NoScript (o NoScript Security Suite ) es una extensión de software gratuita para Mozilla Firefox , SeaMonkey , otros navegadores web basados en Mozilla y Google Chrome , [4] creado y mantenido por Giorgio Maone, [5] un desarrollador de software italiano y miembro de Mozilla Grupo de seguridad. [6]
Autor (es) original (es) | Giorgio Maone |
---|---|
Desarrollador (es) | Giorgio Maone |
Versión inicial | 13 de mayo de 2005 [1] |
Lanzamiento estable | 11.2.8 [2] / 19 de mayo de 2021 |
Versión de vista previa | 11.2.8rc2 / 19 de mayo de 2021 |
Repositorio | https://github.com/hackademix/noscript |
Escrito en | JavaScript , XUL , CSS |
Disponible en | 45 [3] idiomas |
Tipo | Extensión de Mozilla |
Licencia | GPLv2 + |
Sitio web | NoScript.net |
Características
Bloqueo de contenido activo
De forma predeterminada, NoScript bloquea el contenido web activo (ejecutable), que se puede desbloquear total o parcialmente al permitir la inclusión de un sitio o dominio en el menú de la barra de herramientas de la extensión o al hacer clic en un icono de marcador de posición.
En la configuración predeterminada, el contenido activo está denegado globalmente, aunque el usuario puede cambiar esto y usar NoScript para bloquear contenido no deseado específico. La lista de permisos puede ser permanente o temporal (hasta que el navegador se cierre o el usuario revoque los permisos). El contenido activo puede consistir en JavaScript , fuentes web, códecs de medios , WebGL y Flash . El complemento también ofrece contramedidas específicas contra las vulnerabilidades de seguridad. [7]
Debido a que muchos ataques al navegador web requieren contenido activo que el navegador normalmente ejecuta sin cuestionar, deshabilitar dicho contenido de manera predeterminada y usarlo solo en la medida en que sea necesario reduce las posibilidades de explotación de vulnerabilidades. Además, no cargar este contenido ahorra un ancho de banda significativo [8] y anula algunas formas de seguimiento web.
NoScript es útil para que los desarrolladores vean qué tan bien funciona su sitio con JavaScript desactivado. También puede eliminar muchos elementos web irritantes, como mensajes emergentes en la página y ciertos muros de pago , que requieren JavaScript para funcionar.
NoScript toma la forma de un ícono de barra de herramientas o un ícono de barra de estado en Firefox. Se muestra en todos los sitios web para indicar si NoScript ha bloqueado, permitido o permitido parcialmente la ejecución de scripts en la página web que se está viendo. Al hacer clic o desplazarse (desde la versión 2.0.3rc1 [9] ) el cursor del mouse sobre el icono de NoScript le da al usuario la opción de permitir o prohibir el procesamiento del script.
La interfaz de NoScript, ya sea que se acceda haciendo clic derecho en la página web o en el cuadro distintivo de NoScript en la parte inferior de la página (por defecto), muestra la URL de los scripts que están bloqueados, pero no proporciona ningún tipo de referencia. para buscar si una secuencia de comandos determinada es segura de ejecutar. [10] Con páginas web complejas, los usuarios pueden enfrentarse a más de una docena de URL crípticas diferentes y una página web que no funciona, con solo la opción de permitir el script, bloquearlo o permitirlo temporalmente.
El 14 de noviembre de 2017, Giorgio Maone anunció NoScript 10, que será "muy diferente" de las versiones 5.xy utilizará la tecnología WebExtension, haciéndolo compatible con Firefox Quantum . [11] El 20 de noviembre de 2017, Maone lanzó la versión 10.1.1 para Firefox 57 y superior. NoScript está disponible para Firefox para Android. [12]
Protección anti-XSS
El 11 de abril de 2007, NoScript 1.1.4.7 se lanzó al público, [13] introduciendo la primera protección del lado del cliente contra las secuencias de comandos de sitios cruzados (XSS) Tipo 0 y Tipo 1 que se haya proporcionado en un navegador web.
Siempre que un sitio web intenta inyectar código HTML o JavaScript dentro de un sitio diferente (una violación de la política del mismo origen ), NoScript filtra la solicitud maliciosa y neutraliza su carga útil peligrosa. [14]
Años más tarde, Microsoft Internet Explorer 8 [15] y Google Chrome adoptaron características similares . [dieciséis]
Aplicación de límites enforcer (ABE)
Application Boundary Enforcer (ABE) es un módulo NoScript integrado destinado a fortalecer las protecciones orientadas a la aplicación web que ya proporciona NoScript, mediante la entrega de un componente similar a un firewall que se ejecuta dentro del navegador.
Este "firewall" está especializado en definir y proteger los límites de cada aplicación web sensible relevante para el usuario (por ejemplo, complementos, correo web, banca en línea, etc.), de acuerdo con las políticas definidas directamente por el usuario, el desarrollador web. / administrador, o un tercero de confianza. [17] En su configuración predeterminada, el ABE de NoScript proporciona protección contra ataques de reenlace de CSRF y DNS dirigidos a recursos de intranet, como enrutadores y aplicaciones web sensibles. [18]
ClearClick (anti-clickjacking)
La función ClearClick de NoScript, [19] lanzada el 8 de octubre de 2008, evita que los usuarios hagan clic en elementos de página invisibles o "corregidos" de documentos incrustados o subprogramas, eliminando todos los tipos de clickjacking (es decir, de marcos y complementos). [20]
Esto convierte a NoScript en "el único producto disponible gratuitamente que ofrece un grado razonable de protección contra los ataques de clickjacking. [21]
Mejoras de HTTPS
NoScript puede obligar al navegador a usar siempre HTTPS al establecer conexiones con algunos sitios sensibles, para evitar ataques de intermediarios. Este comportamiento puede ser desencadenado por los propios sitios web, enviando el encabezado Strict Transport Security , o configurado por los usuarios para aquellos sitios web que aún no son compatibles con Strict Transport Security. [22]
Electronic Frontier Foundation ha utilizado las funciones de mejora HTTPS de NoScript como base de su complemento HTTPS Everywhere . [23]
Premios
- PC World eligió NoScript como uno de los 100 mejores productos de 2006. [24]
- En 2008, NoScript ganó el premio editorial "Mejor complemento de seguridad" de About.com . [25]
- En 2010, NoScript fue el ganador de los premios "Reader's Choice Awards" en la categoría "Mejor complemento de privacidad / seguridad" en About.com . [26]
- En 2011, por segundo año consecutivo, NoScript fue el ganador de los premios "Reader's Choice Awards" en la categoría "Mejor complemento de privacidad / seguridad" en About.com . [27]
- NoScript fue el ganador en 2011 (primera edición) de la "Beca de innovación en seguridad" del Dragon Research Group. Este premio se otorga al proyecto más innovador en el área de seguridad de la información, juzgado por un comité independiente. [28]
Conflictos
Conflicto con Adblock Plus
En mayo de 2009, se informó que había estallado una "guerra de extensiones" entre el desarrollador de NoScript, Giorgio Maone, y los desarrolladores de la extensión de bloqueo de anuncios de Firefox Adblock Plus después de que Maone lanzara una versión de NoScript que eludía un bloqueo habilitado por un AdBlock. Plus filtro. [29] [30] El código que implementa esta solución fue "camuflado" [29] para evitar la detección. Maone declaró que lo había implementado en respuesta a un filtro que bloqueaba su propio sitio web. Después de generar críticas y una declaración de los administradores del sitio de complementos de Mozilla de que el sitio cambiaría sus pautas con respecto a modificaciones de complementos, [31] Maone eliminó el código y emitió una disculpa completa. [29] [32]
Conflicto con Ghostery
Inmediatamente después del incidente de Adblock Plus, [33] surgió una disputa entre Maone y los desarrolladores del complemento Ghostery después de que Maone implementó un cambio en su sitio web que deshabilitó la notificación que Ghostery usaba para informar sobre el software de seguimiento web . [34] Esto se interpretó como un intento de "evitar que Ghostery informe sobre rastreadores y redes publicitarias en los sitios web de NoScript". [33] En respuesta, Maone declaró que el cambio se realizó porque la notificación de Ghostery oscureció el botón de donación en el sitio NoScript. [35] Este conflicto se resolvió cuando Maone cambió el CSS de su sitio para mover, en lugar de desactivar, la notificación de Ghostery. [36]
Ver también
- Extensiones de privacidad de Firefox
- uBlock Origin
- GNU LibreJS
- Centralita HTTP
- Política de seguridad de contenido
- Asesino de cuadros
Referencias
- ^ "Versión 1.0" . NoScript . Complementos de Mozilla. 2005-05-13. Archivado desde el original el 2 de octubre de 2018.
- ^ "Versión 11.2.8" . 19 de mayo de 2021 . Consultado el 19 de mayo de 2021 .
- ^ Idioma admitido en noscript.net.
- ^ "Extensión NoScript lanzada oficialmente para Google Chrome" . ZDNet . Consultado el 12 de abril de 2019 .
- ^ "Conozca al desarrollador de NoScript" . Mozilla. Archivado desde el original el 9 de octubre de 2011 . Consultado el 27 de septiembre de 2011 .
- ^ "Grupo de seguridad de Mozilla" . Mozilla . Archivado desde el original el 29 de junio de 2011 . Consultado el 29 de junio de 2011 .
- ^ Scott Orgera. "NoScript" . About.com . Consultado el 27 de noviembre de 2010 .
- ^ "El efecto de los complementos de Firefox en el consumo de ancho de banda :: IANIX" . ianix.com . Consultado el 14 de julio de 2020 .
- ^ "NoScript Changelog 2.0.3rc1" . noscript.net . Consultado el 16 de marzo de 2011 .
- ^ Brinkman, Martin (10 de febrero de 2014). "La guía de Firefox NoScript que todos estaban esperando" . GHacks.net . Consultado el 14 de enero de 2017 .
- ^ Giorgio Maone (14 de noviembre de 2017). "Doble NoScript" . Hackademix.net . Consultado el 15 de noviembre de 2017 .
- ^ "Cambios cosméticos por Issa1553 · Pull Request # 28 · hackademix / noscript" . GitHub . Consultado el 4 de enero de 2019 .
- ^ El primer Anti-XSS de NoScript lanza complementos de Mozilla
- ^ Funciones NoScript-Protección anti-XSS NoScript.net . Consultado el 22 de abril de 2008.
- ^ Nathan Mc Fethers (3 de julio de 2008). "Filtros NoScript vs Internet Explorer 8" . ZDNet . Consultado el 27 de noviembre de 2010 .
- ^ Adam Barth (26 de enero de 2010). "Seguridad en profundidad: nuevas funciones de seguridad" . Google . Consultado el 27 de noviembre de 2010 .
- ^ Giorgio Maone. "Aplicación de límites enforcer (ABE)" . NoScript.net . Consultado el 2 de agosto de 2010 .
- ^ Giorgio Maone (28 de julio de 2010). "ABE patrulla rutas a sus enrutadores" . Hackademix.net . Consultado el 2 de agosto de 2010 .
- ^ https://noscript.net/faq#clearclick
- ^ Giorgio Maone (8 de octubre de 2008). "Hola ClearClick, adiós Clickjacking" . Hackademix.net . Consultado el 27 de octubre de 2008 .
- ^ Michal Zalewski (10 de diciembre de 2008). "Manual de seguridad del navegador, parte 2, reparación de la interfaz de usuario" . Google Inc . Consultado el 27 de octubre de 2008 .
- ^ Preguntas frecuentes sobre NoScript: HTTPS NoScript.net . Consultado el 2 de agosto de 2010.
- ^ HTTPS en todas partes
- ^ PC World Award pcworld.com . Consultado el 22 de abril de 2008.
- ^ Premio al mejor complemento de seguridad de About.com 2008 about.com . Consultado el 2 de agosto de 2010.
- ^ Mejor complemento de privacidad / seguridad 2010 about.com . Consultado el 2 de agosto de 2010.
- ^ Mejor complemento de privacidad / seguridad 2011 about.com . Consultado el 20 de marzo de 2011.
- ^ Grupo de investigación del dragón del anuncio del ganador de la subvención de la innovación de seguridad . Consultado el 17 de julio de 2011.
- ^ a b c Bien, Dan. "Los usuarios de Firefox atrapados en el fuego cruzado de complementos en guerra" . El registro . Consultado el 19 de mayo de 2013 .
- ^ "Guerras de extensiones - NoScript vs. AdblockPlus" . Ajaxian . Consultado el 19 de mayo de 2013 .
- ^ "Sin sorpresas" . 2009-05-01.
- ^ Estimados usuarios de Adblock Plus y NoScript: Estimada comunidad de Mozilla
- ^ a b Atención a todos los usuarios de NoScript
- ^ Greg Yardley (4 de mayo de 2009). "Cuando los bloqueadores bloquean a los bloqueadores" . yardlay.ca . Archivado desde el original el 8 de mayo de 2009.
- ^ Foro de soporte de NoScript "Re: La última versión de NoScript (1.9.2) rompe Adblock Plus", comentario # 3704, Giorgio Maone (2009-05-04)
- ^ Foro de soporte de NoScript "Re: Pasos adicionales para recuperar y retener la confianza del usuario", comentario # 3935, Giorgio Maone (2009-05-06)
enlaces externos
- Página web oficial
- NoScript en addons.mozilla.org
- NoScript Anywhere (3.5 a 15) para Firefox para Android
- Presentación de NoScript en How to Bypass Internet Censorship , a FLOSS Manual, 10 de marzo de 2011, 240 págs.