Devo usar o No-Script?

Ouvi dizer que a navegação na web é a origem mais provável de malware em um computador atualmente. Também ouvi dizer que não é necessário se preocupar com vírus no Linux. Portanto, devo usar uma extensão do navegador que permita ativar seletivamente o javascript para domínios favoritos, como No-Script ou Not-Script?

Definitivamente!

Os invasores podem usar scripts maliciosos para executar vários ataques, como o XSS:

O script entre sites (XSS) é um tipo de vulnerabilidade de segurança do computador normalmente encontrada em aplicativos da Web que permite que atacantes mal-intencionados injetem scripts do lado do cliente em páginas da Web visualizadas por outros usuários ...

Leia mais na wikipedia .

Nenhum script permite controlar todos os scripts em uma página da web (ou site) e os plug-ins que ele usa, como flash, java etc. Você adiciona sites confiáveis ​​a uma lista de permissões e os outros não têm permissão para executar scripts, a menos que você permita (temporária ou permanentemente).

Uma pergunta e sua resposta no site sem script ( faq ) podem fornecer alguns esclarecimentos:

Por que devo permitir a execução de JavaScript, Java, Flash e plug-in apenas em sites confiáveis?

JavaScript, Java e Flash, mesmo sendo tecnologias muito diferentes, têm uma coisa em comum: eles executam no código do seu computador provenientes de um site remoto. Todos os três implementam algum tipo de modelo de sandbox, limitando as atividades que o código remoto pode executar: por exemplo, o código em sandbox não deve ler / gravar seu disco rígido local nem interagir com o sistema operacional subjacente ou aplicativos externos. Mesmo que as caixas de proteção sejam à prova de balas (não é o caso, leia abaixo) e mesmo que você ou seu sistema operacional envolva o navegador inteiro com outra caixa de proteção (por exemplo, IE7 + no Vista ou Sandboxie), a mera capacidade de executar código de proteção dentro do navegador pode ser explorado para fins maliciosos, por exemplo, para roubar informações importantes que você armazena ou entra na Web (números de cartão de crédito, credenciais de e-mail etc.) ou para "personificar" você, por exemplo em transações financeiras falsas, iniciando ataques de "nuvem", como Cross Site Scripting (XSS) ou CSRF, sem necessidade de escapar do navegador ou de obter privilégios superiores a uma página da web normal. Isso por si só é motivo suficiente para permitir scripts apenas em sites confiáveis. Além disso, muitas explorações de segurança têm como objetivo obter uma "escalada de privilégios", ou seja, explorar um erro de implementação da sandbox para adquirir maiores privilégios e executar tarefas desagradáveis, como a instalação de trojans, rootkits e keyloggers. Esse tipo de ataque também pode ter como alvo JavaScript, Java, Flash e outros plugins: Isso por si só é motivo suficiente para permitir scripts apenas em sites confiáveis. Além disso, muitas explorações de segurança têm como objetivo obter uma "escalada de privilégios", ou seja, explorar um erro de implementação da sandbox para adquirir maiores privilégios e executar tarefas desagradáveis, como a instalação de trojans, rootkits e keyloggers. Esse tipo de ataque também pode ter como alvo JavaScript, Java, Flash e outros plugins: Isso por si só é motivo suficiente para permitir scripts apenas em sites confiáveis. Além disso, muitas explorações de segurança têm como objetivo obter uma "escalada de privilégios", ou seja, explorar um erro de implementação da sandbox para adquirir maiores privilégios e executar tarefas desagradáveis, como a instalação de trojans, rootkits e keyloggers. Esse tipo de ataque também pode ter como alvo JavaScript, Java, Flash e outros plugins:

1. O JavaScript parece uma ferramenta muito preciosa para bandidos: a maioria das vulnerabilidades corrigidas por navegador exploráveis ​​descobertas até o momento eram ineficazes se o JavaScript estivesse desativado. Talvez a razão seja que os scripts sejam mais fáceis de testar e procurar por falhas, mesmo se você for um novato hacker: todos e seu irmão acreditam ser um programador de JavaScript: P

2. O Java tem um histórico melhor, pelo menos em sua encarnação "padrão", a Sun JVM. Em vez disso, houve vírus criados para a Microsoft JVM, como o ByteVerifier.Trojan. De qualquer forma, o modelo de segurança Java permite que applets assinados (applets cuja integridade e origem são garantidas por um certificado digital) sejam executados com privilégios locais, ou seja, como se fossem aplicativos instalados regularmente. Isso, combinado com o fato de sempre existirem usuários que, diante de um aviso como "Este applet está assinado com um certificado ruim / falso. Você não deseja executá-lo! Você está louco para executá-lo?" Nunca!] [Não] [Não] [Talvez] ", irá procurar, encontrar e apertar o botão" Sim ", causou uma má reputação até no Firefox (observe que o artigo é bastante manco, mas como você pode imaginar, teve muito eco )

3. O Flash costumava ser considerado relativamente seguro, mas desde que seu uso se tornou tão difundido, foram encontradas falhas graves de segurança em uma taxa mais alta. Os applets Flash também foram explorados para lançar ataques XSS contra os sites em que estão hospedados.

4. Outros plugins são mais difíceis de explorar, porque a maioria deles não hospeda uma máquina virtual como Java e Flash, mas ainda podem expor buracos como saturação de buffer que podem executar código arbitrário quando alimentados com um conteúdo especialmente criado. Recentemente, vimos várias dessas vulnerabilidades de plug-in, afetando o Acrobat Reader, o Quicktime, o RealPlayer e outros auxiliares de multimídia.

Observe que nenhuma das tecnologias mencionadas acima é geralmente (95% do tempo) afetada por problemas exploráveis ​​publicamente conhecidos e ainda sem patch, mas o objetivo do NoScript é justamente isso: impedir a exploração de falhas de segurança ainda desconhecidas, porque quando elas são descobertas pode ser tarde demais;) A maneira mais eficaz é desativar a ameaça potencial em sites não confiáveis.

Em teoria, você pode obter vírus no Linux e Mac OS. A razão pela qual a maioria das pessoas não sabe é que o Linux e o Mac OS não são grandes alvos. Os criadores de malware querem lançar uma ampla rede com o mínimo de esforço. Secundariamente, o Linux / Unix oferece mais em termos de segurança e usuários mais bem informados (em geral). Dito isto, eu uso o Flashblock e o No Script no Windows, Mac OS X e Ubuntu o tempo todo. As páginas são carregadas mais rapidamente, ajudando no anonimato on-line, impedindo cookies em flash e todo tipo de outros problemas. Eu os recomendo, independentemente da plataforma. No mínimo, eles o tornam mais ciente do que as páginas estão tentando fazer.

Uso o NoScript regularmente no Firefox e o recomendo para uso diário.

Como não bloqueia anúncios, você ainda suporta os custos do site para seus administradores.

No entanto, ele bloqueia anúncios em flash, reduzindo bastante a carga da CPU ao navegar (desde que você tenha o plug-in em flash instalado)

Você pode permitir que o conteúdo seja executado individualmente, para que a maioria dos sites de compartilhamento de vídeo comece a funcionar depois que você permitir os scripts relacionados à reprodução de vídeo (isso pode demorar um pouco para adivinhar se houver vários scripts na página). As permissões concedidas podem ser temporárias para a sessão ou permanentes, portanto o site funcionará, a menos que você decida bloqueá-las novamente.

Ao preencher formulários como registros de sites, é uma boa idéia permitir os scripts antes de preencher os formulários, para que você não precise repetir seu trabalho. A permissão de um script em uma página força o recarregamento da página.

A proteção mais importante que o NoScript concede é contra sites maliciosos que tentam alterar o tamanho da janela, publicar conteúdo em sites sociais ou fazer qualquer outra coisa indesejada. O NoScript altera a ação padrão para negado, e você pode escolher por site se julgar que os scripts são confiáveis.

Aqui está o link de instalação para o Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/