Haruskah saya menggunakan No-Script?

Saya mendengar bahwa menjelajah web adalah sumber malware yang paling mungkin terjadi di komputer akhir-akhir ini. Saya juga mendengar bahwa seseorang tidak perlu khawatir tentang virus di Linux. Jadi, haruskah saya menggunakan ekstensi browser yang memungkinkan saya mengaktifkan javascript secara selektif untuk domain yang disukai, seperti No-Script atau Not-Script?

Pastinya!

Penyerang dapat menggunakan skrip berbahaya untuk melakukan beberapa serangan seperti XSS:

Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer yang biasanya ditemukan dalam aplikasi web yang memungkinkan penyerang jahat untuk menyuntikkan skrip sisi klien ke dalam halaman web yang dilihat oleh pengguna lain ...

Baca lebih lanjut di wikipedia .

Tidak ada skrip yang memberi Anda kekuatan untuk mengontrol semua skrip pada halaman web (atau situs web) dan plugin yang digunakannya seperti flash, java, dll. Anda menambahkan situs tepercaya ke daftar putih dan yang lain tidak diizinkan menjalankan skrip, kecuali Anda membiarkannya (sementara atau permanen).

Sebuah pertanyaan dan jawabannya di situs web no-script ( faq ) dapat memberikan beberapa klarifikasi:

Mengapa saya harus mengizinkan eksekusi JavaScript, Java, Flash, dan plugin hanya untuk situs tepercaya?

JavaScript, Java, dan Flash, bahkan yang merupakan teknologi yang sangat berbeda, memiliki satu kesamaan: mereka mengeksekusi pada kode komputer Anda yang berasal dari situs jarak jauh. Ketiganya menerapkan semacam model kotak pasir, membatasi aktivitas yang dapat dilakukan oleh kode jarak jauh: misalnya, kode kotak pasir tidak boleh membaca / menulis hard disk lokal Anda atau berinteraksi dengan sistem operasi atau aplikasi eksternal yang mendasarinya. Bahkan jika kotak pasir adalah bukti peluru (bukan kasusnya, baca di bawah) dan bahkan jika Anda atau sistem operasi Anda membungkus seluruh browser dengan kotak pasir lain (misalnya IE7 + pada Vista atau Sandboxie), kemampuan hanya menjalankan kode kotak pasir di dalam browser dapat dieksploitasi untuk tujuan jahat, misalnya untuk mencuri informasi penting yang Anda simpan atau masukkan di web (nomor kartu kredit, kredensial email dan sebagainya) atau untuk "menyamar" Anda, mis. dalam transaksi keuangan palsu, meluncurkan serangan "cloud" seperti Cross Site Scripting (XSS) atau CSRF, tanpa perlu keluar dari browser Anda atau mendapatkan hak istimewa lebih tinggi dari halaman web normal. Ini saja merupakan alasan yang cukup untuk memungkinkan skrip di situs tepercaya saja. Selain itu, banyak eksploitasi keamanan ditujukan untuk mencapai "eskalasi hak istimewa", yaitu mengeksploitasi kesalahan implementasi kotak pasir untuk memperoleh hak istimewa yang lebih besar dan melakukan tugas yang tidak menyenangkan seperti menginstal trojan, rootkit, dan keyloggers. Serangan semacam ini dapat menargetkan JavaScript, Java, Flash, dan plugin lainnya juga: Ini saja merupakan alasan yang cukup untuk memungkinkan skrip di situs tepercaya saja. Selain itu, banyak eksploitasi keamanan ditujukan untuk mencapai "eskalasi hak istimewa", yaitu mengeksploitasi kesalahan implementasi kotak pasir untuk memperoleh hak istimewa yang lebih besar dan melakukan tugas yang tidak menyenangkan seperti menginstal trojan, rootkit, dan keyloggers. Serangan semacam ini dapat menargetkan JavaScript, Java, Flash, dan plugin lainnya juga: Ini saja merupakan alasan yang cukup untuk memungkinkan skrip di situs tepercaya saja. Selain itu, banyak eksploitasi keamanan ditujukan untuk mencapai "eskalasi hak istimewa", yaitu mengeksploitasi kesalahan implementasi kotak pasir untuk memperoleh hak istimewa yang lebih besar dan melakukan tugas yang tidak menyenangkan seperti menginstal trojan, rootkit, dan keyloggers. Serangan semacam ini dapat menargetkan JavaScript, Java, Flash, dan plugin lainnya juga:

1. JavaScript terlihat seperti alat yang sangat berharga bagi orang jahat: sebagian besar kerentanan tetap yang dapat dieksploitasi browser yang ditemukan hingga saat ini tidak efektif jika JavaScript dinonaktifkan. Mungkin alasannya adalah bahwa skrip lebih mudah untuk menguji dan mencari lubang, bahkan jika Anda seorang hacker pemula: semua orang dan saudaranya percaya menjadi programmer JavaScript: P

2. Java memiliki sejarah yang lebih baik, setidaknya dalam inkarnasi "standar" nya, Sun JVM. Sebaliknya, ada virus yang ditulis untuk Microsoft JVM, seperti ByteVerifier.Trojan. Bagaimanapun, model keamanan Java memungkinkan applet yang telah ditandatangani (applet yang integritas dan asalnya dijamin oleh sertifikat digital) untuk dijalankan dengan hak istimewa lokal, yaitu seperti mereka adalah aplikasi yang diinstal secara reguler. Ini, dikombinasikan dengan fakta bahwa selalu ada pengguna yang, di depan peringatan seperti "Applet ini ditandatangani dengan sertifikat yang buruk / palsu. Anda TIDAK ingin menjalankannya! Sebaliknya, apakah Anda begitu gila untuk mengeksekusinya? [ Tidak pernah!] [Tidak] [Tidak] [Mungkin] ", akan mencari, menemukan, dan menekan tombol" Ya ", menyebabkan beberapa reputasi buruk bahkan untuk Firefox (perhatikan bahwa artikel itu cukup timpang, tetapi seperti yang dapat Anda bayangkan, banyak gema ).

3. Flash dulu dianggap relatif aman, tetapi karena penggunaannya menjadi begitu luas, cacat keamanan yang parah telah ditemukan pada tingkat yang lebih tinggi. Applet Flash juga telah dieksploitasi untuk meluncurkan serangan XSS terhadap situs tempat mereka dihosting.>

4. Plugin lain lebih sulit untuk dieksploitasi, karena kebanyakan dari mereka tidak meng-host mesin virtual seperti Java dan Flash, tetapi mereka masih dapat mengekspos lubang seperti buffer overruns yang dapat mengeksekusi kode arbitrer ketika diberi makan dengan konten yang dibuat khusus. Baru-baru ini kita telah melihat beberapa kerentanan plugin ini, yang mempengaruhi Acrobat Reader, Quicktime, RealPlayer dan bantuan multimedia lainnya.

Harap perhatikan bahwa tidak satu pun dari teknologi yang disebutkan di atas biasanya (95% dari waktu) dipengaruhi oleh masalah yang dapat dieksploitasi yang diketahui secara publik dan masih belum ditambal, tetapi intinya NoScript hanyalah ini: mencegah eksploitasi lubang keamanan yang bahkan belum dikenal, karena ketika ditemukan mungkin sudah terlambat;) Cara yang paling efektif adalah menonaktifkan potensi ancaman di situs yang tidak dipercaya.

Secara teori Anda bisa mendapatkan virus di Linux dan Mac OS. Alasan kebanyakan orang tidak melakukannya adalah karena Linux dan Mac OS bukan target besar. Para penulis malware ingin menggunakan jaringan yang luas dengan upaya minimal. Linux / Unix kedua menawarkan lebih banyak di jalan keamanan dan pengguna informasi yang lebih baik (secara umum). Karena itu saya menggunakan Flashblock dan No Script di Windows, Mac OS X dan Ubuntu setiap saat. Halaman memuat lebih cepat, ini membantu dengan anonimitas online dengan mencegah cookie flash dan segala macam masalah lainnya. Saya sangat merekomendasikan mereka, terlepas dari platform. Minimal mereka membuat Anda lebih sadar tentang apa yang coba dilakukan halaman.

Saya menggunakan NoScript secara teratur di Firefox, dan merekomendasikannya untuk penggunaan sehari-hari.

Itu tidak memblokir iklan, jadi Anda masih mendukung biaya situs untuk administrator mereka.

Namun, itu memblokir iklan flash, sangat mengurangi beban CPU Anda saat browsing (asalkan Anda menginstal plugin flash)

Anda dapat mengizinkan konten untuk dijalankan secara terpisah, sehingga sebagian besar situs berbagi video akan mulai berfungsi setelah Anda mengizinkan skrip yang terkait dengan pemutaran video (Ini mungkin memerlukan sedikit tebakan jika ada beberapa skrip pada halaman). Izin yang Anda berikan mungkin bersifat sementara untuk sesi ini, atau permanen sehingga situs akan berfungsi kecuali Anda memutuskan untuk memblokirnya lagi.

Saat mengisi formulir seperti pendaftaran situs, sebaiknya skrip diizinkan sebelum mengisi formulir sehingga Anda tidak perlu mengulangi pekerjaan Anda. Mengizinkan skrip pada halaman memaksa memuat ulang halaman.

Perlindungan yang paling penting NoScript memberi Anda adalah dari situs jahat yang mencoba mengubah ukuran jendela Anda, memposting konten ke situs sosial atau melakukan hal lain yang tidak diinginkan. NoScript mengubah tindakan default menjadi ditolak, dan Anda dapat memilih per-situs jika Anda menilai bahwa skrip dapat dipercaya.

Berikut tautan instal untuk Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/