Il classico menu NoScript in Firefox
Blocco dei contenuti attivimodifica
Per impostazione predefinita, NoScript blocca i contenuti web attivi (eseguibili), che possono essere sbloccati in tutto o in parte allowlisting di un sito o di un dominio dall’estensione barra degli strumenti o facendo clic su un’icona segnaposto.
Nella configurazione predefinita, il contenuto attivo viene negato a livello globale, anche se l’utente può capovolgerlo e utilizzare NoScript per bloccare specifici contenuti indesiderati., La allowlist può essere permanente o temporanea (fino alla chiusura del browser o alla revoca delle autorizzazioni da parte dell’utente). Il contenuto attivo può essere costituito da JavaScript, font web, codec multimediali, WebGL e Flash. L’add-on offre anche contromisure specifiche contro exploit di sicurezza.
Poiché molti attacchi al browser web richiedono contenuti attivi che il browser normalmente esegue senza dubbio, disabilitare tali contenuti per impostazione predefinita e utilizzarli solo nella misura in cui è effettivamente necessario riduce le possibilità di sfruttamento delle vulnerabilità., Inoltre, non caricare questo contenuto consente di risparmiare larghezza di banda significativa e sconfigge alcune forme di monitoraggio web.
NoScript è anche utile per gli sviluppatori per vedere quanto bene il loro sito funziona con JavaScript disattivato. Può anche rimuovere molti elementi web irritanti, come i messaggi pop-up in-page e alcuni paywall, che richiedono JavaScript per funzionare.
NoScript assume la forma di un’icona della barra degli strumenti o icona della barra di stato in Firefox. Viene visualizzato su ogni sito Web per indicare se NoScript ha bloccato, consentito o parzialmente consentito l’esecuzione di script sulla pagina Web visualizzata., Facendo clic o passando il mouse (dalla versione 2.0.3rc1) il cursore del mouse sull’icona NoScript offre all’utente la possibilità di consentire o vietare l’elaborazione dello script.
L’interfaccia di NoScript, se accessibile facendo clic destro sulla pagina web o la casella NoScript distintivo nella parte inferiore della pagina (per impostazione predefinita), mostra l’URL degli script(s) che sono bloccati, ma non fornisce alcun tipo di riferimento per cercare se un determinato script è sicuro da eseguire., Con pagine Web complesse, gli utenti possono trovarsi di fronte a oltre una dozzina di URL criptici diversi e una pagina Web non funzionante, con la sola scelta di consentire lo script, bloccare lo script o consentirlo temporaneamente.
Il 14 novembre 2017, Giorgio Maone ha annunciato NoScript 10, che sarà “molto diverso” da 5.x versioni, e utilizzerà la tecnologia WebExtension, che lo rende compatibile con Firefox Quantum. Il 20 novembre 2017, Maone ha rilasciato la versione 10.1.1 per Firefox 57 e versioni successive. NoScript è disponibile per Firefox per Android.
Protezione anti-XSSMODIFICA
L ‘ 11 aprile 2007, NoScript 1.,1.4.7 è stato rilasciato pubblicamente, introducendo la prima protezione lato client contro tipo 0 e tipo 1 Cross-site scripting (XSS) mai consegnato in un browser web.
Ogni volta che un sito web tenta di iniettare codice HTML o JavaScript all’interno di un sito diverso (una violazione della stessa politica di origine), NoScript filtra la richiesta dannosa, neutralizzando il suo payload pericoloso.
Caratteristiche simili sono state adottate anni dopo da Microsoft Internet Explorer 8 e da Google Chrome.,
Application Boundaries Enforcer (ABE)Edit
Application Boundaries Enforcer (ABE) è un modulo NoScript integrato destinato a rafforzare le protezioni orientate alle applicazioni Web già fornite da NoScript, fornendo un componente simile a un firewall in esecuzione all’interno del browser.
Questo “firewall” è specializzato nel definire e proteggere i confini di ogni applicazione web sensibile rilevante per l’utente (ad esempio plug-in, webmail, online banking, e così via), secondo le politiche definite direttamente dall’utente, lo sviluppatore web / amministratore, o una terza parte di fiducia., Nella sua configurazione predefinita, ABE di NoScript fornisce protezione contro gli attacchi CSRF e DNS rebinding volti a risorse intranet, come router e applicazioni web sensibili.
ClearClick (anti-clickjacking)Modifica
La funzione ClearClick di NoScript, rilasciata l ‘ 8 ottobre 2008, impedisce agli utenti di fare clic su elementi di pagina invisibili o “riparati” di documenti o applet incorporati, sconfiggendo tutti i tipi di clickjacking (cioè da frame e plug-in).,
Questo rende NoScript “l’unico prodotto liberamente disponibile che offre un ragionevole grado di protezione” contro gli attacchi clickjacking.
HTTPS enhancementsEdit
NoScript può forzare il browser a utilizzare sempre HTTPS quando si stabiliscono connessioni ad alcuni siti sensibili, al fine di prevenire attacchi man-in-the-middle. Questo comportamento può essere attivato dai siti Web stessi, inviando l’intestazione Strict Transport Security o configurato dagli utenti per quei siti Web che non supportano ancora Strict Transport Security.,
Le funzionalità di miglioramento HTTPS di NoScript sono state utilizzate dalla Electronic Frontier Foundation come base del suo add-on HTTPS Everywhere.
