¿Debo usar No-Script?

Escuché que la navegación web es el origen más probable del malware en una computadora en estos días. También escuché que no es necesario preocuparse por los virus en Linux. Entonces, ¿debo usar una extensión de navegador que me permita habilitar selectivamente javascript para dominios preferidos, como No-Script o Not-Script?

¡Seguro!

Los atacantes pueden usar scripts maliciosos para realizar múltiples ataques como XSS:

Las secuencias de comandos entre sitios (XSS) son un tipo de vulnerabilidad de seguridad informática que generalmente se encuentra en aplicaciones web que permite a los atacantes malintencionados inyectar secuencias de comandos del lado del cliente en páginas web vistas por otros usuarios ...

Lea más en wikipedia .

Ningún script le da el poder de controlar todos los scripts en una página web (o un sitio web) y los complementos que usa, como flash, java, etc. Agrega sitios confiables a una lista blanca y el otro no puede ejecutar scripts, a menos que los deje (temporal o permanentemente).

Una pregunta y su respuesta en el sitio web sin script ( faq ) pueden proporcionar algunas aclaraciones:

¿Por qué debería permitir la ejecución de JavaScript, Java, Flash y plugins solo para sitios confiables?

JavaScript, Java y Flash, aun siendo tecnologías muy diferentes, tienen una cosa en común: se ejecutan en el código de su computadora proveniente de un sitio remoto. Los tres implementan algún tipo de modelo de espacio aislado, limitando las actividades que puede realizar el código remoto: por ejemplo, el código de espacio aislado no debe leer / escribir su disco duro local ni interactuar con el sistema operativo subyacente o las aplicaciones externas. Incluso si los sandboxes fueran a prueba de balas (no es el caso, lea a continuación) e incluso si usted o su sistema operativo envuelven todo el navegador con otro sandbox (por ejemplo, IE7 + en Vista o Sandboxie), la mera capacidad de ejecutar código sandbox dentro del navegador puede ser explotado con fines maliciosos, por ejemplo, para robar información importante que almacena o ingresa en la web (números de tarjeta de crédito, credenciales de correo electrónico, etc.) o para "suplantar" a usted, por ejemplo en transacciones financieras falsas, lanzar ataques "en la nube" como Cross Site Scripting (XSS) o CSRF, sin necesidad de escapar de su navegador u obtener privilegios más altos que una página web normal. Esto solo es motivo suficiente para permitir la creación de secuencias de comandos solo en sitios de confianza. Además, muchas vulnerabilidades de seguridad tienen como objetivo lograr una "escalada de privilegios", es decir, explotar un error de implementación del sandbox para adquirir mayores privilegios y realizar tareas desagradables como instalar troyanos, rootkits y keyloggers. Este tipo de ataque también puede apuntar a JavaScript, Java, Flash y otros complementos: Esto solo es motivo suficiente para permitir la creación de secuencias de comandos solo en sitios de confianza. Además, muchas vulnerabilidades de seguridad tienen como objetivo lograr una "escalada de privilegios", es decir, explotar un error de implementación del sandbox para adquirir mayores privilegios y realizar tareas desagradables como instalar troyanos, rootkits y keyloggers. Este tipo de ataque también puede apuntar a JavaScript, Java, Flash y otros complementos: Esto solo es motivo suficiente para permitir la creación de secuencias de comandos solo en sitios de confianza. Además, muchas vulnerabilidades de seguridad tienen como objetivo lograr una "escalada de privilegios", es decir, explotar un error de implementación del sandbox para adquirir mayores privilegios y realizar tareas desagradables como instalar troyanos, rootkits y keyloggers. Este tipo de ataque también puede apuntar a JavaScript, Java, Flash y otros complementos:

1. JavaScript parece una herramienta muy valiosa para los malos: la mayoría de las vulnerabilidades fijas explotables por el navegador descubiertas hasta la fecha eran ineficaces si JavaScript estaba deshabilitado. Tal vez la razón es que los scripts son más fáciles de probar y buscar agujeros, incluso si eres un hacker novato: todos y su hermano creen que es un programador de JavaScript: P

2. Java tiene una mejor historia, al menos en su encarnación "estándar", la Sun JVM. En cambio, ha habido virus escritos para Microsoft JVM, como ByteVerifier.Trojan. De todos modos, el modelo de seguridad de Java permite que los applets firmados (applets cuya integridad y origen están garantizados por un certificado digital) se ejecuten con privilegios locales, es decir, como si fueran aplicaciones instaladas habitualmente. Esto, combinado con el hecho de que siempre hay usuarios que, frente a una advertencia como "Este applet está firmado con un certificado falso / falso. ¡NO QUIERES ejecutarlo! ¿Estás tan enojado de ejecutarlo? [ ¡Nunca!] [No] [No] [Quizás] ", buscará, encontrará y presionará el botón" Sí ", causó cierta mala reputación incluso a Firefox (tenga en cuenta que el artículo es bastante flojo, pero como puede imaginar tuvo mucho eco )

3. Flash solía considerarse relativamente seguro, pero desde que su uso se generalizó, se han encontrado graves fallas de seguridad a mayor velocidad. Los applets Flash también han sido explotados para lanzar ataques XSS contra los sitios donde están alojados.>

4. Otros complementos son más difíciles de explotar, porque la mayoría de ellos no alojan una máquina virtual como Java y Flash, pero aún pueden exponer agujeros como desbordamientos de búfer que pueden ejecutar código arbitrario cuando se alimenta con un contenido especialmente diseñado. Recientemente hemos visto varias de estas vulnerabilidades de complementos, que afectan a Acrobat Reader, Quicktime, RealPlayer y otros dispositivos multimedia.

Tenga en cuenta que ninguna de las tecnologías mencionadas generalmente se ve afectada (el 95% del tiempo) por problemas explotables conocidos y aún no parcheados, pero el objetivo de NoScript es solo esto: evitar la explotación de agujeros de seguridad aún desconocidos, porque cuando se descubren puede ser demasiado tarde;) La forma más efectiva es deshabilitar la amenaza potencial en sitios no confiables.

En teoría, puedes obtener virus en Linux y Mac OS. La razón por la que la mayoría de la gente no lo hace es porque Linux y Mac OS no son grandes objetivos. Los escritores de malware quieren lanzar una amplia red con un mínimo esfuerzo. En segundo lugar, Linux / Unix ofrecen más seguridad y usuarios mejor informados (en general). Dicho esto, uso Flashblock y No Script en Windows, Mac OS X y Ubuntu en todo momento. Las páginas se cargan más rápido, ayuda con el anonimato en línea al evitar las cookies flash y todo tipo de problemas. Los recomiendo, independientemente de la plataforma. Como mínimo, lo hacen más consciente de lo que las páginas están tratando de hacer.

Uso NoScript regularmente en Firefox y lo recomiendo para uso diario.

No bloquea los anuncios, por lo que aún soporta los costos del sitio para sus administradores.

Sin embargo, bloquea los anuncios flash, lo que reduce en gran medida la carga de su CPU al navegar (siempre que tenga instalado el complemento flash)

Puede permitir que el contenido se ejecute individualmente, por lo que la mayoría de los sitios para compartir videos comenzarán a funcionar después de que permita las secuencias de comandos relacionadas con la reproducción de videos (esto puede requerir un poco de adivinación si hay varias secuencias de comandos en la página). Los permisos que otorga pueden ser temporales para la sesión o permanentes para que el sitio funcione a menos que decida bloquearlos nuevamente.

Al completar formularios como registros de sitios, es una buena idea permitir los scripts antes de completar los formularios para que no tenga que repetir su trabajo. Permitir un script en una página obliga a recargar la página.

La protección más importante que NoScript le otorga es de sitios maliciosos que intentan cambiar el tamaño de su ventana, publicar contenido en sitios sociales o hacer cualquier otra cosa no deseada. NoScript cambia la acción predeterminada a denegada, y puede elegir por sitio si considera que los scripts son confiables.

Aquí está el enlace de instalación para Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/