trojan. Dù sao, mô hình bảo mật Java cho phép các applet đã ký (các applet có tính toàn vẹn và nguồn gốc được đảm bảo bằng chứng chỉ kỹ thuật số) để chạy với các đặc quyền cục bộ, tức là giống như chúng là các ứng dụng được cài đặt thông thường. Điều này, kết hợp với thực tế luôn có những người dùng, trước một cảnh báo như "Applet này được ký với một chứng chỉ xấu / giả. Thay vào đó, bạn không muốn thực thi nó! Không bao giờ!] [Không] [Không] [Có thể] ", sẽ tìm kiếm, tìm và nhấn nút" Có ", gây ra một số tiếng xấu ngay cả với Firefox (lưu ý rằng bài viết này khá khập khiễng, nhưng như bạn có thể tưởng tượng có nhiều tiếng vang ).

3. Flash từng được coi là tương đối an toàn, nhưng do việc sử dụng nó trở nên phổ biến nên các lỗi bảo mật nghiêm trọng đã được tìm thấy ở tốc độ cao hơn. Các applet flash cũng đã được khai thác để khởi động các cuộc tấn công XSS chống lại các trang web nơi chúng được lưu trữ.>

4. Các plugin khác khó khai thác hơn, vì hầu hết chúng không lưu trữ một máy ảo như Java và Flash, nhưng chúng vẫn có thể lộ ra các lỗ hổng như lỗi tràn bộ đệm có thể thực thi mã tùy ý khi được cung cấp nội dung được chế tạo đặc biệt. Gần đây, chúng tôi đã thấy một số lỗ hổng plugin này, ảnh hưởng đến Acrobat Reader, Quicktime, RealPlayer và các trình trợ giúp đa phương tiện khác.

Xin lưu ý rằng không có công nghệ nào nói trên thường bị ảnh hưởng (95% thời gian) bị ảnh hưởng bởi các vấn đề khai thác được biết đến công khai và vẫn chưa được khắc phục, nhưng quan điểm của NoScript chỉ là: ngăn chặn việc khai thác ngay cả các lỗ hổng bảo mật chưa được biết đến, bởi vì khi chúng được phát hiện có thể là quá muộn;) Cách hiệu quả nhất là vô hiệu hóa mối đe dọa tiềm tàng trên các trang web không đáng tin cậy.

Về lý thuyết, bạn có thể bị nhiễm virus trên Linux và Mac OS. Lý do hầu hết mọi người không làm là vì Linux và Mac OS không phải là mục tiêu lớn. Các nhà văn phần mềm độc hại muốn tạo một mạng lưới rộng với nỗ lực tối thiểu. Thứ hai, Linux / Unix cung cấp nhiều hơn về cách bảo mật và người dùng có thông tin tốt hơn (nói chung). Điều đó đang được nói rằng tôi sử dụng Flashblock và No Script trên Windows, Mac OS X và Ubuntu mọi lúc. Các trang tải nhanh hơn, nó giúp ẩn danh trực tuyến bằng cách ngăn chặn cookie flash và tất cả các vấn đề khác. Tôi đánh giá cao họ, bất kể nền tảng. Tối thiểu chúng làm cho bạn nhận thức rõ hơn về những trang đang cố gắng làm.

Tôi sử dụng NoScript thường xuyên trên Firefox và khuyên dùng nó hàng ngày.

Nó không chặn quảng cáo, vì vậy bạn vẫn hỗ trợ chi phí trang web cho quản trị viên của họ.

Tuy nhiên, nó chặn quảng cáo flash, giúp giảm đáng kể tải CPU của bạn khi duyệt (với điều kiện bạn đã cài đặt plugin flash)

Bạn có thể cho phép cá nhân chạy nội dung, vì vậy hầu hết các trang web chia sẻ video sẽ bắt đầu hoạt động sau khi bạn cho phép các tập lệnh liên quan đến phát lại video (Điều này có thể đoán một chút nếu có một số tập lệnh trên trang). Các quyền bạn cấp có thể là tạm thời cho phiên hoặc vĩnh viễn để trang web sẽ hoạt động trừ khi bạn quyết định chặn chúng lại.

Khi điền vào các biểu mẫu như đăng ký trang web, bạn nên cho phép các tập lệnh trước khi điền vào các biểu mẫu để bạn không phải lặp lại công việc của mình. Cho phép một tập lệnh trên một trang buộc tải lại trang.

Sự bảo vệ quan trọng nhất mà NoScript cấp cho bạn là từ các trang web độc hại cố gắng thay đổi kích thước cửa sổ của bạn, đăng nội dung lên các trang xã hội hoặc làm bất cứ điều gì khác không mong muốn. NoScript thay đổi hành động mặc định thành bị từ chối và bạn có thể chọn mỗi trang web nếu bạn đánh giá rằng các tập lệnh là đáng tin cậy.

Đây là liên kết cài đặt cho Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/