Войти
 | |
| Исходный автор (ы) | Джорджио Маоне |
|---|---|
| Разработчик (и) | Джорджио Маоне |
| Первоначальный выпуск | 13 мая 2005 г.; 15 лет назад (2005-05-13) |
| Стабильный выпуск | 11.0.43 / 10 сентября 2020 г.; 50 дней назад (10 сентября 2020 г.) |
| Предварительный выпуск | 11.0.44rc2 / 10 сентября 2020 г.; 50 дней назад (2020-09-10) |
| Репозиторий | https://github.com/hackademix/noscript |
| Написано на | JavaScript, XUL, CSS |
| Доступно на | 45 языках |
| Тип | Расширение Mozilla |
| Лицензия | GPLv2 + |
| Веб-сайт | NoScript.net |
NoScript (или NoScript Security Suite ) - это бесплатное программное обеспечение расширение для Mozilla Firefox, SeaMonkey, других Веб-браузеры на основе Mozilla и Google Chrome, созданные и активно поддерживаемые Джорджио Маоне, итальянским разработчиком программного обеспечения и членом Mozilla Security Group.
Классическое меню NoScript в Firefox По умолчанию NoScript блокирует активный (исполняемый) веб-контент, который можно полностью или частично разблокировать, разрешив список сайта или домена из меню панели инструментов расширения или щелкнув значок заполнителя.
В конфигурации по умолчанию активный контент запрещен глобально, хотя пользователь может изменить это и использовать NoScript для блокировки определенного нежелательного контента. Список разрешений может быть постоянным или временным (до закрытия браузера или отмены разрешений пользователем). Активный контент может состоять из JavaScript, веб-шрифтов, мультимедийных кодеков, WebGL и Flash. Надстройка также предлагает определенные меры противодействия уязвимостям безопасности.
Поскольку многие атаки веб-браузера требуют активного содержимого, которое браузер обычно запускает без вопросов, отключение такого содержимого по умолчанию и использование его только в той степени, в которой оно действительно необходимое снижает шансы эксплуатации уязвимости. Кроме того, отказ от загрузки этого контента значительно экономит пропускную способность и отменяет некоторые формы веб-отслеживания.
NoScript также полезен разработчикам, чтобы увидеть, насколько хорошо их сайт работает с отключенным JavaScript. Он также может удалять многие раздражающие веб-элементы, такие как всплывающие сообщения на странице и определенные платные каналы, для работы которых требуется JavaScript.
NoScript принимает форму значка панели инструментов или значка строки состояния в Firefox. Он отображается на каждом веб-сайте, чтобы указать, заблокировал ли NoScript, разрешил или частично разрешил запуск сценариев на просматриваемой веб-странице. Щелчок или наведение курсора мыши (начиная с версии 2.0.3rc1) на значок NoScript дает пользователю возможность разрешить или запретить обработку скрипта.
Интерфейс NoScript, доступ к которому осуществляется путем щелчка правой кнопкой мыши на веб-странице или характерного поля NoScript в нижней части страницы (по умолчанию), показывает URL-адрес заблокированного (-ых) сценария (-ов), но делает не предоставлять какую-либо ссылку, чтобы узнать, безопасно ли запускать данный сценарий. Со сложными веб-страницами пользователи могут столкнуться с более чем дюжиной различных загадочных URL-адресов и нефункционирующей веб-страницей, с выбором только разрешить сценарий, заблокировать сценарий или разрешить его временно.
14 ноября 2017 года Джорджио Маоне анонсировал NoScript 10, который будет «сильно отличаться» от версий 5.x и будет использовать технологию WebExtension, что сделает его совместимым с Firefox Quantum.. 20 ноября 2017 года Maone выпустила версию 10.1.1 для Firefox 57 и выше. NoScript доступен для Firefox для Android.
11 апреля 2007 г. был публично выпущен NoScript 1.1.4.7, представляющий первую клиентскую защиту от типа 0 и типа 1 Межсайтовый скриптинг (XSS) когда-либо доставлялся в веб-браузере.
Каждый раз, когда веб-сайт пытается внедрить код HTML или JavaScript внутри другого сайта (нарушение политики одинакового происхождения ), NoScript фильтрует вредоносный запрос, нейтрализуя его опасную полезную нагрузку.
Подобные функции были приняты годами позже в Microsoft Internet Explorer 8 и в Google Chrome.
The Application Boundaries Enforcer (ABE) - это встроенный модуль NoScript, предназначенный для усиления защиты веб-приложения, ориентированной на, уже предоставляемой NoScript, путем предоставления компонента, подобного брандмауэру, работающего внутри браузера.
Этот «брандмауэр» специализируется на определении и защите границ каждого конфиденциального веб-приложения, относящегося к пользователю (например, подключаемых модулей, веб-почты, онлайн-банкинга и т. Д.), В соответствии с политиками, определяемыми непосредственно пользователь, веб-разработчик / администратор или доверенное третье лицо. В своей конфигурации по умолчанию ABE от NoScript обеспечивает защиту от атак CSRF и DNS rebinding, направленных на ресурсы интрасети, такие как маршрутизаторы и конфиденциальные веб-приложения.
Функция ClearClick NoScript, выпущенная 8 октября 2008 г., не позволяет пользователям нажимать на невидимые или «исправленные» элементы страницы встроенных документов или апплетов, побеждая все типы clickjacking (т.е. из фреймов и плагинов).
Это делает NoScript «единственным свободно доступным продуктом, который предлагает разумную степень защиты» от атак типа «кликджекинг».
NoScript может заставить браузер всегда использовать HTTPS при установлении соединений с некоторыми уязвимыми сайтами, чтобы предотвратить атаки типа «злоумышленник в середине». Это поведение может быть вызвано либо самими веб-сайтами, отправив заголовок Strict Transport Security, либо настроено пользователями для тех веб-сайтов, которые еще не поддерживают Strict Transport Security.
HTTPS NoScript Electronic Frontier Foundation использовал дополнительные функции в качестве основы для своего надстройки HTTPS Everywhere.
В мае 2009 г. Сообщалось, что между разработчиком NoScript Джорджио Маоне и разработчиками расширения для блокировки рекламы Adblock Plus разразилась «война расширений» после того, как Маоне выпустила версию NoScript, которая обошла блокировку, включенную Фильтр AdBlock Plus. Код, реализующий этот обходной путь, был «замаскирован», чтобы избежать обнаружения. Маоне заявил, что внедрил его в ответ на фильтр, блокирующий его собственный веб-сайт. После растущей критики и заявления администраторов сайта надстроек Mozilla о том, что сайт изменит свои правила в отношении модификаций надстроек, Маоне удалил код и принес свои извинения.
Сразу после инцидента с Adblock Plus между Маоне и разработчиками надстройки Ghostery возник спор после того, как Маоне внес на свой веб-сайт изменение, которое отключило уведомление, которое Ghostery использовал для сообщения программное обеспечение для веб-отслеживания. Это было интерпретировано как попытка «запретить Ghostery сообщать о трекерах и рекламных сетях на сайтах NoScript». В ответ Маоне заявил, что изменение было внесено, потому что уведомление Ghostery закрыло кнопку пожертвования на сайте NoScript. Этот конфликт был разрешен, когда Маоне изменил CSS своего сайта, чтобы переместить, а не отключить уведомление Ghostery.
Портал бесплатного программного обеспечения с открытым исходным кодом 