Dois-je utiliser No-Script?

10

J'entends que la navigation sur le Web est l'origine la plus probable de logiciels malveillants sur un ordinateur ces jours-ci. J'entends également que l'on n'a pas besoin de s'inquiéter des virus sur Linux. Alors, dois-je utiliser une extension de navigateur qui me permet d'activer sélectivement javascript pour les domaines favoris, tels que No-Script ou Not-Script?

firefox  chromium 
daithib8
source
1
Je l'utilise moi-même mais je pense que c'est un non-starter pour le "moins patient". Même moi, je ne pouvais pas être dérangé jusqu'à ce que je trouve le raccourci clavier. Je dis à ma sœur de "passer à Ubuntu, pas de virus" et d'insister pour qu'elle utilise No-Script? Aucune chance. Puis-je au moins lui dire qu'elle sera x% plus sûre sur Ubuntu?
daithib8
@ daithib8 Votre utilisation de non-starter est particulièrement appropriée ici.
belacqua
Gardez à l'esprit que NoScript est une sécurité AJOUTÉE. Vous utilisez déjà un navigateur sûr sur un système d'exploitation sûr. Noscript est une merveilleuse extension et je l'utilise tout le temps, mais ce n'est pas pour tout le monde. Certaines personnes sont désactivées avec la quantité d'entretien dont elles ont besoin lors de la navigation sur des sites étrangers (cela les cassera). Je pense que ça vaut le coup, personnellement. Mais c'est votre décision.

Réponses:

13

Absolument!

Les attaquants peuvent utiliser des scripts malveillants pour effectuer plusieurs attaques telles que XSS:

Le cross-site scripting (XSS) est un type de vulnérabilité de sécurité informatique généralement trouvée dans les applications Web qui permet à des attaquants malveillants d'injecter un script côté client dans des pages Web consultées par d'autres utilisateurs ...

En savoir plus sur wikipedia .

Aucun script ne vous donne le pouvoir de contrôler tous les scripts sur une page Web (ou un site Web) et les plugins qu'il utilise tels que flash, java, etc. Vous ajoutez des sites de confiance à une liste blanche et les autres ne sont pas autorisés à exécuter des scripts, sauf si vous les laissez (temporairement ou définitivement).

Une question et sa réponse sur un site Web sans script ( FAQ ) peuvent apporter des clarifications:

Pourquoi devrais-je autoriser l'exécution de JavaScript, Java, Flash et des plugins uniquement pour les sites de confiance?

JavaScript, Java et Flash, étant même des technologies très différentes, ont une chose en commun: ils s'exécutent sur votre code informatique provenant d'un site distant. Tous les trois implémentent une sorte de modèle sandbox, limitant les activités que le code distant peut effectuer: par exemple, le code sandbox ne doit pas lire / écrire votre disque dur local ni interagir avec le système d'exploitation sous-jacent ou les applications externes. Même si les bacs à sable étaient à l'épreuve des balles (pas le cas, lire ci-dessous) et même si vous ou votre système d'exploitation enveloppez l'ensemble du navigateur avec un autre bac à sable (par exemple IE7 + sur Vista ou Sandboxie), la simple capacité d'exécuter du code en bac à sable à l'intérieur du navigateur peut être exploité à des fins malveillantes, par exemple pour voler des informations importantes que vous stockez ou saisissez sur le Web (numéros de carte de crédit, informations d'identification par e-mail, etc.) ou pour vous «usurper l'identité», par exemple dans de fausses transactions financières, le lancement d'attaques "cloud" comme Cross Site Scripting (XSS) ou CSRF, sans avoir besoin d'échapper à votre navigateur ou d'obtenir des privilèges supérieurs à une page Web normale. Cela suffit à lui seul à autoriser les scripts sur les sites de confiance uniquement. De plus, de nombreux exploits de sécurité visent à obtenir une "escalade de privilèges", c'est-à-dire à exploiter une erreur d'implémentation du bac à sable pour acquérir de plus grands privilèges et effectuer des tâches désagréables comme installer des chevaux de Troie, des rootkits et des enregistreurs de frappe. Ce type d'attaque peut également cibler JavaScript, Java, Flash et d'autres plugins: Cela suffit à lui seul à autoriser les scripts sur les sites de confiance uniquement. De plus, de nombreux exploits de sécurité visent à obtenir une "escalade de privilèges", c'est-à-dire à exploiter une erreur d'implémentation du bac à sable pour acquérir de plus grands privilèges et effectuer des tâches désagréables comme installer des chevaux de Troie, des rootkits et des enregistreurs de frappe. Ce type d'attaque peut également cibler JavaScript, Java, Flash et d'autres plugins: Cela suffit à lui seul à autoriser les scripts sur les sites de confiance uniquement. De plus, de nombreux exploits de sécurité visent à obtenir une "escalade de privilèges", c'est-à-dire à exploiter une erreur d'implémentation du bac à sable pour acquérir de plus grands privilèges et effectuer des tâches désagréables comme installer des chevaux de Troie, des rootkits et des enregistreurs de frappe. Ce type d'attaque peut également cibler JavaScript, Java, Flash et d'autres plugins:

  1. JavaScript ressemble à un outil très précieux pour les méchants: la plupart des vulnérabilités fixes exploitables par navigateur découvertes à ce jour étaient inefficaces si JavaScript était désactivé. Peut-être que la raison en est que les scripts sont plus faciles à tester et à rechercher des trous, même si vous êtes un pirate débutant: tout le monde et son frère croient être un programmeur JavaScript: P

  2. Java a une meilleure histoire, au moins dans son incarnation "standard", la Sun JVM. Il y a eu, à la place, des virus écrits pour la JVM de Microsoft, comme le ByteVerifier.Trojan. Quoi qu'il en soit, le modèle de sécurité Java permet aux applets signées (applets dont l'intégrité et l'origine sont garanties par un certificat numérique) de s'exécuter avec des privilèges locaux, c'est-à-dire comme si elles étaient des applications installées régulièrement. Ceci, combiné avec le fait qu'il y a toujours des utilisateurs qui, devant un avertissement comme "Cette applet est signée avec un certificat faux / faux. Vous NE VOULEZ PAS l'exécuter! Êtes-vous si fou de l'exécuter, à la place? [ Jamais!] [Non] [Non] [Peut-être] ", recherchera, trouvera et frappera le bouton" Oui ", a causé une mauvaise réputation même à Firefox (notez que l'article est assez boiteux, mais comme vous pouvez l'imaginer avait beaucoup d'écho ).

  3. Flash était auparavant considéré comme relativement sûr, mais depuis que son utilisation est devenue si répandue, de graves failles de sécurité ont été détectées à un rythme plus élevé. Les applets Flash ont également été exploitées pour lancer des attaques XSS contre les sites où elles sont hébergées.>

  4. D'autres plugins sont plus difficiles à exploiter, car la plupart d'entre eux n'hébergent pas de machine virtuelle comme Java et Flash, mais ils peuvent toujours exposer des trous comme des dépassements de tampon qui peuvent exécuter du code arbitraire lorsqu'ils sont alimentés avec un contenu spécialement conçu. Récemment, nous avons vu plusieurs de ces vulnérabilités de plugin, affectant Acrobat Reader, Quicktime, RealPlayer et d'autres aides multimédias.

Veuillez noter qu'aucune des technologies susmentionnées n'est généralement (95% du temps) affectée par des problèmes exploitables connus et non corrigés, mais le but de NoScript est juste ceci: empêcher l'exploitation même des failles de sécurité encore inconnues, car lorsqu'elles sont découvertes il peut être trop tard;) Le moyen le plus efficace consiste à désactiver la menace potentielle sur les sites non approuvés.

Pedram
source
5

En théorie, vous pouvez obtenir des virus sous Linux et Mac OS. La plupart des gens ne le font pas parce que Linux et Mac OS ne sont pas de grandes cibles. Les auteurs de programmes malveillants souhaitent créer un large réseau avec un minimum d'efforts. Secondairement, Linux / Unix offrent davantage de sécurité et des utilisateurs mieux informés (en général). Cela étant dit, j'utilise Flashblock et No Script sur Windows, Mac OS X et Ubuntu à tout moment. Les pages se chargent plus rapidement, elles contribuent à l'anonymat en ligne en empêchant les cookies flash et toutes sortes d'autres problèmes. Je les recommande fortement, quelle que soit la plateforme. Au minimum, ils vous font mieux comprendre ce que les pages essaient de faire.

manyxcxi
source
Apache n'est pas vraiment pertinent pour le point soulevé ici. Avec les ordinateurs de bureau, le principal trou de sécurité est l'utilisateur qui clique sur quoi que ce soit. Alors que Canonical réussit mieux à cibler les types non geek, je suis sûr qu'il y aura une augmentation des problèmes de sécurité.
Chan-Ho Suh
4

J'utilise NoScript régulièrement sur Firefox et le recommande pour une utilisation quotidienne.

Il ne bloque pas les publicités, vous supportez donc toujours les coûts du site pour leurs administrateurs.

Cependant, il bloque les publicités flash, ce qui réduit considérablement la charge de votre processeur lors de la navigation (à condition que le plugin flash soit installé)

Vous pouvez autoriser l'exécution individuelle du contenu, de sorte que la plupart des sites de partage de vidéos commenceront à fonctionner après avoir autorisé les scripts liés à la lecture vidéo (cela peut prendre un peu de devinettes s'il y a plusieurs scripts sur la page). Les autorisations que vous accordez peuvent être temporaires pour la session ou permanentes afin que le site fonctionne, sauf si vous décidez de les bloquer à nouveau.

Lorsque vous remplissez des formulaires tels que les inscriptions au site, c'est une bonne idée d'autoriser les scripts avant de remplir les formulaires afin de ne pas avoir à répéter votre travail. Autoriser un script sur une page force un rechargement de la page.

La protection la plus importante que NoScript vous accorde est contre les sites malveillants qui tentent de modifier la taille de votre fenêtre, de publier du contenu sur des sites sociaux ou de faire quoi que ce soit d'autre. NoScript change l'action par défaut en refusée, et vous pouvez choisir par site si vous jugez que les scripts sont fiables.

Voici le lien d'installation pour Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/

Joni Nevalainen
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.