NoScript - NoScript

NoScript
NoScript belgisi
Asl muallif (lar)Giorgio Maone
Tuzuvchi (lar)Giorgio Maone
Dastlabki chiqarilish2005 yil 13-may; 15 yil oldin (2005-05-13)[1]
Barqaror chiqish
11.1.5[2] / 6 noyabr 2020 yil; 17 kun oldin (6 Noyabr 2020)
Ko'rib chiqish versiyasi
11.1.6rc1 / 19-noyabr, 2020 yil; 4 kun oldin (2020-11-19)
Omborhttps://github.com/hackademix/noscript
YozilganJavaScript, XUL, CSS
Mavjud:45[3] tillar
TuriMozilla kengaytmasi
LitsenziyaGPLv2 +
Veb-saytNoScript.net

NoScript (yoki NoScript xavfsizlik to'plami) a bepul dasturiy ta'minot kengaytma uchun Mozilla Firefox, SeaMonkey, boshqa Mozilla asoslangan veb-brauzerlar va Gugl xrom,[4] Giorgio Maone tomonidan yaratilgan va faol ravishda qo'llab-quvvatlangan,[5] italiyalik dasturiy ta'minot ishlab chiqaruvchisi va Mozilla Security Group a'zosi.[6]

Xususiyatlari

Firefox-dagi klassik NoScript menyusi

Faol tarkibni blokirovka qilish

Odatiy bo'lib, NoScript kengaytmaning asboblar paneli menyusidan sayt yoki domenga ruxsat berish yoki plomba belgisini bosish orqali to'liq yoki qisman blokdan chiqarilishi mumkin bo'lgan faol (bajariladigan) veb-tarkibni bloklaydi.

Odatiy konfiguratsiyada faol tarkib global miqyosda rad etiladi, lekin foydalanuvchi buni o'zgartirishi va ma'lum kiruvchi tarkibni blokirovka qilish uchun NoScript-dan foydalanishi mumkin. Ro'yxat doimiy yoki vaqtinchalik bo'lishi mumkin (brauzer yopilguncha yoki foydalanuvchi ruxsatlarni bekor qilgunga qadar). Faol tarkib quyidagilardan iborat bo'lishi mumkin JavaScript, veb-shriftlar, ommaviy axborot vositalari kodeklar, WebGL va Chiroq. Qo'shimcha xavfsizlik ekspluatatsiyasiga qarshi aniq choralarni taklif qiladi.[7]

Ko'pgina veb-brauzerlar hujumlari brauzer odatda shubhasiz ishlaydigan faol tarkibni talab qiladiganligi sababli, bunday tarkibni sukut bo'yicha o'chirib qo'yish va uni faqat kerakli darajada ishlatish zaiflikdan foydalanish imkoniyatini kamaytiradi. Bunga qo'shimcha ravishda, ushbu tarkibni yuklamaslik, tarmoqli o'tkazuvchanligini sezilarli darajada tejaydi[8] va veb-kuzatuvning ba'zi shakllarini mag'lub qiladi.

NoScript-ni ishlab chiquvchilar o'zlarining saytlari JavaScript-ni o'chirib qo'yganligini ko'rish uchun ham foydalidir. Bundan tashqari, ko'plab tirnash xususiyati beruvchi veb-elementlarni, masalan, sahifadagi pop-up xabarlar va ba'zi narsalarni olib tashlashi mumkin to'lov devorlari, ishlashi uchun JavaScript kerak.

NoScript a shaklini oladi asboblar paneli belgisi yoki holat paneli Firefox-dagi belgi. U har qanday veb-saytda NoScript-ni ko'rib chiqilayotgan veb-sahifada skriptlarni blokirovka qilganligini, ularga ruxsat berganligini yoki qisman ruxsat berilganligini ko'rsatadigan tarzda namoyish etadi. Bosish yoki olib borish (2.0.3rc1 versiyasidan beri[9]) NoScript belgisidagi sichqoncha kursori foydalanuvchiga skriptni qayta ishlashga ruxsat berish yoki taqiqlash imkoniyatini beradi.

NoScript interfeysi, veb-sahifani o'ng tugmasini bosish orqali yoki sahifaning pastki qismidagi o'ziga xos NoScript qutisiga kirish orqali (sukut bo'yicha) bloklangan skript (lar) ning URL manzilini ko'rsatadi, ammo har qanday ma'lumotni taqdim etmaydi. berilgan skriptni ishga tushirish xavfsiz yoki yo'qligini izlash.[10] Murakkab veb-sahifalarda foydalanuvchilar o'ndan ortiq turli xil sirli URL-lar va ishlamaydigan veb-sahifalar bilan duch kelishlari mumkin, faqat ssenariyga ruxsat berish, stsenariyni bloklash yoki vaqtincha ruxsat berish huquqi mavjud.

2017 yil 14-noyabr kuni Giorgio Maone 5.x versiyalaridan "juda farq qiladigan" NoScript 10 ni e'lon qildi va WebExtension texnologiyasidan foydalanadi va shu bilan mos keladi. Firefox Quantum.[11]. 2017 yil 20-noyabrda Maone Firefox 57 va undan yuqori versiyalari uchun 10.1.1 versiyasini chiqardi. Android uchun Firefox uchun NoScript mavjud.[12]

XSS-ga qarshi himoya

2007 yil 11 aprelda NoScript 1.1.4.7 ommaviy ravishda chiqarildi,[13] 0 va 1-toifalarga qarshi birinchi mijoz tomonidan himoya qilishni joriy etish Saytlararo stsenariy (XSS) hech qachon veb-brauzerda etkazib berilmagan.

Har doim veb-sayt HTML yoki JavaScript kodlarini boshqa saytga kiritishga harakat qilganda (. Ning buzilishi bir kelib chiqishi siyosati ), NoScript zararli talabni filtrlaydi va uning xavfli yukini zararsizlantiradi.[14]

Shunga o'xshash xususiyatlar yillar o'tib qabul qilingan Microsoft Internet Explorer 8[15] va tomonidan Gugl xrom.[16]

Dastur chegaralari majburlovchisi (ABE)

Application Boundaries Enforcer (ABE) - bu qattiqlashishga mo'ljallangan o'rnatilgan NoScript moduli veb-dastur - brauzer ichida ishlaydigan xavfsizlik devoriga o'xshash komponentni etkazib berish orqali allaqachon NoScript tomonidan ta'minlangan yo'naltirilgan himoya.

Ushbu "xavfsizlik devori" to'g'ridan-to'g'ri foydalanuvchi, veb-ishlab chiquvchi tomonidan belgilangan siyosatlarga muvofiq foydalanuvchiga tegishli har bir nozik veb-ilovaning chegaralarini (masalan, plaginlar, veb-pochta, onlayn-bank va boshqalar) aniqlash va himoya qilishga ixtisoslashgan. ma'mur yoki ishonchli uchinchi shaxs.[17] Standart sozlamalarida, NoScript-ning ABE-dan himoya qiladi CSRF va DNS-ni qayta ulash yo'riqnoma va sezgir veb-ilovalar kabi intranet resurslariga yo'naltirilgan hujumlar.[18]

ClearClick (klikga qarshi)

NoScript-ning ClearClick xususiyati,[19] 2008 yil 8-oktabrda chiqarilgan, foydalanuvchilarga ko'milgan hujjatlar yoki appletlarning ko'rinmaydigan yoki "qayta tiklangan" elementlarini bosishlariga to'sqinlik qiladi, barcha turdagi chertish (ya'ni ramkalar va plaginlardan).[20]

Bu NoScript-ni klik-xakerlik hujumlaridan "oqilona himoya darajasini ta'minlovchi yagona erkin mahsulot" ga aylantiradi.[21]

HTTPS yaxshilanishlari

NoScript brauzerni har doim foydalanishga majbur qilishi mumkin HTTPS odam o'rtasida hujumlarni oldini olish maqsadida ba'zi sezgir saytlarga ulanish o'rnatishda. Ushbu xatti-harakatni veb-saytlarning o'zi yuborishi mumkin Transportning qat'iy xavfsizligi sarlavhasi yoki foydalanuvchilar tomonidan qat'iy transport xavfsizligini qo'llab-quvvatlamaydigan veb-saytlar uchun tuzilgan.[22]

NoScript-ning HTTPS takomillashtirish funktsiyalari Elektron chegara fondi uning asosi sifatida Hamma joyda HTTPS qo'shish, qo'shimcha; qo'shimcha komponent.[23]

Mukofotlar

  • Kompyuter dunyosi 2006 yil 100 ta eng yaxshi mahsulotlaridan biri sifatida NoScript-ni tanladi.[24]
  • 2008 yilda NoScript g'olib bo'ldi About.com "Eng yaxshi xavfsizlik qo'shimchasi" tahririyat mukofoti.[25]
  • 2010 yilda NoScript "Reader Choice Awards" mukofotining "Eng yaxshi maxfiylik / xavfsizlik qo'shimchasi" nominatsiyasida g'olib bo'ldi. About.com.[26]
  • 2011 yilda, ikkinchi yil ketma-ket NoScript "Reader Choice Awards" ning "Eng yaxshi maxfiylik / xavfsizlik qo'shimchalari" nominatsiyasida g'olib bo'ldi. About.com.[27]
  • NoScript Dragon Research Group "Security Innovation Grant" tanlovining 2011 yildagi (birinchi nashri) g'olibi bo'ldi. Ushbu mukofot mustaqil qo'mita tomonidan baholangan axborot xavfsizligi sohasidagi eng innovatsion loyihaga beriladi.[28]

Qarama-qarshiliklar

Adblock Plus va Ghostery bilan ziddiyatlar

2009 yil may oyida NoScript ishlab chiqaruvchisi Giorgio Maone va Firefox reklamalarni blokirovka qiluvchi kengaytmasi ishlab chiqaruvchilari o'rtasida "kengayish urushi" boshlangani haqida xabar berilgan edi. Adblock Plus Maone, AdBlock Plus filtri bilan blokirovkadan o'tgan NoScript-ning versiyasini chiqargandan so'ng.[29][30] Ushbu vaqtinchalik echimni amalga oshiruvchi kod "kamufle qilingan"[29] aniqlashdan saqlanish uchun. Maone buni o'z veb-saytini to'sib qo'ygan filtrga javoban amalga oshirganligini aytdi. Ma'murlar tomonidan tanqid va bayonotdan so'ng Mozilla plaginlari sayt qo'shimcha modifikatsiyalari bo'yicha ko'rsatmalarini o'zgartirishi kerak bo'lgan sayt,[31] Maone kodni olib tashladi va to'liq kechirim so'radi.[29][32]

Adblock Plus hodisasidan so'ng,[33] Maone va uni ishlab chiquvchilar o'rtasida janjal paydo bo'ldi Arvohlik Maone o'zining veb-saytida Ghostery tomonidan bildirishnomani o'chirib qo'ygan o'zgarishni amalga oshirgandan so'ng qo'shimcha veb-kuzatuv dasturi.[34] Bu "Ghostery-ning trekkerlar va NoScript-ning veb-saytlaridagi reklama tarmoqlari to'g'risida xabar berishiga yo'l qo'ymaslik" urinishi sifatida talqin qilindi.[33] Bunga javoban Maone, bu o'zgartirish Ghostery xabarnomasi NoScript saytidagi xayriya tugmachasini yashirganligi sababli amalga oshirilganligini aytdi.[35] Maone o'z saytining CSS-ni Ghostery bildirishnomasini o'chirib qo'yish o'rniga ko'chirish uchun o'zgartirganda, bu nizo hal qilindi.[36]

Shuningdek qarang

Adabiyotlar

  1. ^ "1.0-versiya". NoScript. Mozilla qo'shimchalari. 2005-05-13. Arxivlandi asl nusxasi 2018-10-02 kunlari.
  2. ^ "11.15 versiyasi". 6 Noyabr 2020. Olingan 23 noyabr 2020.
  3. ^ Qo'llab-quvvatlanadigan til noscript.net saytida.
  4. ^ "Google Chrome uchun rasmiy ravishda NoScript kengaytmasi chiqarildi". ZDNet. Olingan 2019-04-12.
  5. ^ "NoScript ishlab chiqaruvchisi bilan tanishing". Mozilla. Arxivlandi asl nusxasi 2011-10-09 kunlari. Olingan 2011-09-27.
  6. ^ "Mozilla Security Group". Mozilla. Arxivlandi asl nusxasi 2011 yil 29 iyunda. Olingan 2011-06-29.
  7. ^ Scott Orgera. "NoScript". About.com. Olingan 2010-11-27.
  8. ^ "Firefox qo'shimchalarining tarmoqli kengligi iste'moliga ta'siri :: IANIX". ianix.com. Olingan 2020-07-14.
  9. ^ "NoScript Changelog 2.0.3rc1". noscript.net. Olingan 16 mart 2011.
  10. ^ Brinkman, Martin (2014 yil 10-fevral). "Hammangiz kutgan Firefox NoScript qo'llanmasi". GHacks.net. Olingan 14 yanvar 2017.
  11. ^ Giorgio Maone (2017-11-14). "Ikki karra NoScript". Hackademix.net. Olingan 2017-11-15.
  12. ^ "Issa1553 tomonidan kosmetik o'zgarishlar · Pull Request # 28 · hackademix / noscript". GitHub. Olingan 2019-01-04.
  13. ^ NoScript-ning birinchi Anti-XSS versiyasi Mozilla plaginlari
  14. ^ NoScript xususiyatlari - Anti-XSS himoyasi NoScript.net. Qabul qilingan 2008 yil 22 aprel.
  15. ^ Natan Mc Fethers (2008-07-03). "NoScript va boshqalar Internet Explorer 8 Filtrlari". ZDNet. Olingan 2010-11-27.
  16. ^ Adam Barth (2010-01-26). "Chuqurlikdagi xavfsizlik: yangi xavfsizlik xususiyatlari". Google. Olingan 2010-11-27.
  17. ^ Giorgio Maone. "Ariza chegaralarini majburlovchi (ABE)". NoScript.net. Olingan 2010-08-02.
  18. ^ Jorjio Maone (2010-07-28). "ABE Patrol sizning marshrutizatorlaringizga yo'nalishlarni". Hackademix.net. Olingan 2010-08-02.
  19. ^ https://noscript.net/faq#clearclick
  20. ^ Giorgio Maone (2008-10-08). "Assalomu alaykum, ClearClick, xayrlashib chertish". Hackademix.net. Olingan 2008-10-27.
  21. ^ Mixal Zalevski (2008-12-10). "Brauzer xavfsizligi bo'yicha qo'llanma, 2-qism, foydalanuvchi interfeysini o'zgartirish". Google Inc. Olingan 2008-10-27.
  22. ^ NoScript bo'yicha savollar: HTTPS NoScript.net. 2010 yil 2-avgustda olingan.
  23. ^ Hamma joyda HTTPS
  24. ^ PC World mukofoti pcworld.com. Qabul qilingan 2008 yil 22 aprel.
  25. ^ About.com 2008 yildagi xavfsizlik bo'yicha eng yaxshi qo'shimcha mukofot about.com. 2010 yil 2-avgustda olingan.
  26. ^ Maxfiylik / xavfsizlik bo'yicha eng yaxshi qo'shimcha-2010 about.com. 2010 yil 2-avgustda olingan.
  27. ^ Maxfiylik / xavfsizlik bo'yicha eng yaxshi qo'shimcha 2011 yil about.com. 2011 yil 20 martda olingan.
  28. ^ Security Innovation Grant g'olibini e'lon qilish Dragon Research Group. 2011 yil 17-iyulda olingan.
  29. ^ a b v Gudin, Dan. "Firefox foydalanuvchilari urushayotgan qo'shimchalarning otashin oloviga tushib qolishdi". Ro'yxatdan o'tish. Olingan 19 may 2013.
  30. ^ "Kengaytirilgan urushlar - NoScript va AdblockPlus". Ayaksian. Olingan 19 may 2013.
  31. ^ "Surprizlar yo'q". 2009-05-01.
  32. ^ Hurmatli Adblock Plus va NoScript foydalanuvchilari, hurmatli Mozilla hamjamiyati
  33. ^ a b Barcha NoScript foydalanuvchilari diqqatiga
  34. ^ Greg Yardli (2009-05-04). "Blokerlar blokerlarni to'sganda". yardlay.ca. Arxivlandi asl nusxasi 2009-05-08 da.
  35. ^ NoScript-ni qo'llab-quvvatlash forumi "Re: Oxirgi NoScript versiyasi (1.9.2) Adblock Plus-ni buzdi", sharh # 3704, Giorgio Maone (2009-05-04)
  36. ^ NoScript-ni qo'llab-quvvatlash forumi "Re: foydalanuvchi ishonchini tiklash va saqlab qolish uchun qo'shimcha qadamlar", sharh # 3935, Giorgio Maone (2009-05-06)

Tashqi havolalar