NoScript

✍ dations ◷ 2024-12-23 18:20:47 #Firefox 附加组件,安全软件,广告拦截软件

NoScript 是一个为 Mozilla Firefox 和 Mozilla Application Suite网页浏览器 (诸如Flock、SeaMonkey等) 所开发的自由的扩展(Add-ons)。NoScript 以白名单选择性执行 JavaScript、Java、Flash、Sliverlight 以及其它插件和脚本内容。

在安装之后,JavaScript、Java、Flash、Sliverlight和其它可执行内容都会被Firefox默认阻止。用户可以手动允许这些内容。NoScript会在Firefox中占据一个工具栏图标或是一个状态栏图标,并显示正在浏览的页面上每个站点的内容被阻止或允许的情况,同时也可以修改之前阻止或允许的内容。

对于每个页面,可以选择允许特定的地址,特定的域名或是根域名并执行它的内容。同时,允许一个域名之后(例如, mozilla.org),它的所有二级域名都会被默认允许(例如 www.mozilla.org, addons.mozilla.org 等等)而且与协议无关(例如HTTP和HTTPS)。而允许一个地址之后(协议:主机 例如 http://www.mozilla.org 页面存档备份,存于互联网档案馆 ),它的所有子目录都会被允许 (例如 http://www.mozilla.org/firefox 页面存档备份,存于互联网档案馆 和 http://www.mozilla.org/thunderbird 页面存档备份,存于互联网档案馆 ),此时它的根域名和以及其它二级域名不会被。因此,mozilla.org和addons.mozilla.org就不会被自动允许。

页面也可以在NoScript中被列入黑名单。把一个页面列入黑名单不仅会阻止执行脚本内容,同时还会去掉手动执行这些内容的选项。即使安全设置低于默认值,NoScript还是可以阻挡一些网页攻击,例如DNS重新绑定攻击。

2007年4月11日,NoScript 1.1.4.7版公开发布,新增了一个客户端的保护,针对类型0和类型1的XSS攻击。一旦一个页面试图将HTML或是JavaScript代码插入另一个页面,NoScript就会过滤掉有害请求。

2008年9月15日,NoScript 1.8.1版公开发布,使得用户可以强制某些网站必须通过https访问,增加安全性。此外NoScript也可以强制https网站把cookies加密来阻止cookies劫持。
2009年9月23日,NoScript 1.9.8.9版增加了对HSTS的支持。这一功能使得用户在访问支持的网站(例如,PayPal)的时候自动只通过HTTPS访问,以防止中间人攻击。

NoScript的默认行为是阻止所有不在白名单中的脚本。这可能使大量依赖于JavaScript技术,例如AJAX的页面无法正常工作。不熟悉的用户也许会觉得相比起增加的安全保护而付出的麻烦不值得。

但同时NoScript也支持一个可选的黑名单模式:用户可以选择全局启用JavaScript然后禁止他们不信任的站点。即便如此配置,NoScript仍然能在很大程度上增强安全性,由于仍然具有XSS、CSRF和点击劫持等防护功能。

截至2009年5月 (2009-05), NoScript的白名单默认包含了扩展作者的部分域名,一些Google的域名(包括一个必要的用于显示Google Adsense广告的域名),雅虎以及微软,由于这些使用了AJAX的Web邮件服务可能是某些用户唯一熟悉的使用邮件方式,如果不这样做,这些用户就会在安装NoScript之后无意地把他们自己锁住。这个白名单是可以修改的。

NoScript被PC World杂志评为2006年百大最佳产品之一。

2009年5月1日,Firefox扩展Adblock Plus的作者Wladimir Palant,宣布一周之前的NoScript 1.9.2版开始妨碍Adblock Plus正常工作。NoScript会在未经Adblock Plus和用户允许的情况下解析并显示赞助商页面。Palant说NoScript使用了代码混淆来逃避十六进制代码层面对这个修改的检测。几乎同时,Mozilla因此次事件决定修改社区准则。4月30日,NoScript升级到1.9.2.3,把传说中的代码混淆改为了一个用户可见的特性,即NoScript在Adblock Plus的过滤规则中将自己的网站设置为白名单。Wladimir Palant指出这个过滤规则即便被用户删除也会在每次启动的时候自动添加回去,不过这看起来似乎只是个无意的Bug,因为白名单同时也可以被永久禁止或是如NoScript FAQ所说,被用户自己的过滤规则覆盖。几小时之后,2009年5月2日,自动更新的NoScript 1.9.2.6版彻底移除了这一白名单,并在发行记录中对没有在用户事先允许的情况下修改Adblock Plus功能的行为作出公开道歉。2009年5月4日,在博客上一篇长文中,NoScript的作者Giorgio Maone以个人身份对最初含糊的说法表达了歉意,认识到这是破坏了信任关系并对此表示后悔。他同时解释NoScript添加的Adblock Plus白名单是对EasyList反常性“攻击”的对抗,这些攻击针对Manoe的网站,并几乎破坏了页面所有的动态功能,甚至是安装NoScript软件包的链接。

2009年5月1日以及2009年5月3日在讨论NoScript对Adblock Plus的修改时,有人在NoScript支持论坛中指出NoScript官网上有一个CSS规则不停让Ghostery这个Mozilla扩展弹出提示,表示网页上有奇怪而隐蔽的"bug"。Ghostery也会提示用户Manoe网站上Google Adsense的使用。Manoe在回应中宣称他的CSS没有做出这些,Ghostery的提示是由于其自身的技术问题,同时这些提示看起来很糟糕而且妨碍了网页真实效果的展示。在之后的声明中Manoe又特别批评这些提示挡住了了捐款按钮和使用许可的显示并且表示他的CSS没有阻止Ghostery的正常工作。

大多数人则认为Manoe的CSS文件包含了足够多的统计代码,Ghostery的判断并没有错。有人指出Ghostery在其原始状态的提示并没有挡住Manoe的捐款按钮,并在几秒钟之后就消失了。另外,用户们指出Manoe的一行样式使得Ghostery无法提供一个网页bug的信息,并认为总体上来说这是Manoe自己的问题。但Manoe仍坚称Ghostery显示信息的方式不合适和过度敏感而导致两个扩展出现了矛盾。

这件事的讨论扩展到了第三方站点,有些人谎称干扰了Ghostery工作的是NoScript扩展而不是Manoe的站点。Ghostery的作者David Cancel 页面存档备份,存于互联网档案馆原先发表了一些过激言论但随后修正了。

2009年5月6日,在此事的激烈讨论平息之后,Maone公开表示他改变了自己的观点,为此他修改了自己站点的CSS。Ghostery的提示框不再被隐藏而是向页面中部轻微移动了一些,以免挡住捐款按钮或是许可信息。

相关

  • 血绿蛋白血绿素 (Chlorocruorin)是一种存在于多种环节动物(特别是多个多毛纲物种,例如龙介虫科)血液的血浆里的带氧蛋白,负责为身体组织携带氧气。这种血绿素与氧气结合的亲和力较大多数的
  • 韩欧自由贸易协定‎《韩欧自由贸易协定》是韩国与欧盟签订的自由贸易协定。双方自2007年5月开始谈判,2009年10月15日签署了协议。 2011年2月17日,欧盟议会以465票赞成、128票反对、19票弃权通过
  • 营口市营口市是中华人民共和国辽宁省下辖的地级市,位于辽宁省中南部,地处渤海之滨,辽东湾畔,地理坐标为东经121°56′—123°02′,北纬39°55′—40°56′。为中国八大水系之一的辽河入
  • 网表在电子设计自动化中,网表(英语:netlist),或称连线表,是指用基础的逻辑门来描述数字电路连接情况的描述方式。由于逻辑门阵列有着连线表一样的排列外观,因此称之为“网表”。网表通
  • 林增控股林增控股有限公司,简称林增控股(英语:Lum Chang Holdings Limited,SGX:L19),在1940年由林增先生创立,主要业务在新加坡和马来西亚经营房地产及建筑行业。主席为林钧城,总裁为林国威。
  • JessXJessX(前称jESSE)是一种开放式软件,其目的是用来模拟金融市场。它允许许多人在类似纽约证券交易所(NYSE)的虚拟交易平台上交易。人们可以在这个平台上买卖各种股票,债券,外汇,或大宗
  • 罗兰·布莱腾巴赫罗兰·布莱腾巴赫(德语:Roland Breitenbach,1935年8月7日-2020年7月15日),是一位德国的罗马天主教神父,同时也是一位作家。出生于开姆尼茨。布莱腾巴赫神父在阿沙芬堡(近法兰克福)长
  • 土岐麻子土岐麻子(日语:土岐 麻子,1976年3月22日-),日本女歌手。出身于东京都。Sony Music Artists所属。鸥友学园女子中学校·高等学校(日语:鴎友学園女子中学校・高等学校)、早稻田大学第一
  • 长沙图书馆长沙图书馆是一家地市级综合性公共图书馆。坐落于长沙市新河三角洲长沙滨江文化园内,西滨湘江,北临浏阳河。长沙图书馆新馆于2007年12月破土动工,2015年12月28日正式开馆。新馆
  • 迈克尔·墨菲号驱逐舰迈克尔·墨菲号(英语:USS Michael Murphy (DDG-112))是第62艘阿利·伯克级驱逐舰。她以荣誉勋章获得者迈克尔·墨菲(英语:Michael P. Murphy)的名字命名。她的合同于2002年9月13日