le menu classique de NoScript dans Firefox
active Content BlockingEdit
par défaut, NoScript bloque le contenu Web actif (exécutable), qui peut être totalement ou partiellement débloqué en autorisant la mise en liste d’un site menu de la barre d’outils de l’extension ou en cliquant sur une icône d’espace réservé.
dans la configuration par défaut, le contenu actif est globalement refusé, bien que l’utilisateur puisse le contourner et utiliser NoScript pour bloquer le contenu indésirable spécifique., La liste d’autorisations peut être permanente ou temporaire (jusqu’à ce que le navigateur se ferme ou que l’utilisateur révoque les autorisations). Le contenu actif peut être composé de JavaScript, de polices web, de codecs multimédias, de WebGL et de Flash. L’add-on offre également des contre-mesures spécifiques contre les exploits de sécurité.
étant donné que de nombreuses attaques de navigateur Web nécessitent un contenu actif que le navigateur exécute normalement sans poser de questions, la désactivation de ce contenu par défaut et son utilisation uniquement dans la mesure où elle est réellement nécessaire réduit les risques d’exploitation de la vulnérabilité., De plus, ne pas charger ce contenu permet d’économiser une bande passante importante et de vaincre certaines formes de suivi web.
NoScript est également utile pour les développeurs de voir comment leur site fonctionne avec JavaScript désactivé. Il peut également supprimer de nombreux éléments Web irritants, tels que les messages contextuels dans la page et certains paywalls, qui nécessitent JavaScript pour fonctionner.
NoScript prend la forme d’une icône de barre d’outils ou la barre d’état icône de Firefox. Il s’affiche sur chaque site web pour indiquer si NoScript a bloqué, autorisé ou partiellement autorisé l’exécution de scripts sur la page Web consultée., En cliquant ou en survolant (depuis la version 2.0. 3rc1) le curseur de la souris sur l’icône NoScript donne à l’utilisateur la possibilité d’autoriser ou d’interdire le traitement du script.
l’interface de NoScript, qu’elle soit accessible en cliquant avec le bouton droit de la souris sur la page web ou dans la boîte NoScript distinctive en bas de la page (par défaut), affiche L’URL du ou des scripts bloqués, mais ne fournit aucune sorte de référence pour vérifier si un script donné est sûr ou non., Avec des pages web complexes, les utilisateurs peuvent être confrontés à plus d’une douzaine D’URL cryptiques différentes et à une page Web qui ne fonctionne pas, avec seulement le choix d’autoriser le script, de bloquer le script ou de l’autoriser Temporairement.
Le 14 novembre 2017, Giorgio Maone a annoncé NoScript 10, qui sera « très différent » de 5.X versions, et utilisera la technologie WebExtension, ce qui le rend compatible avec Firefox Quantum. Le 20 novembre 2017, Maone a publié la version 10.1.1 pour Firefox 57 et versions ultérieures. NoScript est disponible pour Firefox pour Android.
protection anti-XSSMODIFIER
Le 11 avril 2007, NoScript 1.,La version 1.4.7 a été rendue publique, introduisant la première protection côté client contre le type 0 et le type 1 Cross-site scripting (XSS) jamais fourni dans un navigateur web.
chaque fois qu’un site Web essaie d’injecter du code HTML ou JavaScript dans un autre site (une violation de la Politique de même origine), NoScript filtre la requête malveillante, neutralisant sa charge utile dangereuse.
des fonctionnalités similaires ont été adoptées des années plus tard par Microsoft Internet Explorer 8 et par Google Chrome.,
application Boundaries Enforcer (ABE)Edit
application Boundaries Enforcer (ABE) est un module NoScript intégré destiné à renforcer les protections orientées application web déjà fournies par NoScript, en fournissant un composant de type pare-feu fonctionnant dans le navigateur.
Ce » pare-feu » est spécialisé dans la définition et la protection des limites de chaque application web sensible pertinente pour l’utilisateur (par exemple, plug-ins, webmail, banque en ligne, etc.), selon des politiques définies directement par l’utilisateur, le développeur/administrateur web ou un tiers de confiance., Dans sa configuration par défaut, ABE de NoScript offre une protection contre les attaques de rebinding CSRF et DNS visant les ressources intranet, telles que les routeurs et les applications Web sensibles.
ClearClick (anti-clickjacking)Edit
La fonctionnalité ClearClick de NoScript, publiée le 8 octobre 2008, empêche les utilisateurs de cliquer sur des éléments de page invisibles ou « corrigés » de documents ou d’applets intégrés, éliminant ainsi tous les types de clickjacking (c’est-à-dire à partir de cadres et de plug-ins).,
Cela fait de NoScript « le seul produit disponible gratuitement qui offre un degré raisonnable de protection » contre les attaques de clickjacking.
HTTPS enhancementsEdit
NoScript peut forcer le navigateur à toujours utiliser HTTPS lors de l’établissement de connexions à certains sites sensibles, afin d’éviter les attaques man-in-the-middle. Ce comportement peut être déclenché par les sites Web eux-mêmes, en envoyant L’en-tête Strict Transport Security, ou configuré par les utilisateurs pour les sites Web qui ne prennent pas encore en charge Strict Transport Security.,
les fonctionnalités D’amélioration HTTPS de NoScript ont été utilisées par L’Electronic Frontier Foundation comme base de son module complémentaire HTTPS Everywhere.