O clássico NoScript menu no Firefox
Conteúdo Ativo BlockingEdit
Por padrão, o NoScript blocos ativo (executável) de conteúdo da web, o que pode ser total ou parcialmente desbloqueado allowlisting um site ou domínio da extensão do menu da barra de ferramentas ou clicando em um ícone de marcador de posição.
na configuração padrão, o conteúdo ativo é negado globalmente, embora o usuário possa mudar isso e usar o NoScript para bloquear conteúdo indesejado específico., A lista de permissões pode ser permanente ou temporária (até o navegador fechar ou o usuário revogar as permissões). O conteúdo ativo pode consistir de JavaScript, fontes web, codecs de mídia, WebGL e Flash. O add-on também oferece contramedidas específicas contra as explorações de segurança.
porque muitos ataques de navegador Web requerem conteúdo ativo que o navegador normalmente executa sem questionar, desativando esse conteúdo por padrão e usando-o apenas no grau em que é realmente necessário reduz as chances de exploração de vulnerabilidade., Além disso, não carregar este conteúdo economiza largura de banda significativa e derrota algumas formas de rastreamento web.
NoScript também é útil para os desenvolvedores para ver como seu site funciona bem com JavaScript desligado. Ele também pode remover muitos elementos irritantes da web, tais como mensagens pop-up de página e certas paywalls, que requerem JavaScript para funcionar.
NoScript assume a forma de um ícone da barra de ferramentas ou ícone da barra de Estado no Firefox. Ele exibe em todos os sites para indicar se o NoScript tem bloqueado, permitido ou parcialmente permitido scripts para correr na página web que está sendo visto., Se carregar ou passar por cima (desde a versão 2.0.3rc1), o cursor do rato no ícone do NoScript dá ao utilizador a opção de permitir ou proibir o processamento do programa.
NoScript da interface, se acessado pelo botão direito do mouse na página da web ou o distintivo NoScript caixa na parte inferior da página (por padrão), mostra o URL do script(s) que estão bloqueados, mas não fornece qualquer tipo de referência para consultar se um determinado script é seguro executar., Com webpages complexos, os usuários podem ser confrontados com mais de uma dúzia de URLs crípticos diferentes e uma webpage não funcional, com apenas a escolha de permitir o script, bloquear o script ou permitir temporariamente.
em 14 de novembro de 2017, Giorgio Maone anunciou NoScript 10, que será “muito diferente” de 5.X versions, and will use WebExtension technology, making it compatible with Firefox Quantum. Em 20 de novembro de 2017, Maone lançou a versão 10.1.1 para Firefox 57 e acima. O NoScript está disponível para o Firefox para o Android.
anti-XSS protectionEdit
em 11 de abril de 2007, NoScript 1.,1.4.7 foi lançado publicamente, introduzindo a primeira proteção cliente-lado contra o tipo 0 e tipo 1 Cross-site scripting (XSS) já entregue em um navegador web.
sempre que um site tenta injetar código HTML ou JavaScript dentro de um site diferente (uma violação da mesma política de origem), o NoScript filtra o pedido malicioso, neutralizando sua perigosa carga útil.recursos similares foram adotados anos depois pelo Microsoft Internet Explorer 8 e pelo Google Chrome.,
Application Boundaries Enforcer (ABE)Edit
The Application Boundaries Enforcer (ABE) é um módulo em NoScript criado para endurecer as proteções orientadas para aplicações web já fornecidas pelo NoScript, através da entrega de um componente de firewall rodando dentro do navegador.
Este “firewall” é especializado em Definir e guardar os limites de cada aplicação web sensível relevante para o usuário (por exemplo, plug-ins, webmail, banco online, etc.), de acordo com políticas definidas diretamente pelo usuário, o desenvolvedor/administrador da web, ou um terceiro confiável., Em sua configuração padrão, ABE do NoScript oferece proteção contra ataques de rebinding de CSRF e DNS voltados para recursos intranet, como roteadores e aplicações web sensíveis.
ClearClick (anti-clickjacking)Editar
NoScript do ClearClick recurso, lançado em 8 de outubro de 2008, impede que os utilizadores clicando no invisível ou “corrigidas” elementos de página dos documentos incorporados ou applets, derrotando todos os tipos de clickjacking (i.e. a partir de quadros e plugins).,isto faz do Narscript” o único produto disponível livremente que oferece um grau razoável de proteção ” contra ataques de clickjacking.
HTTPS enhancementsEdit
NoScript pode forçar o navegador a usar sempre HTTPS ao estabelecer conexões para alguns sites sensíveis, a fim de evitar ataques man-in-the-middle. Este comportamento pode ser desencadeado pelos próprios sites, enviando o cabeçalho de segurança de transporte estrito, ou configurado pelos usuários para aqueles sites que ainda não suportam a segurança de transporte estrita.,
noscript’s HTTPS enhancing features have been used by the Electronic Frontier Foundation as the basis of its HTTPS Everywhere add-on.
