No-Script kullanmalı mıyım?

Web taramasının bu günlerde bir bilgisayardaki kötü amaçlı yazılımın en olası kaynağı olduğunu duydum. Ayrıca Linux virüsleri hakkında endişelenmenize gerek olmadığını duydum. Bu nedenle, No-Script veya No-Script gibi favori alanlar için javascript'i seçmeli olarak etkinleştirmeme izin veren bir tarayıcı uzantısı kullanmalı mıyım?

Kesinlikle!

Saldırganlar, XSS gibi birden çok saldırı gerçekleştirmek için kötü amaçlı komut dosyaları kullanabilir:

Siteler arası komut dosyası oluşturma (XSS), genellikle web uygulamalarında bulunan ve kötü niyetli saldırganların istemci tarafı komut dosyasını diğer kullanıcılar tarafından görüntülenen web sayfalarına enjekte etmesini sağlayan bir tür bilgisayar güvenlik açığıdır ...

Vikipedi'de daha fazlasını okuyabilirsiniz .

Hiçbir komut dosyası size bir web sayfasındaki (veya bir web sitesindeki) tüm komut dosyalarını ve flash, java vb. Gibi kullandığı eklentileri denetleme gücü vermez. Bir beyaz listeye güvenilir siteler eklersiniz ve diğerinin komut dosyalarını çalıştırmasına izin verilmez, izin vermediğiniz sürece (geçici veya kalıcı olarak).

Bir soru 's cevabı üzerine hiç komut web sitesi ( sss ) bazı açıklamalar sağlayabilir:

Neden yalnızca güvenilir siteler için JavaScript, Java, Flash ve eklenti yürütülmesine izin vermeliyim?

JavaScript, Java ve Flash, hatta çok farklı teknolojiler olsa bile, ortak bir yönü vardır: uzak bir siteden gelen bilgisayar kodunuzda çalışırlar. Her üçü de uzaktan kodun gerçekleştirebileceği etkinlikleri sınırlayan bir tür sanal alan modeli uygular: örneğin, sanal alan kodu yerel sabit diskinizi okumamalı / yazmamalı veya temel işletim sistemi veya harici uygulamalarla etkileşime girmemelidir. Korumalı alanlar kurşun geçirmez olsa bile (durum değil, aşağıda okuyun) ve siz veya işletim sisteminiz tüm tarayıcıyı başka bir korumalı alanla (örneğin Vista veya Sandboxie'de IE7 +) sararsanız bile, yalnızca tarayıcı içinde korumalı kod çalıştırma yeteneği Web'de depoladığınız veya girdiğiniz önemli bilgileri (kredi kartı numaraları, e-posta kimlik bilgileri vb.) çalmak veya sizi "taklit etmek" için kötü amaçlı amaçlardan yararlanmak; sahte finansal işlemlerde, tarayıcınızdan kaçmanıza veya normal bir web sayfasından daha yüksek ayrıcalıklar kazanmanıza gerek kalmadan Siteler Arası Komut Dosyası (XSS) veya CSRF gibi "bulut" saldırıları başlatır. Yalnızca bu, yalnızca güvenilir sitelerde komut dosyası oluşturmaya izin vermek için yeterli bir nedendir. Dahası, birçok güvenlik açığı bir "ayrıcalık yükseltme" elde etmeyi amaçlamaktadır, yani daha büyük ayrıcalıklar elde etmek ve truva atları, rootkit'ler ve keyloggerları yüklemek gibi kötü görevleri yerine getirmek için sanal alandaki bir uygulama hatasını kullanmaktır. Bu tür saldırılar JavaScript, Java, Flash ve diğer eklentileri de hedefleyebilir: Yalnızca bu, yalnızca güvenilir sitelerde komut dizisine izin vermek için yeterli bir nedendir. Ayrıca, birçok güvenlik açığı bir "ayrıcalık yükseltme" elde etmeyi, yani daha büyük ayrıcalıklar elde etmek ve truva atları, rootkit'ler ve keyloggerları yüklemek gibi kötü görevleri yerine getirmek için sanal alandaki bir uygulama hatasından faydalanmayı amaçlamaktadır. Bu tür saldırılar JavaScript, Java, Flash ve diğer eklentileri de hedefleyebilir: Yalnızca bu, yalnızca güvenilir sitelerde komut dosyası oluşturmaya izin vermek için yeterli bir nedendir. Dahası, birçok güvenlik açığı bir "ayrıcalık yükseltme" elde etmeyi amaçlamaktadır, yani daha büyük ayrıcalıklar elde etmek ve truva atları, rootkit'ler ve keyloggerları yüklemek gibi kötü görevleri yerine getirmek için sanal alandaki bir uygulama hatasını kullanmaktır. Bu tür saldırılar JavaScript, Java, Flash ve diğer eklentileri de hedefleyebilir:

1. JavaScript kötü adamlar için çok değerli bir araç gibi görünüyor: Bugüne kadar keşfedilen tarayıcıdan yararlanılan sabit güvenlik açıklarının çoğu, JavaScript devre dışı bırakıldıysa etkili değildi. Belki de bir acemi hacker olsanız bile, komut dosyalarının test edilmesi ve delik araması daha kolaydır: herkes ve kardeşi bir JavaScript programcısı olduğuna inanır: P

2. Java, en azından "standart" enkarnasyonunda, Sun JVM'de daha iyi bir geçmişe sahiptir. Bunun yerine ByteVerifier.Trojan gibi Microsoft JVM için yazılmış virüsler vardır. Her neyse, Java güvenlik modeli, imzalı uygulamaların (bütünlüğü ve kökeni dijital sertifika tarafından garanti edilen uygulamalar) yerel ayrıcalıklarla, yani normal yüklü uygulamalar gibi çalışmasına izin verir. Bu, her zaman "Bu uygulama kötü / sahte bir sertifika ile imzalanmıştır. Bunu yürütmek istemezsiniz! Bunu yerine getirmek için çok mu kızgınsınız? [ Asla!] [Hayır] [Hayır] [Belki] "," Evet "düğmesini arayacak, bulacak ve vuracak, Firefox'ta bile kötü bir şöhrete neden oldu (makalenin oldukça topal olduğuna dikkat edin, ancak tahmin edebileceğiniz gibi çok yankı vardı ).

3. Flash'ın nispeten güvenli olduğu düşünülüyordu, ancak kullanımı o kadar yaygın hale geldiğinden, ciddi güvenlik kusurları daha yüksek oranda bulundu. Flash uygulamalarından, barındırıldıkları sitelere karşı XSS ​​saldırıları başlatmak için de yararlanıldı.

4. Diğer eklentilerin kullanımı daha zordur, çünkü çoğu Java ve Flash gibi bir sanal makineyi barındırmaz, ancak yine de özel hazırlanmış bir içerikle beslendiğinde rastgele kod çalıştırabilecek arabellek taşması gibi delikleri açığa çıkarabilirler. Son zamanlarda Acrobat Reader, Quicktime, RealPlayer ve diğer multimedya yardımcılarını etkileyen bu eklenti güvenlik açıklarından birkaçını gördük.

Lütfen yukarıda belirtilen teknolojilerin hiçbirinin genel olarak bilinen ve hala işlenmemiş sömürülebilir sorunlardan genellikle (zamanın% 95'i) etkilenmediğine dikkat edin, ancak NoScript'in noktası sadece şudur: bilinmeyen henüz güvenlik deliklerinin bile kullanılmasını önlemek, çünkü keşfedildiklerinde çok geç olabilir;) En etkili yol, güvenilmeyen sitelerdeki potansiyel tehdidi devre dışı bırakmaktır.

Teorik olarak sen yapabilirsiniz Linux ve Mac OS üzerinde virüs olsun. Çoğu insanın yapmamasının nedeni Linux ve Mac OS'un büyük hedefler olmamasıdır. Kötü amaçlı yazılım yazarları, minimum çabayla geniş bir ağ oluşturmak istiyorlar. İkincil Linux / Unix, daha fazla güvenlik ve daha bilgili kullanıcılar (genel olarak) sunar. Windows, Mac OS X ve Ubuntu'da her zaman Flashblock ve No Script kullandığım söyleniyor. Sayfalar daha hızlı yüklenir, flash çerezleri ve diğer tüm sorunları önleyerek çevrimiçi anonimlike yardımcı olur. Platformdan bağımsız olarak onları tavsiye ederim. En azından sizi hangi sayfaların yapmaya çalıştığından daha fazla haberdar ederler.

Firefox'ta düzenli olarak NoScript kullanıyorum ve günlük kullanım için tavsiye ediyorum.

Reklamları engellemez, bu nedenle yine de yöneticileri için site maliyetlerini desteklersiniz.

Ancak, flash reklamları engeller, göz atarken CPU yükünüzü büyük ölçüde azaltır (flash eklentisinin yüklü olması şartıyla)

İçeriğin tek tek çalışmasına izin verebilirsiniz, bu nedenle video paylaşım sitelerinin çoğu, video oynatmayla ilgili komut dosyalarına izin verdikten sonra çalışmaya başlar (Sayfada birkaç komut dosyası varsa bu biraz tahmin alabilir). Verdiğiniz izinler oturum için geçici olabilir veya kalıcı olabilir, böylece siteyi tekrar engellemeye karar vermedikçe çalışır.

Site kayıtları gibi formları doldururken, formları doldurmadan önce komut dosyalarına izin vermek iyi bir fikirdir, böylece çalışmanızı tekrarlamanız gerekmez. Bir sayfada komut dosyasına izin vermek sayfanın yeniden yüklenmesini zorlar.

NoScript'in size sağladığı en önemli koruma, pencere boyutunuzu değiştirmeye, içeriği sosyal sitelere göndermeye veya istenmeyen herhangi bir şey yapmaya çalışan kötü amaçlı sitelerden gelir. NoScript varsayılan eylemi reddedildi olarak değiştirir ve komut dosyalarının güvenilir olduğunu değerlendirirseniz site başına seçim yapabilirsiniz.

Firefox için yükleme bağlantısı: https://addons.mozilla.org/en-US/firefox/addon/noscript/