Article de reference

NoScript

NoScript (ou NoScript Security Suite ) est une extension libre et open source pour les navigateurs Web basés sur Firefox et Chromium , écrite et maintenue par Giorgio Maone, un ...

NoScript (ou NoScript Security Suite ) est une extension libre et open source pour les navigateurs Web basés sur Firefox et Chromium , écrite et maintenue par Giorgio Maone, un développeur de logiciels et membre du Mozilla Security Group depuis 2007.

Caractéristiques

Le menu NoScript classique dans Firefox

Blocage actif du contenu

Par défaut, NoScript bloque le contenu Web actif (exécutable), qui peut être totalement ou partiellement débloqué en autorisant un site ou un domaine à partir du menu de la barre d'outils de l'extension ou en cliquant sur une icône d'espace réservé.

Dans sa configuration par défaut, le contenu actif est globalement bloqué. L'utilisateur peut toutefois modifier ce comportement et utiliser NoScript pour bloquer des contenus indésirables spécifiques. La liste blanche peut être permanente ou temporaire (jusqu'à la fermeture du navigateur ou la révocation des autorisations par l'utilisateur). Le contenu actif peut inclure JavaScript , les polices web, les codecs multimédias , WebGL , les applets Java , Silverlight et Flash . L'extension propose également des contre-mesures spécifiques contre les failles de sécurité.

Étant donné que de nombreuses attaques ciblant les navigateurs web nécessitent du contenu actif que le navigateur exécute normalement sans problème, désactiver ce contenu par défaut et ne l'utiliser que dans la mesure nécessaire réduit les risques d'exploitation de vulnérabilités. De plus, ne pas charger ce contenu permet d'économiser une quantité importante de bande passante et de contrer certaines formes de suivi web.

NoScript est utile aux développeurs pour tester le bon fonctionnement de leur site sans JavaScript. Il permet également de supprimer de nombreux éléments web gênants, tels que les fenêtres contextuelles et certains paywalls , qui nécessitent JavaScript pour fonctionner.

Dans Firefox, NoScript se présente sous la forme d'une icône dans la barre d'outils ou la barre d'état . Cette icône s'affiche sur chaque site web pour indiquer si NoScript a bloqué, autorisé ou partiellement autorisé l'exécution des scripts sur la page consultée. Un clic ou un survol de l'icône NoScript (depuis la version 2.0.3rc1 ) permet à l'utilisateur d'autoriser ou d'interdire l'exécution du script.

L'interface de NoScript, accessible par un clic droit sur la page web ou via l'encadré NoScript distinctif en bas de page (par défaut), affiche l'URL du ou des scripts bloqués, mais ne fournit aucune information permettant de vérifier si un script donné est sûr à exécuter. Sur des pages web complexes, les utilisateurs peuvent se retrouver face à plus d'une douzaine d'URL cryptiques différentes et à une page web non fonctionnelle, avec pour seules options l'autorisation, le blocage ou l'autorisation temporaire du script.

Le 14 novembre 2017, Giorgio Maone a annoncé NoScript 10, une version « très différente » des versions 5.x, qui utiliserait la technologie WebExtension et serait compatible avec Firefox Quantum . Le 20 novembre 2017, Maone a publié la version 10.1.1 pour Firefox 57 et versions ultérieures. NoScript est également disponible pour Firefox sur Android.

Protection anti-XSS

Le 11 avril 2007, NoScript 1.1.4.7 a été publié publiquement, introduisant la première protection côté client contre les scripts intersites (XSS) de type 0 et de type 1 jamais fournie dans un navigateur Web.

Chaque fois qu'un site Web tente d'injecter du code HTML ou JavaScript dans un autre site (une violation de la politique d'origine identique ), NoScript filtre la requête malveillante et neutralise sa charge utile dangereuse.

Des fonctionnalités similaires ont été adoptées des années plus tard par Microsoft Internet Explorer 8 et par Google Chrome .

Application Boundaries Enforcer (ABE)

L'Application Boundaries Enforcer (ABE) est un module NoScript intégré destiné à renforcer les protections orientées application Web déjà fournies par NoScript, en fournissant un composant de type pare-feu fonctionnant à l'intérieur du navigateur.

Ce « pare-feu » est spécialisé dans la définition et la protection des limites de chaque application web sensible pertinente pour l'utilisateur (par exemple, les modules d'extension, la messagerie web, les services bancaires en ligne , etc.), conformément aux politiques définies directement par l'utilisateur, le développeur/administrateur web ou un tiers de confiance. Dans sa configuration par défaut, l'ABE de NoScript offre une protection contre les attaques CSRF et de rebinding DNS ciblant les ressources intranet, telles que les routeurs et les applications web sensibles.

ClearClick (anti-clickjacking)

La fonctionnalité ClearClick de NoScript, lancée le 8 octobre 2008, empêche les utilisateurs de cliquer sur des éléments de page invisibles ou « redressés » de documents ou d’applets intégrés, ce qui empêche tous les types de détournement de clic (c’est-à-dire à partir de cadres et de plug-ins).

Cela fait de NoScript « le seul produit disponible gratuitement qui offre un degré raisonnable de protection contre les attaques de détournement de clic ».

Améliorations du protocole HTTPS

NoScript peut forcer le navigateur à toujours utiliser HTTPS lors de l'établissement de connexions à certains sites sensibles, afin de prévenir les attaques de type « homme du milieu ». Ce comportement peut être déclenché soit par les sites web eux-mêmes, via l'envoi de l' en-tête Strict Transport Security , soit configuré par les utilisateurs pour les sites web qui ne prennent pas encore en charge Strict Transport Security.

Les fonctionnalités d'amélioration HTTPS de NoScript ont été utilisées par l' Electronic Frontier Foundation comme base de son module complémentaire HTTPS Everywhere .

Prix

  • PC World a choisi NoScript comme l'un des 100 meilleurs produits de 2006.
  • En 2008, NoScript a remporté le prix éditorial « Meilleur module complémentaire de sécurité » d' About.com .
  • En 2010, NoScript a remporté le prix « The Reader's Choice Awards » dans la catégorie « Meilleur module complémentaire de confidentialité/sécurité » sur About.com .
  • En 2011, pour la deuxième année consécutive, NoScript a remporté le prix « The Reader's Choice Awards » dans la catégorie « Meilleur module complémentaire de confidentialité/sécurité » sur About.com .
  • NoScript a remporté en 2011 (première édition) la « bourse d’innovation en sécurité » du Dragon Research Group. Ce prix récompense le projet le plus innovant dans le domaine de la sécurité de l’information, selon l’avis d’un comité indépendant.

Conflits

Conflit avec Adblock Plus

En mai 2009, une « guerre des extensions » a éclaté entre Giorgio Maone, développeur de NoScript, et les développeurs d' Adblock Plus, l'extension de blocage de publicités pour Firefox . Maone avait publié une version de NoScript contournant un blocage mis en place par un filtre d'Adblock Plus. Le code implémentant cette solution de contournement était « camouflé » pour éviter d'être détecté. Maone a déclaré l'avoir implémentée en réponse à un filtre bloquant son propre site web. Face aux critiques croissantes et à la déclaration des administrateurs du site Mozilla Add-ons annonçant une modification de leurs directives concernant les modifications d'extensions, Maone a retiré le code et présenté des excuses complètes.

Conflit avec Ghostery

Immédiatement après l'incident Adblock Plus, une dispute a éclaté entre Maone et les développeurs de l' extension Ghostery. Maone avait en effet modifié son site web afin de désactiver la notification utilisée par Ghostery pour signaler les logiciels de suivi web . Cette modification a été interprétée comme une tentative d'« empêcher Ghostery de signaler les traqueurs et les régies publicitaires présents sur les sites web de NoScript ». En réponse, Maone a déclaré que cette modification était due au fait que la notification de Ghostery masquait le bouton de don sur le site de NoScript. Ce conflit a été résolu lorsque Maone a modifié le CSS de son site pour déplacer, plutôt que désactiver, la notification de Ghostery.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index